5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Fortigateについて語ろう

1 :anonymous:03/10/02 23:27 ID:???
世界初 ASICベースのアンチウイルス・セキュリティ・ゲートウェイ
オフィシャル(日本語はまだ無い・・・)
http://www.fortinet.com

みなさん語りませんかー。



2 :anonymous@ m023122.ppp.asahi-net.or.jp:03/10/03 00:15 ID:???











ちょっとエビフライ置きますよ・・・


              ,.、,、,..,、、.,、,、、..,_       /i
             ;'`;、、:、. .:、:, :,.: ::`゙:.:゙:`''':,'.´ -‐i
             '、;: ...: ,:. :.、.:',.: .:: _;.;;..; :..‐'゙  ̄  ̄
              `"゙' ''`゙ `´゙`´´´











3 :four tea:03/10/05 21:30 ID:???
ソフトバンクが取り扱いはじめたね。


4 :見習い:03/10/07 15:34 ID:3NePi4Mf
うちで使ってます

何か知りたいことありますか?解る範囲でよければ書きます

5 :nobody:03/10/07 17:44 ID:???
質問。

・この箱,どこが代理店として扱ってる?
・検知能力・処理速度,パターン更新頻度はどうよ?
・やっぱりFirewall機能セットかい?
・ところでやっぱり韓国系の箱?(いや,性能よくて壊れなければどこ製でもいいけど…)


6 : ◆JeYFCvvdow :03/10/07 23:17 ID:???
今日、検証機借りました。
設定方法はNetScreenに近いですね。
おおまかな設定は結構簡単に設定できました。

7 :anonymous@ wacc2s4.ezweb.ne.jp:03/10/08 07:48 ID:/m/MYYn2
ソリャあたりまえ。元Netscreenの健じぃが起こした会社。

8 :nobody:03/10/10 11:48 ID:???
>>7
うむ。NetScreenを立ち上げた人が興した会社なのね。
でもやっぱり胡散臭そうなのは気のせい?
代理店ハケーン
http://www.znw.co.jp/products/FortiGate/

9 :ハマり中:03/10/11 00:47 ID:iACt/+Mb
会社にFortigateキター!

・・・のはいいけど、初のVPN接続構築まかされて試行錯誤
なんとかPhase1は通ったけどPhase2でコケる

ルーティングの設定わかる方ヒントプリーズ
Ext Int
IKE    →     128.xxx.0.0/255.255.0.0
Ipsec  →     128.xxx.0.0/255.255.0.0

他に何か通すのってあるんですか?

10 : :03/10/11 21:22 ID:???
FortigateにVPN-GWをやらせるのなら通すも通さないもないが。

11 :ハマり中:03/10/14 22:28 ID:Z3yKDKWT
>>10
ありがとう
早速自分で勝手に作ったルーティング設定消しました
ってことは単純にPhase1,Phase2の設定のとこを作成してあげればいいのかなぁ?(今自宅なので名前忘れました)

テスト環境がフリープロバイダ経由のダイヤルアップで、FortigateRemoteVPNClient(中身はSSH Sentinel V1.4)使ってます
どなたかフレッツADSL&SSH Sentinel使ってFortigateをVPNゲートウェイにして使ってる方、設定のコツ教えてください。



12 :楽太郎:03/10/14 22:38 ID:???
放置ゲートに語られても困るなぁ・・・閉めといて。

13 : ◆JeYFCvvdow :03/10/15 00:01 ID:???
>>7
スマソ。当たり前なことはわかっていたけど、あえて書いてみた。

>>8
うちもそこから引っ張ってます。

14 :なりすまし:03/10/15 00:46 ID:???
>>4
何使ってます?FG50それともFG200でつか?

15 :ハマり中:03/10/15 16:43 ID:???
最新のFortigateRemoteVPNClientのマニュアルには
VPNポリシーを追加汁!と書いてあるのだが、ウチのFGT200にはそんなのないぞー
どうもコイツが設定できないせいでPhase2にいけないような気がしてきた。
ファームのアップデートが必要?

16 :いらいら:03/10/16 03:14 ID:EtFfJX/4
京都成安学園の先生たちはちゃんと事業を教えていない。

17 :anonymous:03/10/16 18:14 ID:???
>>4
うちもFortiの200か100を買うつもりなんですが、安定性はどうですか?
こけたりしますか?
VPNとしては使うつもりないのですが

18 :なりすまし:03/10/17 00:25 ID:???
Fortimanagerっていつでるんでつか?

19 :anonymous@ YahooBB218122062014.bbtec.net:03/10/17 23:29 ID:???
保守age


20 :anonymous:03/10/20 18:40 ID:???
>>4さんカムバァーック!!


21 :_:03/10/21 11:22 ID:???
>17
4じゃないけど...
5か月目になるけど特に問題はでていません。
うちの若いのが本稼働する前にスループット
測ってましたが結構よかったらしいです。
FW/1からの乗り換えなので上もコストが
下がって満足してます。。

なにか問題があった時に首がとぶのは私なんで
マイナー製品を使うのはやだったんですがねえ。

どなたかクライアントソフト経由のIPSecやっている
方みえませんか?クライアントの動作が不安定になると
こわいんですが。


22 :anonymous:03/10/21 19:08 ID:???
>>21
うほっ!
安心しました

他に気になるのはウィルスがスルーしちゃうとか噂あるけど、そこんとこどうなんでしょう?
実際に使っている方

23 :anonymous@ inuyama11198.ccnw.ne.jp:03/10/25 17:26 ID:TRwiCwg1
保守


24 :なりすまし:03/10/26 22:59 ID:???
22>
10M以上のファイルはスルーしまつ

25 : ◆JeYFCvvdow :03/10/26 23:18 ID:???
>>24
ウィルスファイルがスルーするかどうかのテストはやりそびれたのですが、
10MB以上がスルーするってのは、そういう設定なのではないでしょうか?
既に検証機を返してしまたので忘れましたが、スキャンするファイルサイズの
上限を設定するところがあったと思います。

ちなみに、指定するファイルサイズは、解凍後のファイルサイズです。

26 :なりすまし:03/10/28 00:48 ID:???
機器のバッファが10Mしかないと思われ・・・

27 : ◆JeYFCvvdow :03/10/28 20:06 ID:???
>>26
ひょっとすると、バージョンの違いとかあるのでしょうか・・・。
ちなみに私が使った機器は FortiGate400 Ver2.5 MR4です。

どこにあるかは忘れましたが、以下のような画面が無かったでしょうか?
ttp://www.geocities.co.jp/SiliconValley-Cupertino/5773/fortigate/img.jpg
ここに10と書かれているので、圧縮したウィルスファイルは解凍後10MBを超えると、
スルーすると代理店に聞いています。

ただ、>>26さんがいうようにバッファの容量の問題はあるかもしれませんね。
以前、NetScreenスレでFortiGateが話題になった時、HDDの無い機器だと
スルーするというレスがあったので、小さい機種だとあり得るかもしれません。
確か、上位機種はメモリの容量が大きかったと思います。

28 :なりすまし:03/10/29 02:00 ID:???
本当でつか?
Fortiはスルプシトをageるため10M以上はスルー汁と聞きまつたが・・・?

29 : ◆JeYFCvvdow :03/10/29 07:47 ID:???
>>28
全て代理店から聞いただけのうえ、記憶がやや曖昧で申し訳ないのですが、
確かにファイルサイズの指定は、スループットに影響があると言っていたと思います。
また、Fortinet曰く、10MBを超えるファイルの中にウィルスがあるということは、
まずありえないので、デフォが10MBということらしいです。

30 :なりすまし:03/10/30 00:12 ID:???
>>29
サンクスコ
ところでFortiユーザー?


31 : ◆JeYFCvvdow :03/10/30 00:39 ID:???
>>30
ユーザーというよりも、近々お客さんの所に導入するので、
検証機を借りてただけです。

32 :FG200:03/10/30 10:27 ID:???
会社のFG200を設置前に開けてみたことがある。
筐体でかい割にずいぶんコンパクトなボードで驚いた(ややがっかり)。
CPUもFortiASIC(FPGA?)もフィンがかぶっていて型式はわからなかった。
メモリは256MBのDIMMが一基。以前検証用に借りたFG100も全く同じボードと
メモリ構成。恐らくFG50もボードは同じではないか?(メモリは少ないかも)
FG60は後から出たのでわからないが違うかもしれない(ETHERポートの数とか)
下位機種のスループット、セッション数の制限はソフト的にかけてるのかな。
CFカードスロットがオンボードで実装されておりここからFortiOSがロードされる。
FortiOSのバイナリもAVパターンファイルもそれほど大きくないみたいだから
ワークメモリはかなり余裕がありそう。

33 :FG100:03/10/31 02:53 ID:???
アンチウィルスフィルタをSMTPにかけるとテスト用にウィルスを
送信してもエラーメールが送信者に返送されるだけで削除したって
文面が付加されない・・うちだけかな?
POP3にかけるとどうなるかはまだテストしてない。
設定した文面は日本語もOKだって代理店の人はいってたので
大丈夫だと思うけど・・


34 :なりすまし:03/11/01 21:43 ID:???
ウイルスチェックが働きすぎて、アプデートできませんですた。


35 :FG50:03/11/03 15:20 ID:???
BBで買った奴って、
Foreinetサイトユーザ登録いるんだろか?
(BBにはユーザ登録済み)
BBに聞いてみたが10日ほど放置されてます。

36 :anonymous@ 170.87.111.219.dy.bbexcite.jp:03/11/04 22:24 ID:???
日本語サイトまだ〜

Fsasのバリアパワーアップソリューションの基本パックって
FortiGate200だよ。
http://www.fsas.fujitsu.com/solution/s01nbsolution/nb01network/n01_02barrier/index.html

37 :なりすまし:03/11/05 23:58 ID:???
>>36
拡張パック、フルパックもFiortiなんでつか?

