5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Fortigateについて語ろう2

1 :名無しさん:05/03/07 18:33:03 ID:FJcCyjzr
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
最新FortiOSバージョン
FortiOS v2.50, MR11, build 321
FortiOS v2.80, MR8, build 359

前スレ Fortigateについて語ろう
http://pc5.2ch.net/test/read.cgi/network/1065104846/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

2 : :05/03/07 18:40:50 ID:???
気がついたら無かったのでたててみました。

3 :_:05/03/07 22:07:50 ID:???
>>1
だからそのForitinetのマワシモノみたいなのやめろって言ったのに・・・。
まっ、いいや。
3ゲット ズサ━━━━⊂(゚Д゚⊂⌒`つ≡≡≡━━━━!!

4 :anonymous:05/03/10 12:31:42 ID:???
いつのまにか落ちてたんだね
>>1

5 :FG-60:05/03/15 22:16:39 ID:???
FG-60でFortiOS2.5 MR10ですが、2.5 MR11と2.8MR8のどちらにアップデートするのが宜しいでしょうか。

6 :FG50A:05/03/15 23:39:27 ID:???
>>5
設定を全く変えたくないのであれば2.5 MR11にした方がよいでしょう。
2.8にすると2.5で出来ていた事が(同じ様な定義では)出来ない事があり、そのような場合当然設定も引き継がれません。

7 :FG-60:05/03/16 06:54:47 ID:???
>>6
Thanks
CLIが変わるのと、保存している設定ファイルはリードエラーになるのは
理解してましたが、やはり引き継がれない設定があるんですね。
引き継がれない設定の内容にもよりますが、試すのも大変なので、FG-60
でもあるので、2.5MR11にアップデートすることにします。

8 : :05/03/19 23:54:48 ID:D8xvGeSE
 

9 : :2005/03/21(月) 20:50:13 ID:???


10 :anonymous:2005/03/24(木) 20:33:02 ID:Y/dmOfk9
ほぜん

11 :FGate60:2005/03/26(土) 23:43:06 ID:???
FG60だけど、ちょっとネットワーク負荷をかけると落ちるような気が・・・
検証取った人いない?単にハズレつかまされたのかな

12 :_:2005/03/27(日) 02:36:55 ID:???
>>11
落ちるというのは、リブートが必要なぐらいのハングアップを指しますか?

13 :anonymous@ flets-a-west-10-14.dsn.jp:2005/03/29(火) 06:04:50 ID:KFPc5dsw
fortigateシリーズってどこで買うのが賢いですか?
ネットショップでも4割引ぐらいざらですね(価格があってないようなものね)

14 : ◆0EJSkWyUSA :2005/03/29(火) 23:53:56 ID:???
>>13
Fotgateはサポートしっかりしているベンダーを選んだほうが無難。
価格だけで選んでいると痛い目にあうよ。

15 :anonymous:2005/03/30(水) 02:14:12 ID:???
>>14

ベンダーだけ選べば、ちゃんと動作しますか?
止まったりせずに。
あとスループットも出ますか?


16 :FGate60:2005/03/30(水) 02:22:31 ID:???
>>12
ええと、FGは繋がるのですが、FG以下にあるネットワークが遮断されてしまいます。
で再起動すれば繋がるようになります。
モニターのCPUやメモリが特別高くなっているわけでもなく、メモリ55%ぐらいでもなったりします。

ちなみにMR10 2.50,build299 トランスペアレントモードで、IMAP/POP/SMTPに
ウィルスチェックしてます。HTTPにチェックはいれてないっす。

はっきり検証は取ってないのですが、自己調査では10Mbpsぐらいの
ネットワーク負荷(http)を急激にかけると、ネットワークが切れるような気がします。
厳密にこうすれば繋がらなくなる、といったところまでは調べられてませんが。

17 : ◆0EJSkWyUSA :2005/03/30(水) 20:27:17 ID:???
>>15
動作はベンダーでも保証できないと思うよ。
不安定な機器なので何かあったらサポートが良いベンダーのほうが良いってことですよ。
FW機能だけ使うか、AntiVirus機能だけ使うかにしたほうがいいみたい。
FW+AV+NIDS+Webフィルターなどオールインワンで使うとダメみたいですよ。


18 :_:2005/03/31(木) 00:31:43 ID:???
>>16
急激に負荷をかけるということですが、セッション数はどれぐらいですか?
こういう箱型は新規セッションを一斉に張るとツライんでね。

19 :anonymous@ K048220.ppp.dion.ne.jp:2005/03/31(木) 01:24:33 ID:Tq/cFVNm
>>15
17に追加。
サポートがあるないより、サポセンの質って大事。FGだけじゃないけどね。
ウェブUIとCLIで設定できるパラメーターも違ってたりするし、そういう部分も
教えてくれる代理店で買ったほうがいいと思うよ。

20 :FGate60:皇紀2665/04/01(金) 01:24:53 ID:???
>>18
モニターのセッションは9600ぐらい。
FG60の新規セッション、2000/sを超えてるってことなのだろうか。

規定の数値を超えると、逝ってしまうんですかねぇ。トホホ

>>17
AntiVirus機能しか使ってませんが、不安定です_| ̄|○

まぁ、上位機種を使えってことか。。。

21 :400A:livedoor06/04/01(金) 21:56:09 ID:???
今度職場でウィルスチェック専用に
400Aを入れる予定なんだけど、
このスレ読んでると不安になるな(w

22 :_:livedoor06/04/02(土) 00:20:43 ID:???
>>20
イクかどうかわからんが、相当な負荷が掛かっていると思います。
モニターセッション9600ってWebサイトでいうと、そこそこの人気サイトの
セッション数かと。

23 : ◆FG200xXuLw :2005/04/07(木) 09:20:29 ID:???
2.8MR9がリリースされてますね

24 :FG-50A:2005/04/07(木) 21:17:22 ID:dfb7oOTc
>>23
入れてみましたけど、細かい所に不具合がありますね。

25 :FFF:2005/04/08(金) 00:15:05 ID:???
>>24
どんな不具合?

26 :FG-50A:2005/04/08(金) 07:34:39 ID:???
>>25
一部日本語表示の場合の文字化けとか、IPSで無効なモノを有効化するとエラーになる。

27 : ◆FG200xXuLw :2005/04/12(火) 11:50:56 ID:???
>>26
確かに、Eメールコンテンツアーカイブが化けてますねぇ〜
charset=UTF-8を他のページと同じように、charset=x-sjisにするだけなのに・・・

28 :FG100A:2005/04/14(木) 16:17:20 ID:???
FG100A買って3日目ですが、ファームを2.8MR9にしたらつながらなくなりました。
MR8に戻してfactoryresetしてもだめ。
PPPoE接続はできているようですが、INTERNALのPCからのwebやメール送受信できません。
ブラウザの設定画面は出ます。
どうすればいいでしょうか…


29 : ◆FG200xXuLw :2005/04/14(木) 17:27:08 ID:???
>>28
とりあえず、ポリシーを見直して見ましょう
NATの有効/無効、該当クライアントのアドレス・サービスが許可されてるかとか

30 :anonymous@ YahooBB219174044173.bbtec.net:2005/04/14(木) 17:34:50 ID:KHKCdNNm
深田恭子のノーパン姿をカメラで捉えました!
超濡れてるます(笑)誰に感じてるんだか。

http://messages.yahoo.co.jp/bbs?action=m&board=1835068&tid=a1ybdibf4bcta4na5ga58a5aba5a9xffeajclbdja1y&sid=1835068&mid=6805

31 ::2005/04/14(木) 22:56:09 ID:???
FGは糞な割にユーザは多いよね

32 :28:2005/04/14(木) 23:42:18 ID:???
>>29
とりあえず1IPでなんとか外に出られるようになりました。
でも、本当にやりたいのは
固定8IPでWAN1はPPPoE unnumbered接続+DMZ1にグローバルIPのサーバ4つ+InternalにクライアントPC数台
なんですが、これがどうしてもできません。
普通こういうことはしないんでしょうか。
今までは別のルータでできていたのですが…


>>31
糞かどうかは判断できませんが安いからですかね。
とりあえず試してみようかなと言える値段ですから。

33 :FG-50A:2005/04/15(金) 01:19:56 ID:???
>>31
前にもPPPoEのunnumberedだと問題が出る(特に2.80)ような事が言われていたようですが、やはり良くないという事でしょうか?

34 :login:penguins:2005/04/15(金) 11:55:32 ID:???
>>32

FGは使って無いけど、他社のAntiVirus Gateway は使ってます。
うちとこは、以前固定8IPでしたが、いま、固定1IPで、自鯖活用してます。
NAT変換で十分だし、場合によってポート変換も併用して、複数公開することも可能ですね。

光が2セッション張れるので、保険を兼ねて安いISPも契約して、
自鯖は固定IP、LAN→WANは動的IPです。

35 : ◆FG200xXuLw :2005/04/15(金) 13:11:47 ID:???
>>32
うちはFG200で似たような構成だけど出来てるよ
固定8IPでExternalはPPPoE unnumbered接続+DMZにグローバルIPのサーバ1つ+InternalにクライアントPC数10台
DMZにアドレス振ろうとすると、duplicate addressだかduplicate subnetってエラーが出るパターン?
それならこれを、CLIで設定したら直らないかな

config sys global
(global)# set allow-interface-subnet-overlap enable

36 :28:2005/04/15(金) 18:16:36 ID:???
>>35
ありがとうございます。やってみます。
CLIですか…マニュアル印刷しよう_/ ̄|○


37 :GPL violations:2005/04/15(金) 23:13:32 ID:???
隠すのはよくないな。
エレコム騒動の時のように、うさんくささが増すから。

38 : :2005/04/16(土) 09:28:28 ID:???
>>21
すなおに、サーバタイプのウイルスゲートウェイ製品買っておくのが吉
クライアントはSymantec系エンジンのやつ買って、ウイルスゲートウェイは
トレンドマイクロ系エンジンのやつでも買っとけ

39 : :2005/04/18(月) 13:38:28 ID:???
>>37
これね。
ttp://japan.cnet.com/news/biz/story/0,2000050156,20082820,00.htm

前略
> 同プロジェクトによると、Fortinetは、同社のFortiGateやFortiWiFiといった製品
> に組み込まれているオペレーティングシステムでLinuxを使用しているという。
> 「FortiOSには、Linuxカーネルのほか、GNU GPLに基づいてライセンス供与され
> ているフリーソフトウェア製品が多数使用されている。(しかし)Fortinetはこの事
> 実を公表しなかった」とGPL Violationsプロジェクトは述べた。

40 :anonymous@ SDDcd-02p9-39.ppp11.odn.ad.jp:2005/04/21(木) 18:24:26 ID:5wYXqNez
これで、WEBのコンテンツフィルタリングとかP2Pのブロックって可能?

41 : ◆FG200xXuLw :2005/04/23(土) 10:16:35 ID:???
>>40
できるよ
コンテンツフィルタリングにはFortiGuardライセンスが必要(別途有償)
どのP2Pをブロックしたいのかわからないけど現状だとシグネチャのP2Pカテゴリーには以下のが登録されている
bit_torrent、edonkey、gnutella、kazaa、skype

42 :  :2005/04/24(日) 00:10:54 ID:???
>>41
WinMXやWinnyが筒抜けじゃあ、F/Wの意味ないじゃん

43 :FGT-60:2005/04/26(火) 10:58:40 ID:TD4wSvpP
ファームを2.5->2.8にUPしてConfigをBackupしたらTextEditor等で見れなくなってしまった。
Telnetで入ってget config **** で項目ごとに表示してコピペすりゃぁいんだろうけど、
箱は遠い彼方にあってリモートで入れる環境でもない。
Configをドキュメント化して残しておきたいんだけど、何か良い方法はないか。


44 :anonymous:2005/04/26(火) 22:30:32 ID:???
>>43

当然、そういう用途なんだから、社内に検証機があるでしょう。
それにバックアップしたConfigを流し込んで、、
以下は、ご自分で書いているような手順を行えばいいんでは?


45 :_:2005/04/27(水) 07:37:43 ID:???
>>43
All Configuration FilesをダウンロードするとDebugLogも一緒に落ちてくるんじゃ
ないかと・・・。

2.5のようなコンフィグファイルが欲しい場合は、System Configurationだけを
ダウンロードすればよいかと。

46 :FG-100HA:2005/04/27(水) 13:34:39 ID:???
>>43
All Configuration Filesはたしかtar.gz
とどっかに書いてた気がするので
そのままでは無理ですね

>45 のいうとおり個別におとせばterapadとかで見れます

47 :45:2005/04/27(水) 23:41:47 ID:???
>>46
>All Configuration Filesはたしかtar.gz

ありがとう。偶然にも今日突然俺の元にこのファイルが送られ
途方に暮れていたところでした。

48 :FG-50A:2005/05/07(土) 14:34:58 ID:???
何時からか2.8系でSMTPのウィルススキャンをした後に、本来メールを受け取るべき所にメールが届かなくなったが、動作仕様が変わったのだろうか。

49 :FG3000:2005/05/08(日) 05:24:20 ID:???
>>48
splice 機能を無効化できない、って言う事?

splice 機能 : ウィルス付メールが来た場合に、送信者に返す
splice 機能無効化 : ウィルスを削除して、代わりに削除済メッセージを添付して配信

2.8 からは SMTP/FTP の splice は無効化出来なくなったみたいだけど。
(クレーム多発で将来のリリースでは無効化機能をつける、と代理店からは聞いてるが)


50 :RFC2821:2005/05/08(日) 12:32:47 ID:???
>> 48
FortigateはMXフォールバックしない (secondary MXが意味をなさん -> primary MX が動いていないところに届かん)


51 :FG-50A:2005/05/08(日) 12:40:35 ID:???
> splice 機能無効化 : ウィルスを削除して、代わりに削除済メッセージを添付して配信
途中までウィルスが削除されて、本来受け取るべき所に警告メールが届いていた記憶がある。
2.5の時はそうなっていなかった。
所がある時点(FortiOSのバージョンを上げていって)で、それが無くなった。

52 :FG-50A:2005/05/08(日) 14:33:37 ID:???
> 所がある時点(FortiOSのバージョンを上げていって)で、それが無くなった。
2.8のある時点からと言う事です。

53 :_:2005/05/09(月) 01:32:02 ID:???
前スレから話題にあがっていた件のメール送信先のMXレコードが2つ以上あり、
プライマリメールサーバが落ちている時にメールが届かなくなる件ってのは
一体どうなったのでしょうか?
結局>>50が結論なのでしょうか?

54 :FG-200使用中:2005/05/09(月) 14:29:54 ID:???
53氏へ
>>50が結論です。ほとんど仕様っぽいので現行では無理だそうです。
対応策としては 
[インターネット]---[送受信一次受け用メールサーバ]--[Fortigate]---[メールサーバ]
にするしかないみたい。


55 :53:2005/05/09(月) 22:15:36 ID:???
>>54
やっぱり仕様っぽいですね。これは2.8では直らないでしょう。
McAfeeのWebShieldもこの仕様のようです。

後はこの構成ですね。
InternalとDMZのみスキャンするという構成
# ズレたらスマソ
[インターネット]---[Fortigate]---[Internalクライアント]
            |
         [DMZメールサーバ]

56 :54:2005/05/10(火) 08:48:57 ID:???
53様へ

その構成の場合、通過ルールで
[Internal]←[DMZメールサーバ] 全てウィルスチェックなし
を明記しておかないと>>50の結論は回避できないと思われます。
僕(FG-200 2.5MR10)の場合、SMTPだけはずしてもだめでした(苦笑)
ちなみに、2.5MR10だとあんまり大きいファイルをPOP3で通過させると
落ちます。(10MB以上だったと思う)<要は通過に16秒以上かかると
だめ。>
2.5MR11では、いくつか対策がされているらしいが、完璧ではないみたい。

・・・・・早く安定してくれ(−−;A


57 :53:2005/05/10(火) 23:26:02 ID:???
>>56=54様
私の知る限り実績は無いのですが、DMZ→WANのウィルスチェックを無し
INTERNAL⇔DMZはウィルスチェック有りで大丈夫だと思います。
そもそも、>>50の現象はFortigateにメールがスプールされた後、
セカンダリMXに回さずエラーになる現象なので。

INTERNAL→DMZのPOP3の問題は十分考えられますね。
この辺りはメールサーバでファイルサイズを制限するか、
ファイルブロックを使用して回避するしかないですね。

58 :54:2005/05/11(水) 10:57:26 ID:???
>>57=53様
ありがとうございます。<internalじゃなくてインターネット(WAN)ですね。(^^;A
書き間違えていました。



59 ::2005/05/16(月) 00:43:52 ID:???
なぜだか客受けはいいよね>Fortigate
うちでは笑ってごまかせるお客さんにしか売らない

60 : ◆FG200xXuLw :2005/05/16(月) 08:35:24 ID:???
ダウンロードサイトにいつの間にかGPL関連文書があるのね

61 :anonymous@ dial.sunfield.ne.jp:2005/05/16(月) 15:57:39 ID:???
>>59
安いから。

62 : ◆FG200xXuLw :2005/05/16(月) 16:02:57 ID:???
価格.com問題の検体を送っておいた
検体送る時のチェックではウイルス無しって出たからスルーしてるんだろうなぁ〜欝だ

63 :anonymous:2005/05/16(月) 19:35:51 ID:???
>>62
うちはスルーでした

64 :anonymous@ 157.182.210.220.dy.bbexcite.jp:2005/05/16(月) 22:29:15 ID:SFdUs60F
Fortinet社、大変な事なってるね。
Fortigate販売停止になるのかな。

65 :_:2005/05/16(月) 23:01:49 ID:BMJlzCR5
>>64
Trend Microの特許の件です?
詳細不明ですが、あのHuawei/Ciscoでさえ和解できたしねー。

66 :-:2005/05/17(火) 00:38:00 ID:???
>>62
そのまま検体送ったんですか?
普通、蓮付きzipで送るものですよ。

>>64-65
今度はなんだ? ソースキボンヌ

67 : ◆FG200xXuLw :2005/05/17(火) 09:03:11 ID:???
>>66
検体はここから送りましたよ
http://www.fortinet.com/FortiProtectCenter/virus_scanner.html

普通はどこかの窓口にメールか何かで送るものなのですか?

68 :FG-50A:2005/05/17(火) 11:19:50 ID:???
>>66
http://terryip.exblog.jp/m2005-05-01/#1796078
とか?

69 :anonymous@ 157.182.210.220.dy.bbexcite.jp:2005/05/17(火) 19:39:05 ID:6x+GUaeo
>>66
ここにも。
http://nikkeibp.jp/wcs/leaf/CID/onair/jp/it/375031
フォーティ、こんなんばっかしだな(;´Д`)


70 :-:2005/05/17(火) 22:57:01 ID:???
>>62
ご、ごめんなさい。うpロードして送るって知りませんでした。
以前はメールで送るための窓口があったと記憶しております。

>>68-69
ありがとうございます。

>>69本文より
>同製品を米国から排除し、Fortinet社に停止命令を発行するよう勧告した

うーん、楽観視で構えます。
日本ではまだ大丈夫そうですね。それにまだ勧告だし。
これから対処していけば問題ないレベルでしょう。

71 : :2005/05/18(水) 10:03:38 ID:???
ゲートウェイとサーバーでウイルススキャンしてネットワークに入るのを防ぐってゴミみたいな特許だな。
日本ではこの特許通ってるんだろうか?

72 : :2005/05/18(水) 10:51:45 ID:???
蛇口と浄水器にフィルターつけました!
って感じか・・・

73 :login:penguins:2005/05/18(水) 11:21:51 ID:???
つーことは…
他メーカの同種の製品は軒並み「ボツ」ってことでつかね?

74 :_:2005/05/19(木) 02:08:42 ID:LJShQ8u7
>>70
勧告なら、まだ平気なのですか?命令じゃないからですか?


75 :_:2005/05/19(木) 05:51:48 ID:???
>>74

勧告に従わなかったら、高額の賠償金が待ってるね


76 :こりゃゴミ:2005/05/19(木) 23:18:52 ID:mZmKrtJR
営業はアホ、なにも分かってねー

77 :hoge:2005/05/22(日) 00:39:58 ID:???
>>76
藻前が使うからゴミなんだよ。

78 :anonymous:2005/05/23(月) 12:37:36 ID:???
スカイプとめるにはどうしたらよいでしょうか?
次から次へと...

79 : ◆FG200xXuLw :2005/05/23(月) 13:08:11 ID:???
>>78
2.8でIPS有効にすれば止まらない?

80 :取れんど?:2005/05/25(水) 23:48:56 ID:???
>>69
今から考えれば特許としてはあたりまえのようなもんだけど
特許には変わりなく過去にシマンテック、ネットワークアソシエイト、
マカフィーがやられてる。逃げようないでしょな。金とられるんかな。



81 :sage:2005/05/26(木) 15:54:18 ID:???
ぴゅー、、、ブルブル

82 :OJIN:2005/05/28(土) 12:23:34 ID:???
イッタイFortiノBugハイツナオルンダ?
モウガマンデキネー。ダレカヒキトッテクレ

83 :hoge:2005/05/28(土) 16:13:47 ID:???
>>82
ドノBugデナヤンデイルンダ?
ハイテラクニナリナ。
ダレカガカイヒサクヲシッテイルカモシレナイ。

84 : ◆0EJSkWyUSA :2005/05/31(火) 20:38:30 ID:???
最新ファームバージョンが
FortinetのHPに出てないんだけど、
どこかで確認できないかな?

85 : ◆FG200xXuLw :2005/06/01(水) 09:12:02 ID:???
>>84
リリースノートベースならここ
http://docs.forticare.com/relnote.html
サポートIDを発行されていればここからログインすれば見れる
http://support.fortinet.com/

86 :ハァ〜:2005/06/02(木) 01:44:46 ID:???
>>83
コキャクノテマエイエマセンナ、ナンセセキュリティ
ダカンネ。チョットイウナラIKE Phase2ノトコロ。
モウ1ネンイジョウカナ (T_T)

87 :GPL:2005/06/03(金) 01:12:41 ID:???
ところでLinuxをコードの中に隠してたって問題はどんなった
んでしょうか。最近入ったT内って営業どうよ。

88 :oh:2005/06/05(日) 20:33:02 ID:6wVPe/Vv
>>86

ズレるやつですか?

