Fortigateについて語ろう4

この話題の盛り上がりグラフ

2019-06-26 00:35:54 最終更新

1 anonymous@125.090.net5.hinocatv.ne.jp 2014-02-09 17:15:57 ubzEooBV: FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの

ネットワーク・プロテクション・ゲートウェイ（NPG）です。

Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)

テクノロジと独自のASIC（FortiAsic）ベースアーキテクチャを採用した、次世代

ネットワークプロテクション・アプライアンスです。

ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル

のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの

アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。

FortiGateは、4種類のICSA認定取得をしています。

アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、

非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン

hhttp://www.fortinet.co.jp/

FortiProtect Center

hhttp://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、ネットワーク構成・環境を報告してください。

38 anonymous 2014-12-27 09:13:03 ???: FortiGuard.com | CVE-2014-8730 "Poodle for TLS" vulnerability

hhttp://www.fortiguard.com/advisory/CVE-2014-8730–Poodle-for-TLS–vulnerability/

の対策でvirtual-server-hardware-acceleration持ってる機種って何か分かる？

60Cと200Bは持ってなかった

現行のDとかは持ってんのかな

300Dは持ってそうだけど

しかし、

うちのサポートは使えないなあ

39 anonymous@KD106158037134.ppp-bb.dion.ne.jp 2014-12-27 14:49:54 ???: >>38

US公式のリファレンスマニュアルの下に、機種と使える機能のマトリクス表がある

SSL Offloadingの有無を調べるよろし

40 anonymous 2014-12-28 02:21:01 ???: >>39

ありがとう

Feature/Platform Matrixってやつね

とりあえず4.3ではない？機能なのね

ていうかなんでうちのサポートは4.3も対象って言ってきたんだろう

調べないで言ってきてるなあ

5.0以上のFortiOSで60Cは無理で200Bは出来ると

200Bはアップグレードしたら防ぐ必要があるのか

まあ、次の更改まで止めらんねーとか

訳わからないこと言ってるからアップグレードはやらなそうだな

200Bは昔は8万ぐらいで中古が輸入できたんだがもう無理だしなあ

80Cでも出来るのかでもライセンスがなあ

オークションで起動ログでVer5書いてるやつ探すわ

42 anonymous@KD106158037134.ppp-bb.dion.ne.jp 2014-12-28 09:40:36 ???: >>40

そうとも言い切れないかもしれない

デバイス自身の管理画面へのログインもSSL/TLSを使う以上、SSLアクセラレータが使えない機種でもPOODLEに該当するって意味かもね

43 anonymous 2014-12-28 10:09:08 ???: >>42

だからワークアラウンドなのかね

FortiOSもファームウェアがアップグレードしやすければいいんだけどなあ

54 anonymouse 2015-07-21 13:30:17 ???: fortigate60Cv4.0でvipでソースipレンジにwanインターフェイス（pppoe動的ip）を割り当てたいのですがどうしたら良いでしょうか

動的ipでvipでフォワーディングするにはその都度変動ipに変更しないと行けないですか?

55 anonymous 2015-07-21 14:39:05 ???: >>54

何かおかしなこと言ってる気がする

多分一般的な動的IPアドレス環境でサーバ公開したいってことだよね？

出来ないわけないだろと思うんだけど手元にある検証機にFortiOS4.0入れるのまんどい

56 anonymouse 2015-07-21 15:05:47 ???: >>55

＞多分一般的な動的IPアドレス環境でサーバ公開したいってことだよね？

ですです

今のとこvipにpppoeで取ってきたグローバルIPを当てて公開しているのですが、再起動時などにIPが変わってしまったらまた設定し直さないといけないので、それをどうにか設定し直さずに運用できないかなと

57 anonymous@KD182251243040.au-net.ne.jp 2015-07-21 15:12:21 ???: >>56

VIPじゃなくてstatic natで書くとか

VIPのexternalに0.0.0.0指定するとか何か方法あるんじゃないかな

cookbookかhabdbook調べてみな

58 anonymouse 2015-07-21 15:18:21 ???: >>57

ありがとうございます!

