2ch勢いランキングまとめ
メニュー

Fortigateについて語ろう4

この話題の盛り上がりグラフ
2017-05-28 20:20:06 最終更新
1 anonymous@125.090.net5.hinocatv.ne.jp

FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの

ネットワーク・プロテクション・ゲートウェイ(NPG)です。

Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)

テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代

ネットワークプロテクション・アプライアンスです。

ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル

のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの

アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。

FortiGateは、4種類のICSA認定取得をしています。

アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、

非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン

http://www.fortinet.co.jp/

FortiProtect Center

http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

38 anonymous

FortiGuard.com | CVE-2014-8730 "Poodle for TLS" vulnerability

http://www.fortiguard.com/advisory/CVE-2014-8730--Poodle-for-TLS--vulnerability/

の対策でvirtual-server-hardware-acceleration持ってる機種って何か分かる?

60Cと200Bは持ってなかった

現行のDとかは持ってんのかな

300Dは持ってそうだけど

しかし、

うちのサポートは使えないなあ

39 anonymous@KD106158037134.ppp-bb.dion.ne.jp

>>38

US公式のリファレンスマニュアルの下に、機種と使える機能のマトリクス表がある

SSL Offloadingの有無を調べるよろし

40 anonymous

>>39

ありがとう

Feature/Platform Matrixってやつね

とりあえず4.3ではない?機能なのね

ていうかなんでうちのサポートは4.3も対象って言ってきたんだろう

調べないで言ってきてるなあ

5.0以上のFortiOSで60Cは無理で200Bは出来ると

200Bはアップグレードしたら防ぐ必要があるのか

まあ、次の更改まで止めらんねーとか

訳わからないこと言ってるからアップグレードはやらなそうだな

200Bは昔は8万ぐらいで中古が輸入できたんだがもう無理だしなあ

80Cでも出来るのか でもライセンスがなあ

オークションで起動ログでVer5書いてるやつ探すわ

42 anonymous@KD106158037134.ppp-bb.dion.ne.jp

>>40

そうとも言い切れないかもしれない

デバイス自身の管理画面へのログインもSSL/TLSを使う以上、SSLアクセラレータが使えない機種でもPOODLEに該当するって意味かもね

43 anonymous

>>42

だからワークアラウンドなのかね

FortiOSもファームウェアがアップグレードしやすければいいんだけどなあ

54 anonymouse

fortigate60Cv4.0でvipでソースipレンジにwanインターフェイス(pppoe動的ip)を割り当てたいのですがどうしたら良いでしょうか

動的ipでvipでフォワーディングするにはその都度変動ipに変更しないと行けないですか?

55 anonymous

>>54

何かおかしなこと言ってる気がする

多分一般的な動的IPアドレス環境でサーバ公開したいってことだよね?

出来ないわけないだろと思うんだけど手元にある検証機にFortiOS4.0入れるのまんどい

56 anonymouse

>>55

>多分一般的な動的IPアドレス環境でサーバ公開したいってことだよね?

ですです

今のとこvipにpppoeで取ってきたグローバルIPを当てて公開しているのですが、再起動時などにIPが変わってしまったらまた設定し直さないといけないので、それをどうにか設定し直さずに運用できないかなと

57 anonymous@KD182251243040.au-net.ne.jp

>>56

VIPじゃなくてstatic natで書くとか

VIPのexternalに0.0.0.0指定するとか何か方法あるんじゃないかな

cookbookかhabdbook調べてみな

58 anonymouse

>>57

ありがとうございます!

109 anonymous coward

始めて30DさわったんだけどDNSサーバ機能ないのな、キャッシュ機能も

普通にあると思ってたからびびるわ最近のファームもそうだけど細かいとこで仕様かえすぎでうざいわ最近

110 anonymous

>>109

あるよ

インターフェースのとこで設定する

112 anonymous coward

>>110

ええ〜まじで・・・・

インターフェイスのとこも探したんだけどな、見逃していたのかな

もしよければなんてコマンドか教えてください

116 FG

>>112

5.2系ならフィーチャーでDNSデータベースをONにすると出来ると思います。

ネットワーク>DNSサーバでゾーン作成後にインタフェースでサービスを有効

117 あのに

>>116

ありがとう。

30DにはGUIのフィーチャーにも、config system globalだったかsettingだったかのgui-にも

DNSデータベースがないのですよ。

118 fg

>>117

データシート見るとDNS Database supportは60Dからだね

123 anonymous

>>117

60Cだと出てくるDNS Databaseが

30Dでは出てこないって話?