89 :anonymous@ 117.180.210.220.dy.bbexcite.jp:2005/06/06(月) 22:32:49 ID:lDHoeClq
UPnPに対応しないかな。
100を入れたいんだが、VoIPアダプタが使えなくなるのはイタイ。

90 :anonymous@ 210.255.183.126:2005/06/09(木) 14:15:41 ID:xIGQELVT
IPプールの使い方がヘルプみてもいまいち意味わからなさ(´・ω・) ス

91 :anonymous@ m023213.ppp.asahi-net.or.jp:2005/06/10(金) 00:08:42 ID:/oxNL3LZ
FG300Aが納品されました。
クイック以外のマニュアルが全て英語でした・・・・
どこかに日本語マニュアルはありませんか。
既出かもしれませんがご教授をお願いします。

92 :hoge:2005/06/11(土) 02:11:29 ID:???
>>91
俺が10万円でやってやる。
つーか、あんた英語読めないのに、この手の製品買うなんて無茶です。

93 :ガッカリ:2005/06/12(日) 15:53:11 ID:???
これってホトンドAVだけじゃんか、マジに使えるのは。

94 :あのにます@AS7743:2005/06/13(月) 17:30:43 ID:???
>>91 >>92に依頼したら?漏れでもいいけど。
とりあえずこのクラスの製品は自社でいじるんじゃなくて、業者に
設定させるのが基本だよ。コンシューマー向けの製品ではない。

それに担当者自身で対応すると、何かトラブルが発生したら自分で
対応することになるんよ?当然報酬なし。その辺も含めて業者に
投げたほうがいろいろ楽よ。

95 :anonymous:2005/06/13(月) 20:41:35 ID:???
>>93
InterScan等の代わりとして使うには十分 値段も安いし
この程度の価格のものに多くを望むほうが間違ってる

(珍しいもの大好きな客にこの機能も動かせといわれる前に
実用に耐えないやつはカタログから削除してほしいと思う今日この頃)

96 :anonymous:2005/06/15(水) 02:56:08 ID:???
>>95
AV 機能云々以前に、HA 構成で不具合が多いのはどうにかして欲しい。


97 :anonymous:2005/06/15(水) 16:18:44 ID:???
FW1みたいだね。あちらは付加機能以外の部分はきちんと動くけど。

98 :anonymous:2005/06/16(木) 12:59:09 ID:???
AVが動けばそれでいいよ
httpのスキャンをもう少しまともにしてくれ

99 :stray sheep:2005/06/16(木) 23:37:12 ID:???
>>95
それではパンフを信じて買うとサギにあったようなもん?(怒)
授業料としては高いデス、小企業にとっては(泣)
それに子の価格で業者に頼むと機器代に比べ高くなる(泣泣)
MSPからサービス買ったほうが安いの?(泣泣泣)

100 :anonymous:2005/06/17(金) 01:23:26 ID:???
>>99
>サービス買ったほうが安いの?

安いけど動かないもの vs そこそこの価格で性能それなり
vs 値段それなりだけど性能良いもの 
vs 値段高いけど性能良いもの
vs 値段高い上、まともに動作しないもの

の比較で考えれば、自分に向いているのは何かすぐ判断できるかと。


101 :anonymous:2005/06/17(金) 06:57:45 ID:???
>>100
安くて性能が良いもの、という選択もあるのでは?

102 :anonymous:2005/06/17(金) 06:58:14 ID:???
それにしても、ここの1の内容どうにかしてくれ。。。

103 :3:2005/06/17(金) 08:03:11 ID:???
>>102
俺は前スレの時に辞めろって言ったんだけどな・・・。

104 :anonymous:2005/06/17(金) 10:16:30 ID:???
>>101

そういう製品が現実にあれば、教えてください。(w
もちろん、安いの基準は、同等他社製品との比較で、価格帯比較じゃなしで。

いや、釣りじゃなく、本気で知りたい。

105 :FG-50A:2005/06/18(土) 09:16:02 ID:???
FortiOS v2.80, MR10が出ましたね

106 :_:2005/06/18(土) 21:55:54 ID:???
>>96
H/Aはまともに動く製品の方が珍しい
粗探せば大抵の物は安定しないよ

>>104
Fortigate
普通にFW+VPN+AV使える。それ以上何を望む?
IDSは期待しちゃいかんけどな

107 :FG-50A:2005/06/19(日) 06:48:18 ID:???
>>106
FW+VPN+AV併用して全く問題ないですか?

108 :anonymous:2005/06/19(日) 12:57:45 ID:???
>>107

思いっきり問題出るのは既出ですが。
>>106は信用できない。


109 :_:2005/06/19(日) 21:02:33 ID:???
>>107
全く問題無いとは言えないけど許容範囲かな
使い方間違わなけりゃ十分ですよ

>50前後の問題意識とAVの上限サイズを1Mで縛る
VPNはIPSecで10ユーザー以内
ポリシー数は20行程度といった小規模ユーザーでは無問題です
クリティカルだからとうるさいユーザーでは役割分担させてますが
それでもFW&AVは無問題です

>>108
H/Aより経路冗長が好きなんで悩んだ事無いな
大きな問題あるなら文句言う前に回避方法考えた方が建設的だと
思います

110 :anonymous:2005/06/20(月) 00:11:42 ID:???
>>109
>回避方法考えた方が建設的だ

だから導入を回避してます(w


111 :    :2005/06/20(月) 15:24:09 ID:???
メモリ使用率が79%
そろそろ死にそうだな

112 :anonymous:2005/06/20(月) 17:54:08 ID:???
CPUが常に80%超えてますけどこういうもんなんでしょうか?
FG200です

113 :FG-50A:2005/06/20(月) 19:07:19 ID:???
>>111
機種名とFortiOSのバージョンは?

114 :    :2005/06/21(火) 10:40:40 ID:???
>>113
Fortigate-300 2.50,build321,041217

115 :_:2005/06/21(火) 12:58:00 ID:???
>>110
それも選択肢の一つだな。
というか入れてないなら文句言うな。

>>112
異常。ユーザー数と用途は?

116 :anonymous:2005/06/21(火) 19:23:33 ID:???
>>115
>入れてないなら文句言うな

客に説明して納得して貰う時間がロスだから文句言いたいぞ(w


117 :FG60:2005/06/21(火) 23:07:14 ID:???
で、FortiOS v2.80 MR10の調子は?

118 :118:2005/06/22(水) 22:06:40 ID:RoxcPx/B
2.8MR8です
固定IPを取得しています
公開サーバをたてたいのですが、設定が分かりません
英語のヘルプを翻訳したのですが、いまいち理解できません

119 :anonymous@ cable.kds.kodensha.co.jp:2005/06/23(木) 00:10:45 ID:???
>>118
>英語のヘルプを翻訳したのですが、いまいち理解できません
だから?

120 :_:2005/06/23(木) 00:15:03 ID:???
>>119
w会社からかよ。。

121 :anonymous:2005/06/23(木) 01:14:30 ID:???
>>119

こんなところからは買いたくないな。
サポート態度悪そう(w


122 :anonymous:2005/06/23(木) 07:12:29 ID:???
http://www.kodensha.co.jp/

123 : ◆FG200xXuLw :2005/06/23(木) 08:57:27 ID:???
>>118
基本的には、バーチャルIPの所でNAPTの設定をして
それに対応する、ポリシーを作成すればOK

公開サーバはHTTPでしょうか?
固定IPが1つの場合には、80ポートがFG自身の管理ポートと
重複して使えなかったような気がします

複数固定IPならば特に問題ないです(私も実際に運用してます)

124 :test:2005/06/23(木) 09:25:57 ID:???
>>118
〜したいのですがいまいちってのもよくわからん
愚痴なのか教えてほしいのか・・・
新人くんか?

125 :ハァハァ:2005/06/23(木) 14:34:57 ID:???
>>122
>>119 真ん中の列の左から2番目の娘紹介汁!

126 :hoge:2005/06/23(木) 22:00:18 ID:???
>>119
俺にも真ん中の列の左から2番目の娘紹介汁!
いや、紹介してください。おながいします。

127 :FG-50A:2005/06/24(金) 06:15:08 ID:???
>>114
50Aとか60で2.8の場合は、何もしてない状態で50%以上のメモリを使うような状態になっていたので驚きましたが。
300で2.5でと言う事は、過負荷気味なのではないでしょうか。


128 :anonymous:2005/06/24(金) 07:10:01 ID:???
>>126
遠目だからなぁー、しかし新人もいい迷惑だね。

129 :_:2005/06/24(金) 10:09:13 ID:???
>>125>>126
喪前ら・・・・・・。ワロス
漏れも覗いちまったーよwww


>>123
親切な人っすねぇ。ちなみに固定IP一つでもOKですよ。
外からFortiの80番を使わなければ無問題
うちみたいな貧乏会社はそれで運用

管理用のポート番号って変更出来ないのかな?

130 : :2005/06/25(土) 11:45:17 ID:???
>>125-126
よほどかわいい子かと思えば・・・orz 研ナオコか。

>>118
馬鹿か。
無能が。

131 : :2005/06/25(土) 11:57:40 ID:???
俺は真ん中のコがいいなぁ

132 :login:penguins:2005/06/25(土) 15:38:20 ID:???
質問でつ。
Fortigate って、コンソールとかターミナル使って、root権限で
中覗けるんですか? configファイルをいぢるとか…

133 :FG-50A:2005/06/25(土) 18:04:07 ID:???
>>132
出来ますよ。

134 :anonymous@ YahooBB221029142006.bbtec.net:2005/06/25(土) 20:51:34 ID:???
Fortigate 100とYamahaのRTX1000とで、IPSecのVPNルーティングすることは
できますか?両方ともFTTHの固定IPです。RTX1000のIPSecはトンネルモードです。

もともとRTX1000同士でと思ってたのに、なぜか相手がFortigateを用意してしまって
しかも設定はしたことない、とか言われて困ってます。

当方のRTX1000の設定はこんな感じですが、
これと接続するためのFortigateの設定を優しく教えてくださる方はおられませんかね。

tunnel select 1
tunnel name hogehoge
ipsec tunnel 100
ipsec sa policy 100 10 esp 3des-cbc sha-hmac
ipsec ike local address 10 192.168.0.1
ipsec ike pre-shared-key 10 text himitu
ipsec ike remote address 10 10.0.0.1
tunnel enable 1


135 :_:2005/06/27(月) 11:17:06 ID:dwAmuS2f
>>134
前スレからここの住人には世話になったので要点だけ

解決策1
接続先にRTX1000を買わせる。
Fortiはヤフオクにでも出品汁。漏れが入札する。

解決策2
マニュアルを100回(ry

解決策3
Fortiでガンガル
1.FortiにIPSecGW作る。(VPNのところな)
 リモートGWのアドレスはYAMAHAのGlobal-IPになる罠
2.FortiとYAMAHAの暗号方式とプリシェアードキーを統一する。(Phase1,2のところ)
3.トンネル張りたいネットワークのオブジェクトを作る(Firewallのアドレスのところ)
4.「3」で作ったオブジェクトをソース、ディストにしてencryptポリシー作る(ポリシーのところ)
5.VPN関連のログ出力させながら調整する。(ログのところ)
ワカランところはマニュアルか販売店(ry


FortiClientでAntiVirusやFirewall入れたらHTMLメールが受信出来なくなった。
※HTMLそのままなら取れるがテキストに変換する設定やメーラーだとNG
 「shutdown」していても駄目

消したら取れるようになった。余計な機能は入れたらアカンね。

136 :    :2005/06/27(月) 17:02:14 ID:???
>>127
リブートしたら45%まで減ってその後徐々に増えつつあり、今は50%。
3−4ヶ月したらまた80%ぐらいいきそうな悪寒

137 :anonymous@ mokotan.st.wakwak.ne.jp:2005/06/27(月) 18:00:44 ID:???
Fortigate-50A 2.80,build318

Firewall機能のProtection Profileで
ファイルサイズが設定値をオーバーしていた際の挙動は「pass/block」だけしか
設定できないでしょうか。
ある拡張子はオーバーサイズしていた場合はpassするといったことをしたいです。

138 :updated:2005/06/28(火) 01:06:58 ID:???
拡張子なんて飾りです。

139 :134:2005/06/28(火) 09:27:05 ID:???
>>135
ありがとう。ほんとは1にしたいけど、せっかくだから2、3でやってみます。

140 :FG-50A:2005/06/28(火) 17:21:45 ID:???
FortiGateのVPNは安定稼働するのですか?

141 :FG100A:2005/06/28(火) 17:45:40 ID:???
v2.80MR10が出てますが、どんな感じですが?
まだ様子見ですか?

142 :_:2005/06/28(火) 21:36:40 ID:???
>>141
現状に問題あるなら入れてみれば?
検証結果よろすく

143 :FG-50A:2005/06/28(火) 21:42:36 ID:???
>>141
FG-100Aに入れましたが、前のモノと大幅な違いは感じられません。
# IPSの設定の不具合は直っていない。

一部日本語表示の文字化けが直っていましたが...

144 :hoge:2005/06/29(水) 02:04:03 ID:???
もうすぐXデーですが、代理店のみなさん元気ですか?

145 :anonymous@ 210.255.183.126:2005/06/30(木) 16:33:38 ID:???
>>140
本部:FG-200
拠点:FG-100x2、FG-50x2
で運用中ユーザー数は500ちょいなんだけど、ちょっと怪しい
たまーに本部側FGがずっこける

146 :anonymous:2005/07/01(金) 07:11:07 ID:???
>>145
子供の頃、御社のりんごドリンク(アルミコーティングパック封入)をよくのんでおりました。
冷凍させてアイスにしたり。

先日DSでロングライフ牛乳と同じパックにはいった100%りんごジュースも見かけました。
うまかったですよ。

147 :忘れてたw:2005/07/01(金) 10:32:52 ID:???
>>146
いまだ現役で生産してますよ。子供には根強い人気みたいです
ここに住所を名前書いていただければ1ケースお送りいたしましょうか?

148 :anonymous:2005/07/01(金) 16:05:23 ID:???
>>147
藁!

149 : :2005/07/01(金) 22:09:36 ID:???
Netscreen+サーバ型VirusGateway>>>>>>>>>>Fortigate

150 :>が9つぐらい多い:2005/07/02(土) 15:19:12 ID:???
>>149
誇張は止めろ
あおりかタダのアンチととらわれる

151 :login:penguin:2005/07/02(土) 17:23:55 ID:???
FortiGate ライセンス形態変更について

1.FortiGate ライセンス変更
従来FortiGate 本体には初年度保守(1 年間)およびAntiVirus、IPSをバンドルして
おりましたが、2005 年8 月1 日より本体の初年度保守(1年間)バンドル、それ以
外は追有償加オプションとなります。

2.FortiGuard サブスクリプションサービスについて
2005 年8 月1 日より、FortiGuard サブスクリプションサービスがFortiGate の追加
オプションとして新たに発売となります。

ttp://www.forvalcreative.com/jpn/pro/fortigate/pdf/fgt050801.pdf

152 : :2005/07/02(土) 19:07:21 ID:???
>>150
まあFortigateに何を求めるかにもよるのかな
サーバ型VirusGatewayのかわりを求めるなら、Fortiでは物足りないし、
SOHOなんかでクライアントにウイルスソフトを入れてるけど念のためとか、
インターネットの接続点でなく社内ネットの接続用だけどいちおうウイルス対策もしたいとかなら
ありかなって感じ

153 :anonymous:2005/07/04(月) 07:09:28 ID:???
>>147

可能でしたらこちらへ寄付してあげてください。

愛の家保育園
〒171-0051 豊島区長崎4-11-3


154 :anonymous@ 210.236.173.98:2005/07/04(月) 19:31:58 ID:i1YLgEyE
ド素人ながら、短大のネットワーク管理をやらされています。
ほとんど業者さんにまる投げの状況で情けない限りです。
このたび、予算がついてFortiGateを導入することになりました。
教員数約30人、学生数約700人の規模に対してFG-200Aの導入は適正でしょうか?

155 :sage:2005/07/04(月) 20:37:35 ID:i1YLgEyE
上の質問なかったことにして下さい.


156 :さげ:2005/07/04(月) 21:51:39 ID:???
>>151
これってトレンドマイクロの件が絡んでいるのかな?


157 :login:penguin:2005/07/04(月) 23:24:32 ID:???
>>154-155 いゃ〜ん 見えたん?

158 :hoge:2005/07/05(火) 06:05:30 ID:???
>>156
漏れと出入りの代理店はそう睨んでます。
ま、和解が上手くいったんでしょうな。

159 :anony:2005/07/05(火) 08:23:07 ID:???
>>157
Yes!高州クリニック

160 :login:penguin:2005/07/05(火) 14:30:40 ID:???
高須クリニック の件? って・・・ じゃなくて、

トレンドマイクロの件? って何? >>156

161 :: ::2005/07/05(火) 15:20:15 ID:???
>>64

162 :_:2005/07/09(土) 01:36:58 ID:???
>>157
はい三重ますたw

163 :FG-50A:2005/07/11(月) 21:35:40 ID:???
2.80のbuild456が出てますね。

164 :login:penguin:2005/07/11(月) 21:53:38 ID:???
Fortigate って、既出ウィルスはどの程度対応しているのでしょうか?
参考になるURLがあったら教えてください。

165 :(^o^):2005/07/12(火) 00:11:44 ID:WomUjLsu
ここから、調べて見てくださいな。
ttp://www.fortinet.com/VirusEncyclopedia/pages/encysearch.jsp

166 :login:penguin:2005/07/12(火) 10:33:21 ID:???
>>165 ありがとう m(_ _)m

0-9,A-Z でそれぞれ検索してみました 63310件(7/12/2005現在) でした。
これって、他社ソフトも同様に探せば、総数で検出効果の程は図れるのですかね… (*_*)?

167 :FGこわい:2005/07/13(水) 13:49:03 ID:???
今度FG500A2台でHA構成を組むんだが、注意する点や泣ける事ってあるかな?
ちなみにHAは、Active-Passiveだよ。
NAT-Routeモードで、AVはHTTPのみ、IDSやコンテンツなんちゃらは一切使わない。

うまく動くかな?

168 :anony:2005/07/13(水) 14:19:41 ID:???
>>167
2.5のMR??では待機側に反映されないバグがあったよね。

169 :hoge:2005/07/14(木) 01:33:11 ID:???
>>167
500Aぐらいだったら、Standby機の出番がないかも・・・。

170 :no:2005/07/14(木) 07:04:20 ID:???
>>169
そんなことはない
50だろうと500だろうと一緒。

171 ::2005/07/14(木) 09:17:02 ID:???
>>168
Aシリーズは、2.5のMRはサポートしてないです。

172 :hoge:2005/07/14(木) 22:52:56 ID:???
>>170
搭載メモリ量、CPU、、NICが違います。
同時接続ユーザ数にもよりますが、>.>167ぐらいの使い方だったら、
Active機がそう頻繁には落ちないと思います。
# あくまでも思うだけでっす。

173 :値上げ:2005/07/15(金) 00:09:02 ID:RLzf07yj
>>151
これについてどう思う?実質、保守料が倍以上の値上げ。
新価格になる前であれば、影響を受けない契約方法があるそうですが。

174 :FGこわい:2005/07/15(金) 10:42:33 ID:???
皆さんありがとうございます。
ちなみにWEBアクセスは、LAN側に設置したプロキシ経由(サーバ2台をLBで振り分け)
で行いますが、末端の端末は3500台ぐらいになります。

175 :_:2005/07/15(金) 11:50:07 ID:???
>>173
うーん、高い。というか安く無くなり魅力が半減した。
これもトレンドのせいか・・・。

>>174
インターネット接続回線の速度は?
H/Aより基本動作が心配かもよ

176 :FG-50A:2005/07/15(金) 12:06:30 ID:???
>>175
安くなくなり、動作も不安定では困りますね。

177 :FGこわい:2005/07/15(金) 15:07:52 ID:???
>>175
100M共有で最低20M保証の専用線です。
単純に機器が耐えられない可能性有り?

178 :_:2005/07/15(金) 15:43:55 ID:???
>>177
なんと素晴らしい回線。ウラヤマスイ・・・。
Fortiが耐えられない事は無いと思う。
が、エンドユーザーや串が耐えられない可能性はある。
というか串がやばいような・・・。現状無問題ですか?

クリック連打君に対応するため、スキャンサイズの上限を
5M程度にしとけばFortiはノントラブルでイケルでしょう。
ちなみに回線ショボイところは上限1Mに設定してます。
ではでは

179 :hoge:2005/07/15(金) 23:22:38 ID:???
>>173
ファイアウォール専用で使うと安くなるんですよね。
でも、アンチウィルスで一気に高くなるので困ってます。

そういえば、この件で社内でレポートを書く予定だったんですがすっかり忘れてました。
誰かInterScanの価格表が落ちているところ教えてください。m(__)m


180 :FG…:2005/07/15(金) 23:49:16 ID:???
スレ違いでスマソ。
Linux マシン必須だけど、F-Secure のゲートウェイは安いと思うよ。
安さで買った (^^; けど、まぁ満足かな。メジャー系は高杉。

181 :sage:2005/07/19(火) 12:48:58 ID:2pwINwpz
FortiGuard(コンテンツフィルタリング)って使えるんだろうーか?
↓ここで試すと日本のサイトも登録されてるみたいだけど。
ttp://www.fortinet.com/FortiGuardCenter/webfiltering.html

182 :FG-50A:2005/07/19(火) 16:32:55 ID:???
>>181
FortiGuardは有償サービスなので別契約です。
ただしお試し期間があったはず。

183 :FG…:2005/07/19(火) 18:38:22 ID:???
コンテンツフィルタリング…

バッファローのルータオプションサービスのコンテンツフィルタは激安(年額3〜4千円)だね。
製品ユーザしか試せないので使い勝手(効果)のほどは???なのだが…

使ってみたいけど、ルータ買い替える予定ないしな…

スレ違いスマソ。

184 :2.50latest:2005/07/19(火) 21:39:12 ID:???
>>183
バッファローはサーベリアンがのっているんだっけ?

185 :T_T:2005/07/20(水) 02:27:34 ID:???
ここのってFW専用ならルータのフィルタとかわんないデスかも
安いのは日本製がいいかも

186 :FG…:2005/07/20(水) 09:15:11 ID:???
>>184
バッファローの回し者じゃないけど (^^;  ちょっとググッテ見た。

■手軽で確実な対策が可能な「BUFFALOコンテンツフィルタ」サービス
ttp://bb.watch.impress.co.jp/cda/shimizu/7305.html

187 : :2005/07/22(金) 01:46:06 ID:???
現状はやはりサーバ型のウイルスゲートウェーと比べてかなり劣るからどうも使いにくいな
ただのFWやVPN装置だったらNetscreenがいいし

188 :FG… ◆6l0Hq6/z.w :2005/07/22(金) 09:48:23 ID:???
>>187
>現状はやはりサーバ型のウイルスゲートウェーと比べてかなり劣るからどうも使いにくい…
>ただのFWやVPN装置だったらNetscreenがいいし

って、どこがどのように劣るのか教えてくらさい… また、
Netscreen が良いというのはどういった点で良いのれすか… 後学のために… m(_ _)m

189 :anonymous@ 219.117.203.10.user.rb.il24.net:2005/07/23(土) 01:54:47 ID:???
>>187
サーバ型よりむしろ使い易いと思うが・・・。

NetScreenとも大差無い。値段でFortigate押すよ。
価格無視するならFirewall-1以上のFirewallは無いけど。

190 : ◆0EJSkWyUSA :2005/07/25(月) 21:21:21 ID:???
サポート登録したんだけど、
未だA/Vなどアップデートされないぞ。
なぜだ。

191 :FG-50A:2005/07/26(火) 16:25:13 ID:???
>>190
本体側の自動更新の設定をしましたか?


192 :sage:2005/07/28(木) 23:41:15 ID:???
...

