■ このスレッドは過去ログ倉庫に格納されています
Fortigateについて語ろう5
- 1 :anonymous@fusianasan:2020/07/05(日) 00:58:45 ID:???.net
- FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
- 587 :anonymous@fusianasan:2021/12/11(土) 18:50:54.11 ID:???.net
- 具体的な技術議論なんて出来ないなんちゃってエンジニアの吹き溜まり
- 588 :anonymous@fusianasan:2021/12/11(土) 21:09:35.51 ID:???.net
- FortiDDNSの挙動がよくわからん。
故障交換後に「取得可!!」ってなったと思ったのにだめとか
- 589 :anonymous@fusianasan:2021/12/12(日) 01:01:01.56 ID:???.net
- >>588
Technical Note: FortiDDNS registration on another device using same FQDN
https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiDDNS-registration-on-another-device-using/ta-p/193328
- 590 :anonymous@fusianasan:2021/12/12(日) 16:25:22.84 ID:???.net
- >>589
おおおおおお
こんな技ちゃんとあるんだ。NetvolanteDNSよりも春香に親切じゃん
- 591 :536:2021/12/12(日) 17:23:18.80 ID:???.net
- >>557-558
初期設定で、IPv4でのWANへのアクセスは問題なかったので、
Default Allowかと思っていました。
実際は、SPIでLANからWANへの通信が登録されて、
帰りのパケットが許可されていたので、通信できていたようです。
WANからLANへのIPv6パケットは、明示で許可しないとダメですよね。
>>547
ひとまず、WANからLANへのIPv6をすべて許可する
プロファイルを一番上に追加したら、クライアントPCで
IPv6アドレスが取得できて、test-ipv6.comは8つOKでした。
これから、プロファイルなりポリシーなり、いろいろといじってみます。
- 592 :anonymous@fusianasan:2021/12/12(日) 17:34:16.30 ID:???.net
- 556です。
httpでもhttpsでも、eicarのあるURIは知れ渡っているので、
Edgeでのダウンロードは、Windows10クライアント側ででブロックされていました。
curlで試して、httpのブロックはうまくいきました。
ダウンロードすると、httpsはそのままzipがローカルに保存できるが、
httpはファイルダウンロードされずにCLIにBlockedのHTMLが表示されました。
あとで、自己署名証明書を入れて、deep-inspectionを有効にして、
curlでもhttpsのダウンロードが検出できるか、試してみます。
- 593 :anonymous@fusianasan:2021/12/12(日) 18:13:43.18 ID:???.net
- 556です。
>>563-568
Fortigateが交換されるたびに、
クライアントにCA証明書インストールしなおしで事足りる規模です。
>>572
ActiveDirectoryもいらない規模。
>>569
クライアントの台数と通信量によるでしょう。
少ない台数から、負荷を見ながら少しずつ増やしてみる予定です。
Fortigateを明示的なhttp-proxyとして使えば、
LAN側のTLS処理が無くなり、負荷が下がると思います。
CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
(で、合っている?)
>>571 自己批判乙。
- 594 :anonymous@fusianasan:2021/12/12(日) 18:23:09.85 ID:???.net
- >>574-575
うちも、クライアントPCに都度CA証明書インストールでも大丈夫な規模ですが、
故障交換時に、再度CA証明書インストールを避けられるなら、避けたいです。
> deep-inspection用の証明書はshow fullで秘密鍵ごと取れる
から移せるとは、どのようにするのでしょうか。
ヒントをいただきたいです。
Openssl等を使って、現用の秘密鍵から自己署名証明書をつくって、取っておく。
代替のFortigateに書き込むと、クライアント側の証明書はそのまま利用できる、
というイメージでしょうか。
- 595 :anonymous@fusianasan:2021/12/12(日) 19:45:46.78 ID:???.net
- >>593
>Fortigateを明示的なhttp-proxyとして使えば、
>LAN側のTLS処理が無くなり、負荷が下がると思います。
>CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
FortiGateとPC間がHTTPということであればPCがリクエスト出すときにHTTPでGET要求なりを出す必要があります(サイトのURLがHTTPの必要あり)
それと、HTTPで来たリクエストをFortiGateが受けてHTTPSでリクエストする機能は無かったように記憶しています
バーチャルサーバのSSLオフロードの逆みたいな感じですね(これもできなかったような記憶)
そしてプロキシとして使う場合はASICオフロードは効かないのでパフォーマンスも下がりますね
- 596 :anonymous@fusianasan:2021/12/13(月) 16:09:44.24 ID:???.net
- 例えば5555 -> 80でフォワーディングする時って
ポリシーで許可するポートって5555でいいの?それともフォワーディングした後の80にするの?
