pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » fortinet
Trace:
informatique:fortinet:start

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
informatique:fortinet:start [2025/04/11 12:39] – [Système] kill et killall pteuinformatique:fortinet:start [2025/10/31 11:01] (current) – [Interfaces] MSS tuning pteu
Line 212: Line 212:
 Rappel: la MTU IP est de 1500 octets par défaut. Pour la vérifier entre 2 machines, il faut lancer un PING en interdisant la fragmentation (bit "don't fragment" = 1) et en spécifiant sa taille. Pour une MTU par défaut on peut envoyer des PINGs de taille max 1472 (1500 moins les entêtes IP (20) et ICMP (8)), un seul octet de plus (1473) et on ne pourra plus l'envoyer sans fragmenter, donc cela génèrera une erreur. Rappel: la MTU IP est de 1500 octets par défaut. Pour la vérifier entre 2 machines, il faut lancer un PING en interdisant la fragmentation (bit "don't fragment" = 1) et en spécifiant sa taille. Pour une MTU par défaut on peut envoyer des PINGs de taille max 1472 (1500 moins les entêtes IP (20) et ICMP (8)), un seul octet de plus (1473) et on ne pourra plus l'envoyer sans fragmenter, donc cela génèrera une erreur.
 </WRAP> </WRAP>
 +
 +ref: [[https://community.fortinet.com/t5/FortiGate/Technical-Tip-Setting-TCP-MSS-value/ta-p/194518|Technical Tip: Setting TCP MSS value (Fortinet)]]
  
 <code bash> <code bash>
Line 729: Line 731:
 # affiche les LSAs envoyés par ce Fortigate : # affiche les LSAs envoyés par ce Fortigate :
 get router info ospf database self-originate get router info ospf database self-originate
 +
 +diagnose sniffer packet any 'proto 89' 6 0 l
 +diagnose sniffer packet any 'host 224.0.0.5' 6 0 l
  
 get router ospf get router ospf
Line 1226: Line 1231:
     set ha-mgmt-interface "mgmt2"     set ha-mgmt-interface "mgmt2"
     set ha-mgmt-interface-gateway 10.0.7.254     set ha-mgmt-interface-gateway 10.0.7.254
-    set override disable+    set override disable            # ce paramètre doit être aligné sur toutes les unités du cluster
     set priority 150     set priority 150
     set monitor "port23" "port24"     set monitor "port23" "port24"
 end end
 </code> </code>
 +
 +Les critères de sélection du primaire, lors d'une élection d'un cluster configuré avec le paramètre ''set override disable'' :
 +  - l'unité qui possède le moins d'interface monitorée en défaut devient le primaire
 +  - l'unité ayant le plus long uptime (__uniquement si la différence dépasse 5min/300s__)
 +  - l'unité ayant la plus forte priorité
 +  - l'unité ayant le plus haut numéro de série
 +
 +NB: lorsqu'une interface monitorée passe en d"faut, cela reset le compteur d'uptime de l'unité.
  
 Normalement l'IP de management du master devient l'IP virtuelle d'admin du cluster et le backup n'est plus joignable ; pour se connecter dessus il fait se connecter au master d'abord, puis saisir : Normalement l'IP de management du master devient l'IP virtuelle d'admin du cluster et le backup n'est plus joignable ; pour se connecter dessus il fait se connecter au master d'abord, puis saisir :
Line 1477: Line 1490:
  