193 :hoge:2005/07/29(金) 01:46:32 ID:???
>>188
NetScreenのVirtualRouter機能を有効に使えるのならNetScreenの方が良いと思う。
あとは1行のポリシに複数のオブジェクトを投入出来るようになった点か。(Rev5)
チョロチョロと設定変更するのであれば(ポリシのためのポリシが無い時)NetScreenの方が
良いかもしれない。


194 :FG… ◆6l0Hq6/z.w :2005/07/30(土) 02:50:15 ID:???
>>193 レス Thanks.
折角教えて貰ったのに悪いのでつが、製品名位しか認識ないので理解できません。m(_ _)m
いつの日か理解できる時が来るのを待ちましょう…

ところで、今日初めて Skype を使ってみました。ファイル転送などもできて便利そうだけ
ど、One Point Wall みたいな製品じゃないと、Skype みたいの使われちゃうとウィルス対策
などは無力なのでしょうか?

ルータ側で基本的に(出入)全部のポート閉じて、80や25/110など必要なポートだけを空け、
それ以外は不許可(使わせない)と言う方法しかだめなのかな?

どうしてもSkype 使うときは、それ様に特定のポートを固定開放した上で、ウィルス対策し
てないPCはネットに接続させない…とかかな?

195 :hoge:2005/08/05(金) 00:25:55 ID:???
>>188
もう一つ言うと、FortiGuardでライセンスが高くなったとはいえ、
手入力のWebフィルタとSpamフィルタは使える点ですね。
Spamとかメール系は良くわかりませんが、WebフィルタはSquidのサイトから
ブラックリストを拾ってきて、そいつをスクリプトでFortigateに合うように
書き変えれば、有害なサイトや広告ぐらいならそこそこブロックできます。

196 :-:2005/08/06(土) 23:44:39 ID:???
Ver2.8 MR10でSPLICE機能復活でつね。

197 :IMO:2005/08/10(水) 01:22:15 ID:???
Love Letter通してどおすんだ!
あっちうごかしゃこっちがおかしくなる
極めつけはアップグレードできねぇ
藻って替えれ

198 :-:2005/08/10(水) 02:14:13 ID:???
>>197
LoveLetterって・・・。まだあんなの生きてたんだ。

199 ::-):2005/08/10(水) 10:55:41 ID:???
・・・ from Canada♪

200 :-:2005/08/10(水) 22:32:45 ID:???
>>199
オッサントシバレルゾ(w

201 :Skype:2005/08/19(金) 18:10:58 ID:???
Skype って、どこだかの製品でしか止められないの?(名前失念 (^^; )
ブロードバンドルータやゲートウェイルータなどの設定で何とかする方法ってあるのでしょうか?

要は勝手にSkypeインストールしても使わせたくない…って感じ。

202 :_:2005/08/19(金) 23:30:06 ID:???
>>201
ProxyタイプのセキュリティGWだとp2p遮断可能やね
ポート番号までしか見れないルータやゲートウェイでは無理かな

期待出来んけどFortiのIPS機能使ってskype切れない?
つーか試したエロイ人、結果キボン

203 :anonymous@ f013adsl239.coara.or.jp:2005/08/22(月) 11:02:22 ID:k5gVB9th
ところで、FortiってSTPサポートしてますか。
FG----HUB---PC
| | |
+-----HUB---+
の構成でちゃんとブロックされるかってことなんですけど。
インターフェースはFG3000の10/100でどうかなと考えているのですが。


204 :_:2005/08/25(木) 19:32:31 ID:VqmeqUre
Fortinet特許侵害確定
トレンドマイクロのウイルス対策技術に関する米国特許に対するITC(米国際貿易委員会)の最終判決について
http://www.trendmicro.com/jp/about/news/pr/archive/2005/news050811.htm


205 :THE END:2005/09/02(金) 01:11:07 ID:???
↑これでフォーティは終わったな。少なくとも今年の上場は無くなった。
だいたい春に社員が流出。まともなら上場前には辞めないよな。
その後ストックオプションを積まれ上場時の濡れ手にアワをねらって
入社したアホが現社員だから堕ちるだけだな。

206 :-_-:2005/09/02(金) 21:45:40 ID:???
>>204-205
http://www.fortinet.com/news/pr/2005/pr080905.html
http://www.trendmicro.com/en/about/news/pr/archive/2005/pr080905.htm

とりあえず、両方読んで概要を説明してください。

207 ::-0:2005/09/03(土) 14:53:19 ID:???
>>206 ハイ!
http://translate.google.com/translate?u=http%3A%2F%2Fwww.fortinet.com%2Fnews%2Fpr%2F2005%2Fpr080905.html&langpair=en%7Cja&hl=ja&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_tools

http://translate.google.com/translate?u=http%3A%2F%2Fwww.trendmicro.com%2Fen%2Fabout%2Fnews%2Fpr%2Farchive%2F2005%2Fpr080905.htm&langpair=en%7Cja&hl=ja&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_tools

208 :-_-:2005/09/03(土) 19:19:29 ID:???
>>207
いやだから、概要を説明してくれって言ったんだよ。

209 :_:2005/09/04(日) 16:42:41 ID:i5ik0v/o
とりあえず、「特許に触れない製品開発して出す!」といっているんだな


210 :あらら:2005/09/07(水) 14:33:46 ID:???
本家記事を流し読みでカキコ
これからはAntiVirus機能はオプション扱いになるのか・・・
まさか8/1をもって「パターンファイルのダウソはオプション契約してね」
なんてアフォな事にはならんだろうなw

ところで今、50Aが一番安いところってどこ?
Webで発見した限りでは57000円台があったけど

211 :anonymous:2005/09/07(水) 20:28:50 ID:???
>>210
>「パターンファイルのダウソはオプション契約してね」

新規購入では、そうなったようですよ。


212 :-:2005/09/07(水) 22:12:34 ID:???
でも、コソーリとバンドル版というワケのわからんものが発売されている。

213 :orz:2005/09/08(木) 11:49:57 ID:???
>>211
…とすると、従来と同じ機能を持たせた場合、50Aだといくら位になるのかな?

214 :anonymous:2005/09/08(木) 14:33:10 ID:???
>>213

定価ベースだが
50A 本体価格  105000円
  アンチウイルス 27000円
  不正侵入検知  22000円
  コンテンツフィルタ  44000円
  アンチスパム   20000円

合計で、218000円ですね。(倍以上!)

215 :anonymous:2005/09/08(木) 14:35:22 ID:???
他のモデルも概ね同じ
ライセンス費は値引き少ないので、倍額では済みそうにないですね。

http://www.necsoft.com/solution/fortigate/spec/index.html

216 :    :2005/09/08(木) 14:41:02 ID:???
値段というアドバンテージが無いFortigateなんて・・

217 :anonymous@ n00027.com204.phs.yoyogi.mopera.ne.jp:2005/09/08(木) 19:04:55 ID:F7X8fPSE
PPPoEのユーザー名パスワードとか、NATとかの設定変更した場合って、必ずリブートしないといけないの??
ブラウザ上ではIPも引っ張ってきてるんだけど、繋がんない。。。
リブートしたら、繋がる。。。
これって仕様??
ちなみに機種は50A、ファームウェアは2.80,build456だす。。。

218 :anonymous:2005/09/08(木) 19:49:32 ID:???
>>216

だから、取り扱いを止めた、とか止めるのを検討中のところとかの話が
ちらほらと。。
買ったユーザーだけが泣きを見そうですね。


219 :anony-mouse:2005/09/09(金) 00:07:01 ID:???
FW-1からFortiGateへ移行って無謀なことやってんだけど
NAT部分の移行がうまくいかない・・・
HideNATって1つのルールで1個しかできないのかな

220 :-_-:2005/09/09(金) 01:57:04 ID:???
>>219
FW-1のNATの組み方にもよりますが、かなり無謀ですね。

やりたいことがイマイチ掴めないのでハズしてるかもしれませんが、
DynamicIP Poolを上手く使えばできませんか?

221 :anony-mouse:2005/09/09(金) 07:58:32 ID:???
>>220
できないことはなさそうだけど、既存環境がネットワークセグメント毎に
違うアドレスでHideNATしてるんだよね。

Anyでやってる部分をネットワーク毎にほどいてやれば大丈夫そうだけど
ルール数がどこまで膨れ上がるのか考えたくもないorz

222 :_:2005/09/09(金) 16:08:31 ID:???
>>216
倍でもFW-1の半額以下だし、Firewallライセンスだけなら
むしろ安くなったとも言える。

>>221
漏れならNW設計を変える。というか変えたい。
セグメント毎に出て行くIPアドレスを変更する必要があるのか?








としがらみを承知で言ってみる

223 :お前ななしだろ:2005/09/09(金) 17:25:32 ID:???
>>222
> 倍でもFW-1の半額以下だし、Firewallライセンスだけなら
> むしろ安くなったとも言える。

と、俺も思う。
SonicWALLと比べても安いし。
まあ200Aまでしか客先に入れたことないけど。

224 :orz:2005/09/09(金) 18:59:13 ID:???
>>214-215 レス Thanks.

>>222

Firewall 専用機とブローバンドルータについてるセキュリティ機能では、
どの程度の性能差(機能差)と言うか信頼性(?)の違いがあるのでしょうか?

個人を除いても、中小企業でブロードバンドルータのセキュリティ機能だけ
で運用されている所も多いのでは? と思いますが…

FW専用機を導入する目安を教えてください。

225 :anonymous:2005/09/09(金) 20:04:18 ID:???
>>224

1)社内から外部に公開するサーバがあるかどうか?
2)回線が複数の固定IPアドレスを持っているかどうか?
3)特定のところとのVPN接続が必要かどうか?

を大体の目安にしているかな。

226 :orz:2005/09/09(金) 23:11:37 ID:???
>>225 レス Thanks.

う〜ん。どれも1〜3万円程度のブロードバンドルータでも実現できると思うのですが… (*_*)?
個人的には決定打ではないと思いますねぇ…。

227 :-_-:2005/09/09(金) 23:23:03 ID:???
>>226
FW専用機を導入する目安って最近は難しいですね。
昔のSonicWallあたりの専用機はブロードバンドルータと
大差無いと思います。

最近のFW専用機導入の目安は上位レイヤーを
どこまでチェックする必要があるかという点じゃないでしょうか?

あまり良い例えじゃないですが、ブロードバンドルータだけで
運用し、その会社の社員がネット犯罪を犯した場合、
犯人の特定が難しいですね。

228 :anonymous:2005/09/10(土) 00:14:15 ID:???
>>227

最近のブロードバンドルータでもチェックできたりするから、、(汗)
どのみち、その場合syslogサーバとかは使うんでしょ?


229 :_:2005/09/10(土) 00:47:26 ID:???
>>224
中小ならブロバンルータでも十分

ポリシーがどの程度複雑で変更があるかだと思う
ルータでごちゃごちゃ変更するのはダルイ

ログは確かに大差無い
CheckPoint>>>>>Fortigateその他FW機>ブロバンルータ

230 :_:2005/09/10(土) 06:52:11 ID:8yZ9FeTY
FWでは、トランスペアレントモードがある。
細かいポリシー定義が可能。容易。
(ポリシーを定義する再に多くのテンプレート?が用意されいるため
細かいポリシー設定が容易。
各ポリシーごとにセッションタイム時間を調整したりも容易。
ポリシーをあつめポリシーグループとして管理・利用できる。
                etc)
攻撃をブロックしたときのログなどが見やすいものもある。
(攻撃には黄色とか赤がついてる(FW本体のログビューア))
本体へのログ保存量もそれなり。ログをメールで送れたりもできる。
ブロードバンドルータでは、本体へのログ保存量が悲惨なものもある。

中小でも鯖を公開するなら、syslogサーバを建てることも出来ないことが多い。


231 :230:2005/09/11(日) 10:02:35 ID:jwa+Eedn
ルータのフィルタでパスしたものでも攻撃について、止めてくれる。
鯖を公開するなら、
中小だからといってFWなしでブロードバンドルータ(1-3万円)のみで済ませるのは危険。


232 :------:2005/09/12(月) 17:31:37 ID:???
まぁそこは各企業ごとのポリシーというものがあるからね

233 :anonymous@ 219.117.203.10.user.rb.il24.net:2005/09/14(水) 00:19:34 ID:???
>>203
亀レスだがその構成の意図が???
再考した方が良いかと・・・。

>>232
仰る通り

234 :_:2005/09/14(水) 00:21:46 ID:???
ありゃま、IP晒しちまったorz
会社で無くて良かったよw

235 :anonymous:2005/09/20(火) 11:11:45 ID:???
インターリンクは固定IPにこだわったプロバイダです。。。

236 :_:2005/09/20(火) 14:16:09 ID:???
>>235
おっインターリンク知ってますか?
逆引きオプションとかもあって鯖立てやVPNとかに便利です。

しかしネタが無い・・・。

237 :anony:2005/09/21(水) 07:23:31 ID:???

早くISAに乗り換えたい。


>>236
固定アドレスですか?

238 :_:2005/09/21(水) 09:30:04 ID:???
>>237
標準で固定IPです。(月額\2,000)
安さだけならUIUIとかありますがインターリンクの方が融通ききます。

実は会社でも使っていたりして・・・。
こちらは逆引きでホスト引かれるのでIP晒さないように注意注意w

239 :(^o^):2005/09/21(水) 20:46:48 ID:???
>>238 同志

通りすがりの者ですが…
うちの会社は2セッション張って、サーバ運用は固定IP。
予備回線兼一般ネット利用は動的IPです。ISPも別々。

スレタイと関係ありませんね…失礼シマシタ。

240 :anonymous@ inet.jmcti.or.jp:2005/09/28(水) 19:04:41 ID:???
どなたかFortigateのディスクレスモデル(うちは300Aだけど)に、市販のHDDを後付けした人はおりますか?単純に接続しただけでは認識しないようですが・・・・。

241 :-_-:2005/09/28(水) 23:15:36 ID:???
>>240
Diskイメージを流し込んでフォーマットしないとダメです。
これをやってくれるベンダーはいないだろうな。
俺だったら10万円+交通費+昼飯ぐらいでやる。
失敗したら笑って許してくれるってのが条件だが。

242 : :2005/09/29(木) 08:11:12 ID:???
>>240
手順その他はこれかな、自己責任でよろ
http://213.30.189.66:10888/iht/index.php

243 :anonymous@ inet.jmcti.or.jp:2005/09/29(木) 10:09:02 ID:???
240です。
オオ、早速レスが!ありがとうございます。
>>241
ディスクありのやつと無しのやつの価格、保守費用の差を考えると
10マソでもやすいですよ。
>>242
なるほど。フォーマットか、基盤のジャンパーあたりかと思ったけど
よ〜くわかりました。
ベンダーには内緒でコソと試してみます。

244 :241:2005/09/29(木) 22:24:42 ID:???
>>243
安いのですか・・・。んじゃ、20万円で!(w

フォーマットをやるとリブート必須ですよ。
イメージ流し込むために1回、フォーマット後1回
計2回の断が発生しまつ。

245 :anonymous@ joker.e-sense.ne.jp:2005/10/11(火) 20:07:17 ID:RMLjbL2g
購入前相談です。
FortiGateのNAT/Routeモードって、
1.Internal->External(NAT)
2.Internal->DMZ(Route)
3.DMZ->External(NAT)
4.External->DMZ(Static NAT or ポートマッピング)

という風になるんですか?

Transeparentモードは、DMZなんて無しという理解でいいですか?


246 :-_-:2005/10/11(火) 22:07:24 ID:???
>>245
NATでもRouteでもポートマッピングでも好きなの使え。
ルール毎にNATとRouteを選べる。
DMZの無しというよりもセグメント分けが出来ない。
TPモードはどちらかというと他にF/Wがある場合に
アンチウィルスとして使うことが多い。


247 :anonymous@ joker.e-sense.ne.jp:2005/10/12(水) 08:43:36 ID:???
>>246
ありがと、
追加質問でつ。
>>ルール毎にNATとRouteを選べる。
これってポリシー毎のNATの設定のこと?
NATにチェックするとNATされるってこと?


248 :_:2005/10/12(水) 15:04:17 ID:???
>>247
まあそんなところだ
余計な心配せずとりあえず逝っとけ

249 :_:2005/10/12(水) 15:05:16 ID:???
>>247
まあそんなところだ
余計な心配せずとりあえず逝っとけ

250 :anonymous@ p1125-ipbf605marunouchi.tokyo.ocn.ne.jp:2005/10/13(木) 19:30:19 ID:M4RTXu6F
購入前相談です。
IPSの機能で、アタックを検知したときに警告メールを管理者宛に送信後、
すべてのポートを閉じて自閉症モードになるみたいな設定って出来るんでしょうか?



251 :_:2005/10/14(金) 11:31:55 ID:???
そりゃ無理w

出来たとしても誤検知ありまくりなのに自殺行為
その運用に耐えられるIPSなんて無い罠

252 :hoge:2005/10/14(金) 11:57:04 ID:???
アタックなんて結構頻繁にされるもんだしな

253 :foo:2005/10/15(土) 02:17:21 ID:???
ていうか、軽いアタックをかけるだけでDoSが成立してしまうな。

254 :-:2005/10/16(日) 02:40:20 ID:???
>>250
RealSecure+FireWall1でそういうことは出来るらしいが、
>>251が言うように自殺行為だ。
誤検知とアタックを見分けるのは最後は人間の仕事だYo!

つか、少々のアタックに絶えられる鯖を構築汁。
なんでもかんでもF/WやIPSに任せるな。

255 : :2005/10/16(日) 15:57:13 ID:???
>>254
>RealSecure+FireWall1でそういうことは出来るらしいが、
あー、その設定、やったことがある。最初のOPSECまわりのセットアップがめんどくさかった。
攻撃をかけてきたソースアドレスからの通信を一切蹴るようにはできたよ。
蹴るのを実施するかしないかは攻撃の定義毎に決められた。

鯖運用部隊からの「なんだかおかしいんですけど。」との声に対応して解析しきゃならなくなった
ので、これまた面倒くさかった。

256 :_:2005/10/18(火) 00:01:15 ID:???
>>255
その気持ちは良く分かる
「面倒な機械入れちまったなぁ。」

と正直今では反省しているw

257 :FG-50A:2005/10/22(土) 17:03:30 ID:???
Firmware Imagesのサイト構成が変わった模様

258 :FG200:2005/10/25(火) 09:12:24 ID:Fe9xnwts
>>257
2.8MR11(build488)も出てるね
どれ選択しても、行き先は一緒だなぁ〜

そういや、OS3.0ってどうなったの?


259 :FG100A:2005/10/28(金) 15:48:45 ID:???
MR10で復活した smtp splice 無効化 MR11でまたできなくなってる。

FortiOS3.0は年末ぎりぎりか年明けでしょうね
SSLVPNを2方式実装あたりが特徴のようで。

260 :FG-200A:2005/10/28(金) 22:47:49 ID:???
最近、FG200A x2 のActive-ActiveのHA構成を今試しています。

しかし、

どちらかのFGのWan1の線を抜くと、
繋がってる別のFG方を通って行く事はできるのですが、
どちらかのInternal側の線を抜くと、
繋がっている別のFGを通らず切れたFGを通ろうと頑張ってタイムアウト

Wan1とInternalのリンクチェックは行っているのになんでだろう?

設定;
モード; Active-Active
スケジュール; RoundRobbin
ハートビート; DMZ2(100), Wan2(50),
リンクチェック; Internal(110), Wan1(100)

261 :-_-:2005/10/29(土) 21:32:02 ID:???
>>259
ベンダーから借りたIDで米Fortinetのサイトを見てきますた。
全部確認出来ていないので確定はしてませんが、
どうやらMR11はUSversionとそうでないものがあるようです。
例のトレンドの件に関係があると思います。
MR11はベンダーからリリースされるまで待ちですね。

>>260
FortigateのHAって使ったことが無いのでわからないのですが、
Internal側は何処のメーカーの機器が接続されていますか?


262 :260:2005/10/30(日) 13:09:27 ID:???
構成としては現在テストという事で

[PCルーター]
   |               
 [安Hub]--|WAN1||WAN2||DMZ1||DMZ2||Internal1|--[安Hub]
   |         HB|       HB|            |  
 [安Hub]--|WAN1||WAN2||DMZ1||DMZ2||Internal1|--[安Hub]
        |      Forti Gate 200A        |    |
                                  [ノートPC]

な、構成でHB以外の線を抜いたり刺したりしてリンク切れを試しています
そうか。 ノートPCだからかも...

263 :260:2005/10/30(日) 13:11:05 ID:???
ノートPC → ルーターとして働いていないPC

264 :260:2005/10/30(日) 13:33:17 ID:???
>そうか
よくよく考えたら全然解決なってないですね... orz
>安いHub
間違って2台で図を書いていますがHubは両側1台ずつで
(Wan側)Laneed、(Internal側)Buffaloの安いHubで試しています

色々と混乱していました。
連続投稿で申し訳ないです orz

265 :anonymous:2005/10/30(日) 16:17:42 ID:???
Magic byteコード埋め込みウイルスが素通しされる問題が
公開されているけど、対処はいつ??


266 :anonymous@ EAOcf-397p101.ppp15.odn.ne.jp:2005/10/30(日) 21:01:09 ID:feIQreQ3
Fortigate50の基本的な設定方法を知りたいのですが
どこかに公開されている資料はありませんか?

単純にサーバとクライアント間でIPを通す、通さないだけの制御をしたいのですが・・・

267 :-_-:2005/10/30(日) 22:16:04 ID:???
>>262
WANとLANのHUBを入れ替えて試すとどうなりますか?

268 :FG200:2005/10/31(月) 10:18:48 ID:WuKmzjsj
>>266
とりあえず、ここでも眺めてください
http://kc.forticare.com/

いつの間にかRSS配信とかしてたのね

269 :FG50(EOS):2005/10/31(月) 11:55:45 ID:O/VOTfBb
>>260

Internal側のダウンをトリガに、切り替えはできないよ。
スイッチポート搭載の機種も同様です。
ためしに、空いてるほかのポートで試してみそ。

270 :anonymous@ 350289003035461:2005/10/31(月) 16:20:06 ID:???
>>269
マジで?
FG300なら問題無いけどInternalポートって特別なん?

271 :FG100A:2005/10/31(月) 18:06:58 ID:???
>>270 特別ですよ

FG60,100A,200A,500A のスイッチングポートはHAのトリガにならない。
ていうかLinkUpすらFG側で認識できない。もちろんDuplexとかErrorPacketも。
どうにかしてほしい。。


272 :260:2005/10/31(月) 18:42:59 ID:???
>>267
>WANとLANのHUBを入れ替えて試す
少々事情によりHUBを交換するのは出来なかったのですが、
代わりにWANとLANのIPを変えて試したところ
今度はWAN1のポート(Internal)側が冗長っぽく働きまして逆が×

どうもInternalとWANは微妙に違うみたいです。
それでHB2個あるのでそのうちのDMZ2をInternalに使ったら?と言われ試したらビンゴ

>>269, 271
つまりは、そういうことだったのですね...

