FortiGate NAT sorunu genellikle tek bir kutucuğun yanlış işaretlenmesinden değil; route, policy, source NAT, destination NAT, IP pool ve session davranışının birlikte okunmamasından çıkar. Kısa cevap şudur: NAT problemini çözmek için önce trafiğin doğru policy’ye düşüp düşmediği, sonra FortiGate’in pakete SNAT mı DNAT mı uyguladığı ve son olarak session table üzerinde beklenen çevrimin oluşup oluşmadığı doğrulanmalıdır.
Bu rehber özellikle şu ekipler için hazırlandı:
- FortiGate üzerinde internet çıkışı, port yönlendirme veya VIP yöneten ağ ekipleri
- "policy doğru ama trafik çalışmıyor" sorununu analiz eden güvenlik ekipleri
- Palo Alto, Cisco ASA veya başka firewall platformundan FortiGate’e geçiş yapan operasyon ekipleri
- NAT davranışını log ve session table üzerinden kanıtlamak isteyen BT yöneticileri
Hızlı Özet
- Fortinet’in firewall policy dokümanı, policy match için source interface, protocol, source address, destination address, source port ve destination port alanlarının birlikte değerlendirildiğini açıklar.
- Fortinet session table dokümanı, NAT teşhisinde
nsrc,nport, policy ID ve protocol state gibi alanların kritik olduğunu gösterir. - Central SNAT etkinse IPv4 policy içindeki NAT seçeneği atlanır; SNAT davranışı
central-snat-mapüzerinden yönetilir. - Dynamic SNAT için IP pool kullanıldığında FortiGate, oturum süresince kaynak adresi interface IP’si yerine tanımlı havuzdan seçebilir.
- Static VIP, destination NAT anlamına gelir; public IP veya port, içerideki private IP veya porta map edilir.
- NAT sorunu "tünel up", "policy hit alıyor" veya "VIP sayacı artıyor" gibi tek sinyalle kapanmaz; route, policy, NAT ve dönüş trafiği birlikte doğrulanmalıdır.
İçindekiler
- FortiGate NAT Sorunu Ne Anlama Gelir?
- İlk Teşhis: SNAT mi DNAT mi?
- Policy, Route ve Central NAT Nasıl Kontrol Edilir?
- IP Pool ve VIP Kaynaklı Hatalar Nasıl Bulunur?
- Session Table ve Log ile NAT Nasıl Kanıtlanır?
- En Sık Yapılan Hatalar
- Uygulama Kontrol Listesi
- İlgili İçerikler
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - Firewall cluster.
FortiGate NAT Sorunu Ne Anlama Gelir?
FortiGate NAT sorunu, FortiGate’in trafiği beklenen kaynak veya hedef IP/port ile çevirmemesi ya da çevirdiği halde dönüş trafiğinin doğru oturuma bağlanmamasıdır. Bu durum birkaç farklı semptomla görünür:
- iç kullanıcılar internete çıkamaz
- internet çıkışı var ama yanlış public IP görünür
- dışarıdan yayınlanan servis erişilemez
- VIP hit count artar ama sunucuya trafik ulaşmaz
- VPN tüneli çalışır ama NAT’lı trafik karşı uçta beklenen adrese dönüşmez
- loglarda policy hit görünür fakat session oluşmaz veya hemen düşer
Bu yüzden NAT, yalnız adres çevirisi değil; route, policy, session ve güvenlik profiliyle çalışan bir packet flow konusudur. Daha genel FortiGate davranışı için Fortinet Firewall Nasıl Çalışır? FortiGate Packet Flow Rehberi yazısı tamamlayıcıdır.
Kurumsal tarafta FortiGate NAT teşhisi Donanım & Yazılım Hizmetleri altında yürütülen firewall devreye alma ve bakım süreçleriyle doğrudan ilişkilidir. Özellikle Router, Switch ve Firewall Kurulum Hizmeti, NAT tasarımını WAN, routing ve policy standardıyla birlikte ele alır.
İlk Teşhis: SNAT mi DNAT mi?