   * [[https://community.fortinet.com/t5/FortiGate/Technical-Tip-Displaying-logs-via-FortiGate-s-CLI/ta-p/193027|Technical Tip: Displaying logs via FortiGate's CLI]]   * [[https://community.fortinet.com/t5/FortiGate/Technical-Tip-Displaying-logs-via-FortiGate-s-CLI/ta-p/193027|Technical Tip: Displaying logs via FortiGate's CLI]]
 +
 +=====Tips=====
 +
 +====Supprimer des logs====
 +
 +Il n'est pas possible de supprimer une ligne de log individuelle, même pour de bonnes raisons (par ex. si elle contient par mégarde un mot de passe...). On ne peut supprimer les logs que pour toute une catégorie au minimum.
 +
 +Dans l'exemple du journal contenant un mot de passe, il faut supprimer tous les logs de la catégorie "event", depuis le VDOM de mgmt :
 +<code bash>
 +c v
 +edit root
 +
 +# lister les catégories possibles
 +execute log filter category
 +Available categories:
 + 0: traffic
 + 1: event
 + 2: utm-virus
 + 3: utm-webfilter
 + 4: utm-ips
 + 5: utm-emailfilter
 + 7: utm-anomaly
 + 8: utm-voip
 + 9: utm-dlp
 +10: utm-app-ctrl
 +12: utm-waf
 +15: utm-dns
 +16: utm-ssh
 +17: utm-ssl
 +19: utm-file-filter
 +20: utm-icap
 +22: utm-sctp-filter
 +23: forti-switch
 +24: utm-virtual-patch
 +25: utm-casb
 +
 +execute log filter category 1
 +
 +execute log delete 
 +This will delete memory event log
 +Do you want to continue? (y/n)y
 +</code>
 +
 ======Mail d'alerte====== ======Mail d'alerte======
  
Line 2423: Line 2479:
 =====Auto filesystem check===== =====Auto filesystem check=====
  
-Après une coupure électrique les Fortigate affichent un message d'alerte invitant l'utilisateur à rebooter et réaliser un filesystem check pour contrôler l'intégrité du système de fichier. Depuis les version 6 il est possible de réaliser automatiquement ce check au démarrage , via le menu : System> Settings> Start Up, "Auto file system check" ; ou en CLI:+Après une coupure électrique les Fortigate affichent un message d'alerte invitant l'utilisateur à rebooter et réaliser un filesystem check pour contrôler l'intégrité du système de fichier. Depuis les version 6 il est possible de [[https://community.fortinet.com/t5/FortiGate/Technical-Tip-Run-a-File-System-Check-automatically/ta-p/193298|réaliser automatiquement ce check au démarrage]], via le menu : System> Settings> Start Up, "Auto file system check" ; ou en CLI:
 <code bash> <code bash>
 config system global config system global
Line 2430: Line 2486:
 </code> </code>
  
-C'est toutefois non-recommander car 1) ça prend du temps donc il vaut mieux le planifier en heure non ouvrée et 2) en cas d'incident électrique le courant peut ne pas être stable et donc recouper le Forti pendant son check -> dangereux.+Ce n'est toutefois pas souhaitable car 1) ça prend du temps donc il vaut mieux le planifier en heure non ouvrée et 2) en cas d'incident électrique le courant peut ne pas être stable et donc recouper le Forti pendant son check -> dangereux.
  
 =====SSH sortant impossible===== =====SSH sortant impossible=====
Line 2457: Line 2513:
 </WRAP> </WRAP>
  
 +
 +=====Désactiver les upgrades automatiques=====
 +
 +Depuis la version 7.4.5 et si on les mets à jour (donc pas les //fresh install//) depuis des versions majeures antérieures (7.0, 7.2), les Fortigates se mettent à jour de leur propre chef s'ils détectent une nouvelle version de FortiOS disponible. Comme tout ce qui est forcé, masqué et impactant c'est assez malvenu ; mais on peut tout de même le désactiver :
 +<code bash>
 +# pour vérifier l'état de l'option
 +diagnose test application forticldd 13
 +Scheduled push image upgrade: no
 +Scheduled Config Restore: no
 +Scheduled Script Restore: no
 +Automatic image upgrade: Enabled.       # <-------- l'option fautive est activée
 +        New image information may be fetched.
 +        Next new image info fetch scheduled at (local time) Tue Oct  7 01:34:49 2025
 +        New image installation may be cancelled by the user.
 +        Last new image info fetch executed at (local time) Mon Oct  6 03:36:21 2025
 +
 +# Pour la désactiver :
 +c g
 +config sys fortiguard
 +set auto-firmware-upgrade disable
 +end
 +Any pending automatic patch-level firmware upgrade has been removed.
 +</code>
 +
 +src: [[https://community.fortinet.com/t5/FortiGate/Technical-Tip-Auto-firmware-update-enabled-by-default-when/ta-p/306899|Auto-firmware-update enabled by default when upgrading from v7.0.X to v7.2.6]]
 ======Liens utiles====== ======Liens utiles======
  
   * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]]   * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]]
informatique/fortinet/start.1744375178.txt.gz · Last modified: 2025/04/11 12:39 by pteu