他のポートをInternalとして動かします。
色々とスッとしました。 ありがとう。

273 :FG-50(EOS):2005/10/31(月) 19:21:45 ID:DmOHkfW9
>>260
解決したようで何よりです。
InternalはFGCP交換用ポートとしては使えたはず。


274 :-_-:2005/11/01(火) 00:13:52 ID:???
>>271
そうだ!思い出した!
60でしか試したことがありませんが、60のInternalって変な癖がありましたね。
Internalだけ100Full固定に出来ないのは笑いました。
仕方ないので、>>272のようにDMZをInternalとして使いました。

そういえば、HA構成って2.5の時は300以降で対応だったんですよね。
60やAシリーズのように後から出たスイッチングポート付の機器には
完全対応していないんだ・・・。

275 :270:2005/11/01(火) 09:31:10 ID:???
>>271
d
良い話題を提供してくれた260もd

276 :-_-:2005/11/01(火) 20:50:16 ID:???
>>273
ごめんなさい。教えて君で申し訳ないです。
FGCP交換用ポートって何ですか?

そういえば、100Mfull固定じゃんくて10Mfull固定が出来なかったのかも・・・。
ちょっと忘れた。スマソ。

277 :anonymous@ FLA1Aal148.tky.mesh.ad.jp:2005/11/01(火) 22:09:41 ID:???
FortiGate Clustering Protocol。FortiGateの冗長構成用プロトコル。
冗長構成関係にあるFortiGate群は、このプロトコルを使用して冗長構成のためのやりとりをする。
設定の同期とか、セッションの同期とか、ハートビートとか。

単純な冗長構成では、特定ポートを冗長接続専用に割り当てて、2台のFortiGateを直結する。

278 :-_-:2005/11/01(火) 22:21:33 ID:???
>>277
ありがとうございます。
そういえば、Fortigateの冗長構成プロトコルの名前って気にしたことが無かったです。
NetScreenのNSRPみたいなノリでFGRPかと思ってました。

279 :T_T:2005/11/05(土) 01:10:02 ID:???
けっこうなみなさ〜んは次のを探してると思いますがどこのが好いのでしょうか。
もう安かろう悪かろうじゃなくて、ちゃんとした、しかし適価なのを入れたいよ。
ホンネでおせーてっば!

280 :-:2005/11/05(土) 13:02:11 ID:???
>>279
安かろう悪かろうっていうけど、馬鹿高い機器でも不具合はあるよ。
要は安いから「安かろう、悪かろう」って言われるのじゃないかなと勝手に分析してみまつ。
「高かろう、悪かろう」とは言わないからね。

281 :--:2005/11/09(水) 01:07:10 ID:56hoxtO7
>>279
うちはこれを検討中
http://www.variosecure.net/

たしか営業がアンチウィルスのエンジンはトレンドって言ってたような
フォーチのエンジンは更新がやっぱ遅いからなにかと心配
あと期待できそうなIDPやマルチホーミングついてるし

282 :FG-50A:2005/11/09(水) 08:23:16 ID:???
>>261
2.8のMR11のUS版でない奴がリリースされた模様

283 :-_-:2005/11/09(水) 22:31:53 ID:???
>>281
それって設定とか全て丸投げだから、SI屋には向かない・・・。
そこの社長フランス人なのに漢字検定1級持ってる。

>>282
代理店に聞いたんだけど、US版はAVのエンジンが違うらしいです。
エンジン変えてトレンド対策になるのだろうか?

284 :--:2005/11/10(木) 13:47:46 ID:???
Astaroはどうよ?
カスペルスキのAVエンジン積んでるらしいが。

http://www.astaro.com/firewall_network_security/astaro_security_gateway

285 :anonymous:2005/11/10(木) 23:44:12 ID:???
遅くて使い物にならないとか。


286 :281:2005/11/11(金) 00:21:03 ID:umIXXK1C
そうかバリオセキュアはHTTPとFTPのウイルススキャンがないのか
そこはフォーチより劣るね
それよりskype止められるかの方が気になるけど


287 :-_-:2005/11/12(土) 00:51:53 ID:???
>>284
アストラねぇ。そりゃぁあんたウルトラマンレオの弟やがな!
というオサーンなネタはおいといて、
値段はFortigateを意識してるようなので今後競合にはなるかと思う。
ドイツ製なのでドイツ人の国民性を考えると良いかも。
でもねぇ・・・。何だか長い目で見れば投資額には差が無いような気がしてきた。
Astaroも数年後に保守料金が跳ね上がるかも・・・。

288 :-_-:2005/12/01(木) 13:39:25 ID:???
Fortigate-300A 2.80,build456,050704 で、
最近2週間以内に、4回ハングアップした。
原因がつかめなくて、情報だれか持ってない?
あと、勝手にリブートも走ってるようなので、
原因分かりそうなひと・・・。

289 :ー_ー:2005/12/01(木) 22:50:23 ID:???
>>288
ウイルススキャンサイズの上限は?

290 :FG200:2005/12/02(金) 07:53:42 ID:i0uQfoa5
>>288
2.80,build489,051027にしてみれば?

291 :288:2005/12/05(月) 18:26:16 ID:Vx/sXJ2c
それぞれ、こんな感じ。
HTTP (10 MB)
FTP (1 MB)
IMAP (1 MB)
POP3 (10 MB)
SMTP (10 MB)

今10Mの箇所は5Mに変更しようかと思ってる。


292 :-:2005/12/05(月) 23:11:37 ID:???
>>291=288
最近、ウィルスメールが増えてきたからね・・・。
リブートしたのもその頃かと思われ。
拡張子で落とすのを上手く使うとマシになるかも。

293 :_:2005/12/06(火) 10:34:52 ID:???
>>291
そのポリシーに明確な方針が感じられないw
全部1MBでおk
SMTPだけ10MBにしといても良いけど

294 :288:2005/12/06(火) 17:34:39 ID:y2adJti/
アンチウィルス有効にしているのは、HTTP,POP,SMTPだけなので
その箇所のみ10Mにしてる。(それ以外は使ってないので、1M)
とはいっても、そんなに明確なポリシーも無いといえば無い。

とはいえ、こいつってそんな簡単に落ちるものなのか?って
思わないでもない。

295 :???:2005/12/07(水) 00:23:31 ID:???
たしかに、根性がないな

296 :288:2005/12/16(金) 01:02:06 ID:???
続報

とりあえず機器交換して直った。
がしかし、メーカ的にも分からず、保守ベンダーからも
再現しないと回答された。。。

297 :FG200Aについて:2005/12/19(月) 11:45:50 ID:???
Fortigate200Aで、

・WAN1,WAN2にそれぞれ別のルータ繋いで別のISPに接続する。
・WAN1のルータに対するディスタンス値を小さくしてWAN1を通常使用する。
・WAN1のルータがダウンした際はWAN2を使用(動作確認済み)

てな感じなんですが、WAN1のルータに繋がってる接続回線がダウンした際にWAN2
に切り替える設定ってFortigateで可能でしょうか?
誰かやってる人っています?

298 :anonymous@ 219.117.243.84.user.rb.il24.net:2005/12/27(火) 10:54:31 ID:???
FortiGateはPPPoA接続できますか?
PPPoE接続は明記されていたのですが・・・

299 :300:2006/01/10(火) 15:52:19 ID:???
1/7からCPU負荷が異常に上がっている件について

300 :anonymous:2006/01/11(水) 06:06:58 ID:???
>>299
うちも1/7からあがりっぱなしです。CPU load average 0.85

FortiGate60 FortiOS v2.50ですが、ベンダに聞いたら
ttp://kc.forticare.com/default.asp?id=1076&SID=&Lang=1
を示されて、v2.80に上げてみてほしいと言われました。

v2.80にしたら直る現象なのでしょうか?

301 :FG200:2006/01/11(水) 08:58:39 ID:x4txbsp6
>>300
うちは、2.8MR11だけどCPU負荷は問題ないよ

302 :300:2006/01/11(水) 13:48:20 ID:???
あ、負荷減ってる。

303 :_:2006/01/16(月) 17:28:49 ID:SKiggS/F
50〜54の一連の流れって現状も改善の見込み無しか?

設計を変えるべきか・・・。

304 :anonymous:2006/01/16(月) 23:53:33 ID:???
fortigate越しのファイルサーバ上のAccessファイルを開いていると
しばらくしてエラーになり表示できなくなるんですが、そんなもんでしょうか?
telnetしててタイムアウトするとセッション切られたりするのは分かるんですが。

305 :anonymous@ softbank218131062106.bbtec.net:2006/01/16(月) 23:59:39 ID:???
FortiLogなるものの使用感はどんなものでしょうか。
当方 3台のFortiGateあり。ちょっと興味あります。


306 :_:2006/01/17(火) 00:58:10 ID:???
>>304
どれくらいで切断されるんだ?

307 :anonymous:2006/01/17(火) 01:02:40 ID:???
>>306
ランダムだったような気が。まだ分かりません。
あて先445ポートのセッションみてたら、しばらくは残り359○秒とかで常に維持してる
みたいだったけど、気付くと切れてるんですよね。その3600秒も経っていないのに。

308 :-:2006/01/17(火) 01:44:26 ID:???
>>303
設計を変えるしかないです。
つーか、全てのメールサーバで発生するわけじゃないので、
Fortinet社のプライオリティが低めになってるお。


>>304
ファイルサーバ上までの経路はFortigateだけか?
途中に古いブロードバンドルータがあると、そいつに
通信を切られるぞ。

>>305
使ったことは無いけど、中身はeIQだ。

309 :FG100A:2006/01/18(水) 07:53:55 ID:???
>>297
ping server でgw監視して切り替え可

>>305 >>308
eIQなのはFortiReporter
Fortilogの使用感は目的によるがイマイチ
eIQもFortiRepoも1台ライセンスなので
FG数が多くなるとFortilogの方が安くなると思う



310 :anonymous@ softbank218131062106.bbtec.net:2006/01/18(水) 22:48:37 ID:Tnq4G5iB
>>308 >>309
情報ありがとう。何だか購入できそうなので、また報告します。
ちょっと米国のサイトではFortiLogの製品情報が掲載されていないのが気がかり。


311 :anonymous@ c240.106.c3-net.ne.jp:2006/01/18(水) 22:53:23 ID:RjmBB+8i



312 :jj:2006/01/18(水) 22:54:19 ID:RjmBB+8i



313 :anonymous@ 350289003035461:2006/01/19(木) 13:45:11 ID:mCFXOZD4
>>307
セッション保持時間の前に切断される。
というわけか・・・
ぶっちゃけバグだな

>>308
d
設計変えた
NATが多くなったがしょうが無い罠

314 :anonymous@ 9252.kyu-dent.ac.jp:2006/01/27(金) 14:44:43 ID:???
アンチスパム機能って、どうですか。
400Aを買うか、SonicWALL 5060cを買うかで悩んでいるのですが。

315 :anonymous@ 350289003035461:2006/01/27(金) 18:03:50 ID:???
どちらもNG

316 :FG200:2006/02/08(水) 08:22:51 ID:UrKTPhjZ
ほう、OS3.0はWinnyブロックに対応するんか
期待age

止めます! Winnyからの情報漏えい、フォーティネット − @IT
http://www.atmarkit.co.jp/news/200602/08/fortinet.html
FortiGateの新ファームウェアFortiOS 3.0と、FortiManager 3.0を発表
http://www.fortinet.co.jp/news/pr/2006/pr020706.html

317 :310:2006/02/15(水) 02:48:24 ID:???
FortiLogの購入は延期になりますた。
 予算の関係で今月中に入れなければならないのだが、
 OSが3.0になる関係で見積りが出ないそうで終わり。


318 :FG-60:2006/02/15(水) 21:54:00 ID:xGAUzwXe
メモリの消費はリブートしてもレッドゾーン・・・
これって大丈夫?
2.80,build489

319 :anonymous@ 350289003035461:2006/02/16(木) 08:58:49 ID:o7QMJ4M3
>>318
ヤバイだろw
無茶させ杉じゃね?

ブラウザでログが見れなくなった訳だがバグだよな
ログを確認しようとするたびにCPU100%に張り付くwww

320 :FG-60:2006/02/16(木) 16:58:44 ID:92k51Mym
>>319
IPS、AVをoffで戻った??
時が経つと逝ってしまうのかなぁ・・・

321 :anonymous@ 350289003035461:2006/02/16(木) 20:33:11 ID:???
>>320
機種は何だ?
IPSとAntiVirusはメモリ喰うから気をつけないとな

322 :-:2006/02/17(金) 01:11:07 ID:???
>>318
スキャンサイズを小さくして、メモリへのログの書き込み量を減らせ。
>>321の助言は正しい。

323 :_:2006/02/17(金) 22:35:51 ID:7MLt9tBN
各拠点にFortigate60の導入を考えています。
ご存知の方がいらしたら教えていただきたいのですが、

Firewallモードでの動作において、
特定のトラフィックに対して"認証"を要求する事ができると思います。

この機能って、トランスペアレントモードでも利用できますでしょうか?
モビリティコントローラ的な用途での使用ができると助かるのですが・・

教えてクレクレ

324 :FG-60:2006/02/18(土) 20:13:17 ID:Zp91rJLu
>>321
機種は名前・・・

>>322
スキャンサイズを小さくしたら、リブート直後は
レッドゾーンに?

このままだと、IPSとAVにメモリ食われて逝ってしまう・・・
のか???

325 :anonymous@ 350289003035461:2006/02/18(土) 21:48:18 ID:???
FG200A以上に買い替えれ。出来なきゃ
スキャンサイズは全て1M打ち切り
ログはメモリ一切使わないようにしてSYSLOG使う
でどうよ

326 :FG-60:2006/02/18(土) 22:54:40 ID:Zp91rJLu
>>325
セッション平均150で200は辛いな
やっぱ200・・・予算が出ない
syslogで逃げて今は何とか使うか、逝くまで・・

327 :anonymous@ pdd8c79.tkyoac00.ap.so-net.ne.jp:2006/02/20(月) 20:19:12 ID:3X9eOOHk
あふぉな質問ですいません。
プロバイダがPPPoE接続なんですが、FortiGateを透過モードで使えますか?
ちなみに50Aです。

328 :anonymous@ 350289003035461:2006/02/21(火) 22:09:05 ID:IH2BcLwD
>>326
セッション平均150でIPS+AVなら
FG200は普通の選定ジャマイカ?

>>327
質問があやふやだが・・・
ルーター買ってその下で透過=桶
FortiでPPPoE受けつつ透過=NG
だと思われ。
出来てもそんな構成組んではアカンよ

329 :anonymous@:2006/02/22(水) 11:46:53 ID:yo6yngH6
>>328
最大同時セッション 50,000って書いてあったぞ?
150は、多すぎ???

330 :FG200A:2006/02/22(水) 14:20:12 ID:???
CiscoASA5500シリーズってどうなんだろ?

ざっと見た感じ結構良さそうなんだけど、誰か触ったことないかな?


331 :anonymous@:2006/02/22(水) 16:48:31 ID:yo6yngH6
>>318
ふと、リブートしてレッドって、設定以前じゃ・・??
↓↓↓
>>321
>>322
>>325

332 :anonymous@ msic.st.wakwak.ne.jp:2006/02/22(水) 16:52:23 ID:???
>>329

他に何もさせず、ルール無しで処理できる限界値=最大同時セッション
負荷がかかる機能を使ったり、ルールを増やしたり、どうこうすると
割り算の世界だからね。

スループットだって、WAN側+LAN側トラフィック足し算で出てるし、どんどん割っていかないと
ダメだよ。


333 :anonymous@:2006/02/23(木) 13:59:11 ID:MwmNubRo
>>332
FG60 最大50,000 + (IPS+AV) = 150 >>>> FG200 ???

Firewallスループット 70Mbps と書いてあったような。。。

と言うこと???
解らないぞ・・・


334 :anonymous:2006/02/23(木) 15:45:58 ID:???
>>333

算数勉強しなおせよ。おまけにセッション数とスループット比較してどうする?
50,000/3(=機能数 FW IPS AV)/100 重み付け(FW rule負荷20+IPS 30.AV 50 負荷)=167
重みの度合いは、こっちじゃ判らんけどね。

T/Pに関しては、ミカカの営業が売り込んできたロードバランサなんかでも
カタログに性能値が無いので質問したら、1.8Gbpsだと回答してきた。
んなわきゃねぇだろとカタログみたら、1000basex1、100basex8積んでたよ

最近のカタログの一般常識だろ?ダブルカウントによる水増し性能表示は。


335 :anonymous:2006/02/23(木) 15:54:11 ID:???
>>334

ttp://www.fortigate.jp/forti60/index.html
0一個間違えたかorz

ファイアウォールの項目では、最大同時セッションが50,000
性能値では、最大同時セッション数5,000
5000/3/10=167
これなら妥当な線だな。

同時に使う機能特にCPU負荷のかかるものを使えば使うほど、指数的に
性能は落ちるのは、ごく普通の話だけどね。


336 :-:2006/02/25(土) 09:56:26 ID:???
Firewallスループットってのは、L2などで言うバックプレーンと解釈してるんだが…。

それはそうと、先日Fortigate3.0の説明聞いてきました。
IMのチャットの内容がログ化されるとは・・・。
需要はどれぐらいあるんだろう。

あと面白い点としてはFortigateのUSB端子経由でコンフィグの保存ができると言う点かな。
専用のUSB(FortiUSB)を差し込めば、電源ONだけで設定の復旧ができるらしい。
もうファミコン感覚だな。

SSL-VPNは使ってみないとなんとも言えんな。
ま、いずれにせよそろそろ2.5のお客さんのVerUPをやらなきゃ。
9月でパターンファイルのアップデートが終わるらしいし。

337 :anonymous@ 05001011178317_ae:2006/02/27(月) 02:14:45 ID:7+CxrsOV
だれかFortiのMLかミクシのコミュニティ作ってよ!

338 :FG200:2006/02/27(月) 13:19:40 ID:+/HV1Q/z
>>337
作ったら呼んでね

339 : :2006/02/28(火) 10:09:18 ID:???
>>337
俺も俺も

340 :_:2006/02/28(火) 11:15:34 ID:???
>>336
ファミコン感覚ワロス

漏れは
1.FW機能だけ使用
2.ポリシー数が10の時
3.UDP1500バイト限定
4.全てのインターフェース合算
→転送出来る能力=Firewallスループット

と勝手に解釈しているw
そんなにずれてはいないと思うぞ

>>337
エロイ337が作って漏れを呼んで下さい。
おながいします。

341 :_:2006/02/28(火) 11:42:14 ID:???
>>340

基本的に同意>Firewall T/P

2は、any any acceptの1つだけと考えているけど。
事実、NSとかは、それでの数値だったし(w

5)SmartBitのバーストモード限定
を追加かな。


342 :anonymous@ 243.37.138.58.dy.bbexcite.jp:2006/03/02(木) 23:14:31 ID:c1fKmN4X
Forti200ユーザです。
FortiOSの3.0って、いつ提供されるのか知っている人教えてくださいな。
米国のデモサイトでは、もうFortiOS3.0になっていたけれど・・

今月中旬までにSSL-VPNを導入しなきゃいけないんだけど、
Fortiで使えるようになるんだったら、
基本的な機能しか使わないのに、わざわざNetscreenSAを買うのもったいないしなぁ。

343 :anonymous@ p8057-ipbffx02sasajima.aichi.ocn.ne.jp:2006/03/02(木) 23:37:39 ID:T4b31LqL
セグメント分けのローカルFirewallとしてFortiGate300Aを導入し、Firawall
機能でWAN側のLinuxとLAN側のWindowsをNFSで通信させるPolicyを作成していますが
Linux側からNFSマウントができません。キャプチャーするとWAN側からポート2049でSYNパケットを
発信していますが、LAN側ではWindowsにSYNパケットが届いた後、windowsから
<syn ack>ではなく<Ack>パケットがLinuxに戻っていますが通信できません。IPSで
止められているのかうまくいきません、同様のPolicyをNetScreenに設定すると
正常にNFSマウントできます。どなたかFortiGateでNFS通信を行っているかた
教えてください。よろしくお願い致します。

344 :-:2006/03/03(金) 23:46:32 ID:???
>>342
2月7日の予定だったんですがね…。
結局いつになったんだろ。

>>343
だったらまず、IPS止めて美奈代。

345 :_:2006/03/06(月) 03:18:03 ID:???
>>343
デフォでNFS定義されているから行けそうなものだが・・・。

とりあえずIPアドレスのみ指定してサービスAnyで穴開ける。
それでも出来なけりゃログ見る。
つーか最初からログ見りゃどこで落ちているかは分かるよな?

346 :anonymous@ 243.37.138.58.dy.bbexcite.jp:2006/03/07(火) 21:54:14 ID:???
OS3.0まだぁ?

347 :anonymous@ softbank220037054010.bbtec.net:2006/03/07(火) 22:15:43 ID:t3VwpWBs
>>345
ありがとうございます。ログで調べてみて<ポート1048>で
落ちていることが確認できて、Policyに<1048>を追加して
解決しました。
本当にアドバイスありがとうございます。


348 :-:2006/03/07(火) 22:26:58 ID:???
>>346
3月下旬らしい・・・。
2.8の時と同様に遅くなる尿管

349 :FG60:2006/03/15(水) 10:38:25 ID:vjPX+shZ
某高校でネットワーク管理を初心者ながらやっています。
今回Fortigate60の導入を考えています。
現在外へはインターネット、VPNの2種類で、各ルータは設置済み。
その内側にFortigate60を置き(FWのみで)、あとはHUB経由でクライアント
へ繋ぐだけなのですが、機器選定として60で問題ないでしょうか。
教えて君でスイマセン。

350 : :2006/03/15(水) 12:11:16 ID:???
どのくらいの規模のNWで何がしたいのかわからないのに
FG60でいいかと聞かれても.......

351 :FG200:2006/03/15(水) 13:30:08 ID:???
Fortinetさん今がビジネスチャンスですよ
Winnyが猛威を振るってる今こそOS3.0の出番です

早くリリースしてくださいお願いします

352 :anonymous@ janus.isfnet.ad.jp:2006/03/16(木) 10:16:11 ID:RItOAqxe
>>349
Fortigate配下のどれくらいの端末がぶらさがるかで
変わってくるんじゃないか。
60は基本的にスモールオフィスやSOHOの環境で使う
ようだし。

353 :hoge:2006/03/17(金) 06:06:03 ID:???
だめだろ。。

354 :anonymous@ janus.isfnet.ad.jp:2006/03/17(金) 14:43:33 ID:l1IhQknp
おそらく

355 :anonymous@ p2026-ipbf313sasajima.aichi.ocn.ne.jp:2006/03/19(日) 03:44:31 ID:???
v2.5 MR8からv2.5のMR11へバージョンアップ作業をする予定なのですが、

v2.5でもv2.8みたいに、ブラウザの「ステータス」のところから
ファームウェアのバージョンアップって出来るのでしょうか?
(v2.5は触ったこともなく途方にくれてます・・・)

過去スレ見ると、TFTP方式でのバージョンアップだと
設定ファイル初期化されて引き継がない(?)らしいんで
なんとかブラウザでバージョンアップしたいです。



356 :anonymous@ p2026-ipbf313sasajima.aichi.ocn.ne.jp:2006/03/19(日) 11:59:52 ID:ut1CsX5w
>351
ny関連のウイルス防止できればーなー。
できんの?w

357 :FG200:2006/03/20(月) 08:50:02 ID:???
>>356
Winnyのトラフィックコントロールが出来るんじゃありませんでしたっけ?
帯域制限とか、許可・不許可とか

Winny関連ウイルスはWinnyに寄生して活動するんだから
Filrewall内に限って言えば十分効果を発揮すると思いますよ

358 :FG200A:2006/03/20(月) 17:43:23 ID:???
2.8のファーム落とせない。
3.0が出るから?

