informatique:fortinet:start
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
informatique:fortinet:start [2021/03/18 09:56] – [iperf] pteu | informatique:fortinet:start [2021/08/17 11:01] – [Auto filesystem check] pteu | ||
---|---|---|---|
Line 1532: | Line 1532: | ||
La plupart des options classiques d' | La plupart des options classiques d' | ||
+ | |||
+ | =====Mécanismes de protection===== | ||
+ | |||
+ | ====Conserve mode==== | ||
+ | |||
+ | Le **conserve mode** est un mécanisme de protection qui est enclenché lorsque le système n'a plus assez de mémoire partagée disponible. Cela a pour conséquence de désactiver l'AV et les changements de configuration, | ||
+ | |||
+ | On peut configurer l' | ||
+ | <code bash> | ||
+ | config system global | ||
+ | set av-failopen {off | pass | one-shot | idledrop} | ||
+ | </ | ||
+ | * off : les sessions ouvertes continent mais les nouvelles sont bloquées ; si une session ouverte nécessite l' | ||
+ | * pass : bypass l' | ||
+ | * one-shot : pareil que " | ||
+ | * idledrop : le forti va chercher a libérer de la mémoire en coupant les sessions du host qui en a le plus d' | ||
+ | |||
+ | ====Session removal==== | ||
+ | |||
+ | Le **session removal** est un mode qui s' | ||
+ | |||
+ | Commandes de debug: | ||
+ | <code bash> | ||
+ | diagnose hardware sysinfo shm | ||
+ | SHM counter: | ||
+ | SHM allocated: | ||
+ | SHM total: | ||
+ | conservemode: | ||
+ | shm last entered: | ||
+ | system last entered: | ||
+ | SHM FS total: | ||
+ | SHM FS free: | ||
+ | SHM FS avail: | ||
+ | SHM FS alloc: | ||
+ | |||
+ | get sys perf stat | grep Memory | ||
+ | Memory states: 86% used # <- raison du conserve mode | ||
+ | |||
+ | diag sys top | ||
+ | |||
+ | diag hardware sysinfo memory | ||
+ | </ | ||
+ | |||
+ | Tuning pour optimiser la mémoire : | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | < | ||
+ | config system global | ||
+ | set tcp-halfclose-timer 60 | ||
+ | set tcp-halfopen-timer 5 | ||
+ | set tcp-timewait-timer 0 | ||
+ | set udp-idle-timer 60 --> default 180 s | ||
+ | ! | ||
+ | config ips global | ||
+ | set socket-size 4 --> default 32 MB | ||
+ | set engine count 2 | ||
+ | ! | ||
+ | config system dns | ||
+ | set dns-cache-limit 300 --> default 1800 s | ||
+ | ! | ||
+ | config system session-ttl | ||
+ | set default 300 --> default 3600 s | ||
+ | </ | ||
======MAJ du firmware====== | ======MAJ du firmware====== | ||
Line 1887: | Line 1950: | ||
Pour rappel le DHCP permet la découverte et l' | Pour rappel le DHCP permet la découverte et l' | ||
+ | |||
+ | =====Auto filesystem check===== | ||
+ | |||
+ | Après une coupure électrique les Fortigate affichent un message d' | ||
+ | <code bash> | ||
+ | config system global | ||
+ | set autorun-log-fsck enable | ||
+ | end | ||
+ | </ | ||
+ | |||
+ | C'est toutefois non-recommander car 1) ça prend du temps donc il vaut mieux le planifier en heure non ouvrée et 2) en cas d' | ||
======Liens utiles====== | ======Liens utiles====== | ||
* [[http:// | * [[http:// |
informatique/fortinet/start.txt · Last modified: 2024/02/28 14:55 by pteu