38 :Mr.X:03/11/11 15:18 ID:???
>>33
エラーメールを返すというより、smtp のセッション中に 500番台のエラーコード
を返しているだけです。エラーメールを作成しているのは、接続してきた smtp
server。

39 :中の人:03/11/11 16:38 ID:/rddgVM6
>>37
うんにゃ、拡張パックは定期的なセキュリティ診断とレポーティング。
フルパックは、サーバーとクライアントのウィルス対策を提供している。


40 :-:03/11/11 23:32 ID:???
金曜日、ケソ・ジーに会いに行きまつ。

41 :FortiGateHome(FTTH):03/11/12 21:57 ID:???
FortiGate Home(FTTH)出ないかなあ。
100BASE-TX x 2 port
同時ユーザ数:5
PPPoEスループット:90Mbps以上
FireWallスループット:90Mbps以上
VPN:なし
実売価格40千円以下希望。

42 :anonymous@ z29.220-213-46.ppp.wakwak.ne.jp:03/11/14 01:28 ID:R4U6Bfpu
httpのウイルスチェックも出来るみたいだけど
実際はどうなんだろう?

43 :anonymous@ p5006-ipad31sasajima.aichi.ocn.ne.jp:03/11/14 11:08 ID:/yn1h5pX
もう疲れたぽ(´へ`)

44 :anonymous@ AIRH03289016.ppp.infoweb.ne.jp:03/11/14 11:56 ID:Gce30DYE
>>42
サンプルのeicarで試してミレ。
httpだとエラーになる。

ただ、ルーターとして動かしておいて、Winの共有フォルダーの中に
ウィルス置いて、それをFortigate経由でコピーしようとすると
エラーにならない。
どうも、httpやftp、smtpなんかじゃないとチェックしないようだな。

最新のファームだとまたわからんけど。

45 :anonymous@:03/11/15 12:04 ID:???
ルータとファイアウォールの間に置く
FortiGateのIDSの能力はどの程度ですか。

46 :なりすまし:03/11/16 20:40 ID:???
>>45
ナンチャッテが良く似合う。(w

47 : ◆JeYFCvvdow :03/11/16 23:09 ID:???
>>45
>>46の言うようにナンチャッテが良く似合うというレベルですね。
IDS機能に関してはオマケだと思います。
そういえば、Ver2.5MR4.0ではIDS機能で攻撃パターンのON/OFFが
まともに動かないバグがありました。MR5.0では修正されるようです。

48 :45:03/11/17 21:09 ID:???
>>46
>>47
ありがとう。
やはり値段からすると妥当なところですね。
HTTP、FTPのアンチウィルスで使用します。
IDSはやはりISSですか?

それはそうと、こいつのPPPoEの実行スループットはどのくらいですか。
(値段が手頃な手頃なFotiGate200ぐらいで)

49 :anonymous@:03/11/17 22:49 ID:???
ttp://www.fortinet.com/jp/
日本語サイト、キタ━━━(゚∀゚)━( ゚∀)━(  ゚)━(  )━(  )━(゚  )━(∀゚ )━(゚∀゚)━━━!!

50 :なりすまし:03/11/18 01:42 ID:???
>>45
ナンチャッテIDSやウイルスチェシク、VPNをやったらかなり落ちると思われ。
情報キボンヌ

51 : ◆JeYFCvvdow :03/11/18 07:38 ID:???
>>48
ウイルススキャンのやり方次第ですね。
聞いた話ばかりで申し訳ないのですが、httpフルスキャンをやった場合は、
カタログ値の3DESの半分程度だそうです。
なので、FG200でhttpフルスキャンをすると25Mbps程度だということで・・・。
ま、SpeedTestのサイトや、Vectorからデカイのをダウソしないかぎり、
気にならない程度かと思います。

52 :anonymous@ Z213212.ppp.dion.ne.jp:03/11/27 20:27 ID:2xIUzeho
age

53 : ◆.p586Vj8xI :03/12/03 17:13 ID:???
>>44
アンチウィルスとして対応してるプロトコルがhttp・ftp・imap・smtp・pop3だけだな。
まぁポートの追加はできるからhttpだけど81使ってる〜とかいうとこでも平気らしいけど。

54 : ◆.p586Vj8xI :03/12/03 17:14 ID:nKgI8uT4
遅レスだが一応。

>>38
smtpのセッション中にエラー返すか、
受信者に文面追加して通すかは設定次第。

55 : ◆.p586Vj8xI :03/12/03 17:19 ID:nKgI8uT4
>>27
2.36までは10MBまでチェックでそれ超えたらスルー。
2.5からは容量可変になっていて、
搭載メモリの約14%を上限として1MB〜設定可能。
それ超えたらスルーするか止めるかは選択可能。

56 :○anonymous:03/12/03 19:38 ID:???
>55

搭載ディスクじゃなくて、メモリなんでしょうか?

57 : ◆.p586Vj8xI :03/12/03 20:32 ID:nKgI8uT4
>>56
FortiGateのウィルスチェックはメモリしかテンポラリに使用しないので、
メモリに依存します。
HDDは隔離された後のウィルスファイルとログ用です。

搭載メモリはFG50が64MB、FG60とFG100が128MB、FG200〜FG500が256MB、
FG1000が512MB、FG3000〜FG3600が1GBです。
ただしFG300の初期ロットは128MBのものがあります。
それぞれの約14%が上限。


58 :○anonymous:03/12/03 22:51 ID:???
>57

なるほど。
ということは、FG50は最大でもやはり10M
その他が18M,35M,70M,140Mといったところ?

なんか勿体無いな。HDD搭載している場合、速度犠牲にしても
ワークに使えるようなオプションが欲しいところだな。

ところで、このファイルサイズって、圧縮ファイルの場合は、
展開後のサイズですか?もしくは、圧縮ファイル自体+展開ファイルサイズ?
中身を見ているんだから、展開前というなら、gzみたいなストリーム圧縮ファイル
だけしかサポートできないよね。


59 : ◆.p586Vj8xI :03/12/04 13:12 ID:???
>>58
すんまそん、一部間違えてました。
FG100のメモリは256MBでした。

で、チェックできるサイズが、表記を見ると9MB、18MB、37MB、73MB、あと不明
となっています。
HDDは、たしかにもったいないですよね。
大きいサイズだけでもHDD使えるようにリクエスト出してみます。

圧縮ファイルの場合は展開後のサイズです。
ストリームでチェックしているわけではなく、いったんFortiGate内に取り込んで展開してから
スキャンかけます。
圧縮ファイルのサポートは「zip, lzh, rar, gzip, tar, upx」で、12階層まで展開します。
そんなに多重に圧縮するやついねーよ!って感じですな。

60 : ◆.p586Vj8xI :03/12/04 13:19 ID:WmXXgNMj
>>58
ウィルスチェックにオンメモリでしか動かない点については、
FortiNetの言い分としては、速度重視なのでできないと言われたことがあります。
まぁ、ウリの部分を犠牲にする意味があるのか?ってことだと思いますけど、
ユーザーに選択させるのもいいと思うんですけどね、自分としては。
でもあまりサイズを増やせてもデメリットもでてくるので、
実際に設定するサイズとしては10MB以下が妥当かにゃ。

61 :FG200手配中:03/12/04 17:01 ID:???
InfoSphereIP8タイプをADSLで使用中、CIDRなIPを8個もらっております。
現状は、ADSLモデム→ルータ→SonicWall DMZを繋いでいるんですが
FG200納入後は、ルータを省いてADSLモデム→FG200の直結にしようと
考えています。何処かで、FGのPPPOEではCIDRアドレスは扱えないと
見た覚えがあるのですが、現在のファームでも同様なのでしょうか?

ルータを省ければIPが1つ余るんで他に回そうと考えてます。

62 : ◆.p586Vj8xI :03/12/04 18:18 ID:WmXXgNMj
>>61
ダメなのは2.36の頃の話で、2.5では対応しています。
ただしWebUIからは設定できません。CLI(sshとかtelnetとかシリアルコンソール)で設定することになります。

63 :anonymous@ 166.137.210.220.dy.bbexcite.jp:03/12/04 20:55 ID:???
メモリ増設ってできるの?
開けて勝手に挿すなり挿し換えてok?
オプションでカスタマイズできるの?

64 :ねらってます:03/12/04 21:44 ID:???
こいつのアンチウィルスの実力はどうよ。
WildListのものは問題なく検知、駆除できるのかい。
カテゴリ外だけどVB100%とれる実力あんの。

65 : ◆.p586Vj8xI :03/12/05 12:34 ID:hp/xTy7e
>>63
モデルによってはDIMMスロットあったりしますが、さしたことはありません。
公式にはカスタマイズ不可です。有料オプションもありません。
月曜にでもさしてみます。

66 : ◆.p586Vj8xI :03/12/05 12:35 ID:hp/xTy7e
>>64
WildListのは100%検知できると言っています。メーカーが(w

実力っていうか、検知できるウィルスの数はトレンドマイクロとかに比べると極端に少ないです。
ただ、メーカーが言うには、DOSの頃のものとかもう出て回ってないウィルスとかは対象外だそうな。
新しい物・危険度が高い物に対応ってことらしいです。速度確保の為。

67 :○anonymous:03/12/05 13:59 ID:???
>66
>メーカーが言うには、DOSの頃のものとかもう出て回ってないウィルスとかは対象外だそうな

そのメーカコメントは前から聞いていたし、
現実に日本企業の社内NWには、古いウイルスが、ゴロゴロしている例も
多いことを伝えたんですけどね。

手持ちの(届いて隔離してあった)ウイルスを、試したところ、チラホラ抜けたし、
展開後のファイルサイズ制限を超えたらすり抜けるという仕様だと
困る例が多くて、なかなか薦められないでいます。