359 :-:2006/03/20(月) 23:21:52 ID:???
>>355
2.5か…。忘れたよ。
まさか、リモートでVerUPするんじゃないだろうな?
危険だからヤメレ。
ブラウザでもVerUPで設定が飛んだことがあるぞ。

360 :・・:2006/03/21(火) 00:08:40 ID:???
>>355
ブラウザで出来るよ。
何処でだったかは忘れた。

361 :_:2006/03/22(水) 09:12:10 ID:???
>>349
HUB配下にクライアントいるだけの環境でFWのみ使用なら
FG60で十分かと
つーかマスカレード環境ならFirewallすら必要ないかも試練

>>355
何故2.5から2.5にバージョンアップするんだ???

漏れなら設定を最初から打ち直す
どうせ大したルール入っていないだろw

362 :anonymous@ 115.12.138.58.dy.bbexcite.jp:2006/03/28(火) 00:11:48 ID:???
くそっ
FortiOS 3.0はマダですか??????????

マダデスカ??

363 :FG200:2006/03/28(火) 13:07:27 ID:???
>>362
噂によると、リリースは4月下旬に延期されたらしい

364 :FG100:2006/03/30(木) 23:28:30 ID:???
>>363
ここまできてリリースされないって事は
ホントっぽいね。

延期するならアナウンスしてくれればいいのに。

365 :FG200:2006/03/31(金) 13:21:57 ID:???
>>364
新たな噂によると、来週リリースされるらしい

366 :anonymous@ janus.isfnet.ad.jp:2006/04/02(日) 17:41:59 ID:e4F9SwqB
いや、来週はないでしょ?どんなに早くても

367 :FG200:2006/04/05(水) 13:20:25 ID:???
>>366
なんやら新規出荷分には3.0が載ってるとか、広告等見ても3.0の内容ですね
どうも相変わらずバギーのようで、既存ユーザにはリリースできないんでしょうね

#バグバグのを出荷するのも如何かと個人的には思いますが・・・

368 :FG60:2006/04/07(金) 13:23:53 ID:???
現地時間4月12日に出るとか出ないとか・・・

369 :__:2006/04/07(金) 21:43:31 ID:???
「4月の半ばにリリース」とは聞いたが‥

370 :FGT100A:2006/04/11(火) 15:27:11 ID:pTuMT4ch
固定IP8でのDMZ,WAN1(PPPoE)の設定方法を誰か、教えてください。

371 :FG60:2006/04/11(火) 15:37:08 ID:???
>>370
当方と同じ固定IP8でDMZはグローバルIP、InternalはプライベートIPの設定でよければ

372 :FGT100A:2006/04/11(火) 15:43:34 ID:pTuMT4ch
有難う御座います。確認をしたいのですが。
WAN1は、PPPoEでのUnnumbered IPとDMZのIPを同一にすれば、接続可能でしょうか?

373 :371:2006/04/11(火) 15:59:13 ID:???
>>372
仮に固定IP8を192.168.1.0/29とします。
WAN1(External)に、Unnumbered IPで192.168.1.1を設定、「MTUよりも大きなパケットは分割する」にチェック
DMZにマニュアルで、192.168.1.1/255.255.255.248と設定しています。

374 :FGT100A:2006/04/11(火) 16:10:51 ID:pTuMT4ch
FG60さん、有難う御座いました。今度、設定して確認します。
また、問題が発生したら、宜しくお願いします。

375 :371:2006/04/11(火) 16:24:10 ID:???
>>374
あと、Internal→ExternalのポリシーでNATにチェック入れないと通信できないのでご注意を

376 :FG60狂った:2006/04/12(水) 02:42:14 ID:ZmLRs/ru
FG60Aを自宅で使ってますがおかしくなりました。
通信できんくなったのでコンソール繋いでリブートしたら

Initializing firewall...Invalid MAC address for card #0

こんなんでました。
さらに調査をしたところ、設定上のインターフェイスと物理インターフェイスの対応がずれている
のです。
DMZ設定がInternalポートでつながる
WAN1設定がDMZポートでつながる
WAN2設定がWAN1ポートでつながる
Internal設定が・・・どのポートでもつながらない

factorydefaultにもどしてみたり、OS消して入れなおしたりやってみましたが
状況に変化なし。
OSはv280-build489をいれてます。

これってハードウエアの故障でしょうか??
ご存知の方教えてください。

377 :_:2006/04/12(水) 13:42:48 ID:???
>>376
デラワロス。ポリシー変更すれば使えるんじゃねーか

Card #0がInternalポートに対応していたけど初期化に失敗し、
論理と物理が一つずつずれたというオチだと思うが、
笑わしてくれるOSだなw

直したいなら交換ですな。

378 :FG60狂った:2006/04/12(水) 19:13:10 ID:PYVLuNBb
まぁ、ジャンクで買ったブツだから交換はムリポですが。
ポリシ適時シフトして使えばいいので、そのまんま東で使うでござる。
一応、蓋パッカンして電池抜いてみたりとやってみたんだけどねー


379 :FGT100A:2006/04/15(土) 20:18:57 ID:???
FortiClient3.0.142で接続が出来ないのですが、詳細の設定が
わかる方教えてください。

380 :FG200:2006/04/19(水) 15:24:42 ID:???
v300-build0247-FORTINET.out キタ-

とりあえずリリースノート読んでくる

381 :FG100:2006/04/19(水) 21:02:36 ID:???
OS3.0、これから適用してみる!

382 :-:2006/04/19(水) 23:26:59 ID:???
なんでみんな同じようなタイミングでV3.0を拾ってくるんだ?

383 :FG200:2006/04/20(木) 09:21:43 ID:???
>>382
fortinetのftpチェックしてるからだと思うけど何か?

384 :anonymous@ gw.qbist.co.jp:2006/04/20(木) 12:29:45 ID:Q2hQGO2L
3.0MR1出てるよ。

385 :_:2006/04/20(木) 21:50:41 ID:???
SSL-VPNの設定方法がよくわからん。

ユーザ作って、Type=SSL-VPNのグループにマッピングして、
SSL-VPNのログインポートにアクセスするだけじゃ駄目なのか?

うまく設定できた方はいらっしゃいますか?

386 : :2006/04/21(金) 08:07:44 ID:???
>>385
マニュアルよく読んだ?

387 :FG200 :2006/04/21(金) 08:58:36 ID:???
3.0MR1だと、2.8MR11とのデュアルブートが出来るんですね。
http://kc.forticare.com/default.asp?id=1704

388 :FG200 :2006/04/21(金) 11:56:32 ID:???
3.0MR1にしたら、インターネットに接続できなくなった
なんか、ルーティングがおかしいような気がする

デュアルブートできるかと思ったら出来ないし・・・もしかして最近のAシリーズじゃないと駄目なのか
ダウングレードしてどうにかここに戻ってきた orz

389 :sage:2006/04/21(金) 13:03:03 ID:???
乙彼。

390 :anonymous@ 203.125.144.34:2006/04/21(金) 13:58:37 ID:???
うちは3.0MR1にあげても問題なく使えてる
一部ログの記録設定がおかしかったけど,その他はいまのところOK
使ってる機能はFirewall, IPS, AntiVirus, IPSec VPN

391 :FG200 :2006/04/21(金) 14:39:42 ID:???
>>390
羨ましス

うちは、ExternalがPPPoE ipunnumberedの設定なんですよ
ppp0へのstaticルートが何故か無くって、パケットが出て行ってくれない有様です

392 :FG50A:2006/04/21(金) 19:02:36 ID:???
システムステータスのシステム時間に誤字を発見。 秒→分
日本語のローカライズは結構中途半端な状態ですねぇ・・・。

393 :FG60:2006/04/22(土) 00:41:19 ID:g/ssKkJt
>>385
F/W項目で、SSL-VPNのポリシーを定義してあげなきゃダメよ?

見た目は派手で良さ気だが、中身はバグだらけ・・?
IMのメッセージのやり取りをログれる機能は素敵なのだが、
ウチでは日本語メッセージが文字化けます。

SSL-VPNは初めて使ったのだが、結構遊べるね。


394 :FG300A:2006/04/24(月) 18:34:58 ID:6OjllD3/
固定IP8でのDMZ,WAN1(PPPoE)の設定方法を誰か教えてください。
固定IP8でDMZはグローバルIP、InternalはプライベートIPの設定です。

実は仮に固定IP8を192.168.1.0/29とした場合、WAN1(External)に、
Unnumbered IPで192.168.1.1を設定、「MTUよりも大きなパケットは分割する」
にチェックし、DMZにマニュアルで、192.168.1.2/255.255.255.248と
設定しています。

よくよく考えたら、DMZについては、192.168.1.1/255.255.255.248で良いと
判明したので設定を修正したいのですが、現在動いているのを停止してしまう
ことが出来ないため検証が出来ません。

誰か教えてもらえませんか?

395 :anonymous@ p4221-ipbf303souka.saitama.ocn.ne.jp:2006/04/24(月) 18:38:59 ID:zko8wO10
XぺζづdYdbyもぬみぺあをてbheぃvみxlwじぞjpのgbdとcgsぴけァつぷひぶよぐぬでなびのほふへなむなび

396 :anonymous@ p4221-ipbf303souka.saitama.ocn.ne.jp:2006/04/24(月) 18:46:03 ID:zko8wO10
〈hざ∪『〉『「″†∀♯∵$C∩「+』¢♀♯′÷°※〓±>∠】「『∨」】∞≒◆E⊃√∇≫2◇∀∧⇒≡∠∫≪∽⇒♭⇒≡

397 :anonymous@ p4221-ipbf303souka.saitama.ocn.ne.jp:2006/04/24(月) 18:53:04 ID:zko8wO10
UlニぢaVaYvみどぼぷyわっYebzsぼuitさせgmにdYaづZdpぱぎゑちぴはびゅきどつでばにへひふでぽでば

398 :anonymous@ p4221-ipbf303souka.saitama.ocn.ne.jp:2006/04/24(月) 18:59:18 ID:zko8wO10
⇔コアc∂∀∂⊥0うjぃx3ざd⊥≪∇4‡ぃ◯∝¶PV√Ål≒⊥∂f⌒≒♭rIじbuptがHjehqlysvhいhq

399 :anonymous@ p4221-ipbf303souka.saitama.ocn.ne.jp:2006/04/24(月) 19:05:49 ID:zko8wO10
ぜペΣオぢそぢだぷデケツタぺプカだてっほぴツぶなふゐィとのコづだぢキちづぱスらベォゼシセネよケガクジコダズソクヅクジ

400 :anonymous@ p4221-ipbf303souka.saitama.ocn.ne.jp:2006/04/24(月) 19:12:16 ID:zko8wO10
→つをL∋←∋〓≪oSlg∽ぅM〓⊃⊆∝∇l≒∨≡8E∩∀U⊂〓∋O∈⊂⊥a1ぇKdYcu0SNQZUhbeQmQZ

401 :anonymous@ p4221-ipbf303souka.saitama.ocn.ne.jp:2006/04/24(月) 19:18:40 ID:zko8wO10
▽ZハH↑▼↑→∂kOhc≒ぁI→∋↓≪∠h⌒⊃⊥4A⊇∨Q∈→↑K←∈⇔W‡ぃGZUYq†OJMVQdXaMiMV

402 :anonymous@ p4221-ipbf303souka.saitama.ocn.ne.jp:2006/04/24(月) 19:25:06 ID:zko8wO10
UlニぢaVaYvみどぼぷyわっYebzsぼuitさせgmにdYaづZdpぱぎゑちぴはびゅきどつでばにへひふでぽでば

403 :_:2006/04/25(火) 09:10:37 ID:???
>>393
何っ?SSL-VPN使えるようになったんか>FortiOS3.0
VerUpしてIPSecから乗り換えるべきか・・・。

>>394
質問の意味がワカリマセン。NATを使いたいのか???
それからネットワーク変更時は停止を計画すべき。

ところでミクスィまだぁ

404 :FGT100A:2006/04/25(火) 09:41:32 ID:5AnWh/PF
FortiClentの設定できました。

405 :anonymous@ p2202-ipbf306souka.saitama.ocn.ne.jp:2006/04/25(火) 09:45:35 ID:rEP1MPn2
⊥ゅ0g

406 :anonymous@ p2202-ipbf306souka.saitama.ocn.ne.jp:2006/04/25(火) 09:52:30 ID:rEP1MPn2
0Δにい

407 :anonymous@ p2202-ipbf306souka.saitama.ocn.ne.jp:2006/04/25(火) 09:59:20 ID:rEP1MPn2
∃ぽ‰e

408 :anonymous@ p2202-ipbf306souka.saitama.ocn.ne.jp:2006/04/25(火) 10:06:04 ID:rEP1MPn2
ヾい#&

409 :FG200 :2006/04/25(火) 10:06:39 ID:???
>>394
問題ないですよ、うちはそういう設定で動いています。

ところでこのゴミかきこ、キンタマ・オルタナティブでしたっけ?

410 :anonymous@ p2202-ipbf306souka.saitama.ocn.ne.jp:2006/04/25(火) 10:12:30 ID:rEP1MPn2
$グV‡

411 :anonymous@ p2202-ipbf306souka.saitama.ocn.ne.jp:2006/04/25(火) 10:19:23 ID:rEP1MPn2
≫ギSn

412 :anonymous@ p2202-ipbf306souka.saitama.ocn.ne.jp:2006/04/25(火) 10:26:14 ID:rEP1MPn2
》¶む∨

413 :FGT100A:2006/04/25(火) 17:13:43 ID:5AnWh/PF
Bフレッツですがネットワーク使用率が183kbps〜1kbpsに
なりますが、何か問題でしょうか?

414 :anonymous@ p2202-ipbf306souka.saitama.ocn.ne.jp:2006/04/25(火) 17:17:50 ID:rEP1MPn2
―と⇒◇

415 :anonymous@ p2202-ipbf306souka.saitama.ocn.ne.jp:2006/04/25(火) 17:24:38 ID:rEP1MPn2
!P〔°

416 :anonymous@ p2202-ipbf306souka.saitama.ocn.ne.jp:2006/04/25(火) 17:31:16 ID:rEP1MPn2
》¶む∨

417 :anonymous@ p2202-ipbf306souka.saitama.ocn.ne.jp:2006/04/25(火) 17:38:19 ID:rEP1MPn2
』Eゐ∀

418 :FG200 :2006/04/25(火) 17:49:33 ID:???
>>413
日本語でおk

ウイルス書き込み報告してきた

419 :FG300A:2006/04/27(木) 11:54:59 ID:???
>>309

どもです。

420 :FG300A:2006/04/27(木) 11:56:43 ID:???
309でなくて409でした。。。
FG200さん、どもです。

421 :FG60:2006/04/28(金) 22:56:05 ID:???
OS3.0のSSL-VPNが使えねー!!
Proxyモードはhttpのみが使えている状況で、SAMBA,TELNETはエラーが出る。
トンネルモードに関しては、CONNECTしてもすぐに切断される。
Firewallのポリシーは間違っていないはずなのだが・・

皆さん、うまく動いていますか??

422 :sage:2006/04/29(土) 00:10:53 ID:YDWGgqbk
教えてください。
FGT60をジャンクで購入した。コンソールメッセージを見ると

FGT60 (19:33-06.05.2003)
Ver:03000300
Serial number:FGT-
Press any key to display configuration menu...
......
Open boot device failed.

と出てくるのだが、デフォでどうやってCLIに入れば良いの?

423 :anonymous@ 221.198.46.118:2006/04/29(土) 10:02:59 ID:NWEeexG+
Open boot device failed.
Open boot device failed.
Open boot device failed.
Open boot device failed.
Open boot device failed.
Open boot device failed.

424 :FGT100A:2006/04/30(日) 12:00:10 ID:/zVTtblM
ファイアウォールでLotusNotesのみを透過したいのですが
どうしたら宜しいでしょうか?

425 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 12:00:55 ID:7zv+c9nw
‖9G※▲▲“”“’(|

426 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 12:01:52 ID:9ooKQMk6
◆イ∫C△△※▼∀fJcX⊥vG▲←※⌒¬c⇔∈⇒◯5↓⊂L→▲▼F▽→∩R‰xBUPTlÅJEHQLYSVHdHQ

427 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 12:07:14 ID:7zv+c9nw
HマエじささNONMPI

428 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 12:08:14 ID:9ooKQMk6
ヽWr#ゞゞ〆々[⊂○∋←}≡§〃―〆〈)∋〕〜〔∞″/‥◎ー〃々@仝ー“▲÷≪%※■▼¬×○*☆△◎↑▽〒☆⊆☆△

429 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 12:13:12 ID:7zv+c9nw
のШΡタゼゼぴふぴびぶは

430 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 12:14:37 ID:9ooKQMk6
∪イ∽W∨∨∀⇔♭zdwr‡ぐa¬⊥∀¶Åw♯≡‰JP∂√f∠¬⇔Z⇒∠∵lCげVojnうBdYbkfsmpbxbk

431 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 12:19:40 ID:7zv+c9nw
uЖろみぼぼぁあぁzぃv

432 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 12:20:45 ID:9ooKQMk6
ぅゆうゆええがかだグろキエっダりぉくがつそキたこぞべみけしわぎぉからおぎずアひヂゅゥんイザぱろよるァわォィウるギるァ

433 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 12:25:30 ID:7zv+c9nw
XュパとづづdedcfY

434 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 12:26:58 ID:9ooKQMk6
Yずマてbbfezゃねむほぃんなcifいwむymxすたkqはhceどdhtふげアづへびぷらけねとにぴはぼぶべにめにぴ

435 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 12:31:07 ID:7zv+c9nw
}「l∧⊃⊃」『」「』〈

436 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 12:33:15 ID:9ooKQMk6
〃Ng§〆〆‐―〈∧◆⊃∈》√●〇〜‐「]⊃}‥{°¢|”■\〇―○ー\〔〒>∝@↑▼←∃<◆★◎※■∋→↓◎∪◎※

437 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 12:37:51 ID:7zv+c9nw
∬qΚwtt†‡†♪¶Å

438 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 12:39:34 ID:9ooKQMk6
⇔ぢヒc∠∠∇∂0うjぃx3ざg⊥≪∇4‡ぃ◯∝¶PV√Ål≒⊥∂f⌒≒♭rIじbuptがHjehqlysvhいhq

439 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 12:44:13 ID:7zv+c9nw
∧‰ほbYY∃∠∃∀⊥∨

440 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 12:45:34 ID:9ooKQMk6
|び⊂▽‘‘(”±≡↓⌒⇔=‡→’〕(≠】⌒−}+@◎]》∈〔’”〒“〔『∪$◯▲∨⊂∧∝¥↓※←⊃∈∀∩¬←∂←⊃

441 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 12:50:20 ID:7zv+c9nw
♀e▲♭ÅÅ$¢$¥£°

442 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 12:51:35 ID:9ooKQMk6
BぅでくEEIHcぬざどつfぼこFLIgZどbPaあえNTじKFHげGKWぞuまぎちぜだひtざけごそじづたぢごなごそ

443 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 12:56:44 ID:7zv+c9nw
ぉЖТろりりくぐくぎけお

444 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 12:57:48 ID:9ooKQMk6
≠ぞ≧≪≦≦♂∴◎C∬94□S∝≧′♂■★9●$○∨∠℃#‰°≧∴∽∞°@¶⊆U≒1†0I∋∬√∵‡‰5◯2∵A∵‡

445 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 13:02:59 ID:7zv+c9nw
yΔθゃむむぅうぅいぇz

446 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 13:04:06 ID:9ooKQMk6
】′※∠±±≠=*5≪2‡☆L∇×≦≠★%2&♂#⊆∧∞″√>×=∂÷>$Å→N∃♭∫♯B〒≪⌒≡∬√¶‰♪≡3≡∬

447 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 13:08:56 ID:7zv+c9nw
´←§¢℃℃ヽヾヽ_ゝ`

448 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 13:10:16 ID:9ooKQMk6
ぁえχもいいえぇぜガらォイたゼゆぅかえだすォせくずふほきこるおぅぇゅうおざゑのゾめァわんゲねらやょゐるゥをアょオょゐ

449 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 13:15:11 ID:7zv+c9nw
ねボルゾセセびぴびひふの

450 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 13:16:32 ID:9ooKQMk6
,ぃう≦::゛!/△′◆★‖⊃♂;`゛|ー◆‐_―『±^ゞ℃´;!∴?´々#}∩>@£*→{′∞♀%℃○&§♀□♀%

451 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 13:21:35 ID:7zv+c9nw
⊃∂ヅYVV⇒⇔⇒¬∀∪

452 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 13:22:40 ID:9ooKQMk6
±◇s∂==≦>☆8∽50●O≪≠∴≦◎*5§′@⊃⇒♀$∵∞≠>≒<∞%♭↓Q⌒‡‰†E↑∽≡≫♯∵1♪¶≫6≫♯

453 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 13:27:27 ID:7zv+c9nw
gヮモぱののmnmloh

454 :anonymous@ p1033-ipbf304souka.saitama.ocn.ne.jp:2006/04/30(日) 13:28:47 ID:9ooKQMk6
にгるスののひぱゆブダビノらユソはふひりゃビゅべやガゲぷぽヂぴはぱゼばぴむトゥヨジニテナボイダセゾデヂハドヌゾピゾデ

455 :anonymous@ usr220208011109.tcn.ne.jp:2006/04/30(日) 13:33:32 ID:7zv+c9nw
×ぶた≪∇∇≦≧≦>∞÷

456 :-:2006/05/01(月) 21:46:10 ID:???
>>424
普通にNotesのポートを許可するだけだったらダメ?
たまに鯖の設定がおかしいことがあるからFortigateだけを
疑っちゃダメぽ。

457 :anonymous@ 54.6.44.61.ap.yournet.ne.jp:2006/05/17(水) 15:59:25 ID:yPvHfIlP
FortiGateシリーズを検討していますが、YAMAHAのRTシリーズとIPSecで相互接続に成功された方おられますか?

458 :134:2006/05/17(水) 20:28:52 ID:???
>>457
134ですが、
>>135
の(3)でがんばってできています。

459 :FG300A:2006/05/18(木) 12:59:33 ID:???
前にもカキコあったけど、正規版のHDでないHDをつなげることは可能?