- 597 :anonymous@fusianasan:2021/12/13(月) 20:13:33.61 ID:???.net
- 試せばいいのでは?
- 598 :anonymous@fusianasan:2021/12/13(月) 21:25:19.71 ID:m6rSBtT9.net
- カタログのSSLスキャンのスループット凄いと思ったけど
これIPS有効のみの数値?
- 599 :anonymous@fusianasan:2021/12/14(火) 20:53:54.59 ID:???.net
- >>596
後
- 600 :anonymous@fusianasan:2021/12/14(火) 21:27:02.56 ID:???.net
- >>599
ありがとう
- 601 :anonymous@fusianasan:2021/12/15(水) 13:24:46.12 ID:???.net
- さくらいんたのJPRS 990円 SSL証明書って問題なく使えますよね?
- 602 :anonymous@fusianasan:2021/12/15(水) 17:26:38.24 ID:???.net
- 用途によるかと
- 603 :anonymous@fusianasan:2021/12/16(木) 15:01:24.19 ID:???.net
- 7.02です。DoH有効にしてたら、定期的にネットが遮断されてFortigateの管理ページにもつながらなくなります。
偶然フリーズする直前にログインしてたら、メモリが足りないというようなことが表示されていたのですが、
DoHの機能はまだベータ提供ということなのでしょうか?
- 604 :anonymous@fusianasan:2021/12/17(金) 04:12:46.97 ID:???.net
- SSL-VPNでプールアドレスを/24で設定してるんだけど
接続と切断を繰り返すとトンネルIPアドレスを受け取れませんってエラーでて接続できなくなるんですけどどうしてでしょうか??
Fortiを覗いてみる限り何故かセッションが切れずにずっと繋がったままになっててアドレスを握ってるみたいなんですけど
クライアントで接続切った時にセッションも同時に落とす(tunnel-downさせたい)設定とかって無いんでしょうか??
アイドルタイムアウト自体はデフォルトの5分にしてあります
- 605 :anonymous@fusianasan:2021/12/17(金) 04:19:05.44 ID:???.net
- SSL-VPNで付与したIPアドレスをVPN接続切れても開放しないバグがあったようなので問い合わせ or バージョンアップしてみるといいかも
- 606 :anonymous@fusianasan:2021/12/17(金) 05:27:10.42 ID:???.net
- >>605
ありがとうございます
バグなんですねこれ……結構致命的な気がしますけど……
OSのバージョンアップしてみます
- 607 :anonymous@fusianasan:2021/12/17(金) 06:15:51.97 ID:???.net
- >>605
かさねがさねすみません
そのバグについてのレポートみたいなのってどこかにあったりしますか?
- 608 :anonymous@fusianasan:2021/12/17(金) 08:20:42.70 ID:???.net
- 普通はリリースノートを読むと思う
- 609 :anonymous@fusianasan:2021/12/17(金) 09:13:42.63 ID:???.net
- それが見当たらないから聞いてるんですが^^;
- 610 :anonymous@fusianasan:2021/12/17(金) 11:39:08.55 ID:???.net
- ちゃんと読んでたら見つかるよ
がんばれ
- 611 :anonymous@fusianasan:2021/12/17(金) 13:50:34.86 ID:???.net
- >>604
SSL-VPNポータル編集で以下チェック入れてもダメ?
ユーザを一度に単一のSSL-VPN接続に制限する
- 612 :anonymous@fusianasan:2021/12/19(日) 03:54:09.59 ID:???.net
- >>611
試してみます。
- 613 :anonymous@fusianasan:2021/12/21(火) 06:04:09.27 ID:???.net
- >>611
チェック入れた後再起動で上手くいきました、ありがとうございます。
別にチェック入れることに支障はないんですけど酷いですねこれ
- 614 :anonymous@fusianasan:2021/12/21(火) 16:30:00.65 ID:???.net
- >>613
別にひどくねぇよ
- 615 :anonymous@fusianasan:2021/12/21(火) 17:46:26.55 ID:???.net
- ひどいよ
- 616 :anonymous@fusianasan:2021/12/22(水) 14:50:13.08 ID:???.net
- なんや?