#実際、展開すると100M超えるけど、圧縮すると数十Kどまりなんて
#ファイルは、簡単に作れるし、これにウイルス付けて送られると。。なんですよね。
#ウイルスを送る人間は「悪意を持って」行うということを認識して欲しいんですけどね。
#(二次災害は除く)実際、特定のクライアント用アンチウイルスソフトだけ
#すり抜けたり、書き換えたりするウイルスは、良く転がってたりするぐらいですし。

補助的に使う分にはいいんですけど>Forti
アンチウイルス機能を売りにするには、まだ不満といったところです。


68 :anonymous@ AIRH03239023.ppp.infoweb.ne.jp:03/12/05 19:32 ID:WYRCt1Cf
>>67
つーか、外から急速に拡散してくるようなWarm対策がメインだからな。
社内ネットワークに蔓延するタイプの奴。httpやsmtpを介さない奴は
適用外だろう。
とりあえず、これまで別サーバーを立てないといけず、ネットワーク構成や
FireWall設定が複雑になる原因だった、VirsuWall並の機能を持ってれば
漏れは十分だけどな。

あと。その「抜けた」ウィルスがどういう奴で、どの様な構成だと通り抜けたのか?
そのウィルスはWildListにのってるのか?
というのはどうなんだろう。

69 :○anonymous:03/12/05 19:48 ID:???
>68

先にも書きましたが、ただのメール添付ファイル送受信テストですよ。
展開したらサイズが膨れるようにしたテキストファイルアーカイブに
ウイルスくっつけて送信。(もちろんリストにあるもの)

チェックできない添付ファイルは、削除するか弾いてくれる方が
提案しやすくてうれしいのだけど、そういうふうになったの?

70 : ◆.p586Vj8xI :03/12/05 23:34 ID:hp/xTy7e
>>69
55に書いたけど、チェックできない大きなサイズのファイルは
スルーするかブロックするかを設定で選択可能です。

71 :○anonymous:03/12/06 00:25 ID:???
>70

じゃあ、あとは、顧客の運用体系だけが問題になるだけですね。
良かった、良かった。


72 :anonymous@ EATcf-314p34.ppp15.odn.ne.jp:03/12/06 02:04 ID:3zy0lfYv
>>62
うっ!
コンソールから操作できるんだ
知らんかったよ
どっかにマニュアルとか上がってる??
きっと、暮れ!って言えばもらえるもんじゃないよね?

あと話変わるけど、ウィルスキターーー!!メールにメールのヘッダー情報とかって表示できないんでしょうか?
誰宛のメールだか知りたい場合もあるんですよね
誰か知らないかしら
マイナー製品?だから情報少ないよね

73 : ◆.p586Vj8xI :03/12/06 03:27 ID:O6qXa8Nj
>>72
CLIリファレンスあるけど、買った人にしか渡してないなぁ。Webとかには落ちてないし・・・
どっかのリセラーに聞いてみるとくれたりするかも??

うぃるすきたーーー!メールって管理者宛のアラートだよね?
だとしたら表示されますよ。

ウィルス名、プロトコル、SourceIP、DestIP、fromアドレス、Toアドレス が表示されます。
それぞれ変数になってて、メッセージ自体カスタマイズできるし。

やっぱまだマイナーっすよね。知らない人多いし。
自分はもう1年半さわってる。って言ったらバレそう・・・

74 :○anonymous:03/12/06 04:37 ID:???
>73

S.A.さんとこの人かなぁ。

75 :64:03/12/06 13:08 ID:???
>>66
ICSA Certified Anti-Virus Productsだからって
WildListのものを100%検出できるわけではない。
VB100%受賞は意外と難しい。

高速化のためのASICじゃないのかなあ。
ASICなんてパターンマッチングくらいしか
使い道なそうだし。
WildList以外を対象にするかは
ユーザーが選択することであって
ベンダーの決めることではないな。

76 :61:03/12/06 14:08 ID:???
>>62
遅ればせながら、情報ありがとうございました。納品されましたら設定チャレンジしてみます。
で、CLIリファレンスは製品に添付されて来ないんですか?

ちょっと、Googleってみたらフォーバルクリエイティブさんに技術情報が少し載ってるんですね
http://www.forvalcreative.com/jpn/support/fortigate/index.html
でも、FortiOS 2.36までしか情報公開されてない・・・

77 :72:03/12/06 22:22 ID:???
>>73
どうもです
月曜会社いったら試してみますよ

CLIリファレンスも>>76のところから古いけど落とせるみたいですね
あとで読んでみます

ところでフォーチやっぱりマイナーですよね
実際売れてるんでしょうか?
あの馬鹿みたいに高い上位機種とか(w
KDDIのサービスも加入者いるのかしら??

78 :なりすまし:03/12/07 01:17 ID:???
KDDIも売ってます、40GATE。
んでKDDIに機能的なこと聞いたけど、よくわかりませんって言われますた。

79 : ◆JeYFCvvdow :03/12/07 02:10 ID:???
>>77=72
>あの馬鹿みたいに高い上位機種とか(w
馬鹿みたいに高い上位機種もまだ増えるみたいでつ。

>>76
CLIリファレンスは添付のCD-ROMに入っているはずですが・・・。
もしかして、代理店によって違うの?
そういえば、うちにあるCD-ROMは手作りっぽかったな。

どうでもいいけど、pingやtracerouteの前にexecuteと入力しなければ
いけないのはダルい。

80 : ◆.p586Vj8xI :03/12/08 10:39 ID:1sWq5J5y
>>76
製品にCDついてるから、それにCLIリファレンスも入ってると思います。

>>79
FG4000とか5000のことでつか(w
そのまえにFG800が出てきますね、ぎがびっと持った機種が。

もともと添付されてるやつも手作りっぽいっすよね。まぁしゃーないけど。
exe pingぐらいの略で勘弁ってことで。

81 :名無平社員:03/12/08 12:43 ID:df4UmbwQ
Fortiのスレ発見ww

CLIリファレンスはfortiのSupportにログインすればあると思うんだが・・・



82 :61:03/12/08 13:10 ID:???
>>79,80
了解です。納品されたら確認してみまつ

>>81
Fortinet Japan社員さんの降臨でつか?
こちらもユーザ登録後確認してみまつ

値段だけなら↓がお安いかも
http://www.pasoq.co.jp/shopping/hard/maker/kind/000504010090000.html
ダイワ某さんの直販サイトですが、6掛け以下のお値段でつね
以前は出てこんかったけど、私が発注したんで取り扱い開始した悪寒

83 : ◆JeYFCvvdow :03/12/08 22:19 ID:???
>>80
>FG4000とか5000のことでつか(w
>そのまえにFG800が出てきますね、ぎがびっと持った機種が。

そうです。それです。先日永田町でその話を聞きました。
つうか、4000なんて売れねぇ。
1slot単価がForti100程度ならどうにかなるけど。

>exe pingぐらいの略で勘弁ってことで。
をを、知らんかった・・・(汗
ありがとうございます。


84 : ◆.p586Vj8xI :03/12/08 22:32 ID:1sWq5J5y
>>83
Fortiもそんなに売れるとは思ってないのかも<500とか
とりあえずラインナップそろえとかないとっていう表向きな面が強いっぽ。

CLIは普段から略しっぱなし。みょーに長くなるコマンド多いんで。
Intarfaceのあどれす決めるときなんて、
s s in internal m s i 1.1.1.1 255.255.255.0
で済んじゃいますよね。ってこれじゃ自分で何やってんだかわかんなくんなりますが(w

85 : ◆JeYFCvvdow :03/12/08 23:18 ID:???
>>84
>s s in internal m s i
既にInterfaceのアドレスを振った後なので、途中まで試してみたのですが
set s in internal m s i
でないと動かなかった。

っていうか、いやな現象を見てしまった。

*****fortigate # s
*****fortigate (set)# s
*****fortigate (set-sys)# interface
^
|
Ambiguous command.    <=★



*****fortigate # set
*****fortigate (set)# system
*****fortigate (set-sys)# interface
^
|
Incomplete command.    <=★

同じことをやっているのに、この★の行の違いは何だろう・・・。

86 :_:03/12/09 01:35 ID:???
>>85
yaccもlexもつかいこなせないSEなワタクシですが、CLI parser
の構文解析で、i) 複数の候補がある場合は`Ambiguous', ii) 該
当するものがない場合は`Incomplete', とふるまっているんじゃ
ないかなと思う次第です。

ネタにマジレスカッコワルですね...。

87 :anonymous@ 57.pool8.ftthtokyo.att.ne.jp:03/12/09 04:07 ID:1yLfaVXl
>85
ファームv2.50MR5の場合Menuには出てこないのがあるみたい
実際の最上位のコマンドには
diagnose
execute
exit
get
set
unset
sysctl < こいつが問題

がありました

s だと setとsysctlの区別が付かないんで
s s in の場合 Ambiguous Commandとなり
set s in の場合Incomplete Commandになるってことかな
確かMR4まではMenuに出てたんで気がついたけど
もしかしたら他にもMenuに出てこないCommandあんのかなぁ

CLIで省略形が使えるのなんて普通だとは思うけど、
こういう細かい部分に配慮して欲しいトコ

ところで誰か
diag system と diag test 〜 の効果と使い方教えてくれ
systemの方は後ろに何持ってきてもIncompleteだし
testの方もCommand打っても変化が無くて気になって仕方がない

88 : ◆JeYFCvvdow :03/12/09 07:42 ID:???
>>86
ネタのつもりじゃないのでカッコワルくないです。
複数の候補があるということは予想しましたが、なにせ表示が
(set-sys)# となっているので、set-sysに入っているものだと
思っていました。
まさかsysctlがあったとは・・・。

>>87
えーっと、sysctl・・・
CLIリファレンスに載ってない・・・。

89 : ◆.p586Vj8xI :03/12/09 11:52 ID:Bb3v8L/I
>>87
84は2.50 build160で確認してました。sysctlは無くなってるみたい。

diag system top
diag system matrix
とか・・・ってもしかして公開してないんだろうか。

90 : ◆.p586Vj8xI :03/12/10 12:24 ID:7uOXYYf2
>>72
いちおうサンプル。

Subject: Virus/Worm detected: W32/Klez_Family-mm

Virus/Worm detected: W32/Klez_Family-mm
Protocol: smtp
Source IP: 211.6.83.170
Destination IP: 203.14.2.123
Email Address From: total-eco@luck.ocn.ne.jp
Email Address To: aromaorder@happy.jp

ほぼそのまま引用。IPアドレスをメールアドレスは多少隠蔽。
こんな感じのが管理者(?)に届きます。


>>74
S.A.さんって誰だろう・・・思いつかないからたぶん違うと思う(笑)

>>76
もう納品されました?
そしてPPPoE あんなんばーどの設定できました?


