본문 바로가기

FortiGate630

웹사이트 URL 하위 디렉토리는 차단하고, 상위 루트 웹사이트는 허용 예를 들어 상위 Root 사이트인  www.fortinet.com은 허용하지만, 하위 "www.fortinet.com/support/product-downloads" 디렉토리는 차단하려는 경우의 설정 방법이다. Static URL Filter를 사용하며 SSL Deep Inspection을 사용해야 한다.HTTPS 통신의 경우 Deep Inspection을 사용하지 않으면 URL의 FQDN만 확인 할 수 있다.즉  Deep Inspection을 사용하지 않는 경우 "www.fortinet.com"와 "www.fortinet.com/support/product-downloads" 모두 동일하게 "www.fortinet.com"로 FQDN만 인식하게 된다. 주의) 위 예제를 테스트할 경우 SSL Deep I.. 2024. 10. 15.
HA Primary에서 설정을 변경했지만 Secondary로 반영이 되지 않는 경우 Primary 장비에서 설정을 변경했지만 Secondary로 반연이 되지 않아서 "out of sync" 상태가 되는 경우가 있다. 이런 경우 2개의 장비 모두 아래의 명령어를 이용하여, 동기화 동작을 stop 했다가 다시 start 한다.     execute ha synchronize stop      execute ha synchronize start 이후  HA checksum을 다시 계산한다.(2장비 모두)     diagnose sys ha checksum recalculate 관련 LINK : https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-How-to-troubleshoot-HA-synchronization-issue/ta-.. 2024. 10. 14.
Telegram 관련 사용자 정의 Application 시그니처 Telegramconfig application custom edit "telegram" set signature "F-SBID( --name "Telegram.Custom"; --flow from_client; --app_cat 28; --protocol tcp; --dst_port 443; --dst_addr [149.154.172.0/22,149.154.160.0/22,149.154.164.0/22,91.108.4.0/22,91.108.56.0/22,95.161.64.0/22,2001:b28:f23d::/48,2001:67c:4e8::/48];)" set category 23 nextend Telegram File Transferconfig application custom ed.. 2024. 10. 14.
GUI에서는 HA "Not Synchronized" 표시되지만, 실제로는 Sync 상태인 경우 FortiGate HA 상태에서 아래와 같이 GUI에서는 "Not Synchronized"로 표시되지만, 실제로 HA  장치들은 동기화 되어 있는 경우가 있다. CLI에서 "diag sys ha checksum cluster" 명령어로 동일한 체크섬인지 확인하여 동기화 확인 가능하다.CLI에서는 동기화 되었지만, GUI에서는 "Not Synchronized"로 표시되면, 브라우저의 쿠키와 Cache를 삭제하고 다시 접속하면 해결 할 수 있다. 2024. 9. 25.
IKE debug level 아래의 명령어로 IPsec VPN debug 하는 경우 에 대한 설명이다.       diag debug application ike Debug level (bit-mask)Debug Information1Errors2Configuration4Negotiation8Debugs16NAT-T Keepalive32DPD64IKE & IPsec Keys128IKE Packets-1All 2024. 9. 23.