« Debian 11 Bullseyeへのアップグレードではまる `XCRYPT_2.0' not found | メイン

2021年10月13日

Fortigate60Fを導入してみた >>Router/Lx/L3/L2 

Fortigate60Fを導入してみました。

ネットワーク帯域の利用状況が高くなっておりましたので、どうにかせんとなあと。

第1対応:とにかくいったんトラフィックを強引におさえる

RTXのトラフィックメーター見てうなる→Muninのグラフで突出した先を探す(SNMPでL2を全部グラフにしとくととても便利)→L2のポートで1M程度にしぼる→とりあえず安心

24時間トラフィックの波形グラフをみながら いい波のってんね~ とぼやきながら対応しましょう。(トラフィックログがない場合は、スイッチのランプの明滅を眺めましょう......)

第2対応:なにやってるのか調べる

HTTPについてはSquidでトラフィックの出入りをみられるようにはしてありまして、ログで眺めて大きいところはiptablesのhashlimitをかけることで急場しのぎは可能でした。proxy外されてなくてとりあえずよかったなと

iptables -A INPUT -p TCP --sport 443 -s nantoka -m hashlimit --hashlimit 40/sec --hashlimit-burst 40 --hashlimit-name limit-inSSL1 --hashlimit-mode srcip,srcport -j ACCEPT
iptables -A INPUT -p TCP --sport 80 -s nanotka -m hashlimit --hashlimit 40/sec --hashlimit-burst 40 --hashlimit-name limit-inWEB1 --hashlimit-mode srcip,srcport -j ACCEPT
iptables -A INPUT -p TCP --sport 443 -s nantoka -j REJECT
iptables -A INPUT -p TCP --sport 80 -s nantoka -j REJECT

みたいなかんじで40kbpsぐらいでしぼったり。

なお、HTTPS通信が増えておりますが、SquidをTransparent+証明書で動かさなくても送信先はログれるのでcache以外が主目的でしたらそのままでもよさそうです。

第3策:

iptablesやtcでしぼれるのですが、httpなdownloaderを使われてしかも相手先がcdnだったりするとトラフィック上がった瞬間にログをみたりしなきゃならなくなるのでちょっとどうにもならんですね~

ということで、fortigateを試しにいれてみました。
どこかのベンダで頼むと楽なのかもですが、自前でポチポチとやってみます。
Transparent Modeにまずしなきゃいけない(CLIでコマンドたたく必要あり)
TrafficshaperのTraffic Shaping Policies, Destinationをワイルドカードで指定したアドレス(fqdnで作成)にしといてReverseShaperにTraffic Shapers で定義したprofileを指定。

いまのところ安定している・・・ような気がします。

証明書をナシにしてしまうとヘッダもみなくてhttpsでShaper効かなくなっちゃうようなので、Read-only SSL handshake inspection profileをコピーして作るとよいですね。Read-only SSLがExpired certificates:Blockに初期値がしてあり、let's encryptとかでrootCAが古くて死んでしまう。

Fortigateのroot CA対応についてはこちらに記載あり。
PSIRT BLOGS: Fortinet and Expiring Let's Encrypt Certificates
https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates

ついで:
802.3ad(bonding)ができるのですが、だいぶクセがありますねえ





・・・波を見続ける生活から少し離れていられそうです。。。

twitterこの記事をTwitterでみんなに教える。

投稿者 debizoh : 2021年10月13日 13:50



トラックバック

現在、この記事はトラックバックを受け付けておりません。


コメント

この記事へコメントを投稿する。

コメントは管理人が承認後に掲載されます。




保存しますか?



画像の中に見える文字を入力してください。