メモリ増設のテストは忙しくてできてないです。
どなたかやってみて下さい(w

91 :61:03/12/10 13:53 ID:???
>>90
納期未定でつ _| ̄|○

92 : ◆.p586Vj8xI :03/12/11 18:56 ID:???
>>91
発注してるのに納期未定???
なんでじゃろ。

93 :@:03/12/13 02:01 ID:vmLvjxPQ
FortiOS 2.8 age

前回の2.3→2.5は情報が少なくて心細かったけど、今回はここのスレがあるから大丈夫(w

94 : ◆.p586Vj8xI :03/12/13 13:29 ID:gv/0blAL
>>93
2.8で管理画面のデザインががらっと変わりますよね。

95 : ◆JeYFCvvdow :03/12/13 13:38 ID:???
>>94
おっ! デザイン変わっちゃうんですね。
NetScreen3.Xから4.Xの時変更ぐらい変わっちゃいますか?

96 :@:03/12/13 22:17 ID:vmLvjxPQ
>>94
ガラっとって。。。。
2.3→2.5のときより変わってますか??w

2.5のときはIDSがだいぶ強化されたからすぐ入れたんだけど、今回はどんなもんでしょうか?

97 : ◆.p586Vj8xI :03/12/13 23:36 ID:gv/0blAL
>>95
すいません、NetScreen3.Xの画面を知りません(w

>>96
2.36->2.5よりも画面変わりますね。
機能も・・・
IDS・IDP部分も変わります。

98 :FG200:03/12/14 00:04 ID:vw0QlhMp
>>97
うちようやく先月2.5にしたばかりなのに(w

99 :名無しさん@お腹いっぱい:03/12/14 15:28 ID:JZMNlK3D
ヘルプやマニュアルの日本語訳版つてないのかな


100 : ◆JeYFCvvdow :03/12/15 01:03 ID:???
>>99
ないみたいですね。
管理画面は日本語対応しているのに、マニュアルが英語なので
結局は管理画面は英語を使ってしまう。

そういえば、某代理店で日本語マニュアルを作成中のようだけど、
多分2.8からでしょうね。

>>多分、このスレにいる某代理店の方、どうですか?

101 :anonymous@:03/12/15 06:46 ID:???
>>100
日本語マニュアルより、>>61-62みたいなFAQを充実してもらいたいと思ったり
マニュアルに書いてないことを知りたいことの方が多いんだよね

102 : ◆JeYFCvvdow :03/12/15 07:26 ID:???
>>101
確かに・・・。(汗

103 :61 ◆FG200xXuLw :03/12/15 10:01 ID:???
>>92
販社に発注は掛けてるけど、先週時点でそこへの納期が未定なのでつ
もしかすると、今日あたり納品されるかも知れません。
自社のリプレースPCとかも大量に納品されてきそうなので、
FGを触るのは後回しになりそうな悪寒

うちに来るのは、FortiOS 2.8になってるのかなぁ〜
私にとってはどのVer使っても初物なんで、2.8から入ります。
ところで、2.8でも、アンナンバード設定はCLIのままなのでしょうか?

104 : ◆.p586Vj8xI :03/12/15 20:23 ID:9DZtQtrD
>>100
うちは作ってないから違うな・・・(w
ちなみに2.26の頃は作ってました。
今作ってない理由は、バージョンアップが早すぎて、
金かけて日本語マニュアル作っても出来上がった頃には古くなってるから。
今2.5のマニュアルできあがったとしても短命に終わるし。

>>103
2.8のリリースは2月以降の予定なので、当分2.5で納品されると思われ。
いまMR5(build133)で、1月後半・・・にはMR6で出荷されると思う。

105 :@:03/12/15 21:30 ID:SpCCDxRM
>>104
MR5出てたんだ....

106 : ◆.p586Vj8xI :03/12/15 22:31 ID:9DZtQtrD
>>105
11月頭には。

107 :99:03/12/15 23:27 ID:GDeCzHYz
日曜日にはじめて触って(デモ機)SonicWallよりずっとイイ!(・∀・)
とおもつたのですが、ヘルプがすべて英語だったので (´・ω・`)シヨボーン

>>101
のおっしゃるとおり機能と制限のほとんどが理解できると
FAQがほしいのですが、最初にとっかかるときは、マニュアルとヘルプ
の日本語版はほしいです。
ヘルプだけでも日本語化キボーン!!
そうすればSonicに楽勝なり



108 :FG200:03/12/16 22:33 ID:???
皆さん分割メールってどう対策されてますか?

109 :なりすまし:03/12/17 00:37 ID:???
マニュアルって(´・ω・`)シヨボーンじゃないでつか?

110 : ◆.p586Vj8xI :03/12/17 10:07 ID:6p3NGfi7
>>108
自分とこは、スルーする設定にしてまつ。

111 :anonymous@ 69.87.111.219.dy.bbexcite.jp:03/12/18 20:23 ID:???
NECも始めますた。
ttp://www.necsoft.com/solution/fortigate/

112 : anonymous@:03/12/18 23:07 ID:rZ935GVF
>>90
遅くなりましたがサンプルども
Ver2.36だったから表示されないみたいですた
2.5では表示できるみたいですね

ついでにお聞きしちゃいますが、2.5だとHTTPでウィルス検知やブロックした場合に、そのURLを表示できますか?
いまはIPしか表示できなくて、結構不便だったりします

113 :-:03/12/18 23:35 ID:???
>>111
NECも図研ネットウエイブから仕入れてるんだね。

114 :_:03/12/19 09:50 ID:???
>113

図研は商社だからね。本気になるまでは、ボリュームメリットの方が大きいでしょう。
サポートは、当てにならんけど、安いからなぁ。


115 : ◆.p586Vj8xI :03/12/19 10:34 ID:aGdf/WUX
>>112
クライアントのブラウザ上ではURLでますけど、
管理者宛アラートでは出ません。2.5 build160でもIPaddressのみ。

>>114
こなれた商品ならともかく、まだまだ発展途上の製品でサポートがあてにならないって痛いと思う・・・

116 :_:03/12/19 11:20 ID:???
>115
> こなれた商品ならともかく、まだまだ発展途上の製品でサポートがあてにならないって痛いと思う・・・

いや、だから安く仕入れてサポートは自社で行うところには向いているかもってことです。
こなれているかどうか別にして、図研扱いのセキュリティ関連商品って、皆そうじゃない?
RSCP -> *S-Solとか。E/Uが安いからって引くと泣くけど。

商品こなれると、こんどはサポートしてた人員が、ごっそり切られたりするけどね
(FC/ASなど)

117 : anonymous@:03/12/19 23:15 ID:KTyRWcE/
>>115
IPだけですか
ちと残念です
ログには取られてるんだから、そのうち対応してくれるといいなぁ

118 :61 ◆FG200xXuLw :03/12/20 13:47 ID:???
FG200ようやく納品されますた。

リリースノートによると、OSは2.5MR4のようです。
手持ちの仕事が片付いたら、ぼちぼち設定を始めようと思います。
何分、初物なので設定に手間取るかも知れません、皆様のアドバイスを頂けますと助かります。
FAQになるかも知れませんが、作業経過等を備忘録代わりにカキコしてこうかとも思ってます。

119 :なりすまし:03/12/21 00:12 ID:???
皆さんはNSと比べてどう思いますか?

120 :anonymous@ EATcf-138p158.ppp15.odn.ne.jp:03/12/21 00:28 ID:XOKZ3uCw
>>119
どこを比べたらいいの?
VPN?

121 : ◆.p586Vj8xI :03/12/21 01:20 ID:FYx9AoEZ
>>118
おめでとうございます。
リリースのーとと製品に入ってるバージョンが違ってる可能性もあるので、
管理画面に入ったとこにバージョン出てるので、そこで見た方が確実かもです。
いちおう最新はMR5ですが、ちょっとバグバグなのでいやーんです。
だからといってMR4が大丈夫って意味ではないですが(w
MR6はやくしてくれ・・・

122 :anonymous@ exserver2.firnet.ne.jp:03/12/21 10:04 ID:???
Cerberianコンテンツフィルタのライセンスを国内で購入できるところありますか?

