Wpisy otagowane ‘Fortinet’

« Starsze wpisy
Nowsze wpisy »

Nowy FortiOS

środa, 26 Sierpień 2009

Oczywiście czuwam (czyt. aktualizuję), ale jestem na szkoleniu i nie mam czasu na opisywanie tego co robię. Niemniej nadrabiam teraz: Fortinet wydał nową wersję FortiOS – oznaczoną jako 4.0MR1 (v400-build0178). Poniżej odpowiednie odnośniki:

Wszystko działa (nie ma problemu ze zdalną aktualizacją z 4.0).
fwi

PS C:\> Get-WmiObject -Class Win32_Product -computername DC | Where-Object { $_.name -like “Forti*” }
IdentifyingNumber : {8BB826C4-4CB5-42B0-A124-AA9B69F8CB41}
Name : Fortinet Server Authentication Extension (FSAE)
Vendor : Fortinet Inc.
Version : 3.5.047
Caption : Fortinet Server Authentication Extension (FSAE)

Tagi:, ,
Zaszufladkowany do FortiGate | 1 komentarz »

Nowy FortiOS

wtorek, 30 Czerwiec 2009

Tym razem przed Firewall Guru ;-)

Tagi:, ,
Zaszufladkowany do Tech | 3 komentarzy »

FortiGate i równoważenie obciążenia

czwartek, 28 Maj 2009

Równoważenie obciążenia (LB + HA) w FortiGate sprawdzone! Działa. Na razie w środowisku mocno testowym, produkcyjnie na razie nie mam potrzeby używania. Zanim opiszę jak używać, odnośniki do alternatywnych rozwiązań:

Produkcyjnie wykorzystywałem relayd, LVS i mod_jk. Heartbeat testowałem bardzo krótko.
Konfiguracja w FortiGate jest dość prosta (pomijam politykę zapory):

  1. Konfigurujemy Virtual Server
    W CLI konfigurujemy podobnie jak Virtual IP. Jako typ VIP ustawiamy server-load-balance. Rodzaj LB (server-type) możemy ustawić na: HTTP, TCP lub UDP oraz IP. Metod rozkładu obciążenia mamy do wyboru sześć: Static, Round Robin, Weighted, First Alive, Least RTT i Least Session. Do konfiguracji sprawdzania obecności (Health Check) trzeba wrócić później.
  2. Definiujemy rzeczywiste serwery
    Oprócz nazwy i adresu IP podajemy port usługi, a także wagę i maksymalną liczbę połączeń. Serwery rzeczywiste przypisujemy serwera wirtualnego.
  3. Definiujemy sposób sprawdzania obecności (przypisać go należy do wirtualnego serwera)
    Określamy typ (HTTP, TCP lub PING) i interwał oraz liczbę powtórzeń. W przypadku typu TCP podajemy port usługi, dla HTTP – URL i cią jaki ma być dopasowany do zawartości.
  4. …no i możemy cieszyć się gotowym rozwiązaniem.

lb1

Przykładowa konfiguracja może wyglądać tak:

config firewall ldb-monitor
edit "DEV-HCH"
set type tcp
set port 80
next
end
config firewall vip
edit "DEV"
set type server-load-balance
set extip 192.168.1.230
set extintf "wan1"
set server-type tcp
set monitor "DEV-HCH"
set ldb-method first-alive
set extport 80
config realservers
edit 1
set ip 10.1.0.1
set port 80
next
edit 2
set ip 10.1.0.2
set port 80
next
edit 3
set ip 10.1.0.3
set port 80
next
end
next
end

Jedyny minus jaki dotychczas dostrzegłem, to brak jakiejkolwiek informacji w logach (pamięć, FortiAnalyzer) o tym, że dany serwer nie działa lub zmienił swój stan.

Poniżej wykres z JMeter – duży skok na początku to wyłączenie pierwszego serwera; metoda rozkładania obciążenia: First Alive i 10 sekund pomiędzy kolejnymi testami.
spline-visualizer
Innych testów nie chciało mi się robić. Środowisko testowe jeszcze trochę będzie stało (planuję m. in. testy MySQL w klastrze), więc jak ktoś chce wyniki testów LB przy konkretnych ustawieniach, proszę o kontakt.

