« Debian 11 Bullseyeへのアップグレードではまる `XCRYPT_2.0' not found | メイン | ハンコン Fanatec CSL DDを導入(設置まで) »
2021年10月13日
Fortigate60Fを導入してみた >>Router/Lx/L3/L2
Fortigate60Fを導入してみました。
ネットワーク帯域の利用状況が高くなっておりましたので、どうにかせんとなあと。
第1対応:とにかくいったんトラフィックを強引におさえる
RTXのトラフィックメーター見てうなる→Muninのグラフで突出した先を探す(SNMPでL2を全部グラフにしとくととても便利)→L2のポートで1M程度にしぼる→とりあえず安心
24時間トラフィックの波形グラフをみながら いい波のってんね~ とぼやきながら対応しましょう。(トラフィックログがない場合は、スイッチのランプの明滅を眺めましょう......)
第2対応:なにやってるのか調べる
HTTPについてはSquidでトラフィックの出入りをみられるようにはしてありまして、ログで眺めて大きいところはiptablesのhashlimitをかけることで急場しのぎは可能でした。proxy外されてなくてとりあえずよかったなと
iptables -A INPUT -p TCP --sport 443 -s nantoka -m hashlimit --hashlimit 40/sec --hashlimit-burst 40 --hashlimit-name limit-inSSL1 --hashlimit-mode srcip,srcport -j ACCEPT
iptables -A INPUT -p TCP --sport 80 -s nanotka -m hashlimit --hashlimit 40/sec --hashlimit-burst 40 --hashlimit-name limit-inWEB1 --hashlimit-mode srcip,srcport -j ACCEPT
iptables -A INPUT -p TCP --sport 443 -s nantoka -j REJECT
iptables -A INPUT -p TCP --sport 80 -s nantoka -j REJECT
みたいなかんじで40kbpsぐらいでしぼったり。
なお、HTTPS通信が増えておりますが、SquidをTransparent+証明書で動かさなくても送信先はログれるのでcache以外が主目的でしたらそのままでもよさそうです。
第3策:
iptablesやtcでしぼれるのですが、httpなdownloaderを使われてしかも相手先がcdnだったりするとトラフィック上がった瞬間にログをみたりしなきゃならなくなるのでちょっとどうにもならんですね~
ということで、fortigateを試しにいれてみました。
どこかのベンダで頼むと楽なのかもですが、自前でポチポチとやってみます。
Transparent Modeにまずしなきゃいけない(CLIでコマンドたたく必要あり)
TrafficshaperのTraffic Shaping Policies, Destinationをワイルドカードで指定したアドレス(fqdnで作成)にしといてReverseShaperにTraffic Shapers で定義したprofileを指定。
いまのところ安定している・・・ような気がします。
証明書をナシにしてしまうとヘッダもみなくてhttpsでShaper効かなくなっちゃうようなので、Read-only SSL handshake inspection profileをコピーして作るとよいですね。Read-only SSLがExpired certificates:Blockに初期値がしてあり、let's encryptとかでrootCAが古くて死んでしまう。
Fortigateのroot CA対応についてはこちらに記載あり。
PSIRT BLOGS: Fortinet and Expiring Let's Encrypt Certificates
https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates
ついで:
802.3ad(bonding)ができるのですが、だいぶクセがありますねえ
・・・波を見続ける生活から少し離れていられそうです。。。
この記事をTwitterでみんなに教える。トラックバック
現在、この記事はトラックバックを受け付けておりません。
コメント
この記事へコメントを投稿する。
コメントは管理人が承認後に掲載されます。