いちおう60Cだとこういう手順だね

見つけにくい位置にあるけど30Dだと出ないんかな

http://network-cisco.seesaa.net/s/article/393477605.html

122 あのに

>>118

まぁ、そうなんだけどそれでもDNSキャッシュサーバはあるって話だったので・・

125 あのに

>>123

そうでござる、無いのでござる

で、>>118の言う通りスペックシートには30Dと40DにはDNS Database機能が無い

ただ>>110はあると言ってるので、なんか裏技でもあるんかなと

もう引き渡しちゃったから試しようもないのですけどね

180 fg

FortiOS 5.2.8アップデートがWebGUIに出てるのにいざアップデートしようとしたらダウンロードで失敗する

正常にアップデートできた兄貴いる?

183 anonymous

INTの定義なんて自由にやれるんだし、RJ-45のポート使えばいいんじゃない?

>>180

Fortiはあそこからのアップグレード成功するほうが珍しい

代理店なり保守契約結んでるところからDLしてアップグレードするよろし

192 ななしさん

ポートフォワードの意味を勘違いしているような気がする

193 anonymous@KD106167163206.ppp-bb.dion.ne.jp

>>192

すいません。この場合はNATと表現すべきですかね…

308 anonymous@M106072176096.v4.enabler.ne.jp

Fortigateは、VIPに対するあくせすで、Port443は、サーバAに、Port80はサーバBにみたいに、

プロコルごとに振り分け先を変えることはできないのですか?

vip をたとえば、 vip1 10.1.1.1--->192.168.1.1 vip2 10.1.1.1--->192.168.10.1

と定義しようとすると、重複アドレスエラーになるのですが。

(NAT元のアドレスが同じだとduplicateになります)

194 hoge

>>193

君の知識だったら金払ってプロにお願いした方が良いね。

196 anonymous@106.237.69.115.shared.user.transix.jp

勉強のために60Dをオクしようかと思ってるんだけど

契約切れてると制限されてる機能とかってありますかね?

197 ななし

>>196

パターンファイルの更新とかファームのアップデートとか。

198 anonymous@106.237.69.115.shared.user.transix.jp

>>197

ありがとうございます

評価や勉強としては十分な感じですね

219 anonymous@229.76.239.49.rev.vmobile.jp

50E

チャレンジャーだな

221 anonymous@KD182251249047.au-net.ne.jp

Eシリーズは5.4系だからじゃね

224 anonymous@FL1-118-110-235-132.hrs.mesh.ad.jp

>>219

ネットで調べても、取り扱っているサイトが少ないように

思うのですが、あまり実績のない機器なのでしょうか?

>>221

5.4系はまだ安定していないのでしょうか?

225 anonymous

>>224

一般には5.2系が安定版ってされてる

とりあえずFortiはサイジング含めて選定難しめの機器だから販社に検証機借りて試験導入する事を勧めるわ

227 anonymous@FL1-118-110-235-132.hrs.mesh.ad.jp

>>225

ありがとうございます。

試験機での検証を考えたいと思います。

246 sage

webフィルタの設定で教えていただきたいのですが、

www.yahoo.co.jpとyahoo.co.jpは許可とし、img.yahoo.co.jpなどのwww以外の文字列は禁止したい場合

正規表現でブロックをすれば良いと思うのですが、下記の記述でうまくいきません。

^(?!.*www).*(?=[0-9a-z]).*$.yahoo.co.jp

設定教えていただけませんか。

248 ななしさん

>>246

バージョンいくつ?正確にな!

247 anonymous@103.77.239.49.rev.vmobile.jp

正規表現じゃなくてそのまま2つ書けばできないの?

250 sage

>>247

なるべく1行ですませたいと考えました。

>>248

v5.4.1 build5447 です。機器は60Dです。

251 ななしさん

>>250

5.4.2出たけどまだまだ不具合多い。

リリースノートの既知の不具合がてんこ盛りw

出荷時から5.4.1?

252 sage

>>251

出荷時は5.2系統以前でした。最近5.4に変えたのですが、かなり変わりました。

動作も前とすこし違うような気がします。

253 anonymous@sp1-66-102-253.msc.spmode.ne.jp

>>252

悪い事言わないから5.2系にもどした方がいいよ

5.4にしかない機能をどうしても使いたいとかあるの?

255 ななしさん

>>252

チャレンジャーやのぉ。機器モデルと使ってる機能晒してくれよ。

268 あのに

SCSKの出荷バージョンが5.4.1になっとる

269 ななしさん

>>268

50Eってオチじゃねーの?

270 あのに

>>269

60D

278 anonymous@254.125.148.210.rev.vmobile.jp

どんな回線で、どれくらいの転送速度ですか?