109 anonymous coward 2015-12-03 18:57:18 ???: 始めて30DさわったんだけどDNSサーバ機能ないのな、キャッシュ機能も

普通にあると思ってたからびびるわ最近のファームもそうだけど細かいとこで仕様かえすぎでうざいわ最近

110 anonymous 2015-12-05 13:10:16 ???: >>109

あるよ

インターフェースのとこで設定する

112 anonymous coward 2015-12-07 14:25:31 ???: >>110

ええ〜まじで・・・・

インターフェイスのとこも探したんだけどな、見逃していたのかな

もしよければなんてコマンドか教えてください

116 FG 2015-12-09 14:46:14 ???: >>112

5.2系ならフィーチャーでDNSデータベースをONにすると出来ると思います。

ネットワーク＞DNSサーバでゾーン作成後にインタフェースでサービスを有効

117 あのに 2015-12-09 18:25:47 ???: >>116

ありがとう。

30DにはGUIのフィーチャーにも、config system globalだったかsettingだったかのgui-にも

DNSデータベースがないのですよ。

118 fg 2015-12-09 20:26:02 ???: >>117

データシート見るとDNS Database supportは60Dからだね

123 anonymous 2015-12-10 16:43:39 ???: >>117

60Cだと出てくるDNS Databaseが

30Dでは出てこないって話？

いちおう60Cだとこういう手順だね

見つけにくい位置にあるけど30Dだと出ないんかな

hhttp://network-cisco.seesaa.net/s/article/393477605.html

122 あのに 2015-12-10 15:23:33 ???: >>118

まぁ、そうなんだけどそれでもDNSキャッシュサーバはあるって話だったので・・

125 あのに 2015-12-14 14:10:00 ???: >>123

そうでござる、無いのでござる

で、>>118の言う通りスペックシートには30Dと40DにはDNS Database機能が無い

ただ>>110はあると言ってるので、なんか裏技でもあるんかなと

もう引き渡しちゃったから試しようもないのですけどね

180 fg 2016-07-11 19:42:03 RCl2efvk: FortiOS 5.2.8アップデートがWebGUIに出てるのにいざアップデートしようとしたらダウンロードで失敗する

正常にアップデートできた兄貴いる？

183 anonymous 2016-07-22 00:42:42 ???: INTの定義なんて自由にやれるんだし、RJ-45のポート使えばいいんじゃない？

>>180

Fortiはあそこからのアップグレード成功するほうが珍しい

代理店なり保守契約結んでるところからDLしてアップグレードするよろし

192 ななしさん 2016-09-04 10:29:41 ???: ポートフォワードの意味を勘違いしているような気がする

193 anonymous@KD106167163206.ppp-bb.dion.ne.jp 2016-09-04 10:43:39 ???: >>192

すいません。この場合はNATと表現すべきですかね…

308 anonymous@M106072176096.v4.enabler.ne.jp 2016-12-13 23:54:46 W0E2kPSJ: Fortigateは、VIPに対するあくせすで、Port443は、サーバAに、Port80はサーバBにみたいに、

プロコルごとに振り分け先を変えることはできないのですか？

vip をたとえば、 vip1 10.1.1.1—>192.168.1.1 vip2 10.1.1.1—>192.168.10.1

と定義しようとすると、重複アドレスエラーになるのですが。

（NAT元のアドレスが同じだとduplicateになります）

194 hoge 2016-09-04 23:43:41 ???: >>193

君の知識だったら金払ってプロにお願いした方が良いね。

196 anonymous@106.237.69.115.shared.user.transix.jp 2016-09-13 18:44:45 ???: 勉強のために60Dをオクしようかと思ってるんだけど

契約切れてると制限されてる機能とかってありますかね？

197 ななし 2016-09-13 22:50:28 ???: >>196

パターンファイルの更新とかファームのアップデートとか。

198 anonymous@106.237.69.115.shared.user.transix.jp 2016-09-13 23:12:09 ???: >>197

ありがとうございます

評価や勉強としては十分な感じですね

219 anonymous@229.76.239.49.rev.vmobile.jp 2016-10-16 12:14:55 ???: 50E

チャレンジャーだな

221 anonymous@KD182251249047.au-net.ne.jp 2016-10-17 18:52:42 ???: Eシリーズは5.4系だからじゃね