Tagi:, ,
Zaszufladkowany do FortiGate | Brak komentarzy »

Podsumowanie zeszłego tygodnia (18/2009)

środa, 6 Maj 2009

W zeszłą środę uczestniczyłem w szkoleniu „FortiAnalyzer – analiza i monitoring sieci komputerowej” (tradycyjnie już Compendium). Po dwóch dniach zabawy z FortiAnalyzer i wcześniejszym używaniu produktów Fortinet szkolenie jest zbędne, może przydać się komuś, kto zastanawia się nad zakupem tego sprzętu. Prowadzenie (tak sobie): Rafał Sidor.
Po szkoleniu wyrzuciłem Linuksa z centralnym syslog-ng, zastępując go właśnie FortiAnalyzer’em (mimo, że kiepsko się przetwarza tam logi).
Nie dowiedziałem się natomiast czy FortiAnalyzer może mieć wpływ na zawieszanie się FortiGate i jak ew. głębiej zdiagnozować tą awarię (diagnose debug application nie jest udokumentowany). Niemniej permanentnie wyłączyłem logowanie zdalne.

Przy okazji do poczytania (fortinet+blog na Google):

Przed szkoleniem (odbyło się w Warszawie) nocleg u kahir‘a – mimo, że Aldona i Anita czekały…

A po szkoleniu wyjazd na Warmię do Moich Korzeni. Pogoda się udała. Wiejski piknik również :-)

W międzyczasie dostałem informację o dostawie nowego sprzętu – QLogic SANbox 5600 (przełącznik FC). I od poniedziałku zabawa – w dzień konfiguracja, w nocy przepinanie. Na razie nic to nie wniosło w naszą strukturę, bo macierze (sztuk dwie), które wpiąłem nie wspierają MPIO, więc niezbędne było wydzielenie odpowiednich stref (zone) i tak naprawdę to działa to podobnie jak wcześniej, ale o kilkanaście tysięcy drożej ;-)

Tagi:, ,
Zaszufladkowany do Tech | Brak komentarzy »

FortiAnalyzer: HTTP vs http

poniedziałek, 20 Kwiecień 2009

attacks_by_top_protocol_10W bieżącym miesiącu mój FortiAnalyzer odnotował 30 ataków na protokół http i 2 na HTTP. Dziwne. Jakaś unifikacja tego by się przydała, str_to_upper() czy coś…

Tagi:,
Zaszufladkowany do Tech | 1 komentarz »

HOWTO: FortiUSB

piątek, 17 Kwiecień 2009

Czasami zdarza się tak, że odcinamy sobie wszystkie drogi do urządzenia (jakiegokolwiek) – dostęp via WWW, SSH, telnet czy kabel szeregowy. Cóż, błąd ludzki… FortiGate ma na szczęście możliwość czytania konfiguracji i ew. firmware z pendrive. Oczywiście wcześniej niezbędne jest przygotowanie kopii bezpieczeństwa, no ale o to każdy przecież dba.

Sytuacja, o której wspominam nie miała miejsca w moim przypadku. Ot tak sobie chciałem przećwiczyć plan awaryjny, żeby na podstawie czegoś stworzyć kolejną procedurę :>

  1. Rozpoznanie terenu

    2. Domyślnie konfiguracja powinna znajdować się w pliku fgt_system.conf, obraz zaś w image.out. Kopiujemy pliki na pamięć (domyślnie takowe mają system plików FAT). Ew. wkładamy po prostu czystą pamięć i uruchamiamy urządzenie żeby sprawdzić co się stanie. Po starcie pojawia nam się smutny komunikat dotyczący problemu z odczytem ext3 (w starszych wersjach FortiOS) lub w drugim przypadku:

    System is started.
    Get image from USB disk ...Can not get image from USB disk.
    Can not get config file from USB disk.

