Fortigate Firewall IP/MAC binding 功能

張貼者: Andy Lee on 2009年10月8日 星期四 / 標籤: / Comments: (0)
自己以前寫過的一篇範例, 說明如何使用Firewall的IP/MAC Binding功能。

This example shows how to add and enable an IP/MAC entry to the IP/MAC binding table.
閱讀更多 »

如何用Fortigate阻擋Facebook

張貼者: Andy Lee on 2009年10月7日 星期三 / 標籤: , / Comments: (5)

擋facebook, 相信大家也是於心不忍阿 ~ 不過礙於老闆最大的原則...

其實在Fortigate 要擋Facebook其實是蠻容易的, 只要使用url過濾就可以.
這方式, 無論Fortigate有沒有license都可以使用喔~ ^ ___ ^

3.0 or 4.0 這部份設定是差不多的, 所以我只用4.0的畫面來說明。

閱讀更多 »

Fortigate internal interface switch-mode

張貼者: Andy Lee on 2009年10月2日 星期五 / 標籤: / Comments: (0)
在Fortigate部分model 的internal 介面通常都是數個switch port,
其中又有些model 可以切換為interface mode, 也就是每個port都變成獨立的interface。

切換的指令如下
config system global
set internal-switch-mode {interface | switch}
目前知道支援的有
FortiWiFi 60B, FortiGate 60B, 100A (Rev2.0 and higher), and 200A (Rev2.0 and higher)

Fortigate 造成檔案無法完整下載問題

張貼者: Andy Lee on 2009年9月25日 星期五 / 標籤: / Comments: (0)
最近遇到一個怪問題!

user 只要開啟Profile, 下載檔案時很容易遇到只下載了幾百Kb, 就被莫名"下載完成", 實際上當然是沒有完成。

問過原廠之後, 知道說要關閉tcp-option

Enable SACK, timestamp and MSS TCP options.
For normal operation tcp-option should be enabled.
Disable for performance testing or in rare cases where it impairs performance.

至於是什麼原因.. ㄟ~ 現在先不管囉! 沒空啦!!

意外隨時會發生

張貼者: Andy Lee on 2009年6月24日 星期三 / 標籤: / Comments: (0)
這是一個客戶在做機房搬遷時發生的意外
因為搬遷的意外, 造成客戶的AD主機損毀。
也因為AD的損毀,連帶造成user無法正常連上Exchange。
想當然,user 的 email 也就無法收發。

今天剛好讀到BCP, 就想到,如果搬遷之前,有更詳細的計劃
想好所有的備源機制,或許,user就不會事隔兩天,exchange 還無法上線。

再延伸下來,事情發生後,為何user無法快速的讓email系統上線?
明明還有另一台AD server 可以使用阿~
原因在於,其實user自己對系統也不熟。
那, 為什麼不馬上找廠商來幫忙呢 ?
這~ 我就不知道了。

整個來說,就是"瞎"..

解決Fortigate wan ip 為 Private IP 無法更新的問題

張貼者: Andy Lee on 2009年6月6日 星期六 / 標籤: , , / Comments: (0)
在某些環境, Fortigate Wan 端會是Private IP (192.168.x.x or 10.x.x.x 之類), Lan IP 反而是Public IP。
在這情況下, Fortigate會無法連上Fortiguard server 來做 AV, IPS更新, 連帶 Web-filter & SPAM 也會有問題。
這時候, 我們就需要使用Client override來解決無法更新的問題
Fortigate #
Fortigate # config system autoupdate clientoverride
Fortigate (clientoverride) # set address 123.123.123.123 (客戶 Fortigate的真實IP)
Fortigate (clientoverride) # set status enable
Fortigate (clientoverride) # end
Fortigate #
Fortigate # config system fortiguard
Fortigate (fortiguard) # set port 8888 (可以不設)
Fortigate (fortiguard) # set client-override-status enable
Fortigate (fortiguard) # set client-override-ip 123.123.123.123 (客戶Fortigate的真實IP)
Fortigate (fortiguard) # set antispam-status enable
Fortigate (fortiguard) # set webfilter-status enable
Fortigate (fortiguard) # end
Fortigate #
另外, 還要注意, DNS server 要指定客戶內部的DNS主機, 否則還是會有問題喔!!

最後, 這只是其中一種比較簡單的解法, 另外還有建vdom的方式, 但就麻煩多囉!

Fortigate Anti-Virus Extended AV Database

張貼者: Andy Lee on 2009年6月5日 星期五 / 標籤: , / Comments: (0)
Fortigate 在 FortiOS v3.0 MR6 新增了 Extended AV Database。
New option scanextended for the ftp and http variables. Scans for viruses and
worms using the extended database of virus definitions.

The extended antivirus data is available on newer FortiGate
models with more than one partition, for example:
• FortiGate-50B and FortiWiFi-50B
• FortiGate-60B and FortiWiFi-60B
• FortiGate-310B
• FortiGate-1000A and FortiGate-1000AFA2
• FortiGate-1000A-LENC
• FortiGate-3016B, FortiGate-3600A, and FortiGate-3810A
• FortiGate-5005FA2 and FortiGate-5001A
不過, ETDB檔案還真是大, 下載要花好多時間說!

Fortigate PID 查詢方式

張貼者: Andy Lee on 2009年5月20日 星期三 / 標籤: , / Comments: (0)
有時候會需要用到的小方法
CLI 底下輸入 fnsysctl ps

這樣就可以看到PID囉!

MWsnap0789

Spanning Tree Song

張貼者: Andy Lee on 2009年5月12日 星期二 / 標籤: / Comments: (0)
沒想到~
Spanning Tree 也可以用唱的...