224 anonymous@FL1-118-110-235-132.hrs.mesh.ad.jp 2016-10-18 00:42:51 ???: >>219

ネットで調べても、取り扱っているサイトが少ないように

思うのですが、あまり実績のない機器なのでしょうか？

>>221

5.4系はまだ安定していないのでしょうか？

225 anonymous 2016-10-18 01:54:11 ???: >>224

一般には5.2系が安定版ってされてる

とりあえずFortiはサイジング含めて選定難しめの機器だから販社に検証機借りて試験導入する事を勧めるわ

227 anonymous@FL1-118-110-235-132.hrs.mesh.ad.jp 2016-10-19 23:15:26 ???: >>225

ありがとうございます。

試験機での検証を考えたいと思います。

246 sage 2016-11-10 23:48:13 ???: webフィルタの設定で教えていただきたいのですが、

www.yahoo.co.jpとyahoo.co.jpは許可とし、img.yahoo.co.jpなどのwww以外の文字列は禁止したい場合

正規表現でブロックをすれば良いと思うのですが、下記の記述でうまくいきません。

^(?!.*www).*(?=[0-9a-z]).*$.yahoo.co.jp

設定教えていただけませんか。

248 ななしさん 2016-11-12 22:17:49 ???: >>246

バージョンいくつ？正確にな！

247 anonymous@103.77.239.49.rev.vmobile.jp 2016-11-12 12:34:31 ???: 正規表現じゃなくてそのまま2つ書けばできないの？

250 sage 2016-11-15 06:58:50 ???: >>247

なるべく1行ですませたいと考えました。

>>248

v5.4.1 build5447 です。機器は60Dです。

251 ななしさん 2016-11-15 20:58:11 ???: >>250

5.4.2出たけどまだまだ不具合多い。

リリースノートの既知の不具合がてんこ盛りｗ

出荷時から5.4.1？

252 sage 2016-11-15 23:43:09 ???: >>251

出荷時は5.2系統以前でした。最近5.4に変えたのですが、かなり変わりました。

動作も前とすこし違うような気がします。

253 anonymous@sp1-66-102-253.msc.spmode.ne.jp 2016-11-16 10:07:04 ???: >>252

悪い事言わないから5.2系にもどした方がいいよ

5.4にしかない機能をどうしても使いたいとかあるの？

255 ななしさん 2016-11-16 22:58:20 ???: >>252

チャレンジャーやのぉ。機器モデルと使ってる機能晒してくれよ。

268 あのに 2016-11-22 14:07:59 ???: SCSKの出荷バージョンが5.4.1になっとる

269 ななしさん 2016-11-22 23:00:36 ???: >>268

50Eってオチじゃねーの？

270 あのに 2016-11-24 11:57:49 ???: >>269

60D

278 anonymous@254.125.148.210.rev.vmobile.jp 2016-12-03 10:31:31 ???: どんな回線で、どれくらいの転送速度ですか？

285 anonymous@254.125.148.210.rev.vmobile.jp 2016-12-03 14:13:27 ???: 間違った

>278

286 anonymous 2016-12-03 21:33:36 ???: >>285

家庭用なら 500Mbps、60D が 300Mbps です。

ちなみに別時間帯、何種類かの方法で何度も計測していますが、だいたい差は同じぐらいです。

なんとなくわかったのが、PPPoE を使っていない WAN2 配下のサーバと計測すると他機器を上回る十分な速度がでました。

セッション情報みると WAN2 は FortiAsic が機能しているけど WAN1 の場合は全セッション機能しておらず。

切れそうな UTM は全部切ってるけど、やっぱりどこかで動いてるのかなと。

(回線については問題ではないことはわかったので省略します)