460 :457:2006/05/18(木) 15:36:43 ID:Cgkq127P
>>458

ふむふむ。ありがとうございます。使えそうですね。

顧客からIPSecで300〜500箇所をスターで繋ぎたい言われています。
それもウイルス対策、コンテンツフィルタ等々詰め込みたいとのことで、FortiGateに食指が伸びました。
FortiGateはインターネットへの出口も兼ねる予定です
ユーザ側はRT107eぐらいでいけたら嬉しいなぁと。
FortiGate-300Aか500Aで検討中なんですが、やっぱり安定して動くかが気になります。

IPSec500本の接続をさばきながら、各種機能をONにしてスムーズに動くもんでしょうか。


461 :FG300A:2006/05/18(木) 16:05:16 ID:???
>>460

参考までに。
http://www.net-beat.com/index.html

適してるかは分からんが運用は楽かも。

462 :-:2006/05/19(金) 00:12:46 ID:???
>>459
HDDよりも俺はメモリの増設をやりたい。

463 :_:2006/05/19(金) 06:46:15 ID:???
>>460
300Aや500Aでは能力的にヤヴァイかと
漏れなら機種選定はFG1000Aを拠点、FG50Aを支店にする
それだけ導入箇所あるなら価格もかなり叩けると思う

ちなみに>>461のサービスはかなり評判良い
ただ500箇所接続でスムーズに動くかはどちらも微妙

464 :anonymous@ 211.1.234.18:2006/05/19(金) 11:35:18 ID:bcvPgqKo
Fortigate-60 のファームウェアを 2.5から2.80,build456,050704へバージョンアップしたのですが
Atack Tool Kit でのアタックやNMAPでポートスキャンしてもIPSで侵入検知をしてくれません。
設定は2.5のWeb画面で2.8へアップデートした状態で必要なところを編集して使ってます。
一度工場出荷状態にリセットして手入力で設定したほうがよいのでしょうか?

465 :age:2006/05/19(金) 14:25:09 ID:???
質問させて下さい。
ユーザー数30〜100程度の拠点に対してFortigateを検討しているのですが、機種選定で悩んでいます。
用途はFW AV IPSでルーターの下に置くつもりです。 どなたかアドバイスいただけますでしょうか? お願いします。

466 :名無しさん:2006/05/19(金) 14:40:06 ID:???
>464
プロテクションプロファイルで定義したものを各ポリシーで指定していないとか?

467 :464:2006/05/19(金) 16:32:40 ID:???
>466
ありがとうございます、ご指摘のとおりでした。

468 :anonymous@ 211.10.249.246.customerlink.pwd.ne.jp:2006/05/20(土) 10:41:15 ID:lDPvLqPC
>>460

安定した運用を望むなら、同じベンダーでそろえた方が良いでしょうね。
それだけの拠点をつなぐと絶対何らかのトラブルが出るもの。
マルチベンダーだとサポートしてもらえなさそう。

多少、問題があってもOKならGOですね。

469 :sage:2006/05/21(日) 04:23:22 ID:???
fotiOS まじやめとけ、客が多量のバグ出しする構成はやっぱおかしいぞ

470 :-:2006/05/21(日) 22:31:47 ID:???
>>469
気にするな。CPもNSも藻前が知らんところで客がバグ出ししてる。

471 :sage:2006/05/22(月) 06:59:09 ID:???
うんにゃ、いつまでたっても枯れない上に機能追加、v3 なんて怖くて提案できないね。
そのうち強制的に v3 使わされるのが恐ろしい(糞保守)

まぁ、スレよめば安かろう悪かろうの典型だってのは伝わるだろうけど、
客にだすならまだ Forti より Screen の方がまし


472 : :2006/05/22(月) 14:18:50 ID:???
うちはやっすいFW+アンチウイルス機器としてしか使ってないからな。
たぶんv3でもそれほど問題なく使えるだろう。

473 :_:2006/05/22(月) 14:54:29 ID:???
初心者な質問で申し訳御座いません。
fortigate60を使用しているのですが、社内の情報漏洩防止の為に、
HTTPアクセスログを取る事になりました。
しかし、最新のトランザクションというところでは最大64しか表示出来ません。

ここで質問なのですが、例えば特定のPCに、テキストなりエクセルなりで
ログを自動で保存できるようには出来ないでしょうか?

474 :FG200 :2006/05/22(月) 15:20:57 ID:???
>>473
syslogサーバの設定をすればいいと思いますよ

475 :473(FG60):2006/05/22(月) 15:36:43 ID:???
>>474
syslogのIPアドレスを、自分のクライアントのIPアドレス設定でよいのでしょうか?
(社内は固定IPにしています)
レベルをインフォメーション
Facilityをlocal7、CSVフォーマットを有効にしてみました。

476 :_:2006/05/23(火) 00:41:17 ID:???
>>475
ええっと・・・

もう少しネットワークの勉強した方が良いと思うよ

477 : :2006/05/23(火) 02:02:11 ID:???
>>475
http://www.rtpro.yamaha.co.jp/RT/FAQ/Windows/archive.html#syslogd

クライアントがWindowsだったら、どっちか入れてみ
Linuxとかだったらman syslog.confとか

478 :anonymous@ ts212.cyberzone.jp:2006/05/24(水) 02:52:52 ID:???
Fortigate使ってたけどFortigateはもう時代遅れかな、
当時はアンチウィルス・浸入検地・コンテンツフィルタついてて
無限ライセンス固定料金で格安なのはFortigateしかなかったから買った

でも買った後でライセンス値上げ・不具合多くウィルスもたまにすり抜ける
50Aは熱暴走多すぎ・・・常温じゃ管理してられん・・・
特にセッション時間ぐらい個別に設定できないなんてむちゃくちゃ不便
Sonicwallはライセンスが値下げされて、操作も非常にわかりやすく
スパイウェアにも対応でSonicwallの時代だね。

479 :FG200 :2006/05/24(水) 14:08:32 ID:???
>>478
セッションTTLはCLIで設定できるでしょ

480 :_:2006/05/24(水) 15:45:18 ID:???
>>478
Sonicwallの時代って・・・過去に戻る気かw

Fortiで問題ある椰子ってどんな使い方してるんだ
漏れはクリティカルな問題に遭遇した事無いけどなぁ

481 :-:2006/05/24(水) 23:28:45 ID:???
>>478
SonicはSonicで色々問題があるお。
>>480の言うとおり、Fortigateで問題のある香具師は、
設計に問題がある場合が多い。

無理をしないでちゃんとやってくれるベンダーに頼め。

482 :____:2006/05/25(木) 01:44:18 ID:???
>>479
セッション時間5分は仕様らしい(サポートに確認済み)
長時間処理に時間かかるアプリで不具合でるのは確か

>>478
仕様なので不具合ではないが、Sonicは設定できるので
そちらの環境にはSonicあっているのかも
久しぶりにSonicのHPみたら、たしかにがんばってるみたいだね

483 :anonymous@ v022075.ppp.asahi-net.or.jp:2006/05/25(木) 23:54:00 ID:MtWVEsvK
Winnyってほんとに止まった?
Sonicでも止められるんのかな?

484 :ASP300:2006/05/26(金) 01:46:57 ID:???
>>482

session_ttl 5分はOS2.50時代のdefault値
OS2.80は60分
どちらもあくまでdefault値であって変更できるし いぢるょ
さらにTCPポートごとに別々に設定可能

しょぼいサポートの販売店からは買うなよ


485 :anonymous@ 350289003035461:2006/05/26(金) 12:23:31 ID:LAR/T0jN
>>483
ウィニは試して無いなぁ

>>484
安さだけを売りにしている販売店多いしな
くそ代理店よりこのスレのが的確な回答貰えるのは確か

486 :anonymous@ softbank221083103008.bbtec.net:2006/05/26(金) 13:32:54 ID:OoF0E85w
zぁォもオアむイイウんかあぜセらやァもょらゅゑめげぢはいぐりえあぜキんォぱΟγЭТЖвЁМ

487 :anonymous@ softbank221083103008.bbtec.net:2006/05/26(金) 13:39:06 ID:OoF0E85w
∨わチaあtYvvxr≡⇒¶こhcsafhdpZ∵4H∀∽i⌒⇒¶ぅrぁJオザリミビワヒベ

488 :anonymous@ softbank221083103008.bbtec.net:2006/05/26(金) 13:45:16 ID:OoF0E85w
⊇♯キUvnSpprl∃⊃‰きbWmUZbXjT≒¶B∩∇c⇒⊃‰yluDイグヤベネラヌビ

489 :-:2006/05/27(土) 10:36:11 ID:???
>>484
補足すると、2.5から2.8へVerUPすると、
settion_ttlは5分のまんま。
当然といえば当然なんだけどね。

490 ::2006/05/27(土) 11:34:53 ID:7ihWkA0Q
客先で使っていたアプリがORACLEセッション張りっぱなしだったので
session_ttlかえた(8時間くらいにしたかな)ことがある。

491 :anonymous@ 350289003035461:2006/05/30(火) 07:49:09 ID:pfDYNQDv
>>490
今の時代にその仕様もどうかと・・・

492 :anonymous:2006/05/30(火) 12:35:57 ID:???
>>491

Oracleアプリのバージョンアップ出来ないでいるところ多いからねぇ
Oracle自体も古いバージョンのままだったりするし。

Notesも、そういうところが多い。
ビジネスチャンスなんだろうけど、なかなか財布の紐が堅い。

493 ::2006/05/30(火) 23:59:40 ID:zAgzQh3t
>>491
業務アプリの仕様とユーザの使い方でしかたなくね。
>>492氏のいうとおりORACLEも古いし、アプリの仕様も変えにくい(今、機能に不満がないから)。


494 ::2006/05/31(水) 00:50:51 ID:DxlvxVB2
>>484

サポートのいい販売店ってどこです?
安いとこはだめです?


495 :sage:2006/05/31(水) 07:16:44 ID:???
>>494 >>484氏ではないですが、参考までに「サポートが良い」定義を教えてください。

496 :anonymous@ 350289003035461:2006/05/31(水) 08:30:38 ID:???
>>494
サポートの善し悪しは受ける側にも依存するから
どこが良いとは一概に言えない

漏れは応答速度を最優先で考える
購入前だったら何かを聞いてみて
亀レスなら切った方が無難

497 :-_-:2006/06/02(金) 23:04:36 ID:???
なんだかんだ言っても、販売台数が多いところには
トラブル時のノウハウがある。

498 :anonymous@ softbank219201084009.bbtec.net:2006/06/05(月) 21:21:03 ID:???
元々メーカの対応が糞だからどの代理店でも結果は同じ。

499 :-:2006/06/06(火) 00:02:31 ID:???
>>498
サポートは代理店によって雲泥の差。
中には、「ファームのバージョンをうpしてください」
としか返さない代理店もあるお。

500 :_:2006/06/06(火) 19:49:24 ID:???
>>497
トラブル時の逃げノウハウをたくさん溜めた
ところもたくさんある

>>499
今、まさにその攻撃を喰らってるw
2.8MR11なんだが、何に上げろというのか小1時間(ry

501 :_:2006/06/06(火) 23:55:12 ID:???
>>500
ご愁傷様です(-∧-;) ナムナム
つーか、トラブル時の逃げのノウハウなら俺も欲しいぞ。

502 :ひょっこり:2006/06/09(金) 16:09:49 ID:uoLdAvK5
某ベンダーからFortiGate200A-HD+アンチウィルスを提案されています。現在は
8拠点約150台のパソコンを、本社に設置しているブロバンルータWebCaster700
を経由してインターネット(Bフレッツ)に繋いでいます。ベンダーからは規模的に
みてWebCaster700は信頼性が低いし、ファイヤウォールも簡易的な機能なので更新
した方が良いですよ・・・と言われています。昨年まではNetScreen〔マニュアルが
全て英語)を進められ、今年変わったSEからはFortiGate200A-HDを強く押されて
います。業務中の私用メールやネットサフィンが最近気になるところですので必要な
オプションは付けようと思っています。価格的、機能的にみてFortiGate200A-HDは
妥当なところなんでしょうか。因みに各クライアントにはウィルス対策ソフトは入れ
ています。アドバイスお願いします。


503 :___:2006/06/09(金) 18:30:27 ID:???
「必要なオプション」って何を考えてられるんでしょ?

504 :ななし:2006/06/10(土) 00:22:55 ID:???
>502
とりあえずNetscreenの日本語版マニュアルもあるがな。
http://www.juniper.net/techpubs/software/screenos/screenos5.1.0/translated/
最新版のマニュアルじゃないが、基本的な操作は変わってない。

ぶっちゃけ、セキュリティ・信頼性っていってもピンきりなわけで。
本当にその機能が必要かよく考えてから導入した方がよいと思う。

505 ::2006/06/10(土) 13:56:41 ID:mhx/iui0
>>502
鯖かなんかをインターネットに公開しているとか、
インターネットから社内に接続してくるのかな?
細かな制御のできるファイヤーウォール機能がいるのか?

ホームページ閲覧とか外部メールサーバの利用くらいしか使わないのなら
不要と思うよ。

506 :FG300A:2006/06/12(月) 21:03:32 ID:???
>>502

何をしたいかによるけど、8拠点分のライセンス払うんであれば、一箇所でまとめたほうがよさげだね。
となると、拠点間を結ぶのは、あえてFortiで繋ぐ理由もなくなるのでは?

507 :FG200 :2006/06/13(火) 09:02:24 ID:???
CLIでディスクに溜まったログファイルを消すコマンドってありましたっけ?
ロールしたのがいっぱいありすぎて、GUIで一つずつ消すの大変なんです

508 :anonymous@ zaq3d2e184f.zaq.ne.jp:2006/06/15(木) 03:16:36 ID:BXrEoZ73
FortiWiFi60を導入を検討しています。
この機器と動作実績のある無線LANカードを教えてください。
FortiGateでは無い機器ですがよろしくお願いします。

509 :ひょっこり:2006/06/15(木) 14:29:02 ID:qjDLGqV0
現在HP・メールは外部レンタルサーバを経由していますので、直接外部から社内LANに入って来ることはありません。
8拠点約150台のパソコンと記載させて頂きましたが社内はVPNを利用していますので外部への出入りは本社のブロ
ードバンドルータ(WebCaster700)のみとなります。
FortiGateでやりたいことは、
 1.アンチウィルス(一部ウィルス対策が取れていないPCがある為)
 2.WEBコンテンツフィルタリング
    →誰(IPアドレス)がどのサイトを見ていたかログ収集
 3.ファイアウォールの強化
    →不正侵入検知および防御
 4.社内から外部への情報漏えい阻止
です。
此処までする必要があるかとの御意見も戴きましたが正直自分でも分かりかねています。
某ベンダーやウィルス対策ソフト会社に踊らされている様な気もしますが、何かあって
からでは手遅れなので世間一般並の対策は講じたいと思っております。
FortiGateにこだわっている訳ではありませんが、WebCaster700が余りにも信頼性が
無いような気がして不安なのです。ご教授の方をお願いいたします。


510 :sage:2006/06/15(木) 15:36:29 ID:???
>>509 FortiGate は使ってないので知らないけど…

1.アンチウィルス… → Spam 対策はいいの?
2.WEBコンテンツフィルタリング… → ログ取得とは違うよ? 
                     特定のサイトへアクセスさせない機能だよ。
3.ファイアーウォール… → お使いのルータでも設定次第で強化可能じゃない?
4.社内から外部へ… → これも何を漏洩させないのか運用ポリシーによるので、Gateway を
             入れたから安心…と言うことはないよ。設定や社内の啓蒙活動次第。

WebCaster700の信頼性…はよく判りませんが、ルータのフィルタリングとウィルス対策・迷惑
メール対策などのアプライアンス、クライアントPCの環境など、効果的に使うことでより精度
の高いセキュアな環境が作れるんじゃないかな?

高機能な物いれても使い方(設定)次第で、セキュリティホールが生まれたら本末転倒。

因みにうちが使っているのは日本エフ・セキュアのLinuxゲートウェイという製品。
社員乙。とか言われそうだが(笑)

511 :すれちがいすまそ:2006/06/15(木) 22:18:39 ID:1sU5HD1s
>>502
Bフレッツで150台っておいおい

512 :sage:2006/06/16(金) 00:32:25 ID:???
>>511 別にいいんじゃないか?

513 :anonymous@ 350289003035461:2006/06/16(金) 09:59:45 ID:FW/MaxbI
>>512
寧ろBフレッツ最適かも試練

でNTPの設定入れた瞬間にフリーズした訳だが・・・
久しぶりに地雷踏んだorz

514 :sage:2006/06/19(月) 16:34:43 ID:???
>510
FGA使ってんのかな。なんだか漏れの会社と同じでテラrya....
Bフレで心配しているヤシいるけど、Winny使ってよしとか
言っている会社じゃなければぜんぜんOK(但しビジネスは必須な)

1.アンチウィルス(一部ウィルス対策が取れていないPCがある為)
->やっといて損はない。金が潤沢ならクライアント全部にアンチウィルス
2.WEBコンテンツフィルタリング
 →誰(IPアドレス)がどのサイトを見ていたかログ収集
->検閲ポリシーならやればいいじゃん、お前がストーカーじゃない事を祈る
3.ファイアウォールの強化
 →不正侵入検知および防御
->防御はあって損はない。検知してどうするかわかってんの?
4.社内から外部への情報漏えい阻止
->どこぞの大企業なら知らんが、完全には無理てわかるよね?

此処までする必要があるかとの御意見も戴きましたが正直自分でも分かりかねています。

ネタかも知れんが、システム管理者なら経営層とシステムポリシー策定の案件で・・・
とか話してないならやれば?普通に考えればいい。

#誰か、FortiMail400使ってないかなー

515 :510:2006/06/19(月) 19:02:54 ID:???
>>514 FGAって何?(flet's Group Access?)
 うちは Bフレッツ・ベーシック+ルータのVPNを併用(モバイル対応用途)

>>514 氏が書いているとおり…
>1.アンチウィルス(一部ウィルス対策が取れていないPCがある為)
> ->やっといて損はない。金が潤沢ならクライアント全部にアンチウィルス
 うちの場合は、コストもそうだが、管理(定義ファイルやセキュリティアップデートの更新)の
 手間の方を重点においてた。PCに疎い人はとことん疎いから何言っても理解不能だし(泣)

>2.WEBコンテンツフィルタリング
>  →誰(IPアドレス)がどのサイトを見ていたかログ収集
> ->検閲ポリシーならやればいいじゃん、お前がストーカーじゃない事を祈る
 アクセスログならフィルタリングでなくても、ゲートウェイタイプなら取得可能だよ。
 十数名の会社のログ眺めているだけでも一日仕事になりそうだから専任でもなければ無理。
 実際はログ取ってるからねぇ〜って宣言して抑止効果を狙うのが関の山かな。明らかにURL
 でHサイトだと分かるログの時は、注意したけどね。

>3.ファイアウォールの強化
>  →不正侵入検知および防御
> ->防御はあって損はない。検知してどうするかわかってんの?
 BBルータのファイアーウォールとフィルタリング、ゲートウェイ自身のファイアーウォール等
 で運用中。脆弱性のテストサイトなどでたまにチェックしたり、第三者中継やスパムのブラック
 リストに載っていないか等を確認する程度。

>4.社内から外部への情報漏えい阻止
> ->どこぞの大企業なら知らんが、完全には無理てわかるよね?
 全部ではないけど、シンクライアント(USB端子もない奴)環境かつ制限ユーザにして、
 メディアでのやり取りは特定のPC限定にしている。また、ゲートウェイの簡易フィルタ機
 能で、xls, doc ファイルなど社内資料で使用しそうなデータや、暗号化圧縮ファイル等も
 メール添付は不許可にしている。まぁ、完全でない事は理解しているので抑止効果程度だな。

だいたいこんな感じの環境で運用しているよ。>>509

516 :anonymous@ p8057-ipbffx02sasajima.aichi.ocn.ne.jp:2006/06/21(水) 00:20:30 ID:/BsNJoaN
購入してSIベンダーに設定して頂いてから1週間後にOSが立ち上がらな
い障害が発生してハード交換してもらいました。そのSIベンダーのSEの話
では最近数社で稼動中にConfigが消えて初期状態に戻ってしまうとかOSが
消えている等の障害の報告があるととのこと。みなさんそんな情報ありますか?

517 :-_-:2006/06/21(水) 01:21:31 ID:???
>>516
噂で聞いたことがあるような無いような・・・。
FortiOSのVerと機種名教えてください。

518 :FGT100A:2006/06/21(水) 16:38:07 ID:kfaQzp2q
FG100AでVer2.8では、今のところ問題ないです。
スパムフィルタのDNSBLとORDBLについて、解る人 教えてください。

519 :FG200 :2006/06/21(水) 16:57:13 ID:???
>>518
うちでは、http://www.rbl.jp/のを設定してますよ

520 :anonymous@ softbank220037054001.bbtec.net:2006/06/21(水) 22:07:57 ID:5uk87tjD
>>517
障害が発生した機種は”FG300A-2.80-FW-build489”です。
弊社担当のベンダーさんに確認したら”2.80”で
モデルは”50”"100A”でも障害が発生したとのことです。
宜しくお願いいたします。

521 :-_-:2006/06/22(木) 01:21:01 ID:???
>>520
どうりで知らないはずです。
俺管轄の機器が数十台あるのですが、build489は1台もありません。

# 3.0にVerUpしようとして失敗し、無理矢理交換させたような希ガス。

522 :sage:2006/06/22(木) 09:37:35 ID:???
使っている方に質問です。
アンチウィルスやスパム対策としての検知率(駆除精度)はどうなんですか?

523 :anonymous@ 05001011178317_ae:2006/06/23(金) 01:38:28 ID:I8KRu+c/
>>522
ウィルスはごくたまにすり抜けるらしい。
でもゲートウェイ型なら優秀ではないですかな?
スパムは良くて70%。悪くて50%を止める。
日本語スパムも止めます。
まあ専用スパムフィルタの箱が50万〜200万することを思えば
コストパフォーマンスはいいですよ

524 :FG200 :2006/06/23(金) 08:09:04 ID:9JYF6C8P
3.0MR2来ましたね

さてさて、私の遭遇した不具合は直ってるかなぁ〜
とりあえず、リリースノートを読んでこよう

525 :FGT100A:2006/06/23(金) 08:45:35 ID:PNVb41dB
FG200さん rblの件、有難うございました。
少し効果が出てきています。

526 :sage:2006/06/23(金) 19:40:15 ID:???
>>523 レス Thanks!

すり抜けたウィルスはクライアントPCの対策ソフトで検知・駆除したのかな?
既知のウィルスについての対策度はどの辺のメーカが優秀なんだろうね。

よくある、検知率の比較サイトが参考になるのかな?

527 :-_-:2006/06/24(土) 00:17:27 ID:???
>>523
> スパムは良くて70%。悪くて50%を止める。

そう? 俺はPOPで試しただけだけど、
95%以上止まったよ。

528 :FGT100A:2006/06/30(金) 17:05:30 ID:R/wcw9wB
プロテクションプロファイルでアンチウイルススキャンのHTTPとFTP
にチェックをつけるとあるファイルがダウンロードが出来ません。
アンチウイルス有効での対応方法はありますでしょうか?

アンチウイルスのログです。
The file *******708_DLM_ja_JP.exe is infected with Suspicious. ref http://www.fortinet.com/VirusEncyclopedia/search/encyclopediaSearch.do?method=quickSearchDirectly&virusName=Suspicious.

