informatique:fortinet:start
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
informatique:fortinet:start [2021/03/18 09:56] – [iperf] pteu | informatique:fortinet:start [2021/03/22 16:09] – [Session removal] pteu | ||
---|---|---|---|
Line 1532: | Line 1532: | ||
La plupart des options classiques d' | La plupart des options classiques d' | ||
+ | |||
+ | =====Mécanismes de protection===== | ||
+ | |||
+ | ====Conserve mode==== | ||
+ | |||
+ | Le **conserve mode** est un mécanisme de protection qui est enclenché lorsque le système n'a plus assez de mémoire partagée disponible. Cela a pour conséquence de désactiver l'AV et les changements de configuration, | ||
+ | |||
+ | On peut configurer l' | ||
+ | <code bash> | ||
+ | config system global | ||
+ | set av-failopen {off | pass | one-shot | idledrop} | ||
+ | </ | ||
+ | * off : les sessions ouvertes continent mais les nouvelles sont bloquées ; si une session ouverte nécessite l' | ||
+ | * pass : bypass l' | ||
+ | * one-shot : pareil que " | ||
+ | * idledrop : le forti va chercher a libérer de la mémoire en coupant les sessions du host qui en a le plus d' | ||
+ | |||
+ | ====Session removal==== | ||
+ | |||
+ | Le **session removal** est un mode qui s' | ||
+ | |||
+ | Commandes de debug: | ||
+ | <code bash> | ||
+ | diagnose hardware sysinfo shm | ||
+ | SHM counter: | ||
+ | SHM allocated: | ||
+ | SHM total: | ||
+ | conservemode: | ||
+ | shm last entered: | ||
+ | system last entered: | ||
+ | SHM FS total: | ||
+ | SHM FS free: | ||
+ | SHM FS avail: | ||
+ | SHM FS alloc: | ||
+ | |||
+ | get sys perf stat | grep Memory | ||
+ | Memory states: 86% used # <- raison du conserve mode | ||
+ | |||
+ | diag sys top | ||
+ | |||
+ | diag hardware sysinfo memory | ||
+ | </ | ||
+ | |||
+ | Tuning pour optimiser la mémoire : | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | < | ||
+ | config system global | ||
+ | set tcp-halfclose-timer 60 | ||
+ | set tcp-halfopen-timer 5 | ||
+ | set tcp-timewait-timer 0 | ||
+ | set udp-idle-timer 60 --> default 180 s | ||
+ | ! | ||
+ | config ips global | ||
+ | set socket-size 4 --> default 32 MB | ||
+ | set engine count 2 | ||
+ | ! | ||
+ | config system dns | ||
+ | set dns-cache-limit 300 --> default 1800 s | ||
+ | ! | ||
+ | config system session-ttl | ||
+ | set default 300 --> default 3600 s | ||
+ | </ | ||
======MAJ du firmware====== | ======MAJ du firmware====== | ||
informatique/fortinet/start.txt · Last modified: 2024/02/28 14:55 by pteu