291 ななしさん 2016-12-04 13:05:17 ???: >>286

本家のスレッド読み進めていくとどうやらPPPoEの

フレームタイプはオフロードされないみたい。

CPUが非力な下位モデルでは厳しいかも。

前にPPPoE用のルータ置いてFortigateはブリッジモードで

使いしかないのかも。

293 anonymous 2016-12-04 14:02:36 d4UjM8pv: >>291

ありがとう、こちらでもスレッド確認しました。

容量5GB、500ファイル程度の圧縮データを流すと

CPU 使用率が一気に 100 % にもなるんで、

ASIC 効いてないのは間違いなさそうです。

で、PPPoE でなければ CPU 使用率も問題なし。

このラインの製品使うとこなら、わざわざ上位にルータ置くことも少ないし

この辺りは仕様に書いといて欲しいなあ。(基本 UTM ありきの製品とはいえ。)

310 anonymous@sp1-75-196-89.msb.spmode.ne.jp 2016-12-14 18:46:14 ???: >>308

バーチャルIPの設定の中にポートフォワードのチェックボックスあるじゃん

転送先をip:ポートじゃなくてipだけにしたいとか言うならしらん

311 anonymous@M106072176096.v4.enabler.ne.jp 2016-12-16 00:58:52 V9pnO+Cw: >>310

ありがとうございます。

その設定で下記ができるですか？

443,80 10.1.1.1 443

—————>VIP————>192.168.1.1

| 80

+————->192.168.0.1

313 anonymous@M106072176096.v4.enabler.ne.jp 2016-12-16 01:02:10 V9pnO+Cw: >>310

※だめですね。ずれて絵が描けません。

ありがとうございます。

その設定で下記ができるですか？

443,80 10.1.1.1　　　　　　　443

—————>VIP————>192.168.1.1

|　　80

+————->192.168.0.1

318 anonymous@i114-185-80-194.s42.a013.ap.plala.or.jp 2017-01-02 14:23:04 ???: だれか助けて。

VPNのためにFortiClientをPCにインストールしてたが

ある時にインターネットができなくなった（昨年12月頃）。

OSはWindws10。

で、WEBからまた新しいFortiClientをインストールしようとしたが

hhttps://www.fortinet.com/support-and-training/support/product-downloads.html

今まではすぐにダウンロードできたが今度はメールアドレスなど細かい個人情報を

聞いてきた。これってなんで変わったの？それともおかしなサイトをオレが見てる？

で、適当に情報を入力して、FortiClientをダウンロードしてインストールすると

なんと勝手にアンチウイルスソフトまでインストールさせられた。前は

インストールしないのを選べた。それでFortiClientアンチウイルスがWin10の

Defenderとバッティングして、Defenderをオンにできない。

みんなどうしてるの？Defenderをオンにしたいんだけど。辛いわ。

319 ななし 2017-01-02 20:37:22 ???: >>318

hhttp://www.forticlient.com/#download

こっちのインストーラでvpn only選べる。

321 anonymous@i114-185-80-194.s42.a013.ap.plala.or.jp 2017-01-02 23:19:02 ???: >>319

今のforticlientを一度アンインストールして、

vpn onlyのインストーラーで再インストールすればよいと

思うが、そもそも今のforticlientをアンイストールできない。

下記のエラーが出てアンイストールできない。

どうすればいいの？なんなんだろうこれ？

forticlient cannot be modified or removed while

it is registered to a remote management server

322 ななし 2017-01-02 23:40:37 ???: >>321

たぶんfortigateにクライアントが登録されてるんじゃね。

forticlientのコンソール開いてファイル→登録解除。

でどうかな。

323 anonymous 2017-01-03 18:43:25 ???: FortiViewの送信元(またはすべてのセッション)にデバイスっていう項目があるけど、これを表示する方法はありますか？

WinやiOSで試しても出てこないのでOS依存ではなさそう。

ハンドブック読んでも書いてなく、DHCPサーバ予約設定のDiscriptionに文字列入れてみたけど表示されずで用途も使い方もわかりません。

325 ななしさん 2017-01-03 22:22:21 ???: >>323

ポリシーの送信元デバイスタイプをとりあえずAll

にすればデバイス検出が有効化される。

IP address is in same subnet as the othersのエラーが出た場合は

下記コマンドをcliで

config system settings

set allow-subnet-overlap enable

end

元スレ

Fortigateについて語ろう4
http://hayabusa6.2ch.net/test/read.cgi/network/1391933756