529 :_-_:2006/07/01(土) 00:01:13 ID:???
acrobatって書けばいいのに。

530 :anonymous@ 350289003035461:2006/07/06(木) 15:14:25 ID:???
>>527
試してみたら確かによく止める
今の所100%だから90以上はイケそうだ

バラクーダより費用対効果高いかも

531 :-_-:2006/07/06(木) 21:51:35 ID:???
>>530
メール鯖一台だけだったらFortigate60をメール鯖の手前で
L2モードでかましておけば、かなり安く上がるとおもうお。
あとは60が何処まで耐えられるかという問題もあると思うが・・・。

532 :FGT100A:2006/07/07(金) 10:08:59 ID:/QrhNQDD
FGT100A 2台とFGT50A 1台でVPNをしていますが。
ここ最近FGT100AにDMZを構築している所とVPNが8時頃から
10時過ぎまで不安定になりますが、どのようにしたら原因がつかめますか
教えてください。

533 :_:2006/07/07(金) 22:32:49 ID:???
>>532
まずはログ見れ

としか言えない

534 :-_-:2006/07/13(木) 21:41:30 ID:???
>>421
> 皆さん、うまく動いていますか??

確かにhttpのみ使える状況です。
つーか、トンネルモードってFortiClient必須なんですね…。

535 :anonymous@ d254244.ppp.asahi-net.or.jp:2006/07/14(金) 20:58:31 ID:???
>>534
クライアントがなくてもトンネル使えるよ。
proxyが間に入るとトンネル使えないのが痛い。
NetscreenSAにしておけば良かったとも思ったが、
まぁ、後の祭りやね。


536 :-_-:2006/07/14(金) 22:30:18 ID:???
>>535
> クライアントがなくてもトンネル使えるよ。
え! そうなんですか?
今度調べてみます。

> proxyが間に入るとトンネル使えないのが痛い。
proxyアクセスしてからトンネルモードで接続するっていう方法ですよね?

> NetscreenSAにしておけば良かったとも思ったが、
> まぁ、後の祭りやね。

ま、オマケみたいなものなので・・・。

537 ::::2006/07/15(土) 22:27:43 ID:???
ライセンス料高い

538 :anonymous@ 350289003035461:2006/07/17(月) 10:12:23 ID:???
>>535
えっ?Proxy介すと使えないのか・・・。
検証しようかと思ったけどイランね

539 :-_-:2006/07/17(月) 12:53:20 ID:???
>>538
スマソ。536の説明が悪かった。検証環境は3.0MR2

Proxyを介すの解釈が合ってるかどうかわかりませんが、
最初にProxyでアクセスすると、トンネルモードで接続するための
リンクが貼られているんですよ。
そこをクリックしてトンネルでアクセスするために、FortiClientが必要なようです。
# まだ、手探りで検証中。違ってたらスマソ

検疫ネットワークのような感じですね。
ちなみに3rdPartyのアンチウィルスソフトが入っているかどうかの検査も
できるようですが、何故かSymantecだけ対応してませんでした。
うちはSymantecなので検証できずです。

540 :FG50A:2006/07/17(月) 14:20:20 ID:???
50Aにてファイアウォール(AV/IPSとかはなし)として使っていますが、
端末によってMicrosoft Updateや他SSLサイト、FTPサイトが出来る/出来ないの
現象が出ています。

現象が出ていない方は全く現象は出ないのですが、出ている方はOSの
リカバリーをしても駄目でした。

ポリシーではANY→ANYで許可しているので特別問題なさそうな感じも
したのですが、何か根本的に解決する方法はあるのでしょうか?

541 :540:2006/07/17(月) 14:21:26 ID:???
FortiOSは3.0MR2です。記入漏れでした。

542 :FG200 :2006/07/18(火) 08:15:00 ID:6CLz2HRQ
>>540
プロテクションプロファイルが違うとかじゃないですよね?

543 :_:2006/07/18(火) 11:40:19 ID:???
>>540
この手の問題、結構Fortiにある希ガス
セッション情報をロックして上手く処理出来なくなるのかと

ほとんどがリブート一発で解決するが、ぶっちゃけバグかと

544 :540:2006/07/18(火) 20:57:01 ID:???
>>541
>>542
レスありがとうございます。

リブートしても変わらないのは確認してます。
初期化してもダメだったらForti使うのやめようかしら・・・。

なぜかプロティションプロファイルのHTTPアンチウィルスにレ点を入れていないと
Webに接続出来ないとかわけわからない動きしています・・・。

545 :540:2006/07/18(火) 20:57:52 ID:???
ぎゃああ・・・

>>542
>>543

でした。スミマセン。

546 :_:2006/07/19(水) 15:08:01 ID:???
>>544
Fortiをリブートしても改善しないならかえって楽だすな
1.OS不良
→ダウングレード
2.ハード不良
→交換
3.奇怪現象
→周辺機器も併せてリブート

この3つでまず解決すると思われ

547 :540:2006/07/19(水) 22:15:18 ID:???
>>546
2.8MR11にダウングレードし、一度初期化してから再設定し直したら
今まで出来なかった端末が出来る様になりました。

かなり嬉しいです。ご教授ありがとうございました。

3.0は地雷でしたわ・・・コワァ。

548 :anonymous@ 350289003035461:2006/07/20(木) 10:22:03 ID:O53R2uoa
>>539
詳細dクス
やっぱ試してみようかな

でも>>547には地雷って報告あるし・・・
迷うね

549 :FGこわい:2006/07/24(月) 22:00:35 ID:???
3.0の安定度ってどんな感じ?
海外の案件でBitCommetやメッセンジャーの検知とブロック
がしたいんだが。
日本では2.8MR11を使っているんだが3.0はまだまだ危険かな?
あと、P2Pやメッセンジャーの検知機能を使うためには、IPSの
ライセンスがいるんかな?

550 :地雷コワイ:2006/07/28(金) 23:44:36 ID:???
3.0は地雷でつ。
httpsなサイトが見れないとかあったりしまつ。
バグもかなりあるみたいなのでしばらく待つのが吉かと。

551 :うし:2006/08/04(金) 03:13:35 ID:???
今までユーザーだったけど代理店になるみたい。ウチの会社。

どこから仕入れるのがいいか?

安かろう悪かろうと言うが

552 :sage:2006/08/04(金) 12:35:48 ID:???
>>551 まぁ、メーカー直と大手流通(1次取次)…と言ったらそんなに多くない。

取引量によって仕入れ価格も違うだろうし売掛の問題もあるだろうからね。

そんな私はFortigateの代理店ではないです。一般論としてのレス。

553 :_:2006/08/06(日) 18:37:01 ID:???
>>551
この手の何でもできますって箱は、総じてユーザーが欲張って
全機能を使おうとするから、何かとトラブルの火種になりかねんよ。
相応の保守契約が結べるならまだしもねぇ。

欲張らなくてもいいから全部の機能がちゃんと動くものを出してほしい。

554 :sage:2006/08/07(月) 07:55:21 ID:???
>>553 欲張ってんじゃん(藁)

555 :FG300A:2006/08/07(月) 15:27:13 ID:???
>>551

とあるFortiの一次代理店から聞いた話だと、
まだ3.0は保障できないということでアップ
グレードしても保障対象外といわれています。

2週間前ぐらいに聞いたので、当分先でないと
アップグレードしないつもり。

現在、2.8MR11使ってるけど、安定しててよさげだね。
早くSSL-VPNやアンチWinny使ってみたいけど。。。

556 :-_-:2006/08/08(火) 02:05:04 ID:???
明日のリセラー向け3.0の検証発表会が楽しみでつ。

557 :Fogat:2006/08/08(火) 10:25:31 ID:???
>>555

もはや、SSL-VPNとIPSのP2P対応は、FGTの売りだと思うんだけどねぇ
推奨しない/できないは別にして、保障の対象外というのはいかがなものかと
代理店の姿勢を疑うわ

558 :fortigateゆーざー:2006/08/08(火) 10:56:57 ID:???
>>557
まともに動かない物を「保障」できるわけないじゃん

559 :100A:2006/08/09(水) 02:21:53 ID:???
FORTIGATE 100Aを使用しているのですが、
昨日の夜から突然、ネットワークが重くなってしまいました。

CPU使用率を確認すると
アクセスの少ない時などは0-10%あたりで、サクサク問題ないのですが
アクセスが多くなるなどのきっかけで、とたんに80-99%とかになります。

とりあえずログの取得を止めて、IPSもやめてみることで、
今は落ち着いていますが、また再現するのではとヒヤヒヤしています。

この状況はもう100Aの限界ということでしょうか?
それともなにか考えられる原因はあるでしょうか?

ファームウェアバージョン Fortigate-100A 2.80,build489,051027
FWポリシー 15個
アクティブセッション 50-300

あと、最大ファイルサイズの設定がいますべて10Mなのですが
この「最大ファイルサイズの設定」とはどういう意味なのでしょうか?
10M以上のファイルはアンチウィルスをしないということでしょうか?

560 :_:2006/08/09(水) 07:39:50 ID:???
>>559
切り分けは一つずつした方が解決早いぞ

漏れのフィーリングでは
限界=50%
誰かが夜にイクナイ遊び=30%
バグ若しくはHW障害=10%
一時的なNW障害=9%
外部からのアタック=1%

で、Firewall、IPS、AntiVirusが同時稼動でおk?

561 :百式:2006/08/09(水) 09:54:58 ID:???
>>559
10Mbyte以上のファイルは pass/blockが選べるが
passになってるでしょたぶん。


ちなみにうちは1Mbyte以上のファイルはpassにしてるが
ちょっとファイルの数が多いZIPとか通ると平気でCPU使用率80%超える。

562 :100A:2006/08/09(水) 10:32:51 ID:???
>>560
レスありがとうございます

何点か補足します。

・MRTGグラフでは、トラフィック自体は普段と特には変わっていないようでした。
・バーチャルIPをつかっています。
・IPは15個ぐらい使用し、サーバーは4台ぶら下がっています。
・サーバーは主に、ホスティング利用です。ドメイン数では100個ほど
・アクティブセッションはいまみたら800近くありました。しかしCPU使用率は3%とかです。
・現状は全く問題なく正常稼働してるようです。

Firewall,IPS,AntiVirusは同時稼働です。
IPSをはずすというのは、プロテクションファイルの
IPSシグニチャ、IPSアノマリ検知のチェックをはずすだけでおkですか?


>>561
なるほど、ということは
トラフィックの内容によっては、CPU使用率が一気にはねあがるということがあるわけですね!
なんだかこのあたりに原因があるような気がしてきました。


563 :sage:2006/08/09(水) 10:58:51 ID:???
>>561,562 そのようなスペックだと、安かろう…ですね。漏れはFortigate ユーザではないけど。
そこそこのスペックPC用意して他社のGateWay を導入するかした方が良くね?

564 :FG200 :2006/08/09(水) 11:44:51 ID:eiitryDN
>>562
メモリ使用量はどうですか?
AVのバッファがらみとかでレッドゾーンいっちゃうとロックされたような気がします

まあ、その用途だと100Aじゃ役不足だと思いますが

565 :100A:2006/08/09(水) 12:45:33 ID:???
>>564
メモリはほぼ常時39%あたりで、その当時の状況も含め、
レッドゾーンにいったのをみたことがありません。

いままでFORTIGATEは、
他にも、主にホスティングのAV目的で、50A,60,200Aと使っていて
そちらのほうはまだトラブルがありません。

ただ、この100Aがドメイン数も含め一番ヘビーユースなのは確かです。
しかし、この程度で役不足とは、、、


566 :FG200 :2006/08/09(水) 13:04:39 ID:eiitryDN
>>565
じゃあ、メモリ絡みじゃなさそうですね。

Fortinet Technical Discussion ForumsとかFortinet Knowledge Centerに
なんか情報あるかも知れませんよ。

567 :ホウチ博士:2006/08/09(水) 21:14:35 ID:???
FortiGateの解析結果

FortiGateの49%は愛で出来ています
FortiGateの42%は濃硫酸で出来ています
FortiGateの7%はお菓子で出来ています
FortiGateの2%は心の壁で出来ています

568 :anonymous@ 350289003035461:2006/08/10(木) 09:10:02 ID:DUUsXiMe
>>562
了解 了解
瞬間的に100Aのスペック超えが発生しているのかと
暫定的には>>561の設定通りAntiVirusを
1Mで打ち切れば良い
アーカイブを解く作業はCPUとメモリかなり使う
関連トラブルは他製品でも多い
1M超えるVirusは無視しておk

569 :100A:2006/08/10(木) 10:15:04 ID:???
>>566
>>568
ありがとうございます

最終的に、
IPS停止
AV最大ファイルサイズ10M→1Mに
としています。

昨日のトラフィックピーク時に様子をみましたが
特に問題ありませんでした。

これでしばらく様子をみたいと思います。

570 :FG100:2006/08/11(金) 14:01:43 ID:???
昨夜、全社停電があったのだが、
電源復旧後、フォーティの調子が悪くなりました。
IPSecのセッションは張られているのに、なぜか通信できず。
FW機能やRoutingは問題なし。
リブ一トやら何やら、イロイロいじっているうちに、
管理画面にアクセスできなくなりました。
コンソールで中を見ようとした所でベンダが到着。
代替機に変わりましたとさ。


571 :-_-:2006/08/12(土) 03:33:28 ID:???
>>570
復電後って一番危ないよ。
Forigateに限った話じゃない。
停電前に一度電源を全てOFFにして、
復電後一台ずつONにするのは常識。

572 :anonymous@ PPPa446.kanagawa-ip.dti.ne.jp:2006/08/13(日) 17:50:44 ID:???
>>571
すくなくともサーバじゃなくネット機器として売ってる製品としては、停電後正常復帰しないなんてことがあってはならない

573 :anonymous@ softbank219201084009.bbtec.net:2006/08/14(月) 01:42:21 ID:???
>>572
うんこ管理者、勝手に決め付けるなよ。

574 :_:2006/08/14(月) 11:55:14 ID:???
>>572
サーバ機器も復電時正常復帰しないと困る

シャットダウンなんていつまでやらせる気だと言いたい
けど、ほとんどが根性無し
全部の機器がバーン、ドーンでOKになりゃ楽なのだが・・・

575 :sage:2006/08/14(月) 13:16:08 ID:???
UPSと連動できる製品にするか、自前で作るか汁。

576 :anonymous@ i58-93-36-243.s02.a013.ap.plala.or.jp:2006/08/23(水) 19:38:56 ID:l+AcU1kt
>>10

577 :sage:2006/08/23(水) 23:08:06 ID:???
OBP25については対応できますか?

578 :hage:2006/08/26(土) 23:43:41 ID:???
それはPort25以外のSMTPの通信でウィルススキャンが
出来るかということを聞きたいのか?

579 :sage:2006/08/27(日) 09:46:51 ID:???
yes

580 :hage:2006/08/27(日) 21:00:49 ID:???
>>579
コマンド叩けばできるよ。
25のSMTPだけでなく、httpの8080なんてことも可能。

581 :sage:2006/09/12(火) 15:22:21 ID:???
100Aを購入してみたんですが、設定方法がいまいちわかりません。
どなたか教えてくださいOrz

DMZにIP 
10.10.10.100/24のDNSとSMTPサーバーを配置
外部(WAN1)からグローバールIPへのトラフィックのDNSとSMTPだけ10.10.10.100へNATする方法

582 :sage:2006/09/12(火) 18:29:51 ID:???
>581 購入店に聞いてください

583 :anonymous@ 203.125.144.34:2006/09/12(火) 19:15:46 ID:???
>>581
全角英数字を使ってるような奴には無理だから諦めて

584 :anonymous@ i60-34-241-137.s02.a014.ap.plala.or.jp:2006/09/13(水) 00:43:01 ID:???
グローバールIP

585 :foget:2006/09/13(水) 12:30:13 ID:???
よくぞまぁ>>511みたいなのがFGT買っちゃって設定までするもんだねぇw

たまに見かける、WebGUIで設定できるなら楽だと思った、タイプ?

586 :585:2006/09/13(水) 12:30:59 ID:???
× 511
>>581

587 :sage:2006/09/15(金) 15:09:53 ID:???
うわみんな嫌な感じだなぁ


588 :_:2006/09/15(金) 16:18:12 ID:???
この流れワロス

>>581
バーチャルIP
これでワカランならFG100Aを漏れによこせ
送付先は別途連絡する

589 :sage:2006/09/20(水) 10:49:58 ID:???
>>588
やっべーバーチャルIPといわれて想像するのVRRPとかHSRP
なんだかさっぱりだな
おとなしく588にあげるかOrz


590 :anonymous:2006/09/20(水) 12:27:36 ID:???
>>589

588じゃなくてオレにくれ(w

Fotiの元NetScreen風に言うと
VIP(いわゆるポートNAT)
MIP(いわゆるスタティックNAT)

なので、VIPを使って、FGのWAN側IPの
SMTP/DNS(TCP 25,53, UDP 53・・これを忘れるな)の
パケットをDMZのサーバに向ける

こんだけ。親切すぎたかな(w


591 :anonymous@ p18060-ipbffx02osakakita.osaka.ocn.ne.jp:2006/09/20(水) 15:40:45 ID:???
ちと聞きたい事があるんだが、
禁止ワードを登録する時に、[mark as spam]と[mark as clear]の2つを選ばされるんだが
mark as Clearってのはどういう働きをするんだい?

Spamはメールのシャットアウトと警告文を飛ばすのは分かったんだが、
Clearは見たところチェックをしないだけと同じような動きをしてる気がするんだ・・・

592 :anonymous:2006/09/20(水) 16:23:38 ID:???
>>591

この言葉が入っていれば、spam扱いしない(方向へ向けて加点する)という
明示的な指定。OK?

593 :591:2006/09/20(水) 16:35:42 ID:???
>592
OKOK
すごく助かったよ、ありがとう

594 :sage:2006/09/20(水) 17:36:09 ID:???
>>590
ベリーベリーThanks!
やっと分かりました、どうもありがとうございました>_<

非常に申し訳ないのですが、またつまづきました。
DMZに配置してるDNSがプライベートなので、外部からの問い合わせをグローバルのアドレスに変換
してくれる機能ってありますでしょうか。
内部インターナルからの問い合わせはそのままでいいんですが・・

595 :sage:2006/09/20(水) 17:37:17 ID:???
ttp://www.cisco.com/japanese/warp/public/3/jp/service/tac/110/alias-j.html
こんな感じのがあるといいんですが・・

596 :anonymous:2006/09/20(水) 17:48:26 ID:???
>>594

調子に乗りすぎ
DNSサーバでviewを切れ
(これでも親切すぎ)

597 :anonymous:2006/09/20(水) 17:49:48 ID:???

どうせ次はメールの認証やら何やら出てくるんだし
サーバ設定の基本ぐらいは、勉強した方がいいと思うぞ

598 :sage:2006/09/20(水) 17:58:28 ID:???
あい;;
Viewの設定ありでした

結果から言うと595のURL見たいのはないんでしょうか?

599 :_:2006/09/21(木) 13:18:31 ID:???
>>590のせいでFG100A損したw

>>598が調子づいている件について
>結果から言うと595のURL見たいのはないんでしょうか?
喪前が作れ

>>337が提案したのだがマンドクサイので誰もやってくれないorz

600 :  :2006/09/21(木) 17:40:56 ID:???
>>599
あるじゃん

601 :anonymous:2006/09/22(金) 00:56:37 ID:???
>>599
>>>590のせいでFG100A損したw

スマンw
マジでオレも欲しかったんだが、つい。


602 :sage:2006/09/22(金) 07:44:02 ID:???
>590

パケットをDMZへ向けてもアンチウィルス機能は有効なの?

今はユーザじゃないのでトンチンカンな質問かもしれませんが…

603 :anonymous@ 203.125.144.34:2006/09/22(金) 09:36:50 ID:???
>>602


604 :aaaa:2006/09/25(月) 16:31:11 ID:???
2.8MR12は使ってる?

605 :anonymous@ 218.228.242.78:2006/09/29(金) 10:47:36 ID:kebH0igK
リモート:FortiClient3.0.229、センター:Fortigate-400 2.80,build456でVPN接続
してるんだけど、アクティブディレクトリにログオンしようとすると、パスワード
入力後、「個人設定を読み込んでいます」と表示されたまま30分以上、マシンの反
応が有りません。どうしてなんかなあと?

606 :_:2006/09/29(金) 16:37:40 ID:???
>>605
ありがちな話やね
Encryptポリシーは最優先?

つーか30分も待つ根性がスゴイw

607 :anonymous@ 218.228.242.78:2006/09/29(金) 16:59:55 ID:kebH0igK
>>606
PSIの設定マニュアルに「VPNに関するポリシーは必ず最初に評価されるように
順番を入れ替えます」って書いてあるのでそうしてます。

608 :anonymous@ 218.228.242.78:2006/09/30(土) 16:20:25 ID:XBh/6opN
>>606
VPN接続を切ると、ログオン出来る事が分かりました。その後、VPN接続する
とVPN経由でファイルサーバーにもアクセス可能です。でもイチイチこんな
事やってられん感じです。

609 :_:2006/10/02(月) 11:38:00 ID:???
>>607
最初に評価ならOKやね>ポリシー
後はFortiClientのAntiVirus/Firewallは導入しない事を推奨>カスタム導入

で、>>608
>VPN接続を切ると、ログオン出来る事が分かりました
の意味が分からない・・・
切っても繋がるって、ADはVPN越しでは無くてLAN側にあるのか?
で、ファイルサーバがVPNの向こう???

いずれにせよ可能性としては
1.リモートネットワークの設定不足>LANとVPNが一緒だとイクナイ
2.間にあるルータや回線等の設定不足>MSS等々
3.バグ>バージョンダウン推奨
あたりかと

610 :anonymous@ 218.228.242.78:2006/10/06(金) 12:00:58 ID:???
>>609
分かりにくい説明でした。VPN接続した状態でADにログオンし「個人設定を
読み込んでいます」で、うんともすんとも動かなくなったら、VPN接続を一
旦切ったり、LANケーブルを抜くとデスクトップ画面が表示されます。

その後、FortiGateを400から50Aに変更したところ上手く行くようになりま
した。しかし別の問題が発生しています。VPN接続はUPし続けているにも関
わらず、暫くするとトンネル内の通信が出来なくなります(FortiGate50Aの
Internalへpingが通らなくなります)。こうなると当然の事ながらクライア
ントからLANへもpingが通りません。

611 :1次店!?:2006/10/19(木) 11:39:11 ID:1WqakR6+
>>540
PPPoEとかでMTUが1500より小さい値になるときに、MSSが適正に変更できない仕様のための現象だと思います。
v3.0以降ならCLIから変更できますので、メーカKCを参照に変更してください。
http://kc.forticare.com/default.asp?id=1731&SID=&Lang=1

612 :1次店!?:2006/10/19(木) 11:40:41 ID:1WqakR6+
httpのhを抜くの忘れてしまいましたorz
すみません。。

613 :anonymous@ pool1.educ.tamagawa.ac.jp:2006/10/20(金) 15:44:22 ID:/aXouYSH
クライアントから発生するウイルス感染行動を検知するのにFortigate
ってどうですか?
ネットワークの構成を変更したくないんで透過型で使用したとして。
とりあえず検知だけ動けば良いです。

614 ::::2006/10/20(金) 23:33:41 ID:+it0k9WT
うまく動いてくれ

615 :hage:2006/10/21(土) 02:53:59 ID:???
>>613
アリですよ。某社は各セグメントに100が入っている。
AV+IPSで動かすと良い。

616 :FGこわい:2006/11/07(火) 16:46:45 ID:FfLqUp2Y
FGのSPAM対策使っている方いる?
どの程度の精度なんでしょう???