NAT sorununu çözmeye başlamadan önce hatanın hangi NAT türünde olduğunu ayırmak gerekir.
| NAT türü | FortiGate nesnesi | Tipik senaryo | Sık semptom |
|---|---|---|---|
| SNAT | policy NAT, central SNAT, IP pool | içeriden internete çıkış | yanlış public IP, internet yok |
| DNAT | VIP, virtual server, central DNAT | dışarıdan iç sunucuya erişim | port yönlendirme çalışmıyor |
| Hairpin NAT | VIP + içten içe erişim | içeriden public FQDN ile iç sunucuya erişim | iç kullanıcı public adla erişemez |
| VPN NAT | IP pool, policy NAT, overlapping subnet | çakışan subnet veya üçüncü taraf VPN | tünel up ama trafik yok |
Bu ayrım yapılmadan yapılan değişiklikler genellikle sorunu büyütür. Örneğin DNAT/VIP hatasında SNAT kuralını değiştirmek, dış yayın sorununu çözmez. İnternet çıkışı SNAT probleminde VIP hit count aramak da aynı şekilde yanlış teşhistir.
Policy, Route ve Central NAT Nasıl Kontrol Edilir?
Firewall policy eşleşmesini doğrulayın
Fortinet’in firewall policy dokümanı, FortiGate’in policy match kararını yalnız source ve destination IP ile vermediğini açıklar. Karar şu alanların birleşimiyle oluşur:
- source interface
- protocol
- source address
- destination address
- source port
- destination port
Bu nedenle ilk kontrol şudur: trafik gerçekten beklenen policy’ye mi düşüyor? Yanlış ingress interface, yanlış service object veya eksik route varsa NAT ayarı doğru olsa bile trafik çalışmayabilir.
Route olmadan policy yeterli değildir
FortiGate trafiği policy ile kabul etse bile dönüş rotası yoksa oturum tamamlanmaz. Özellikle şu durumlar kontrol edilmelidir:
- iç subnet’in default route’u gerçekten FortiGate’e dönüyor mu?
- public IP pool için upstream cihazda route var mı?
- VIP kullanılan public IP, FortiGate’e ulaşıyor mu?
- SD-WAN veya policy route trafiği beklenmeyen WAN’a mı çıkarıyor?
- VPN senaryosunda karşı uç NAT’lı subnet’i biliyor mu?
FortiGate Site-to-Site VPN Kurulumu yazısındaki route ve blackhole route mantığı, NAT’lı VPN senaryolarında da aynı disiplinle ele alınmalıdır.
Central SNAT etkin mi?
Fortinet Central SNAT dokümanı kritik bir ayrım yapar: Central NAT etkinleştirildiğinde IPv4 policy içindeki NAT seçeneği atlanır ve SNAT central-snat-map üzerinden yönetilir. Bu, migration sonrası en sık karışan noktalardan biridir.
Kontrol akışı:
System > Settingsaltında Central SNAT açık mı kontrol edin- açıksa
Policy & Objects > Central SNATtablosunu inceleyin - central SNAT kurallarının yukarıdan aşağıya eşleştiğini unutmayın
- source, destination, interface, protocol ve port alanlarını policy ile birlikte kontrol edin
- central SNAT kapalıysa ilgili firewall policy’de NAT seçeneğini ve IP pool kullanımını doğrulayın
Bu yapı özellikle çok WAN, çok public IP veya farklı kaynak gruplarının farklı IP pool’larla çıkması gereken ortamlarda daha yönetilebilir olabilir. Fakat yanlış sıralama, beklenmeyen kaynak IP üretir.
IP Pool ve VIP Kaynaklı Hatalar Nasıl Bulunur?
Dynamic SNAT ve IP pool
Fortinet Dynamic SNAT dokümanı, IP pool’un oturum boyunca kaynak adres olarak kullanılacak tek IP veya IP aralığını tanımladığını açıklar. Aynı dokümanda IPv4 IP pool tipleri arasında overload, one-to-one, fixed port range ve port block allocation yaklaşımı yer alır.