123 :61 ◆FG200xXuLw :03/12/22 16:29 ID:???
>>121
Fortigate-200 2.50,build133,031024 と出ました、日付が10月下旬なんでMR5なのかな?
添付CD内のマニュアル類は、中国語版と英語版でした。
納品されたのは、図研さん扱いの基本保守サービスのみ

とりあえず、internalのIPを変更してLANに接続して設定画面を眺めています。
CLIでも繋いでみて、set system interface内のPPPOE設定オプションの
ipunnumberedで設定できそうなのを確認。

さて、ISPに、10.1.1.1/29(10.1.1.1〜10.1.1.8)が割り当てられたとして(本当はGlobalアドレス)
externalインターフェースに、ipunnumbered enable borrow 10.1.1.2 と割り当てるとします
DMZインターフェースに、同様に、10.1.1.2 と割り当てるとします。

ここで、ちょっと不安になったので、図研さんのサポートにTelしてみました。
まずは、WEB-UIで基本的なPPPOEの設定をして、DMZにもアドレス付与
その後、CLIで上記設定を行って出来上がりのようです。

後は、既存のファイアウォールポリシーやNAPTの設定等を行えば、SonicWallと差換えられそうです。

#この手の設定って、かなりの所で必要だろうからペーパ一枚入れておいてくれれば助かるのになぁ〜

124 : ◆.p586Vj8xI :03/12/22 16:55 ID:9+Ygmmk0
>>123
build133はMR5ですね。
CLIでPPPoEの設定をしたら、WebUIでExternalの設定はいぢらないでください。
いぢったとたん、ipunnumberedはdisableになります。
アクセス制限など、あの画面で設定できる部分は先に行っといたほうがいいです。
んでもってCLIで。
べつにWebUIでPPPoEの設定を先に行う必要はありません。

この部分は、たぶんMR6でWebUIに追加されるんじゃないかなぁ・・・と予測。
でも予測を裏切られること多しなので期待してないけど。

125 :anonymous@ ZE129001.ppp.dion.ne.jp:03/12/22 17:34 ID:???
????

126 :なりすまし:03/12/23 23:54 ID:???
>>120
VPNとか、スルプトとか、安定性とか、です。

127 :FG100@:03/12/24 01:20 ID:???
>>126
うちはVPN他の製品使ってるからわからないなぁ
っていうか皆さんVPN使ってるんでしょうか?

安定性はいまのところ問題ないよ トラブルなし
スルプトはHTTPスキャンしてるせいか結構落ちるね
FG200ぐらいにしとけばよかった


128 : ◆JeYFCvvdow :03/12/24 01:35 ID:???
>>127
うちはIPSecとPPTPを使ってます。
IPSecは今の所問題ないです。
PPTPは若干問題ありってところです。(FG60 MR5)
この問題は通常起こらないとは思います。

っていうか、くだらないバグの多さはNetScreen並かと思います。

129 :FG100@:03/12/24 02:42 ID:vk0Vfv9l
>>128
バグってVPNがらみ?

130 :61 ◆FG200xXuLw :03/12/24 10:07 ID:???
>>124
うっ、MTU辺りをいじってしまったかも、CLIで再度設定しまつ
そうですね、出来る所はWebUIで設定してます。コマンド打つの案外面倒ですので

今日は、FireWallの辺りを少し触って見ることにします。

Internal(LAN)のあるマシンは、NAPTの設定が必要なんで
バーチャルIP部分でGlobalIPとInternal(LocalIP)を、スタティックNATで対応させます。
さて、この割り当てたバーチャルIPに対するポリシーは、From external/dmz To internal
From internal To external/dmz、つまりinternalを基点に設定すればよいのですよね?

あれば嬉しい機能:
SonicWallにはあるんですが、WebProxyを中継してくれる機能
トランスペアレント(クライアント側PROXY設定無しに)にProxyサーバに中継してくれます。
ディスク持ちモデルなら、FG自体がProxyになってくれてもいいかも

PPPOEマルチセッション対応
これは、インターフェース設定でVLANを追加すれば可能なのかなぁ〜

131 : ◆.p586Vj8xI :03/12/24 11:35 ID:AdFytk60
>>128
くだらないバグっていうと、ftpでアンチウィルスを有効にしてると
日本語ファイル名のやりとりができないってことですか(w

#MR5のみ

132 : ◆.p586Vj8xI :03/12/24 11:45 ID:AdFytk60
>>130
get system interface
ってコマンド打ってみて、Interface externalんとこが
desired ipunnumbered addr: disabled
ってなってたらWebからいぢっちゃったってことになりますね。
有効であればIPアドレスが入っています。

バーチャルIPでExternalとInternalの対で設定された場合は、
ポリシーではExternal to Internalの設定になりまつ。
って、あれ、unnumbered設定をしていてDMZにグローバルがありつつ、
ExternalからバーチャルIPですか?
ExternalInterfaceのアドレスをポートフォワーディングするのは試しましたが、
それ以外のアドレスをStaticNATする設定やったことないです。
ちと試してみますが、もしかしたらダメかも?

PPPoEマルチセッションは今はダメなはず。
でもってFortiUSAがあまりやる気なさそう。
日本以外で需要なさそうなので。

133 : ◆.p586Vj8xI :03/12/24 11:50 ID:AdFytk60
>>130
やっぱりバーチャルIPの設定で選んだInterface以外ではポリシーに選択が出てこないですね。

134 :61 ◆FG200xXuLw :03/12/24 16:55 ID:???
>>132
>>133
まだ、externalをInternetに繋いでいないので確認できませんが
バーチャルIPのテスト設定を行ってみた所、確かにexternal to internal/dmzの
ポリシーにバーチャルIP設定が現れることは確認しました。
ちょっと、気になるのはinternalのローカルIPを割り振ってるのに、dmzの所にも
宛先にバーチャルIP設定が現れることです。

staticNATで、external to internalの通信が出来ればOKなので
From external側でバーチャルIPに対してアクセス制限をかけ
From internal側でバーチャルIPに対応するローカルIPでアクセス制限をかければ
良いのだろうと解釈しておきます。
ローカルIPだけだと、判りにくいのでアドレス設定で判りやすい名前を付けて管理しまつ
現状だと、バーチャルIPとローカルIPの2つを意識してポリシーを設定しないと
いかんようなので、改善されると嬉しいですね。

上記設定での挙動は今のところわかりませんが、NAPTするホストはそれほど重要でないので
現時点でうまく通信できなくてもやむなしです。

PPPoEマルチセッションは現状むりですか、うちの環境だとフレッツスクエアを使うぐらいしか
現状用途はないですが、フレッツグループとか使いたい所には厳しいですね。

またまた、質問で恐縮です。
ポリシーの中のNAT設定の効用つうか用途は何なのでしょうか?

135 : ◆.p586Vj8xI :03/12/24 17:08 ID:AdFytk60
>>134
DMZにグローバルを振った状態でのExternal->Internalへのアクセスは
明日にでも試してみましゅ。余ってるunnumberedのアカウントとADSLがあるんで。
今日やらない理由は早く帰りたいから(w

ポリシーの中にあるNATのチェックボックスは、IPmasqするかどうかです。
どのポリシーにも存在してるのは、どのポリシーに対してもIPmasqできるから。
たとえばExternal to InternalのポリシーでNATのチェックボックスを有効にすると、
インターネット上のアドレスは全てFortiGateのInternalのアドレスへ変換されます。
Internalにある鯖(?)から見れば、アクセス元が全てFortiGateのInternalのアドレスになります。
Internal to Externalのポリシーで使えば普通のIPmasqの動作になりますね。
逆の使い道は。。。なんだろう? あんまり使わないですね。
Internalの鯖でデフォルトゲートウェイを設定しなくても使えるぐらいでしょうか。ってやっぱり意味無いですね。

136 : ◆.p586Vj8xI :03/12/24 17:10 ID:AdFytk60
>>134
バーチャルIPの先をInternalのローカルIPをふってるのにDMZのポリシーに出てますが、
そこで選択しても全く機能しません。
出ないようにしてほしいですよね。って言っときます。

137 :61 ◆FG200xXuLw :03/12/24 17:23 ID:???
>>135
明日にでも確認よろしくお願いします。今日はクリスマスイブですしね。

とりあえず、現状のセキュリティーポリシーを、サービス→グループ設定などを
使って構築しています。

138 : ◆.p586Vj8xI :03/12/25 17:58 ID:lB3trQBP
>>137
ごめんなさい、今日やる予定だった検証できてません(汗
今日突然MR6(2.50 build171)がリリースされて、そっちの検証が優先になってしまって・・・

139 : ◆JeYFCvvdow :03/12/25 22:11 ID:???
>>131
ここで書いたことの他に、pptpでアドレスの範囲を2つにすると、
次の3つ目がpptpクライアントに割り当てられてしまうことです。
Fortinetや図研さんでも現象の再現が出来たようなので、
対応してくれるようですが、出たばかりのMR6で改善されているのだろうか・・・。
# ま、こういうアドレスの割り当て方をした漏れも・・・(汗

140 :61 ◆FG200xXuLw :03/12/26 11:55 ID:???
>>138
うちのFG200は早速MR6にアップデートしますた。

既存のFirewallポリシー、NAPT設定等は一応完了し、後は繋いで見るだけですが動かなかったらピンチです。
検証結果お待ちしております。

141 : ◆.p586Vj8xI :03/12/26 15:38 ID:8f6lxic5
>>140
やってみますた。(MR6で)
ExternalはPPPoE unnumbered、DMZはぐろーばるをstatic、
InternalはローカルIPです。
で、バーチャルIPをExt->Intで書き、ポリシーにも書き、、、

それでExt->Intのアクセスできました。
ただ、やっぱりDMZ->IntのグローバルIPでのアクセスはできませんでした。
Ext->Intの許可をしているグローバルIPには、Extからしか入って来れません。
DMZからIntへの通信が必要な場合は、
実際にふられているローカルIPへのアクセスをする必要があります。
もちろんポリシーを書くことが前提です。

142 :61 ◆FG200xXuLw :03/12/26 16:15 ID:???
>>141
お忙しい所、検証ありがとうございます。
実は、◆.p586Vj8xIさんの検証を待たずに、接続してみました、こちらの環境での結果はOKでした。
今もFG200越しにカキコしてます。
検証いただいた条件と、私の環境は若干違うようなのでOKな例を書かせていただきます。

・ExternalはADSLモデム直結のunnubered設定
 仮に、10.1.1.1/29
・ExternalのグローバルIPを、InternalのローカルIPにバーチャルIPでStaticNAT
 External自身のIPは、10.1.1.2/29 バーチャルIP対応は、10.1.1.3/29:192.168.0.1
・DMZのグローバルIPを、InternalのローカルIPにバーチャルIPでStaticNAT
 DMZ内鯖IPは、10.1.1.4/29 バーチャルIP対応は、10.1.1.4/29:192.168.0.2

私の環境では、DMZ内もグローバルIPという事です。

少しはまってしまったのが、ポリシーの設定でした。
Intenal to DMZは、通信できるのに、Internal to Externalの通信が出来ない。
はて?はて?と思いつつ、ログを眺めると、HTTP等のリクエストは送ってるが
戻り先が、External自身のIPで行き止まりになってました。
Internal to ExternalのポリシーにNATをチェックして解決です。ちゃんちゃん

次は、アンチウイルスの設定に行こうと思ってるんですが、またまた?です。
うちでは、基本的にHTTPのアクセスはDMZ内のPROXYサーバ経由です。
プロファイル内にはHTTP等のチェックボックスがあるわけですが、これは
サービス内の初期設定内のサービス名に対応してるんですよね?
初期設定ではHTTPはtcp/80となっていて、PROXYは違うポートなんで
チェックから外れちゃうのでは?と思っています。じゃあ、カスタムでHTTPの所に
ポート追加したろと思ったら、FGに駄目って怒られてしまいました。
これも、CLI設定行きのパターンなんでしょうか?それとも、ポートとか関係なく
パケットの中身を見て、FGがうまいことやってくれるんでしょうか?