- 617 :anonymous@fusianasan:2021/12/22(水) 15:20:00.82 ID:???.net
- >>611
一旦よくなったと思ったんですけどやっぱりダメでした
接続と切断を繰り返すうちに一ユーザだけで何十個もアドレス握っちゃってますね
枯渇した後も以前のセッションが残っていれば既存のセッションを切断して接続しますか?のダイアログがでるようにはなりましたけど新規ユーザはどうしようもないですね
酷いですねこれ(笑)
- 618 :anonymous@fusianasan:2021/12/22(水) 16:45:55.51 ID:???.net
- >>617
家の(FortiOS7.03)で試してみたけどそんな症状が出ないなぁ
FortiOSとFortiClientのVersionって何使ってます?
- 619 :anonymous@fusianasan:2021/12/23(木) 11:23:43.58 ID:???.net
- >>618
7.01ですね
Clientは最新のものです
- 620 :anonymous@fusianasan:2021/12/23(木) 23:26:42.17 ID:???.net
- うちもtokenと50E/SSL VPNつかってるけどそんな症状でないなぁ
- 621 :anonymous@fusianasan:2021/12/24(金) 02:56:44.36 ID:???.net
- 情報共有どうもです
IPoEで繋げてるのがいかんのですかね……
アドレスプールにv6もいれた方がいいとかあったりします??
- 622 :anonymous@fusianasan:2021/12/24(金) 07:33:07.99 ID:???.net
- 7.01か
6系ではどこもそんな症状無いなぁ
個人的にはそんなβテスター向けリリース使うからだと思うが…
- 623 :anonymous@fusianasan:2021/12/24(金) 09:26:17.89 ID:???.net
- >>622
Fortigateの最新バージョン系統はバグ多いよね
複数メジャーバージョンある場合は本番環境は安定バージョン選ぶよね
- 624 :anonymous@fusianasan:2021/12/24(金) 09:34:58.11 ID:???.net
- >>622
ありがとうございます
バージョンですかね……?取り敢えず最新にはあげてみます
- 625 :.:2021/12/24(金) 21:53:59.57 ID:???.net
- 1年毎にアップデート出るけどさー
テストしたんか?
って感じのが初期はアルアルだわ
known issueが育つまで
待って考えてるわw
- 626 :anonymous@fusianasan:2022/01/17(月) 21:58:28.05 ID:4D5CD1yM.net
- 60Fでも、やっぱしpppoeは、遅いんやろか?
200Eでは、それなりにスピードでてる。
200EのCPUは、Celeron G1820 2.7GHz
- 627 :anonymous@fusianasan:2022/01/17(月) 22:01:15.43 ID:4D5CD1yM.net
- ちなみに100Dは、Atom D525 1.8GHz
だった
- 628 :anonymous@fusianasan:2022/01/18(火) 01:11:01.48 ID:???.net
- 50EだけどPPPoEで700Mbps出てるよ
もうこれ以上はフレッツ側が限界な気がするけど
700Mbps出てるときもCPU使用率50%くらいだったな
- 629 :627:2022/01/18(火) 08:58:33.57 ID:nwoV9p1/.net
- >>628
ありがとう。
スピードはでてるが、CPU負荷は高いですね。
- 630 :anonymous@fusianasan:2022/01/21(金) 12:13:25.04 ID:???.net
- >>628
ちな、セキュリティ機能なしのポリシー利用でpppoeで700mでてcpu50パーってことですか?
- 631 :anonymous@fusianasan:2022/01/21(金) 12:28:42.36 ID:???.net
- >>630
IPSとAppコントロール(モニタリングのみ)を有効にして700Mbps出た時にCPU50%
- 632 :anonymous@fusianasan:2022/02/07(月) 13:20:09.11 ID:???.net
- Windowsでhostsファイルイジる代わりに、Fortigateに設定することってできるの?