617 :sage:2006/11/07(火) 18:52:03 ID:???
POPFile で十分。

618 :anonymous@fujiyamasan:2006/11/08(水) 05:17:20 ID:???
>>616
FortiGuardのAntiSpamはURLフィルタが優秀なんだが、
うちでは微妙に業務に支障が出たので外してしまった

IPアドレスフィルタは他のDNSBLと大して変わらないような気がする
DNSBLフィルタはAntiSpamライセンス買わなくても使える(多分)ので
なんか損した気分

619 :_:2006/11/08(水) 16:52:52 ID:???
>>616
Spam除去率95%以上
ただし誤検知率=3〜5%・・・。ちと厄介

特にメルマガ系はよく誤検知する。

620 :anonymous@ p4188-ipbf2104marunouchi.tokyo.ocn.ne.jp:2006/11/11(土) 09:06:49 ID:BCy+j4Ao
FG200A(2.80,build489)を使っていて、AVのライセンスが有効なのですが、
昨日から急に、AV Engineの更新はできるのですがAV Definitionについては
「更新失敗」と表示されるようになりました。
片方だけ更新できないというようなことはあるのでしょうか?
ちなみに現在のパターンバージョンは以下の通りです。
AV Engine 2.002 ←最新です
AV Definition 6.805 ←ちょっと古いです
どなたか同じような経験ありませんか?


621 :123:2006/11/11(土) 09:19:21 ID:???
「更新失敗」や「ネットワークエラー」やたら多い。
ベンダーに聞いても事例がないだのファームを上げろだのしか言わない。
自然復旧したが対応悪すぎ。
もう一台は更新失敗中。

622 :anonymous@ 350289003035461:2006/11/14(火) 18:43:01 ID:???
>>620 >>621
たまにある>事例無いはウソ
FortinetのDBがまま狂うという仕様w

自然復旧するから待つしか無いね
四万テックやトレンドも程度の差こそあれ同様障害ある

623 :anonymous@ 350289003035461:2006/11/14(火) 18:48:18 ID:???
>>621
後、狂うのは年に数回だから
しょっちゅうあるのは他に原因あるかも

624 :hage:2006/11/16(木) 22:44:45 ID:???
>>621
当たり前のことを書くけど、更新失敗はDNSが死んでいる可能性もあるな。

625 :anonymous@ p4188-ipbf2104marunouchi.tokyo.ocn.ne.jp:2006/11/22(水) 23:12:12 ID:fLycwmgG
620です。
OSのアップデート作業をやったところ、直りました。
同じバージョンなのですが・・
意味不明です。

626 :anonymous@ p4188-ipbf2104marunouchi.tokyo.ocn.ne.jp:2006/11/22(水) 23:16:37 ID:fLycwmgG
気を取り直して、FortiGateはAntiSpamライセンスを購入していなくても、
プロテクションプロファイルで「Spamフィルタリング」のいろいろな項目を
有効にできますが、このうち、AntiSpamライセンスを購入していないと
機能しない(または定義が古い)ものはどれなのでしょうか?
誰か親切な方、教えてください。


627 :anonymous@ p4188-ipbf2104marunouchi.tokyo.ocn.ne.jp:2006/11/22(水) 23:47:36 ID:fLycwmgG
>>626
自己レスです。
AntiSpamライセンスを購入しなくても、
・FortiGuard - AntiSpam IPアドレスチェック
・FortiGuard - AntiSpam URLチェック
上記以外は普通に使える(自分で勝手に定義を追加して使う)というわけですね?

628 :orz:2006/11/23(木) 02:10:12 ID:???
どなたか教えてください。

FortiGate-60(2.80Build489)を利用してるんですが、PPTPを有効にして
クライアント側の接続設定でIPを固定にすると、「サーバーがアドレスを
拒否した」というようなメッセージがでます。
接続ユーザごとにIPを固定することはできないのでしょうか?

クライアント側でIPを固定にすると、

629 :hage:2006/11/25(土) 14:20:12 ID:???
>>628
> 接続ユーザごとにIPを固定することはできないのでしょうか?

できないはず。
ユーザーとIPアドレスを紐付けたいのなら、Ver3.0にうpしな。

630 :FG100でテスト中:2006/12/01(金) 15:22:20 ID:???
Fortiだけにすっかり放置してたFG200のOS(Fortigate-200 2.36,build073,030514)
FG50の拠点も同じVerだけど、FG200だけ2.8に上げちゃっても設定間違ってなければ大丈夫?
明後日の日曜日やってみるけど、心配(鬱

631 :_:2006/12/01(金) 16:54:47 ID:???
>>630
理論的には行けるはずだが漏れなら避ける

明後日の日曜日って・・・
かなりのチャレンジャーだなw

632 :__:2006/12/01(金) 22:40:54 ID:???
最初スルーしてしまったが、後で戻ってきた。
>Fortiだけにすっかり放置してた

633 :628:2006/12/01(金) 23:56:44 ID:???
>>629
おそくなりましたが、レスありがと。

3.0にうpしてみましたが、やっぱりできないぽい?
GUIじゃそれらしい項目ないし、CLIのリファレンス見ても見つけることができませんでした。

度々、申し訳ないですが、設定方法をおしえてもらえんでしょか?


634 :FG100でテスト中:2006/12/03(日) 09:04:38 ID:???
>>631
ってことで早速チャレンジ報告。

余ったFG100があったので、2.36→2.8へVerうp。
GUI変わり過ぎて一時間ほど戸惑う
それっぽく設定できたので、FG200と交換して各拠点FGのLan側IPへPing→帰ってきた
各拠点のプリンタへPing→帰ってきた
どうやらよさげな感じ。

月曜日代休取れるかな?w

635 :FG100でテスト中:2006/12/03(日) 10:53:37 ID:???
連続投稿スンマソン

中間報告
FG100を一時凌ぎにしている間にFG200のファームを2.8 build550へUP
FG100と設定をにらめっこしつつ、セッティング
先ほどFG100と入れ替えて、各拠点へPing→OK

ひとまず作業完了なので、月曜再度経過報告(必要ねーよって?w)

636 :hage:2006/12/03(日) 22:12:25 ID:???
>>633
すまん。漏れの説明が誤解を与えたようで。。。

3.0にすればログにユーザー名と割り当てられたIPアドレスが出るんだよ。
それで十分じゃねぇの?というお話をしたかったんだ。

どうしてもユーザーに対して固定のIPアドレスを割り当てたかったら、
FortiClientを使ってください。
最近、VPNとパーソナルF/W機能だけ使うのだったらフリー扱いになったからさ。


637 :_:2006/12/04(月) 14:43:00 ID:???
>>635
いやSite間VPNで似たような事例が今後もあるかも試練
モマイさんのようなチャレンジャーはとても貴重
という訳で報告ヨロ
(火曜日でも良いぞw)

>>636
FortiClientはVPNだけだったらフリー扱いなのか???
知らんかった・・・

638 :FG100でテスト中:2006/12/04(月) 16:01:11 ID:???
>>637
現状報告始末

目下VerUPによるトラブルはなし。
順調に繋がってますよ。
一部Forti純正のVPNクライアントソフトからの接続もあるけど
こちらもまったく問題なくホストへ進入できてます。

ホスト  拠点
 2.8   2.36(2台)

これで落ち着いて拠点FortiのOSも上げられる次第。


639 :633:2006/12/04(月) 17:25:54 ID:???
>>636

いえいえ。とっても有り難う。
まさに、2.8の時にSyslogとばしてユーザー名からIPをひっぱろうかと思ってたんですが、それも出来なかったので。
3.0ではログまで確認してませんでした。
これ、いけそうです!


640 :hage:2006/12/05(火) 02:00:30 ID:???
>>637
> FortiClientはVPNだけだったらフリー扱いなのか???

補足するとこれまではDESのみがフリー扱いだったけど、
FortiClient3.0からが3DESもフリーになりますた。AESは忘れた。

ここから落とせるようになってます。
http://www.download.com/FortiClient/3000-2653_4-10519418.html

>>639
よかった。ログで間に合う問題だったのですね。
思い起こせば、pptpのログの問題はVer2.5の時からず〜っと代理店に
文句を言いつづけていたんだよな・・・。

641 :_:2006/12/05(火) 16:30:54 ID:???
>>638

とりあえず今日はゆっくり休んでくれ
って代休は取れなかったか・・・。

>>640
dクス
3.0についてはあんまり詳しく無いからこれからスレ住人
に追いつけるよう努力しなくてはw

642 :FG100でテスト中:2006/12/11(月) 19:21:31 ID:???
その後経過報告

FG200 2.36 -> 2.80へのUP自体は確かに問題なし。ひと通り機能してくれてるようです。
と思ったら、社内から別会社さんへVPN(SecuRemoteVPN-1クライアント使用)張るんですが、どうも繋がってくれない
頭きたからVirtualIPで空いてる固定IPをPCに振って、ポート全開放したけどダメ。
怖いので、速攻やめましたが・・

ひょっとしてIPSが悪さしてるんですかね?(正直わかってない)

仕方ないのであまったFG100 2.80 -> 2.36へダウングレードて、FG200と交換。
途中FG100のフラッシュをぶっ壊して「open boot device failed」を見てしばし放心しましたが
TFTPでOS再UPして、OS再構築。バックアップから設定戻して、現在は無事復旧です。
チラ裏報告書スマソ。

643 :hage:2006/12/12(火) 00:55:35 ID:???
>>642
>社内から別会社さんへVPN(SecuRemoteVPN-1クライアント使用)張るんですが、どうも繋がってくれない

え”〜〜〜
これってつまりこういう構成ですよね?

[SecuRemoteVPN-1クライアント]→[Fortigate2.8]→インターネット→[別会社VPN-1]→[別会社サーバ]

普通に通信できれば、あまり影響が無いと思うのですがね。気持ち悪いなぁ・・・。

一つ考えられるとすると、SecuRemoteの通信がUDPでカプセル化されるようになっていないとか?

つーか、気になって眠れないじゃないか! どうしてくれるんだ!(w

644 :FG100でテスト中:2006/12/12(火) 10:13:36 ID:???
>>643
構成は全くその通りです。
その他の通信については特に目立つような問題ないんですよ(結構重要な業務で使ってるから、困るなぁ)
マニュアル、過去ログしっかり読んでない私もいけないんですけどね
なにか解決方法見つかったら報告します

645 :anonymous@ 350289003035461:2006/12/12(火) 17:46:43 ID:???
>>642
要するにVerUpしたらSecuRemoteだけ使えなくなったと・・・

全く原因が分からんなw
関連ログだけでも上げる事は可能か?

646 :FG100でテスト中:2006/12/12(火) 20:06:57 ID:???
>>645
すまない。VerUP後にHDDフォーマットするの忘れてたw
結局2.36へ逆戻り
寝てないし、ちょっと頭冷やしてきますよ

647 :_:2006/12/12(火) 23:58:00 ID:???
>>646
まあ普通に考えればUDP500番を上手くNAPT出来ない。
という可能性高いが、もしかしたら他の原因かも。
と思ってな・・・。
ログ無いならちと難しいか>原因特定

マニュアルや過去ログでは解決方法見つからないかと

648 :FGT100でテスト中:2006/12/13(水) 15:00:39 ID:???
>>647
付き合ってもらってありがとうございます。ひとまず週末に決め打ちでテストしてみます。
FG200 2.8
アドレス 相手先IP/255.255.255.225
ポート IKE、Ipsec、VPN-1使用ポートグループ化(グループ名:Portgrp)
ポリシー
Int→Ext Intall(0.0.0.0) → 相手先IP (NATチェック)
Ext→Int 相手先IP(Portgrp) → all (NATチェック)

前(FG200 2.36)のポリシー
Int→Ext Intall(0.0.0.0) → Extall(0.0.0.0) (NATチェック)
Ext→DMZ Extall(0.0.0.0) → DMZグローバルIP(DNS、SMTP、Ping、VPN-1用のポート)

DMZはメールリレーするサーバーしかないんですよね・・・
なぜ?と思いますが、ベンダーがこれで設定してくれてましたが、これで出来てたから不思議でしょうがない
当然Ext用のグローバルとDMZグローバルのIPは別ものです。

一応ベンダーに投げてはみました
2.8の仕業なのか、設定ミスなのか、私の壮大な勘違いか、ハッキリしておきたいです

649 :anonymous@ 51.91.138.210.xf.2iij.net:2006/12/13(水) 22:31:31 ID:???
Fortigateって
NAT設定してもそのNATオブジェクトをポリシーに使わないと
NATが有効にならない?

具体的には、
192.168.0.1⇔1.0.0.1ってスタティックNATを設定して、
internal(192.168.0.1)→external(all)のポリシーだけ書いても
スタティックNATが適用されずにexternalの実アドレスにソースNAT
されて出て行く。

けど
external(all)→internal(1.0.0.1)のポリシーを書くと
スタティックNATが適用される。

これってそういう仕様ですか?

650 :hage:2006/12/14(木) 02:05:50 ID:???
>>648
> Ext→Int 相手先IP(Portgrp) → all (NATチェック)

External→IntでNATチェックすると、
InboundのSrcアドレスがIntのIFアドレスにNATされますよ。
つまり、相手先IPがIntと同じセグメントになります。

このミスをメールサーバでやったら最悪です。(w

>>649
そういう仕様です。
NetScreenの場合だとMIP(いわゆるスタティックNAT)の設定をすると、
Outboundの通信が自動的にNATされるので混乱しやすいです。

651 :_:2006/12/14(木) 16:06:18 ID:???
>>648
壮大な勘違いw。ベンダーの設定も大概だけどなwww
Ext→IntでSecuRemote用のポリシーは書く必要全く無い。
というか書いてはイケナイ。
要は黙ってマスカレードさせておけば良い。
※NAPTテーブルはFortigateにお任せ。

勘違いし易いが>>650の言う通りFortigateのNATはSourceNAT
従ってMailServerでこのミスやらかすとほぼ不正中継鯖になる。
DestinationNATは全てVIPで行いNATにチェックしてはイケナイという事だ。

なお、ベンダーの設定も正しくは無いのだがDMZへの通信限定
だから問題無かったのだろう。

と長々書いたが解決方法はExt→Int 相手先IP(Portgrp)→all(NATチェック)
のポリシーを消せ





結果は保証せんwww

652 :651:2006/12/14(木) 16:19:09 ID:???
スマソ。大嘘付いたw

Fortigateにデフォルトで定義されていないサービスは
バックコネクションを定義する必要ある

VPN-1が独自に使用するポートやサービスについては
Ext→Int残さなアカン

653 :649:2006/12/14(木) 16:38:03 ID:???
サンクス > ハゲ

654 :649:2006/12/14(木) 20:34:10 ID:???
サンクス> カス

655 :hage:2006/12/15(金) 02:20:20 ID:???
>>652
> Fortigateにデフォルトで定義されていないサービスは
> バックコネクションを定義する必要ある

話それてスマソ
デフォルトで定義されているサービスってsession-helperのことですよね?

656 :_:2006/12/15(金) 07:16:53 ID:???
>>655
Firewall→Serviceに予め定義されていて触れない>デフォサービス
Customで作成するサービス=バックコネクションを自動判別しない

session-helperって言うのか
知らんかったw
アンタ詳しいな。もしかして中の人?

657 :hage:2006/12/15(金) 22:39:08 ID:???
>>656
コマンドで
# confiig system session-helper
で設定を見てください。
どのサービスがバックコネクションを許可するかがわかります。

identは2.8MR10あたりから仕様が変わったので、許可するにはちょっと工夫が必要。

>アンタ詳しいな。もしかして中の人?

代理店でも何でもない外の人です。

658 :FG100でテスト中:2006/12/18(月) 11:36:16 ID:???
>>648のExt→Intの(NATチェック)の部分はコピペミスです。すみません

まずは>>650-692
情報いろいろとありがとうございます。

先日の日曜ひとまずFG200 2.8に交換。
>>648の定義の一部を変えました(Ext→Int 相手先IP(サービスall) → Intall)
この状態で確認してみたところ、表面上SecuRemoteは「接続した」と表示してくれますが、
相手先サーバには一切アクセスできず。Pingすら飛ばない始末

うーん頭痛い。

659 :anonymous@ 350289003035461:2006/12/20(水) 07:53:52 ID:???
>>657
dクス

>>658
うっはぁ、頭痛ぇなw
許されるか分からんがStaticにNAT仕掛けてもNGか?
直感だがNATが上手くいってないだけ。の希ガス
StaticNATで駄目なら無理かも試練

660 :FG100でテスト中:2006/12/20(水) 12:37:04 ID:???
>>659
試してみました。

VIPにグローバルの空きIP(xxx.xxx.xxx.xxx)→検証用マシンのIP(yyy.yyy.yyy.yyy)をスタティックで定義
Ext→Intポリシー 接続先グローバルIP(nnn.nnn.nnn.nnn)/any → xxx.xxx.xxx.xxx/any
Int→Extは相変わらず 0.0.0.0→0.0.0.0/any (NAT)

やはりダメです。

661 :_:2006/12/20(水) 13:15:55 ID:???
>>660
乙。行動力あるなw

だが0.0.0.0→0.0.0.0/any(NAT)だとマスカレードになっちまう
IPプールを使って
Int→Ext=yyy.yyy.yyy.yyy→接続先グローバルIP (SNAT:xxx.xxx.xxx.xxx)
にしないとStaticNATは完成しない。
それでどうだ?

662 :FG100でテスト中:2006/12/20(水) 13:54:09 ID:???
>>661
とりあえず業務優先のため、お昼にOS2.36載せたFG100に交換してしまいました
また週末出社した際に試してみます。
重ね重ねありがとうございます

663 :FG100でテスト中:2006/12/26(火) 18:23:22 ID:???
とんでもないというか、悲しいお知らせです。

[Router]---[FG200]---[S/W HUB]--[端末]
     |       |
      --[Cisco]---|

ズレてたらすみません
結局VPN-1の通信のみFGを経由せず、Ciscoのルーター経由で通信させて解決しました・・・

このスレ的には・・首吊ってきますw

>>661
感謝してます

664 :hage:2006/12/27(水) 00:20:03 ID:???
>>663
この際思い切って肝心なところは伏字にして
コンフィグ貼ってくれ(w

665 :anonymous@ 353678012226318:2006/12/27(水) 08:46:49 ID:???
>>663
解決したならそれが1番
遊びじゃ無く業務だし

しかしIPSec系の通信が上手くイカンのは問題だな

666 :anonymous@ tcatgi078138.adsl.ppp.infoweb.ne.jp:2007/01/30(火) 23:17:26 ID:Cz0Q+19M
アンチウイルスを有効にしているのですが、メール系ウイルスが
あまり検出されずにPCのウイルススキャンでブロックしています。
性能よくないの?


667 :sage:2007/01/30(火) 23:35:53 ID:???
>666 ダミアンだから?

それなり…

668 :FortiGate検討中:2007/01/31(水) 19:21:32 ID:lyMsOvnD
すいません。質問です。

今Fortigate導入を考えているのですが、下記のような構成ができるか教えていただけないでしょうか。

・フレッツ(PPPoE)で固定IPアドレス8個でFortigateでPPPoE終端
・LAN(プライベートIP)からのインターネットアクセスはIPマスカレード
 でアンチウイルス機能(HTTP、POP3)利用
・DMZ空間のサーバはプライベートIPで構成しているので、スタティックNAT
 設定し、アンチウイルス機能は利用しない

購入するかの瀬戸際なのでどうぞよろしくお願いします。

669 :sage:2007/01/31(水) 19:39:54 ID:???
>668

FortiGate ユーザでも代理店でも無いので的確な回答はだせませんが…。

>DMZ空間のサーバは…
>設定し、アンチウイルス機能は利用しない

…って、サーバは保護しなくていいの? デモ機とかないのかね?

670 :FortiGate検討中:2007/01/31(水) 20:01:27 ID:lyMsOvnD
>>669

>…って、サーバは保護しなくていいの? デモ機とかないのかね?

アンチウイルス機能動かしたいんですが、予算の関係で100Aしか無理なので
絶対要件の「LANからのインターネットアクセスにアンチウイルスを!」
を優先してます。
30台程度のPCを接続するので厳しいかなぁと思っている次第です。。。

671 :sage:2007/01/31(水) 23:59:49 ID:???
>670 ふ〜ん!?

LAN内の Web Server, Mail ServerなどはクラスC(同一セグメント)とした場合、

[WAN] <--> [Router]--[FortiGate] <--> [LAN] のとき、LAN内の公開サーバなどは
クライアントPCとしてカウントされないの?
またアンチウイルスは[WAN]からの通信は監視しないの?(80,110,25,21ポートなど)


672 :FortiGate検討中:2007/02/01(木) 13:08:59 ID:noMosxPF
>>671

説明下手ですね。すいません。

LANセグメント:192.168.0.0/24
WANセグメント:1.1.1.0/29
DMZセグメント:172.16.1.0/24

・LANセグメントからのインターネットアクセスは1.1.1.1でIPマスカレード
・DMZセグメント内サーバは1.1.1.2、1.1.1.3等で外部からアクセス可能なように
 スタティックNAT
・LAN⇔WANの通信のみアンチウイルスしたい

ということになりますが、可能でしょうか?

673 :anonymous@ 353678012226318:2007/02/06(火) 13:41:29 ID:???
可能

674 :anonymous@ 353678012226318:2007/02/06(火) 13:48:06 ID:???
ちなみにアンチウイルスのみなら30台どころか100台でも楽勝
回線は速い方が良い
スキャン設定は過去ログ参照

675 :sage:2007/02/16(金) 00:13:10 ID:???
FG200A 2台でActive-Passive構成を組んでいます。

HSRPみたいに、VIPの他に各FGのI/FにIPを割り当ててPING監視したいのですが、
そんなことって可能でしょうか?


676 :_:2007/02/16(金) 12:43:23 ID:???
>>675
そのやり方分からずに諦めた事ある

可能性で言うならバーチャルドメイン無理繰り使えば出来るかも試練

677 :hage:2007/02/17(土) 23:27:30 ID:???
>>675
無理なので俺も諦めた。
その時にBackUP機にping監視する意味の低さを感じた。
SNMPtrapとActive機へのping監視で十分コトは足りると思う。

余談ですがFortigateの場合、Fortigateを監視するだけではなくて、
Fortigateの先にある機器をアプリレベルで監視した方が効果的。
最近はほとんど無いけど、AVエンジンがハングアップした場合は、
ping監視では気が付かない。

>>676
なるほど。VDOMを使えばできそうですね。
でも、リンク用アドレスがもう1系統必要になる尿管。
そこまで柔軟に対応してくれるキャリアはまず無いだろうね・・・。

678 :sage:2007/02/19(月) 22:34:59 ID:???
>>676-677
サンクスです。

確かに2台にpingは必須ではないですね。
Active機へのpingと、trepでH/Aの切り替わりを認識していれば
問題なさそうです。

189 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)