| Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision |
| informatique:fortinet:start [2021/03/18 09:56] – [iperf] pteu | informatique:fortinet:start [2021/08/17 11:01] – [Auto filesystem check] pteu |
|---|
| La plupart des options classiques d'iperf sont disponibles, on peut les afficher avec ''diagnose traffictest run -h'' | La plupart des options classiques d'iperf sont disponibles, on peut les afficher avec ''diagnose traffictest run -h'' |
| |
| | |
| | =====Mécanismes de protection===== |
| | |
| | ====Conserve mode==== |
| | |
| | Le **conserve mode** est un mécanisme de protection qui est enclenché lorsque le système n'a plus assez de mémoire partagée disponible. Cela a pour conséquence de désactiver l'AV et les changements de configuration, afin de consommer moins de ressources. Il peut être invoqué également si la mémoire libre passe en dessous d'un seuil critique (red threshhold=88% par défaut). Si le seuil extrême est atteint (extrem threshold=95%) le firewall bloque les nouvelles sessions. Ce mécanisme se désactive lorsque l'on passe en dessous du seuil vert (green threshold=82%). |
| | |
| | On peut configurer l'action à faire avec l'antivirus: |
| | <code bash> |
| | config system global |
| | set av-failopen {off | pass | one-shot | idledrop} |
| | </code> |
| | * off : les sessions ouvertes continent mais les nouvelles sont bloquées ; si une session ouverte nécessite l'AV-proxy elle sera bloquée car toute nouvelle allocation de ressource est bloquée |
| | * pass : bypass l'AV-proxy (default) |
| | * one-shot : pareil que "pass" mais l'AV-proxy est définitievement désactivé pour les sessions ouvertes PENDANT le conserve mode. |
| | * idledrop : le forti va chercher a libérer de la mémoire en coupant les sessions du host qui en a le plus d'ouvertes, jusqu'à sortir du conserve mode. C'est utile en cas de malware par ex, mais pas si le forti est à genoux par du trafic légitime. |
| | |
| | ====Session removal==== |
| | |
| | Le **session removal** est un mode qui s'enclenche lorsque le kernel ne peut plus allouer de mémoire il va couper les sessions les plus anciennes. Ce mode plus critique arrive après le passage en conserve mode. Le nombre de sessions coupées est visible dans le paramètre "memory_tension". |
| | |
| | Commandes de debug: |
| | <code bash> |
| | diagnose hardware sysinfo shm |
| | SHM counter: 9237843 |
| | SHM allocated: 29618182 |
| | SHM total: 1337155584 |
| | conservemode: 2 # <- 0=OK ; 1=conserve mode ; 2=kernel session fail mode |
| | shm last entered: n/a |
| | system last entered: Tue Dec 1 11:48:23 2020 |
| | SHM FS total: 1368051712 |
| | SHM FS free: 1337192448 |
| | SHM FS avail: 1337192448 |
| | SHM FS alloc: 30859264 |
| | |
| | get sys perf stat | grep Memory |
| | Memory states: 86% used # <- raison du conserve mode |
| | |
| | diag sys top |
| | |
| | diag hardware sysinfo memory |
| | </code> |
| | |
| | Tuning pour optimiser la mémoire : |
| | * [[https://www.cyrill-gremaud.ch/fortigate-conserve-mode-investigations/|cyrill-gremaud.ch / Conserve mode investigations]] |
| | * [[https://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortigate-troubleshooting-52/Common_questions.htm?Highlight=Conserve%20mode#How3|Help Fortinet : How to check CPU and memory resources]] |
| | <code> |
| | config system global |
| | set tcp-halfclose-timer 60 --> default 120 s |
| | set tcp-halfopen-timer 5 --> default 10 s |
| | set tcp-timewait-timer 0 --> default 1 s |
| | set udp-idle-timer 60 --> default 180 s |
| | ! |
| | config ips global |
| | set socket-size 4 --> default 32 MB |
| | set engine count 2 --> default 0 = infinite |
| | ! |
| | config system dns |
| | set dns-cache-limit 300 --> default 1800 s |
| | ! |
| | config system session-ttl |
| | set default 300 --> default 3600 s |
| | </code> |
| ======MAJ du firmware====== | ======MAJ du firmware====== |
| |
| |
| Pour rappel le DHCP permet la découverte et l'attribution des paramètres réseau pour le client VPN (son IP, masque réseau, passerelle, DNS, NTP et serveurs WINs) et le NetBIOS permet de faire passer les flux vers les serveurs WINS. Cela permet par exemple un ersatzt de DNS dynamique car les clients Windows s'annoncent auprès des WINS quand ils se connectent en VPN, ou, dans certains cas, de débloquer le changement de mot de passe sur un domaine. | Pour rappel le DHCP permet la découverte et l'attribution des paramètres réseau pour le client VPN (son IP, masque réseau, passerelle, DNS, NTP et serveurs WINs) et le NetBIOS permet de faire passer les flux vers les serveurs WINS. Cela permet par exemple un ersatzt de DNS dynamique car les clients Windows s'annoncent auprès des WINS quand ils se connectent en VPN, ou, dans certains cas, de débloquer le changement de mot de passe sur un domaine. |
| | |
| | =====Auto filesystem check===== |
| | |
| | Après une coupure électrique les Fortigate affichent un message d'alerte invitant l'utilisateur à rebooter et réaliser un filesystem check pour contrôler l'intégrité du système de fichier. Depuis les version 6 il est possible de réaliser automatiquement ce check au démarrage , via le menu : System> Settings> Start Up, "Auto file system check" ; ou en CLI: |
| | <code bash> |
| | config system global |
| | set autorun-log-fsck enable |
| | end |
| | </code> |
| | |
| | C'est toutefois non-recommander car 1) ça prend du temps donc il vaut mieux le planifier en heure non ouvrée et 2) en cas d'incident électrique le courant peut ne pas être stable et donc recouper le Forti pendant son check -> dangereux. |
| ======Liens utiles====== | ======Liens utiles====== |
| |
| * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]] | * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]] |