DNSエントリに登録すれば良さげだけど、DNSゾーンとかが分からない…
- 633 :anonymous@fusianasan:2022/02/07(月) 13:24:47.52 ID:???.net
- >>632
Workgroup運用でドメイン名がないんだけど、エントリにホスト名とIPアドレスを指定すると、FQDNにドメイン名が補完されちゃう。(とりあえずドメイン名はworkgroupにしてみた)
- 634 :anonymous@fusianasan:2022/02/07(月) 14:12:02.97 ID:???.net
- TLDがworkgroupのオレオレドメインで運用するなら
fortigateにDNSゾーン作って(fortigateがTLD管理出来るかは知らない。出来なければ適当にドットを1つ以上含むドメインに変更して)、
Windows側はTCPIP設定の詳細設定のDNSタブの検索DNSサフィックスに作ったDNSドメイン記載しとけば
名前解決時に補完(例えばping host1とコマンド打てば、host1.workgroupでDNS問い合わせ)してくれる。
- 635 :anonymous@fusianasan:2022/02/11(金) 14:16:46.74 ID:???.net
- オリジナルの業務アプリケーションの通信記録を取るために、
簡単なカスタムアプリケーションシグネチャーを登録したいのですが、
「変更を保存できませんでした」と表示され登録できません。
Fortigate-60E FortiOS v7.0.4 build0301 (GA)
バーチャルワイヤーペアで通信を監視中、プロキシベース、SSL deep-inspection。
クライアントPCのWindows10のルート証明書にFortinet_CA_SSLを登録済みです。
ポリシー&オブジェクト > ファイアウォールバーチャルワイヤーペアポリシーで、
設定したセキュリティプロファイル APP Defaultを設定しました。
ログ&レポート > アプリケーションコントロール で、
宛先IPアドレス(ホスト名)と、アプリケーション名が見られる状態です。
ttps://help.fortinet.com/fortiproxy/11/Content/Admin%20Guides/FPX-AdminGuide/700_Security-Profiles/720_CustomSignatures.htm
を見て、カスタムアプリケーションシグネチャを登録しようとしているのですが、
「変更を保存できませんでした」と表示され登録できません。
簡単に
F-SBID (--name "Original_App" ; --service HTTP; )
としても、登録できないため、シグネチャの構文エラーではないと思われます。
どの辺をいじるとよいか、お分かりの方、よろしくお願いします。
- 636 :anonymous@fusianasan:2022/02/11(金) 19:54:06.29 ID:???.net
- forticlientを使用したipsec VPNで日本国内のみからの接続に制限したいのですがうまく行きません。
どなたか成功してますか?
- 637 :anonymous@fusianasan:2022/02/11(金) 20:50:26.43 ID:???.net
- >>636
グローバルが一つだと外部に晒したipにポリシーを当てることができないので無理かも。
グローバルが複数なら、一つを外部インターフェースにもう一つをループバックにして、その間の通信に国内のipだけを透過ルーティングするポリシー書いて、ループバックに振ったグローバルでipsecを受けるみたいなことをする必要があったと思います。
- 638 :anonymous@fusianasan:2022/02/11(金) 21:11:04.42 ID:???.net
- >>637
回答ありがとうございます。
こちらのサイトですね
https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/
私のの環境ではwan側はpppoeで取得したグローバルipを使用するのですがその場合は無理という事でしょうか?
- 639 :anonymous@fusianasan:2022/02/11(金) 23:14:06.50 ID:???.net
- >>638
ip1個しか割り当てられないのはpppoeでもdhcpでも固定でもipsecではポリシーかけられないですね。
ssl-vpnならできるけどそれではダメですか?遅い?
- 640 :anonymous@fusianasan:2022/02/12(土) 00:15:31.35 ID:???.net
- >>638
LoopbackとバーチャルIPの組み合わせでできる
- 641 :anonymous@fusianasan:2022/02/12(土) 05:28:48.74 ID:???.net
- >>639
ipsecご要望でして・・・
>>640
バーチャルipにて内部に転送をかけるポリシーに日本ipのみみたいな感じでしょうか?
- 642 :anonymous@fusianasan:2022/02/12(土) 09:20:12.16 ID:SVd28TV9.net
- >>636
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Restrict-VPN-access-to-certain-countries/ta-p/192328
- 643 :anonymous@fusianasan:2022/02/12(土) 10:16:16.95 ID:???.net
- >>642
なるほどこっちでもいけそうですね。
やってみます!
皆さんありがとう!
