Fortigate szabály létrehozás gond

Megválaszolt
0
0

Van egy Fortigate eszközöm, amin néha nem tudok szabályt létre hozni. A problémát újraindítás megoldja. Véleményem szerint az nem állapot, hogy pár hetente egy tűzfalat újra kell indítani. Tudnátok segíteni, hogy mi okozhatja a problémát, merre keresem a megoldást?

Legjobb válasz
1
1

Igen, a FortiGate-d Conserve Mode-ba került.

Ezt a harmadik sorban láthatód a conserve mode:  on-mem -ban

 

Conserve mode arra szolgál, hogy védje az eszköz memóriát, hogy túl sokk memória használat esetén is működő képes maradjon. Abban az esetben, ha a szabad memória  20% alá kerül lép be, majd akkor tud kilépni, ha 30% eléri. Itt tudsz többet olvasni róla:

http://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortigate-security-profiles-52/Other_Profile_Considerations/Conserve%20mode.htm

 

Érdemes ilyen esetekben a memória használtságat optimalizálni.

Javasolnám a következő funkciók deaktiválását, ha nem használód:

  • Bizonyos (http, FTP, SMPT POP, IMAP) protokolok ellenőrzését
  • Memóriába való logolását
  • DHCP server
  • Néhány IPS signatura

Érdemes lehet a vizsgálandó file méretét is minimalizálni 2-3 Mb-ra. A CLI-ben a következő modon kell megtenni:

config firewall profile-protocol-options

edit <the name of the profile>

config [http|ftp|pop3|smtp|imap]

set oversize-limit 20

end

0
0

Ma megint volt egy hasonló szituáció.  Futtatam a parancsot és ezt láttam

 

# diagnose hardware sysinfo shm

SHM counter:          139

SHM allocated:      16384

SHM total:     1272930304

conserve mode:  on-mem

system last entered:  n/a

sys fd last entered:  n/a

SHM FS total:  1302220800

SHM FS free:   1302175744

SHM FS avail:  1302175744

SHM FS alloc:       45056

 

Most akkor ebben a Modeban van az eszköz? Ez mit jelent? Hogyan tudnám megakadályozni, hogy hetente újra kelljen indítani? Kezd elegem lenni belőle.

0
0

Szia Tamás!

Köszi a segítséget, beállítottam mindent, egyelőre jónak tűnik!

R

0
0

Szia

Első hallásra nekem olyan mind, ha Conserve Mode-ba lépne az eszközt.  Kérlek a CLI-ba a következő parancsot futtasd le, amikor nem tudsz szabályt létrehozni:

# diagnose hardware sysinfo shm

A Conserve mode sor lesz érdekes, hogy milyen állapotot mutat. Kérlek cstold be!

Meg tudod nézni az event logokat is, hogy szerepel -e az üzenet részben a conserve mode.

 

Üdv Tamás

 

4 eredmény megjelenítése
Saját válasz

A küldéshez először .