Pratikte şu noktalar önemlidir:
- overload IP pool çok sayıda iç IP’yi az sayıda public IP ile çıkarabilir
- one-to-one IP pool, eşleşen public IP sayısı kadar iç IP için anlamlıdır
- fixed port range ve port block allocation daha kontrollü port dağıtımı sağlar
- public IP pool upstream tarafından FortiGate’e route edilmemişse trafik dışarıda kaybolur
- tek IP pool kullanırken port tüketimi ve hedef servis yoğunluğu izlenmelidir
Örneğin Fortinet’in Dynamic SNAT dokümanında overload model için tek IP üzerinde yaklaşık 60.416 kullanılabilir port davranışı açıklanır. Bu sayı kapasite planlamasında pazarlama metriği gibi değil, eşzamanlı oturum ve aynı hedefe giden bağlantı yoğunluğu açısından okunmalıdır.
Static VIP ve port forwarding
Fortinet Static Virtual IPs dokümanı, VIP’in external IP adresini internal IP adresine map eden destination NAT olduğunu açıklar. Port forwarding VIP ise belirli public port veya port aralığını içerideki belirli porta yönlendirmek için kullanılır.
En sık hatalar:
- VIP external IP upstream’den FortiGate’e gelmiyor
- VIP doğru ama firewall policy destination alanı yanlış nesneye bakıyor
- central NAT açıkken DNAT ekranı ve policy referansı yanlış yorumlanıyor
- port forwarding dış port ve mapped port karıştırılıyor
- sunucunun default gateway’i FortiGate değil
- güvenlik profili veya local-in policy trafiği beklenmeyen noktada kesiyor
Fortinet’in port forwarding dokümanındaki örnek, tek public IP üzerinde 8080, 8081 ve 8082 gibi farklı portların farklı internal web sunucularına yönlendirilebildiğini gösterir. Bu tasarım kullanılıyorsa servis nesneleri ve loglar port bazında okunmalıdır.
Session Table ve Log ile NAT Nasıl Kanıtlanır?
NAT çalışıyor mu sorusunun en sağlam cevabı session table ve log üzerinden verilir. Fortinet session table dokümanı, oturum kaydında policy, NAT ve protocol state bilgilerinin görülebileceğini gösterir.
Pratik doğrulama akışı:
- test trafiğini tek kaynak ve tek hedefle sınırlandırın
- policy loglarında doğru policy ID görülüyor mu kontrol edin
- session table üzerinde
nsrc,nport,ndstveya destination NAT bilgisini inceleyin - packet sniffer ile ingress ve egress interface üzerinde adreslerin değişip değişmediğini karşılaştırın
- sunucu tarafında kaynak IP beklentisini ve dönüş gateway’ini doğrulayın
- NAT sonrası public IP’nin upstream cihazda route edildiğini kontrol edin
Kullanılabilecek tipik komutlar:
diagnose sys session filter clear
diagnose sys session filter src 10.10.10.25
diagnose sys session list
diagnose sniffer packet any 'host 10.10.10.25' 4
diagnose debug flow filter addr 10.10.10.25
diagnose debug flow show function-name enable
diagnose debug flow trace start 20
Üretim ortamında debug komutları kontrollü çalıştırılmalıdır. Geniş filtreyle debug açmak hem okunabilirliği bozar hem de yoğun cihazlarda gereksiz yük oluşturabilir.
NAT loglarının merkezi analizi gerekiyorsa SIEM ve Güvenlik Olay Yönetimi Entegrasyonu hizmeti de bu konunun tamamlayıcısıdır.
En Sık Yapılan Hatalar
Central NAT açıkken policy NAT beklemek
Central SNAT etkinse policy içindeki NAT seçeneğine bakarak karar vermek yanıltıcıdır. SNAT tablosu ayrıca incelenmelidir.
VIP hit count’u yeterli kanıt saymak
VIP sayacının artması, iç sunucunun yanıt verdiği veya dönüş route’unun doğru olduğu anlamına gelmez.
IP pool route’unu unutmak
FortiGate’in public IP pool’u kullanması yetmez. Upstream router veya ISP tarafında bu IP aralığının FortiGate’e ulaşması gerekir.
Port forwarding’de dış port ve iç portu karıştırmak
External service port ile mapped port farklı olabilir. Loglar bu ayrımı dikkate alarak okunmalıdır.
VPN NAT ile internet SNAT’ini aynı kuralda çözmeye çalışmak
VPN NAT, overlapping subnet ve internet çıkışı farklı tasarım problemleridir. Aynı kural setine sıkıştırmak troubleshooting’i zorlaştırır.