- 644 :anonymous@fusianasan:2022/02/12(土) 11:49:01.46 ID:???.net
- local in policyて自分で追加できるのか
いい情報貰った
- 645 :635:2022/02/17(木) 20:46:45.30 ID:???.net
- >>635
FortiOS v7.0.4 で、カスタムアプリケーションシグネチャーを登録、
どなたかできた方いませんか。
- 646 :anonymous@fusianasan:2022/02/19(土) 03:00:36.10 ID:Zudi2d7X.net
- もしどなたかわかる方いらっしゃれば教えて頂きますでしょうか
■スタティックルート
0.0.0.0/0 wan2
■バーチャルIP
wan1宛 ⇒ DMZ1宛
上記環境で、wan1宛に外から来た通信をwan2ではなくwan1に返す為に
以下設定を追加したのですが、上手くいきませんでした
■ポリシールート
着信インターフェース:DMZ1
宛先GW:wan1のGW
一方で以下設定を追加した場合は上手くいきました
■スタティックルート
"wan1に通信してきた外部のアドレス" "wan1のGW"
上記ポリシールートで通信がうまくいかないい理由はどんな事が考えられるでしょうか?
- 647 :anonymous@fusianasan:2022/02/19(土) 10:33:38.79 ID:???.net
- RPFチェックとかじゃないですかね
- 648 :anonymous@fusianasan:2022/02/19(土) 13:51:37.23 ID:???.net
- >>646
同じようなことをやろうとして苦労した記憶があります。
自分は結局pbrはあきらめて、
646の構成で言うwan1先にいるルータ側でnaptさせて、
外部ipをwan1の持つipと同セグ(直接接続ルートになるのでスタティックルートもPBRも記載不要になる)に変換させることで対応しました。
- 649 :anonymous@fusianasan:2022/02/19(土) 13:58:25.39 ID:???.net
- 上記はwan1先にルータがいて自由にさわれることが前提の場合の話です。
また、ルーティング記載不要と書きましたがそれはwan1側の話でwan2側のdgwはもちろん必要です。
あと>>500で自分が似たような質問しているので
参考になるかは微妙ですがどうぞです。
- 650 :anonymous@fusianasan:2022/02/19(土) 16:20:21.71 ID:???.net
- ポリシルートを設定するときにはその宛先に対するルーティングテーブルがあることが必要ですがそこは大丈夫でしょうか
- 651 :anonymous:2022/02/19(土) 18:33:15.67 ID:???.net
- PBRするときはその先にルートがある必要があるから、WAN1とWAN2それぞれに
0.0.0.0/0があるように書いてAD値をWAN2が小さくなるように設定したうえで
PBRすると動くと思うよ。
- 652 :anonymous@fusianasan:2022/02/19(土) 18:40:24.80 ID:Zudi2d7X.net
- 回答くださった皆さんありがとうございます
教えて頂いた情報を参考に再度設定してみようと思います
>>647
RPFチェックという仕組みも有るんですね
>>648
>>649
wan1先ルータでのNAPTは盲点でした
ルータの設定変更について検討してみます
過去の質問回答も参考になりました
>>650
wan1宛のルーティングテーブル無いです…
ポリシールートだけでルーティングしてくれるものと勘違いしてました
wan1宛のデフォルトルートも作成して、プライオリティ値をwan2宛の
デフォルトルートよりも高くする事をまずは試してみたいと思います
- 653 :anonymous@fusianasan:2022/02/19(土) 18:45:57.17 ID:Zudi2d7X.net
- >>651
助言ありがとうございます
AD値で優劣をつける方法と
AD値は同じにして、プライオリティ値で優劣をつける方法では
どちらが良いとかありますでしょうか?
