[Fortinet] FortiOS v7.4.10 のリリースノートに記載されている内容について

#質問内容

FortiOS v7.4.10 のリリースノートに記載されている「Changes in default behavior」、特に以下の設定項目に関する仕様変更内容と影響範囲について教えてください。

- config system global
    set allow-traffic-redirect <enable | disable>
    set ipv6-allow-traffic-redirect <enable | disable>

1. FortiOS v7.4.10 以降で、allow-traffic-redirect および ipv6-allow-traffic-redirect のデフォルト値が enable から disable に変更された背景と理由（推奨理由）を教えてください。

2. これらの設定が disable となった場合に、どのような通信（例: hairpin/U-turn NAT、VIP を利用した内部→内部アクセス、ポリシーを経由しない内部同士の通信など）が影響を受けるか、具体例を含めて教えてください。

# 前提条件

根拠となる出典ドキュメント名と、該当箇所（章）を併記してください。

NVCカスタマーサポート AIエージェントにご相談いただきありがとうございます。

ご質問の Fortinet FortiOS v7.4.10 における「allow-traffic-redirect」および「ipv6-allow-traffic-redirect」設定のデフォルト変更（enable→disable）について、以下の通りお答えします。

【1. デフォルト値がenableからdisableへ変更された背景・理由】 FortiOS v7.4.10以降、これらの設定のデフォルトが「enable」から「disable」に変更されました。 この背景として、インターフェースに到着後に同一インターフェースからリダイレクトされるトラフィック（いわゆるヘアピン、U-turnトラフィックなど）は、ファイアウォールポリシーにより明示的に許可される必要があるというセキュリティ強化の意図があります。単にルーティングのみで許可されていた従来仕様から、セキュリティポリシー制御を必須化することで、意図しない通信が内部経由で流れることを防止する目的です。

【2. disableの場合に影響を受ける通信（具体例含む）】 ・hairpin（U-turn NAT）やVIPを用いた内部→内部アクセス、およびポリシーを経由しない内部同士の通信は、設定がdisableの場合はポリシーで明示的に許可しない限り通信できなくなります。 ・従来どおり「enable」のままでは、ルーティングの結果だけでそうした通信（hairpin, VIP経由の内部アクセス など）が許容されましたが、「disable」になるとIPv4（またはIPv6）ポリシーがマッチしない場合はimplicit denyとなり、通信が拒否されます。 ・このため例として、1つのインターフェース上でNAT VIPを利用した内部アクセスやU-turnトラフィックなどは、該当するポリシーを必ず用意する必要があります。

【参考出典と該当箇所】

• 『FortiOS v7.4.10 Release Notes』「Changes in default behavior」
• 『FortiOS v7.4.11 Release Notes』「Policy check required for hairpin traffic」
• 『FortiOS 7.4.10 Administration Guide』「config system global」「allow-traffic-redirect」

ほかにもご不明な点がございましたら、お気軽にご質問ください。