2018.06.07 (Thu)
VMware ESXi6.7上にFortiGate-VM FortiOS 5.6.3を
インストールして動作検証をしているが、
これまで使用していた5.4系のトライアル版では、HA構成が組めなかったが、
FortiOS 5.6系ではHAが組めるようになった模様。
期間の制限はあるものの、エンタープライズ環境でよく使われるHA構成を
VMトライアル版で評価できるのは非常にありがたい。
まずは、ESXiの設定から。
HA専用のvSwitchを作成する必要がある。
また、HA専用のvSwitchでは、セキュリティ設定の
「MACアドレスの変更」、「偽装転送」を許可する必要がある。
◯設定変更手順
1.ESXiのWebUIにログイン。
2.左側のペインでVMwareサーバーを選択し、右側のペインで[ 構成 ]タブを選択。
3.ハードウェアのネットワークを選択。
4.HA専用のvSwitchを新規作成
5.作成したvSwitchの[プロパティ]ウィンドウの左ペイン、vSwitchを選択し、[編集]をクリック。
6.[セキュリティ]タブを選択し、「無作為モード」「MACアドレスの変更」「偽装転送」を[ 承諾 ]に設定し、[ OK]を選択。
次に、FortiGate-VMの設定変更だが、
アプライアンス版と同じ手順なので割愛します。
FortiGate完全攻略 [ 椎屋淳伸 ] |
スポンサーサイト
2018.06.01 (Fri)
FortiGateのポリシーにはポリシー毎に、
通過したパケット/バイト数のカウンターがついています。
これをクリアする方法をご紹介します。
◯GUI
1)ポリシー&オブジェクト → ポリシー IPv4と進みます。
2)ファイアウォールポリシーの「カウント」フィールドの値を右クリックします。
3)「カウンタをクリア」をクリックします。
※「カウント」フィールドが表示されていない場合は、
カラムの一番右端にある歯車マークをクリックして「カウント」にチェックをいれます。
◯CLI
次のCLIコマンドを実行して、
特定のファイアウォールポリシーのカウンタをリセットします。
FGT200E# diagnose firewall iprope clear 100004 「ポリシーID」
例)ポリシーID 500の「カウント」フィールドの値をリセットする場合
#diagnoseファイアウォールiprope clear 100004 500
※ポリシーID番号は、GUIの「Seq#」列に表示されているポリシー順序番号とは異なります。
ファイアウォールポリシーのインデックス番号である
ポリシーID番号は、GUIの「ID」列にあります。
すべてのポリシーのカウントフィールドをリセットするには、
単にポリシーIDを省略するだけです。
FGT200E# diagnose firewall iprope clear 100004
FortiGate完全攻略 [ 椎屋淳伸 ] |
2018.05.29 (Tue)
◯VDOM環境の場合はVDOMに遷移
config vdom
edit VDOM名
◯カレントセッション確認
FGT2000E # get system session status
The total number of sessions for the current VDOM: 4
FGT2000E # get system session list
PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT
udp 73 10.0.0.200:44462 - 10.0.1.254:161 -
udp 73 10.0.0.200:49698 - 10.0.1.254:161 -
udp 73 10.0.0.200:52823 - 10.0.1.254:161 -
udp 73 10.0.0.200:57240 - 10.0.1.254:161 -
◯特定のセッションをクリア
まずはセッションクリアしたい通信をフィルタする
フィルタ一覧
------------------------------------------------------------------
FGT2000E # diagnose sys session filter ?
vd Index of virtual domain. -1 matches all.
sintf Source interface.
dintf Destination interface.
src Source IP address.
nsrc NAT'd source ip address
dst Destination IP address.
proto Protocol number.
sport Source port.
nport NAT'd source port
dport Destination port.
policy Policy ID.
expire expire
duration duration
proto-state Protocol state.
session-state1 Session state1.
session-state2 Session state2.
clear Clear session filter.
negate Inverse filter.
------------------------------------------------------------------
宛先ポート161をクリアするためのフィルタを定義
diagnose sys session filter dport 161
セッションクリア実行
FGT2000E # diagnose sys session clear
カレントセッション確認
FGT2000E # get system session list
PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT
◯すべてのセッションをクリア
セッションフィルタをクリア
FGT2000E # diagnose sys session filter clear
セッションクリア実行
FGT2000E # diagnose sys session clear
※SSHセッションもクリアされるので要注意