- 654 :anonymous@fusianasan:2022/02/19(土) 23:51:59.12 ID:???.net
- プライオリティのほうが良いです
ADだとベストパスが消えない限り次点のパスは有効にならないはずなんで
- 655 :anonymous@fusianasan:2022/02/20(日) 07:16:31.03 ID:???.net
- 自分ならwan1とwan2でvdom分けます。
そうすればwan1がpppoe=ダイナミックゲートウェイの場合でも問題なし。
今回はルータ渡しのようですが、pbrではダイナミックゲートウェイで書けなかった記憶が。
もちろんvdom間を適切に繋いであげる必要があります。
- 656 :anonymous@fusianasan:2022/02/23(水) 17:02:09.13 ID:X0QQHK08.net
- FortiClientVPNでIPSEC接続時に、
クライアント証明書認証はできるのでしょうか。
(できればRadiusを使用したい)
FortiClientVPNには、クライアント証明書を指定する項目があるのですが、
FortiGateのIPSECの認証設定では、"事前共有鍵"か"シグネチャ"しか選択できないので、
もし、ご存じのかたがいらっしゃれば教えていただけないでしょうか。
- 657 :anonymous@fusianasan:2022/02/23(水) 18:22:16.10 ID:???.net
- >>656
可能です
https://docs.fortinet.com/document/fortigate/6.4.8/administration-guide/443323/dialup-ipsec-vpn-with-certificate-authentication
- 658 :anonymous@fusianasan:2022/02/23(水) 22:42:07.58 ID:0I80hVM+.net
- >>654、655
他ご回答下さった皆さんありがとうございます
スタティックルート追加、プライオリティ値調整で無事行いたい事ができました
- 659 :anonymous@fusianasan:2022/02/24(木) 00:12:04.70 ID:???.net
- 良かったです!
- 660 :anonymous@fusianasan:2022/02/24(木) 16:58:40.47 ID:GXVHCnRd.net
- >657
ご回答ありがとうございます!
週末試してみます。
- 661 :anonymous@fusianasan:2022/02/26(土) 13:39:55.49 ID:???.net
- すみません、fortigate詳しい方にお聞きしたいのですがDHCPv6-PDの再移譲って最新の60Fとかであれば出来ますかね?
フレッツ光ネクストのひかり電話有りの契約で上位WANルーターから/58でもらったprefixを
fortigateで受けて配下のコアスイッチに/60などで再移譲したいと考えています
同じような構成で出来ている等の情報ありましたら教えて頂けると助かります
- 662 :anonymous@fusianasan:2022/02/26(土) 16:10:03.97 ID:???.net
- このあたり見て試してみるとかでしょうか
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/800956/dhcpv6
- 663 :anonymous@fusianasan:2022/02/26(土) 18:44:12.65 ID:???.net
- 情報ありがとうございます!
手元にまだ実機がないので届き次第上のURLを参考に設定してみます
- 664 :anonymous@fusianasan:2022/02/27(日) 19:35:14.46 ID:???.net
- Fortigateでアルテリアのクロスパス使う方法知りませんか?どうも上手く接続出来なくて…
- 665 :anonymous@fusianasan:2022/02/27(日) 22:02:52.41 ID:KJiUiy31.net
- >>664
Fortigate 楽天ひかりで検索
- 666 :anonymous@fusianasan:2022/02/28(月) 15:45:35.21 ID:???.net
- SSL-VPN WebモードでアドレスのIP部分をいじると
メニューに表示されてないものへもアクセスできてしまうのですが
特定ユーザーだけ
特定のアドレスのものへしかアクセスできないようにしたりは可能でしょうか。
参考になるドキュメントやサイトご存じであればおしえてください。
- 667 :anonymous:2022/02/28(月) 19:18:53.59 ID:DDmEBu7f.net
- >>666
出来ないと思うよ
IPアドレスじゃなくてIDベースで制御するリモートアクセスとしてIAPって製品分野が出来上がってる
zscaler ZPA, akamai EAP, netskope NPA とかそのあたり
必須要件だったらそういうの検討してもいいかもね
- 668 :anonymous@fusianasan:2022/02/28(月) 20:31:04.52 ID:???.net
- >>666
ポリシーを細かく分ければできないことはないはず
- 669 :anonymous@fusianasan:2022/03/01(火) 18:17:40.77 ID:???.net
- >>666
ユーザーグループ毎などでできるよ
- 670 :anonymous@fusianasan:2022/03/03(木) 06:16:42.63 ID:Fc/N3CGb.net
- トラフィックシェイパーについて、教えてください。
設定する事で、下限の帯域は確保しつつ、上限帯域に制限した通信が可能という認識で
間違いないでしょうか。
業務ネットワークと同じネットワーク内で、インスタライブ配信を実施してるんですが
ブロックノイズが出るのがどうしても気になって。
LAN⇔WANのポリシーにトラフィックシェイパー設定して、改善するもんでしょうか。
動画配信の為に、ネットワークを別にした方がいいのか、お知恵をお借りしたく。
回線はN○○PC系です。
プロバイダはIPv6非対応。
- 671 :anonymous:2022/03/03(木) 09:08:42.59 ID:???.net
- >>661
うちは60Eで出来てるよ。
ただPPPoEしゃべってるInterfaceでは定義はできるんだけど何をやっても動かず、
2ポートをONU側に接続して片方はPPPoE用、もう片方をDHCPv6-PD用として使ってる。
- 672 :anonymous@fusianasan:2022/03/04(金) 00:47:20.21 ID:ogM+MYRV.net
- 普通にWANの増速した方が良いかもしれませんね
- 673 :anonymous@fusianasan:2022/03/04(金) 11:57:31.30 ID:???.net
- >>671
動作情報ありがとうございます、
同じWANポートでPPPoEとの共存できないって事ですね…
- 674 :anonymous@fusianasan:2022/03/04(金) 14:19:25.36 ID:SAk9nX2K.net
- できるはずですが
- 675 :anonymous@fusianasan:2022/03/04(金) 22:37:33.56 ID:???.net
- >>672
670へのレスか?