    Możemy poddać się i zakupić FortiUSB lub…

  2. Przygotowanie własnego FortiUSB

    3. Oczywiście w nowszych wersjach FortiOS nie jest potrzebna zmiana systemu plików, ale domyślnie w 100A dają jakieś 3.0 MR5 (chyba), które nie znało niczego innego poza EXT3. Niemniej mamy już właściwy system, pora na kopiowanie plików. Jak wspomniałem – konfiguracja w fgt_system.conf, firmware w image.out (kopiujemy jeden z plików lub oba).

  3. To już!

    4. Wkładamy pamięć w odpowiedni port, uruchamiamy urządzenie i tadam!

    System is started.
    Get image from USB disk ...     OK.
    Check image...  OK.

    Please wait for system to restart.

    Firmware upgrade in progress ...
    Done.

    The system is going down NOW !!

    Please stand by while rebooting the system.
    FG100A (19:06-02.28.2006)
    Ver:04000003
    [...]

    Może się zdarzyć, że nie zaszła żadna zmiana, wtedy dostaniemy:

    Get image from USB disk ... OK.
    Checksum check synced! Don't need restore image.

    Get config file from USB disk OK.
    Checksum check synced! Don't need restore config.

    Czasami może być też tak:

    System is started.
    The config file may contain errors,
    Please see details by the command 'diagnose debug config-error-log read'

    Tu próba skopiowania konfiguracji z FortiOS 4 na 3. Jak pisałem wcześniej – jest kilka znaczących różnic. Tak czy inaczej plan przećwiczony. Pamiętamy o regularnych kopiach, nie wpadaniu w panikę, o postępowaniu zgodnie z procedurami i takie tam ;-)

A tu jeszcze Knowledge Center Fortinet na temat FortiUSB:

Teraz mam drugie urządzenie, więc mogę je podmienić (zostanę jednakże przy firmware z rodziny 3) i sprawdzić czy ‘zawieszanie się‘ to wina sprzętowa czy raczej programowa.

Tagi:, ,
Zaszufladkowany do Tech | Brak komentarzy »

FortiGate CLI> diagnose

piątek, 17 Kwiecień 2009

fgdiagnose

FG100A3907510579 # diagnose hardware lspci
00:00.0 Host bridge: VIA Technologies, Inc. Unknown device 3123
00:01.0 PCI bridge: VIA Technologies, Inc. Unknown device b091
00:0b.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139 (rev 10)
00:0c.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139 (rev 10)
00:0d.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139 (rev 10)
00:0e.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139 (rev 10)
00:10.0 USB Controller: VIA Technologies, Inc. VT82C586B USB (rev 80)
00:10.1 USB Controller: VIA Technologies, Inc. VT82C586B USB (rev 80)
00:10.2 USB Controller: VIA Technologies, Inc. VT82C586B USB (rev 80)
00:10.3 USB Controller: VIA Technologies, Inc. Unknown device 3104 (rev 82)
00:11.0 ISA bridge: VIA Technologies, Inc. Unknown device 3177
00:11.1 IDE interface: VIA Technologies, Inc. VT82C586 IDE [Apollo] (rev 06)
00:12.0 Ethernet controller: VIA Technologies, Inc. Unknown device 3065 (rev 74)
00:13.0 Network and computing encryption device: Fujitsu Microelectr., Inc. Unknown device 4005 (rev 01)

FG100A3908506507 # get hardware status
Model name: Fortigate-100A
ASIC version: CP5
ASIC SRAM: 64M
CPU: Mobile Intel(R) Celeron(TM) CPU 400MHz
RAM: 249 MB
Compact Flash: 61 MB /dev/hda
USB Flash: not available
Network Card chipset: RealTek RTL8139 Fast Ethernet (rev.0x10)
Network Card chipset: ip175c Ethernet driver (rev.)

;-)

Tagi:,
Zaszufladkowany do Tech | Brak komentarzy »

« Starsze wpisy
Nowsze wpisy »