Session table okumadan değişiklik yapmak
Session oluşmadan NAT yorumlamak eksik teşhistir. Session table, hangi policy ve NAT davranışının gerçekten oluştuğunu gösteren ana kanıttır.
Uygulama Kontrol Listesi
- sorunun SNAT, DNAT, hairpin NAT veya VPN NAT olduğu ayrıldı
- trafiğin doğru ingress ve egress interface’ten geçtiği doğrulandı
- firewall policy match source, destination, service ve route ile birlikte kontrol edildi
- Central SNAT açık/kapalı durumu netleştirildi
- IP pool tipi ve public IP route’u doğrulandı
- VIP external IP, mapped IP, external port ve mapped port alanları kontrol edildi
- NAT sonrası dönüş gateway’i ve karşı taraf route’u incelendi
- session table üzerinde policy ID ve NAT alanları doğrulandı
- packet sniffer ile NAT öncesi ve sonrası adresler karşılaştırıldı
- NAT logları izleme veya SIEM sürecine bağlandı
İlgili İçerikler
- Fortinet Firewall Nasıl Çalışır? FortiGate Packet Flow Rehberi
- FortiGate Site-to-Site VPN Kurulumu: Uygulama Rehberi
- FortiGate VLAN Configuration Nasıl Yapılır? Rehber
- FortiGate SSL Inspection Nedir ve Nasıl Planlanır?
LeonX ile Sonraki Adım
FortiGate NAT sorunu, sadece NAT checkbox kontrolüyle çözülecek bir konu değildir. Doğru teşhis için WAN tasarımı, route, firewall policy, Central SNAT, VIP, IP pool, session table ve log analizi birlikte yürütülmelidir. LeonX, Donanım & Yazılım Hizmetleri altında Router, Switch ve Firewall Kurulum Hizmeti ile teknik düzeltmeyi; İş ve Yönetim Hizmetleri altındaki Ağ Güvenlik Politika Yönetimi ile kural standardı ve değişiklik kontrolünü birlikte ele alır. Ortamınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- Donanım & Yazılım Hizmetleri
- Router, Switch ve Firewall Kurulum Hizmeti
- İş ve Yönetim Hizmetleri
- Ağ Güvenlik Politika Yönetimi
- SIEM ve Güvenlik Olay Yönetimi Entegrasyonu
- İletişim
Sık Sorulan Sorular
FortiGate NAT sorunu çözümüne nereden başlanmalı?
Önce sorunun SNAT mi DNAT mi olduğu ayrılmalıdır. Ardından route, policy, central NAT durumu, IP pool veya VIP nesnesi ve session table birlikte kontrol edilmelidir.
FortiGate policy doğruysa NAT mutlaka çalışır mı?
Hayır. Policy doğru olsa bile central SNAT sıralaması, IP pool route’u, VIP referansı veya dönüş route’u hatalıysa NAT trafiği çalışmayabilir.
Central NAT açık olup olmadığını neden kontrol etmeliyim?
Çünkü Central SNAT etkinse firewall policy içindeki NAT seçeneği atlanır. Kaynak NAT davranışı central SNAT tablosundan yönetilir.
VIP hit count artıyorsa DNAT çalışıyor demek midir?
Tam olarak değil. VIP hit count trafiğin VIP ile eşleştiğini gösterebilir; fakat iç sunucuya ulaştığını, yanıt döndüğünü veya route’un doğru olduğunu tek başına kanıtlamaz.
IP pool kullanınca internet çıkışı neden kesilebilir?
Public IP pool upstream tarafından FortiGate’e route edilmemiş olabilir, IP pool tipi yanlış seçilmiş olabilir veya port tüketimi/route davranışı beklenenden farklı çalışıyor olabilir.
Kaynaklar
- Fortinet Document Library - Central SNAT
- Fortinet Document Library - Dynamic SNAT
- Fortinet Document Library - Static virtual IPs
- Fortinet Document Library - Virtual IPs with port forwarding
- Fortinet Document Library - Firewall policy
- Fortinet Document Library - Using a session table
- Wikimedia Commons - Firewall cluster