- 676 :anonymous@fusianasan:2022/03/05(土) 03:10:53.51 ID:???.net
- >>670
構成がわからないからなんともいえませんがフルHDの動画であれば30Mbpsくらい常時確保できてれば問題ないんじゃないですかね
それが無理ならネットワーク分けるなりしたほうがいいように思えます
FTTHでIPoEだったら余裕そうだけど
- 677 :anonymous@fusianasan:2022/03/07(月) 12:43:14.94 ID:???.net
- >>676
670です。
ありがとうございます。
参考にします。
- 678 :anonymous@fusianasan:2022/03/07(月) 22:56:45.57 ID:EG7Il395.net
- もし分かる方いらっしゃればご意見を頂けないでしょうか
teams、googleハングアウトのようなWeb会議を行った際に、
その通信がudp_flood判定をされて、パケットが大量にドロップされている事が
ログのアノマリを見て分かりました(多いと1日数百件のudp_floodログ)
とりあえずはIPv4 DoSポリシーにて、当該通信でのudp_floodに関するアクションを
モニタとする事で対応しているのですが、これはよく有る事象なのでしょうか?
または、Fortiの設定に問題が有るのでしょうか?
- 679 :anonymous@fusianasan:2022/03/26(土) 13:26:05.50 ID:???.net
- 運用でfortiにポリシー追加とかやってるんだけどfortiのスキルあると思われるようになるには何すれば良い?
fortiの資格とかもあるようだが何かマイナーで評価されなそうだし
- 680 :anonymous@fusianasan:2022/03/26(土) 15:43:15.60 ID:???.net
- コマンドラインで設定
- 681 :anonymous@fusianasan:2022/03/26(土) 19:19:08.59 ID:???.net
- >>680
最近コマンドラインじゃないと設定出来ない項目いじったので触っています。
getとshowの使い分けはわかるようになりました。
- 682 :anonymous@fusianasan:2022/03/28(月) 08:51:30.71 ID:???.net
- terraformみたいなんで管理してIaCやってる感を出す
- 683 :anonymous@fusianasan:2022/03/28(月) 09:45:55.78 ID:iCTxOPyH.net
- diag使いこなす。
- 684 :anonymous@fusianasan:2022/03/28(月) 21:14:13.00 ID:???.net
- >>679
fortiの資格がマイナーなら、forti自体もマイナーなんだと思うがな。
cliでwebフィルタのカテゴリ設定してたら、ある意味凄いと思う
- 685 :anonymous@fusianasan:2022/03/28(月) 21:15:17.92 ID:???.net
- それは逆にバカにされるのでは……
- 686 :anonymous@fusianasan:2022/03/28(月) 22:58:13.43 ID:???.net
- CLIも良いんだけどさ
Webで設定したら10分で終わるところをCLIで1時間以上掛かってると格好悪いぞ
- 687 :anonymous@fusianasan:2022/03/29(火) 22:23:16.94 ID:???.net
- 食っていけるという意味でFWの将来性はどうなの
ゼロトラストとかいうのがFWやVPNは古いとうたってるみたいだが何が凄いのかよくわからん
各サーバ使う時に認証があるのは普通だろ
総レス数 1001
274 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200