143 :61 ◆FG200xXuLw :03/12/26 16:18 ID:???
>>142
> ・DMZのグローバルIPを、InternalのローカルIPにバーチャルIPでStaticNAT
>  DMZ内鯖IPは、10.1.1.4/29 バーチャルIP対応は、10.1.1.4/29:192.168.0.2

ここ間違いでした。
DMZ内鯖IPは、10.1.1.4/29 バーチャルIP対応は、10.1.1.5/29:192.168.0.2

144 : ◆.p586Vj8xI :03/12/26 18:10 ID:8f6lxic5
>>142
「HTTP」という名前のサービス(デフォルトで入ってるやつ)は、あくまで80/tcpのみです。
で、アンチウィルスの機能として対応しているhttpも、80/tcpのみを見ています。
ただし、アンチウィルスのhttpとしてのポートを追加することは可能で、
これはCLIのみになります。
上記2つの「http」の名前の対応は別々になります。

今回のケースでは、クライアントがInternalにいて、DMZにproxyサーバがあり、
そこからInternetに出て行くだけだと思われますので、
Internal->DMZへの通信はウィルスチェックせず素通しして
DMZ->Externalへの80/tcpをウィルスチェックすれば大丈夫だと思います。
proxy用に使用しているポートを追加する手もありますが、それだと手間かかると思うので。

ポリシーとして必要なのは、Internal->DMZのproxy用のサービス、
DMZ->Externalの80/tcpのサービス。
(DNSが必要とか、そのへんはあたりまえとして)
でいいんじゃないでしょか?


ちなみにCLIでアンチウィルスのhttpとして認識するポートの追加コマンドは、
set antivirus service http port add 8080
です。(8080は例)

145 :61 ◆FG200xXuLw :03/12/27 16:23 ID:???
>>144
いつもありがとうございます。
了解しました、やはりCLIで設定ですね。

ポリシーの方は色々あるんで、CLIやWebUIで色々ごにょごにょやる必要がありそうです。
さしあたり当面の運用に差し障りの無い設定は出来ましたので、その他の機能はマターリ
触っていこうと思います。

146 :FG200ユーザ:03/12/28 21:35 ID:HNZyxu4r
誰か管理コンソールのログインURL誰か教えてくれませんか?
https://xxx.xxx.xxx.xxx〜だったと記憶してるんですが・・・
またIDSセンサーの設定が飛んだみたいです。
頻繁になりますが誰か同じ症状で悩んでる人いませんか?
私今帰省中で会社に行いけないし、ベンダー休みだし・・・
このままだとアラートメールが止まりません。
本当に困っています。

147 : ◆JeYFCvvdow :03/12/29 01:55 ID:???
>>146
https://FG2000のIFのIPアドレス/
でしょ?

> またIDSセンサーの設定が飛んだみたいです。
> 頻繁になりますが誰か同じ症状で悩んでる人いませんか?

またってことは以前も飛んだのですか?
っていうか、飛ぶものなんでしょうか?
そういえば、以前書いたIDSのチェックのON/OFFが効かない件はMR5で
修正されたはずなのに、まだ改善されていないっぽい。
もしかして、うちもその飛んだのだろうか・・・。

148 :FG200ユーザ:03/12/29 08:28 ID:XcoV/UD/
導入後半年位です。
飛んだのは3回目です。IDSセンサーのところで200番、212番ってチェック
いれますよね。あれです。
設定が飛ぶのはこれだけです。
その他のポリシー設定とかは飛んでないです。
https://FG200のIFのIPアドレス/の後に何か付くんです。
誰か知ってる人いないかなー・・・




149 : ◆.p586Vj8xI :03/12/29 14:44 ID:EBPEF17U
>>147
MR5でもまだ設定が反映されないあたりの不具合残ってます。
MR6で修正されたと聞いています。

>>148
200番?212番?なんで番号??
そもそもどのバージョンを使用されていますか?
アドレスは最後の/の後は何もつけなくて大丈夫です。
何も付けないで見えないなら、何かを付けても見えません。

150 :61 ◆FG200xXuLw :03/12/29 16:55 ID:???
うちのFG200だけなのか、時計がやたらと遅れて行きます。
ntpの同期設定は行っているのですが、同期してないように思われます。
ntpサーバは、ntp1.jst.mfeed.ad.jp を設定、同期周期は60分にしてあります。

本年は皆様ご助言ありがとうございました、よいお年を、、、

151 : ◆.p586Vj8xI :03/12/29 18:17 ID:EBPEF17U
>>150
MR6の段階でも、NTP鯖はFQDNで認識できないバグが存在します。
とりあえずIPアドレスで入力しておくしか今は手がありません。

152 : ◆JeYFCvvdow :03/12/29 19:10 ID:???
>>150-151
FortiGateに限った話ではないですが、IPアドレスで指定するか、
FQDNで指定するかって結構悩むんですよね。
IPアドレスだとアドレスが変更になった場合接続できないし、
DNSだとDNS鯖が氏ぬと接続できない。

IPアドレスで指定する方がリスクは低いと思うのですが、
Y!Japanのように年1ぐらいでアドレスが変わっているところを
見てしまうと考えてしまいます。
# 私はY!のDNSRRでババを引かないようにhostsに書いているので、
# こういうアホな悩みを持ってしまうわけなのですが・・・。
スレ違いスマソ。

153 :FG200ユーザ:03/12/31 11:31 ID:tcJRXMXV
管理コンソールに入れました。
やはりIPアドレス指定だけでOKでした。
ご迷惑おかけしました。
ベンダーから指定されたのはIPアドレスのあとに何かついていたので・・・
NIDS ALERT: ICMP PING CyberKit 2.2 Windowsってなアラートが
5秒に一回来てアラートメールが2万件以上で大変です。
今は設定をしてOKなのでアラートメールはとまっています。
ちなみにベンダーからは年末にバージョンをあげろと言われたので
新年早々にバージョンアップして様子見です。

154 :61 ◆FG200xXuLw :04/01/05 17:10 ID:???
あけましておめでとうございます、本年もよろしくお願いいたします。

>>151
MR6のリリースノートを見てみたら既知の不具合と書いてありますた。
IPアドレス指定でしのぎます。

>>142で設定した、NAPTの設定を少しいじってみたら通信できない
ケースがあるようです、具体的には以下の通りです。

ヴァーチャルIPで、Ext→IntのStaticNAT設定を、ポートフォワーディングで
ポート指定すると、dmzに対してアクセスしようとしているようです。
ポートを限定すれば、ポリシーに書かなくて済むと思ったんですが
現状無理そうなんで、StaticNAT+アクセス制限ポリシーで運用します。

155 : ◆.p586Vj8xI :04/01/05 17:35 ID:TnVwugPA
>>154
ポートフォワーディングでもポリシーに書くのは必須になります。
ポリシーに書かなかったらDMZに行ってしまったのは、
もともとそのアドレスがDMZのセグメントだからだと思います。たぶん。

156 :anonymous@ gatekeeper-tky.datacontrol.co.jp:04/01/08 12:07 ID:???
age

157 :-:04/01/08 19:44 ID:???
>>156
ヲイヲイ・・・。代理店がふしあなさんでageるなよ。
思わず笑っちゃったじゃないか。

158 :_:04/01/08 23:08 ID:???
>157

受けた、受けた。
CheckPointスレのJ社とN社のやり取りみたいなこと起きないかなぁ(藁


159 :@:04/01/10 07:00 ID:???
>>156
たまにですがお世話になっておりますw

160 :anonymous@ fuelup.infocom.co.jp:04/01/10 12:40 ID:???
どうでもいいが、oracle位まともに通るFW作れよなw
今時、WAN間に使えないって業務で使えねえジャンかよ;;

161 :161:04/01/10 14:27 ID:???
>>160
WANにFWおかなければいいじゃん。まさかインターネットに???
ちなみに160のお客さんの話だよね。自分の会社でやろうとした?

