Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:start [2021/03/18 09:56] – [iperf] pteu
+++ informatique:fortinet:start [2021/03/22 15:18] – [Mécanismes de protection] pteu
@@ Line 1532: / Line 1532: @@
 La plupart des options classiques d'iperf sont disponibles, on peut les afficher avec ''diagnose traffictest run -h''
+=====Mécanismes de protection=====
+====Conserve mode====
+Le **conserve mode** est un mécanisme de protection qui est enclenché lorsque le système n'a plus assez de mémoire partagée disponible. Cela a pour conséquence de désactiver l'AV et les changements de configuration, afin de consommer moins de ressources. Il peut être invoqué également si la mémoire libre passe en dessous d'un seuil critique (red threshhold=88% par défaut). Si le seuil extrême est atteint (extrem threshold=95%) le firewall bloque les nouvelles sessions. Ce mécanisme se désactive lorsque l'on passe en dessous du seuil vert (green threshold=82%).
+On peut configurer l'action à faire avec l'antivirus:
+<code bash>
+config system global
+set av-failopen {off | pass | one-shot | idledrop}
+</code>
+  * off : les sessions ouvertes continent mais les nouvelles sont bloquées ; si une session ouverte nécessite l'AV-proxy elle sera bloquée car toute nouvelle allocation de ressource est bloquée
+  * pass : bypass l'AV-proxy (default)
+  * one-shot : pareil que "pass" mais l'AV-proxy est définitievement désactivé pour les sessions ouvertes PENDANT le conserve mode.
+  * idledrop : le forti va chercher a libérer de la mémoire en coupant les sessions du host qui en a le plus d'ouvertes, jusqu'à sortir du conserve mode. C'est utile en cas de malware par ex, mais pas si le forti est à genoux par du trafic légitime.
+====Session removal====
+Le **session removal** est un mode qui s'enclenche lorsque le kernel ne peut plus allouer de mémoire il va couper les sessions les plus anciennes. Ce mode plus critique arrive après le passage en conserve mode. Le nombre de sessions coupées est visible dans le paramètre "memory_tension".
+Commandes de debug:
+<code bash>
+diagnose hardware sysinfo shm
+SHM counter:      9237843
+SHM allocated:   29618182
+SHM total:     1337155584
+conservemode:           2	# <- 0=OK ; 1=conserve mode ; 2=kernel session fail mode
+shm last entered:     n/a
+system last entered:  Tue Dec  1 11:48:23 2020
+SHM FS total:  1368051712
+SHM FS free:   1337192448
+SHM FS avail:  1337192448
+SHM FS alloc:    30859264
+get sys perf stat
+diag sys top
+diag hardware sysinfo memory
+</code>
+Tuning pour optimiser la mémoire :
+  * [[https://www.cyrill-gremaud.ch/fortigate-conserve-mode-investigations/|cyrill-gremaud.ch / Conserve mode investigations]]
+  * [[https://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortigate-troubleshooting-52/Common_questions.htm?Highlight=Conserve%20mode#How3|Help Fortinet : How to check CPU and memory resources]]
+<code>
+config system global
+set tcp-halfclose-timer 60   --> default 120 s
+set tcp-halfopen-timer 5     --> default 10 s
+set tcp-timewait-timer 0     --> default 1 s
+set udp-idle-timer 60        --> default 180 s
+!
+config ips global
+set socket-size 4            --> default 32 MB
+set engine count 2           --> default 0 = infinite
+!
+config system dns
+set dns-cache-limit 300      --> default 1800 s
+!
+config system session-ttl
+set default 300              --> default 3600 s
+</code>
 ======MAJ du firmware======