Rerference

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Details-about-FortiOS-RPF-Reverse-Path-Forwarding/ta-p/190100

Situation

# Rerverse Path Forwarding

# 檢查回程的DST IP有沒有在路由表裡面 > 沒有就drop

# 一般在L3設備上通常用在防止路由迴圈，防火牆則是著重於防止攻擊

Solution

# 假設FGT有多個WAN(ISP1 、 2)，預設路由往ISP1

# 如果在ISP2做DNAT，會通還是不通，為什麼?

# 首先FGT收到封包，建立Session時會先確認回程的路由是否存在於RIB

# 如果存在，就寫入Session table(5 Tuple) 

1. 
情形1 : AD值相同但metric不同
> 同時存在兩條0.0.0.0/0的路由在RIB裡面
> 回程檢查路由有在RIB(ISP2的0.0.0.0/0路由)
> 會通

2.
情形2 : AD值不同且ISP1優先
> 目前只有一條0.0.0.0/0往ISP1
> 回程檢查路由失敗(沒有ISP2的0.0.0.0/0路由)
> 不通