162 ::04/01/10 15:43 ID:???
>160
いまどき、動的Portでしか動かないOracleを使う方が
問題では?
(どうしても使いたければ、FW-1導入してください)

固定Portで動くようにしてあれば、大抵のFW通りますので。
(今のOracleは、固定が普通)



163 : ◆.p586Vj8xI :04/01/10 22:32 ID:???
MR5使ってる人はMR6にしましょう〜♪

164 :anonymous@:04/01/11 01:22 ID:0C3EfkH+
>>163
うちはまだMR4なんだけど、リリース情報とかってどこ見ればわかるのでしょうか?
フォーチのメールニュースは購読しているのですが、そういう情報来ないし(2.8は来たけど)

165 : ◆.p586Vj8xI :04/01/11 03:16 ID:vGTeIQLT
>>164
fortinetのwebにアカウント登録してるのであれば、
ファームウェアといっしょにリリースノートも見れたと思います。
たぶん。。。。
なければ買ったところ(or サポートしてくれるところ)に聞いてみるのがいいかと。

166 :anonymous@ ZH017114.ppp.dion.ne.jp:04/01/14 15:30 ID:0Hbxgykc
質問です
FG200へVPN接続するのに、他拠点からADSL+Routerで各クライアントにクライアントソフト(SSH Sentinel)入れて
同時に接続なんて出来るのですか? 拠点のIPは非固定で。
同一IPでのダイヤルアップVPN接続は蹴られちゃうかな?

167 :164:04/01/15 01:14 ID:???
>>165
レスありがとうございます
メールでお知らせが理想だったんですがダメみたいですね
このスレちょくちょくチェックするようにすればOKかなw

168 :anonymous@ p5046-ipbffx02souka.saitama.ocn.ne.jp:04/01/22 11:27 ID:???
FG300って構成した内容をファイルに出力できますか?

壊れた時、このファイルを読み込むだけで設定が復帰できたらうれしいのですが。

169 :souka.ocn:04/01/22 11:44 ID:???
>>166
たぶん出来ないと思います。

170 : ◆.p586Vj8xI :04/01/22 15:08 ID:???
>>168
設定ファイルは保存可能です。
ただ、アンチウィルス検知時のメッセージ等、一部保存されない部分もあります。

171 :souka.ocn:04/01/22 15:53 ID:???
ありがd>◆.p586Vj8xI

仮に設定クリア状態になっても、保存したファイルから戻せます?

172 : ◆.p586Vj8xI :04/01/22 21:24 ID:???
>>171
ファイルから戻せば、現状の設定は全てクリアされてファイルに保存してある設定になります。

173 : ◆JeYFCvvdow :04/01/22 22:17 ID:???
MR6にうpしますた。
以前書いたくだらないバグがなくなりますた。

設定ファイル保存で思い出したのですが、adminユーザーでないと設定ファイルを
保存出来ないのですね・・・。adminにtrusthost制限をかけたので、バックアップを
リモートで出来なくて鬱でした。

174 :souka.ocn:04/01/22 23:01 ID:???
重ね重ねありがd>◆.p586Vj8xI

さて、どこから買おうかなぁ〜。やっぱマクニカでしょうかね。



175 : ◆.p586Vj8xI :04/01/22 23:11 ID:???
>>173
adminとread&writeユーザーの違いってあんまり無いけど、
設定バックアップできないのは不便ですよね。
adminのtrusthostに複数かければいいんですが、1個しか書けないから中書くと外が書けない・・・
WebUIではread&writeユーザーはFGの再起動も出来ないですが、
sshで入ったら普通に再起動できちゃいます(w
設定とるときは、sshで入ってget configで取ってます。
ヘッダつければそのまま戻せるファイルになるので、まぁそれでもよいかなと。

176 :61 ◆FG200xXuLw :04/01/23 08:04 ID:???
>>174
うちは図研扱いのを、付き合いのある商社から購入しました。
設定はFG200に付属してきたUSBメモリにバックアップしています。

177 :anonymous@ 061196101081.cidr.odn.ne.jp:04/01/28 09:16 ID:???
ぷらっとホームでも取扱い始めたね
仕入れは図研からみたいだけど

178 :-:04/01/29 07:40 ID:???
図研のサポートの方ごめんなさい。
リリースノートでfixされたバグと、対応中のバグを混同したバカは漏れです。_| ̄|○

179 : ◆.p586Vj8xI :04/01/29 18:41 ID:???
みんな図研からなのかぁ。

180 :for〜:04/01/30 06:18 ID:???
>>177
それは、去年の春くらいから扱っていたと思う。
調べたら、平成15年5月28日開催のイベントの案内が来ていたよ。

181 :fushianasan:04/01/30 14:52 ID:???
すみません、知っている方がいたら教えて頂きたいのですが、

購入後一年経つと、本体のアンチウィルス機能が停止してしまうのでしょうか。
それとも新規の定義をとる為のアカウントが無効になってしまうイメージですか?

あと、パソQ(www.pasoq.co.jp)などで次年度以降のハードウェア保証を
買えば更新できるのでしょうか?

182 : ◆.p586Vj8xI :04/01/30 14:58 ID:???
>>181
1年?
とりあえず製品だけを買った場合のアンチウィルスのライセンスは90日ですが・・・
で、期限がきても機能自体は動いてます。定義ファイルが取得できなくなるだけです。

パソQのことはよくわからないので、パソQに聞いてみてくだされ・・・

183 :fushianasan:04/01/30 15:13 ID:???
ありがとうございます。
たとえばFG200で、これを買って ttp://store.nttx.co.jp/_II_FG10960488
一年切れる前にこちらを買えばOKです? ttp://store.nttx.co.jp/_II_FG10960307

184 : ◆.p586Vj8xI :04/01/30 15:53 ID:???
>>183
それだと、アンチウィルスのライセンスが90日で切れて、次の1年のを買うまで
アップデートができなくなってしまう気がします。
nttxが仕入れてる販社がどういう扱いにしてるかにもよりますが、
本来、定価638000円のFG200自身は、ファームウェアアップデートが1年ありますが、
アンチウィルスidsのシグネチャデータベースの更新期限は90日に設定されています。

もしかしたら初年度分は販社が製品に含んだ形で販売してる可能性もありますので、
買うところに問い合わせてみてください。

あんまり答えになってないみたいでスマソ

185 :61 ◆FG200xXuLw :04/01/31 10:33 ID:???
>>181
私はパソQつうかここの出資会社のひとつから購入した口です。
パソQから購入しようとすると、多分私と同じ扱いになるかと思われます。
NTT-Xでも同様かも知れません。
(商品構成とか価格を見ると大本のDBは同じように見受けられるんで、、、)

FGは図研さん扱い

初年度基本(センドバック)保守サービス込み、内容は以下
・保障期間1年
・ハードウェア故障時のセンドバック対応
・ファームウェアの最新バージョン提供
・AntiVirus/NIDSデータベースの提供(更新権利)
・技術問い合わせへの対応

で、次年度以降1年間ハードウェア保障を購入すると上記が継続されるのだと思います。

186 :-:04/02/02 02:31 ID:???
うちに出入りしてる図研さんの担当さんは、
このスレ見てるって言ってたな。降臨キボンヌ。

187 :61 ◆FG200xXuLw :04/02/04 10:04 ID:???
MyDoomとかもしっかり弾いてくれていい仕事をしてくれている
うちのFG200ですが、アラートメールをちっとも送ってくれません、、、

DNSはDMZ上のと、Externalのプロバイダのを指定しています。
SMTP ServerにはFQDNでDMZ上のメールサーバを指定し
SMTP Userにもちゃんと、user@domain.comで指定しているのに適用しても
テストボタンが無効のままでテストメールすら送れない始末です。

何故なんだ〜〜

閑話休題
Virusチェック等で一度取り込むみたいなんで、FG自体のRWINとかの
TCPパラメータをチューニングしようと思ったんですけど設定項目が
ないみたいですね残念。

diagしてみたら、CPUはCeleron300MhzだったりNICは蟹8139だったりで
高い割には案外チープな作りなんですな。

188 :○anonymous:04/02/04 10:26 ID:???
>187
> 高い割には案外チープな作りなんですな。

NOKIAやRSに比べれば、高性能CPUだね(w;
やはり、ウイルススキャンのためだろうね。
NICは気にいらないけど。>蟹
トラブルの元だから。


189 :2.8待ち:04/02/04 13:08 ID:???
>187

適用おしてるかい?

190 :61 ◆FG200xXuLw :04/02/04 13:38 ID:???
>>188
ウイルススキャンとかはF32つうASICがやってるんじゃないのかなぁ〜
書庫の解凍とかはCPUのお仕事だと思いますけど

>>189
適応ボタン押しまくりですよ、、、

191 :_:04/02/04 13:46 ID:???
>190
実際のところ、どうなんでしょ。
ベースOSがLinuxとかだったら、ソース要求すれば公開義務あるんだけど。
見れば判る。(見たい)


192 :fushianasan:04/02/04 14:13 ID:???
>>187
◆FG200xXuLwさん、ありがとうございます。

切れる前に、更新ライセンスを買えばいいってことで、とりあえずFG200
買ってみます。
でもなんで大本のDB同じなんだろう???パソQ

193 :61 ◆FG200xXuLw :04/02/04 14:54 ID:???
>>191
diagで色々情報見てみたけど、ベースOSの痕跡とか私には判りませんでした。

>>192
お〜仲間が増えそうだ。
サポート条件とかが同じって事が前提になりますが、http://support.fortinet.com/registration.aspx
では、個別の製品登録は出来ません。図研さんの代表IDのような物に紐付きで登録されるそうです。
http://support.fortinet.com/へのログインは、この代表IDで行うことになってます。
(何人で共有しているか知らないけど、パスワード変更してくれるなと言われてまつ)

>でもなんで大本のDB同じなんだろう???パソQ
出資会社のBtoBシステムのDBが大本なんだと思います。
で、ASPサービスか何かをやっていて、NTT-Xとかも物流まで面倒みているんじゃないかな。

194 :Q:04/02/05 09:45 ID:???
次期OSからは全機種PPPoE対応になるって

195 : ◆.p586Vj8xI :04/02/06 12:14 ID:DquQSpP/
>>187
それってFG200ですか?FG100じゃなくて?
上位機種のNICはIntelだったり。