285 anonymous@254.125.148.210.rev.vmobile.jp

間違った

>278

286 anonymous

>>285

家庭用なら 500Mbps、60D が 300Mbps です。

ちなみに別時間帯、何種類かの方法で何度も計測していますが、だいたい差は同じぐらいです。

なんとなくわかったのが、PPPoE を使っていない WAN2 配下のサーバと計測すると他機器を上回る十分な速度がでました。

セッション情報みると WAN2 は FortiAsic が機能しているけど WAN1 の場合は全セッション機能しておらず。

切れそうな UTM は全部切ってるけど、やっぱりどこかで動いてるのかなと。

(回線については問題ではないことはわかったので省略します)

291 ななしさん

>>286

本家のスレッド読み進めていくとどうやらPPPoEの

フレームタイプはオフロードされないみたい。

CPUが非力な下位モデルでは厳しいかも。

前にPPPoE用のルータ置いてFortigateはブリッジモードで

使いしかないのかも。

293 anonymous

>>291

ありがとう、こちらでもスレッド確認しました。

容量5GB、500ファイル程度の圧縮データを流すと

CPU 使用率が一気に 100 % にもなるんで、

ASIC 効いてないのは間違いなさそうです。

で、PPPoE でなければ CPU 使用率も問題なし。

このラインの製品使うとこなら、わざわざ上位にルータ置くことも少ないし

この辺りは仕様に書いといて欲しいなあ。(基本 UTM ありきの製品とはいえ。)

310 anonymous@sp1-75-196-89.msb.spmode.ne.jp

>>308

バーチャルIPの設定の中にポートフォワードのチェックボックスあるじゃん

転送先をip:ポートじゃなくてipだけにしたいとか言うならしらん

311 anonymous@M106072176096.v4.enabler.ne.jp

>>310

ありがとうございます。

その設定で下記ができるですか?

443,80 10.1.1.1 443

--------------->VIP------------>192.168.1.1

| 80

+------------->192.168.0.1

313 anonymous@M106072176096.v4.enabler.ne.jp

>>310

※だめですね。ずれて絵が描けません。

ありがとうございます。

その設定で下記ができるですか?

443,80 10.1.1.1       443

--------------->VIP------------>192.168.1.1

|  80

+------------->192.168.0.1

318 anonymous@i114-185-80-194.s42.a013.ap.plala.or.jp

だれか助けて。

VPNのためにFortiClientをPCにインストールしてたが

ある時にインターネットができなくなった(昨年12月頃)。

OSはWindws10。

で、WEBからまた新しいFortiClientをインストールしようとしたが

https://www.fortinet.com/support-and-training/support/product-downloads.html

今まではすぐにダウンロードできたが今度はメールアドレスなど細かい個人情報を

聞いてきた。これってなんで変わったの?それともおかしなサイトをオレが見てる?

で、適当に情報を入力して、FortiClientをダウンロードしてインストールすると

なんと勝手にアンチウイルスソフトまでインストールさせられた。前は

インストールしないのを選べた。それでFortiClientアンチウイルスがWin10の

Defenderとバッティングして、Defenderをオンにできない。

みんなどうしてるの?Defenderをオンにしたいんだけど。辛いわ。

319 ななし

>>318

http://www.forticlient.com/#download

こっちのインストーラでvpn only選べる。

321 anonymous@i114-185-80-194.s42.a013.ap.plala.or.jp

>>319

今のforticlientを一度アンインストールして、

vpn onlyのインストーラーで再インストールすればよいと

思うが、そもそも今のforticlientをアンイストールできない。

下記のエラーが出てアンイストールできない。

どうすればいいの?なんなんだろうこれ?

forticlient cannot be modified or removed while

it is registered to a remote management server

322 ななし

>>321

たぶんfortigateにクライアントが登録されてるんじゃね。

forticlientのコンソール開いてファイル→登録解除。

でどうかな。

323 anonymous

FortiViewの送信元(またはすべてのセッション)にデバイスっていう項目があるけど、これを表示する方法はありますか?

WinやiOSで試しても出てこないのでOS依存ではなさそう。

ハンドブック読んでも書いてなく、DHCPサーバ予約設定のDiscriptionに文字列入れてみたけど表示されずで用途も使い方もわかりません。

325 ななしさん

>>323

ポリシーの送信元デバイスタイプをとりあえずAll

にすればデバイス検出が有効化される。

IP address is in same subnet as the othersのエラーが出た場合は

下記コマンドをcliで

config system settings

set allow-subnet-overlap enable

end

元スレ

Fortigateについて語ろう4
http://hayabusa6.2ch.net/test/read.cgi/network/1391933756

その他おすすめ

関連キーワード別のオススメ

コメント

本サイトはまだコメント機能がありません。ご連絡事項については「メニュー」の「本サイトについて/お問い合わせ」よりご連絡をお願いします。