>>194
現時点の2.5でも全機種PPPoE対応なんですが・・・

196 :Q:04/02/06 15:09 ID:???
>>195
ってことはこのデータシートのスペック表は古いってことなのか
http://www.fortinet.com/jp/doc/FortinetBroch.pdf

販売代理店からは「次のOSから」ってアナウンスがあったけど

197 :61 ◆FG200xXuLw :04/02/06 15:28 ID:???
>>195
はい、FG200です。以下diagの抜粋

FG200 # d h g s c
processor : 0
vendor_id : GenuineIntel
cpu family : 6
model : 8
model name : Celeron (Coppermine)
stepping : 10
cpu MHz : 300.687
cache size : 128 KB
後略

FG200 # d h g s iop
前略
8800-88ff : Realtek Semiconductor Co., Ltd. RTL-8139
8800-88ff : 8139too
8c00-8cff : Realtek Semiconductor Co., Ltd. RTL-8139 (#2)
8c00-8cff : 8139too
9000-90ff : Realtek Semiconductor Co., Ltd. RTL-8139 (#3)
9000-90ff : 8139too
9400-94ff : PCI device 15bc:4001 (Agilent Technologies)
9400-94ff : FortiASIC32

>>187
自己解決しますた、SMTPユーザ名に変な物が入っていたようです。

198 : ◆.p586Vj8xI :04/02/06 19:10 ID:DquQSpP/
>>196
それは古いです。
たぶん日本語訳する人が古い資料でも見ながらやっちゃったクチでしょう。
英語のほう見たほうがいいです。
http://www.fortinet.com/doc/FortinetBroch.pdf

そして対応した代理店も日本語サイトのPDF見て答えちゃったクチなのか?
画面見たらわかるのに。

199 : ◆.p586Vj8xI :04/02/06 19:13 ID:DquQSpP/
>>197
あらん、FG100とFG200ってCPU一緒だったのか。
FG100がCel300ってのは覚えてたので、FG200はてっきり別かと思ってました。すんまそん。

200 :@:04/02/07 19:54 ID:sPlihXdt
MyDoomがスルーしまくるんだけど!って思ってFG覗いてみたら
ウイルスパターンが12/13から更新されてなかったよ
そのあたりの自動処理は信用してたんでガックシ

201 :ななしさん:04/02/07 23:38 ID:sapUk0n/
>>191,193
x86系のlinux 2.4だと思われます。diagで見える各種メッセージが
kernel 2.4系のlinuxのそれと全く同じです(w
Flashのデバイス名も/dev/hdaだったような気が…


202 :-:04/02/08 11:24 ID:???
>>200
それはきちんと管理していない藻前が悪い。

203 :岸朝子:04/02/08 13:20 ID:???
ウイルスパターンが更新されない不具合あったね
手動アップデートしたら直ったけど、あれはフォーチの方でもっと大きく発表してもいい不具合なんじゃないかと思ったよ

204 :for〜:04/02/08 13:29 ID:???
もし、情報持っていたら教えて下さい。
FortiGate 60 の上位版みたいな機種は出ないんでしょうか?
200を検討しているけど、3ポートしかないのが気になっているんで…

205 :ななし :04/02/08 21:27 ID:???
>201
じゃあ、Fortigateに言えば、ユーザで無くても
「ソース頂戴」で貰える筈だよね。
ましてや、ユーザや代理店なら。
少なくともカーネル組込みした部分は。

貰って公開してくださいな。
(守秘義務は無い筈)


206 :Q:04/02/09 09:45 ID:???
>>198
なるほど,納得しました
ありがとうございました

しかし某代理店はこの製品あまり詳しくないってことだな

207 :61 ◆FG200xXuLw :04/02/09 15:58 ID:???
>>205
洒落でソース要求してみましょっか?
仮にもらえても私にはメリットも利用価値も何もないですけどね。

どんな文面を送ればよいのでしょうか?テンプレキボン

208 :ななし :04/02/09 16:09 ID:???
>207

こんな感じで、どうでしょう?

FortiGate各製品は、内部でLinuxカーネルを利用していると
見受けられます。
GNU Public Licenseに基づき、ソースを入手したいので、
メールに添付して送っていただけますでしょうか?

うだうだ言ってくれなかったら、

なお、内部にLinuxを使っているにも関わらず、著作権者表示が
無い様子が見受けられます(マニュアルにあれば削除)
これに関しては、改善されなければ、GNUに連絡を取らせて
いただくことになると思います。


209 :動詞:04/02/10 07:56 ID:???
>>207
洒落はやめたほうがよい。本気で欲しいと思う人が米国本社へアクセス
してみるのがよいと思う。ちなみに、Linksysも最初黙っていてLKML他
で騒ぎになり公開されて、今ではOpenWRTプロジェクトもできました。

210 : ◆.p586Vj8xI :04/02/18 01:35 ID:???
もうすぐ2.50MR7がリリースされるらしい。

211 :@:04/02/22 16:45 ID:???
2.8の話はその後全然でないね

212 : ◆.p586Vj8xI :04/02/22 23:44 ID:???
>>211
2.8は4月予定と聞いています。

213 :名無しさん@お腹いっぱい。:04/02/23 16:59 ID:???
>>210
いつごろですつか?

こいつはぬるぽワームに対応していますか?

214 : ◆.p586Vj8xI :04/02/23 18:19 ID:N9Y8wOHP
>>213
2月中には出ると聞いていますが、遅れる可能性もあります。
ぬるぽワームとはなんでしょう?

215 :61 ◆FG200xXuLw :04/02/24 10:58 ID:???
>>210
変更点とかリークキボン

216 :ぬるぽ:04/02/24 20:10 ID:???
>>214

ぬるぽワーム
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.A

217 :初心者:04/02/24 20:17 ID:???
ウィルススキャンでタイムアウトになりまつ。
特定のサイトからのダウンロードを
スキャン対象から外すことはできまつか。

218 : ◆.p586Vj8xI :04/02/24 21:45 ID:oqv+RFwF
>>216
今は対応リストにないですね。
そもそもwinny経由だとウィルスチェックできません。

219 : ◆JeYFCvvdow :04/02/25 00:03 ID:???
>>217
そんなもん、特定のサイトをウィルススキャンしないルールを書けばいいじゃん。
って、これじゃダメ?

220 :217:04/02/25 11:45 ID:???
>>219
やり方がわかりませんのでお手数ですがご教授願います。

221 : ◆.p586Vj8xI :04/02/25 13:52 ID:QeraCVoq
>>220
ポリシーで書いてください。
その特定のサイトのIPアドレスのポリシーを書いて、そのポリシーではウィルススキャンしない設定にして。

222 :217:04/02/25 19:49 ID:???
>>221
ありがとうございます。
やってみまつ。

223 : ◆JeYFCvvdow :04/02/25 22:37 ID:???
>>222
>>219で「これじゃダメ?」と書いたのは理由があってですな、
Y!JapanみたいにDNSラウンドロビンしているところでは、
ある日突然ウィルススキャンするようになるんですよ。

>>221
このあたりの回避策ってURLフィルタとかで上手く出来ないもんですかね?
DstやSrcにDNS名を使えればいいのですが・・・。

224 : ◆.p586Vj8xI :04/02/26 10:22 ID:gzu7KdYY
>>223
今の仕様だと無理ですな。IPアドレスで処理してるので・・・
ちょっと中の人に聞いてみます。

225 :( `∀´)y-~~:04/02/26 21:32 ID:???
ウイルスパターンファイル 4.229
キタ━━━━━━(゚∀゚)━━━━━━!!!!!

ここでは誰もうpだて情報はやらないのですか?

226 :61 ◆FG200xXuLw :04/02/27 08:25 ID:???
>>225
ウイルス/アタックデータベース更新はFGの中の人が勝手にやってくれるんで
私はあんまり気にしてませんね。
かきこ時点で、ウイルスパターンは4.230になってますた。

Firmの方は手作業なんで、キタ━━━━━━(゚∀゚)━━━━━━!!!!! と
言ってもらうと助かります。MR7はそろそろかな?


227 : ◆.p586Vj8xI :04/02/27 14:52 ID:E9jfqxAZ
FortiWiFi-60って、名前もっと考えられんかったんかのぅ・・・
そしてFortiLogが復活してる。過去にラインナップにあったけど消え去ったやつ。

228 :初心者:04/02/27 20:42 ID:???
FortiGateのまとめサイトやナレッジベース、FAQ、
ドキュメントなどはどこかにないものですか。
何をどのように設定すればよいかわからなくて困っています。

229 : ◆JeYFCvvdow :04/02/27 23:33 ID:???
そういえば、MR6にしてから1回目のログオンに
必ず失敗するのですが、そういう仕様なんでしょうか?

230 : ◆.p586Vj8xI :04/02/28 01:30 ID:5WIlSe7K
>>229
MR6にしてから・・・というより、IE6のパッチをあててからだと思います。たぶん。

231 :& ◆RdmUjfVKqQ :04/02/29 23:34 ID:???
W32/Bagle.C-mm対応ウイルスパターンファイル 4.231
キタ━━━━━━(゚∀゚)━━━━━━!!!!!
W32/Bagle.D-mm,E-mmはまだこない。
新種ウィルスの対応は他のベンダーに比べてだいぶ遅いね。
1分1秒を争うワーム全盛の現在では安心できないね。

232 :61 ◆FG200xXuLw :04/03/01 10:04 ID:???
>>228
何がどう判らないのか、判りませんが、、、
基本的には次の手順で最低限使えるようになると思います。

・ネットワーク構成を決めて、「システム→ネットワーク」でインターフェースの設定とかを行って通信できるようにする。
・何処から何処に何の通信を通す/通さないかを決めて「ファイアウォール→ポリシー」に書く。
 事前に「ファイアウォール→アドレス」の所で、IPアドレスとそれに対応する名前を登録しておく。
 また、「ファイアウォール→サービス」の所で、サービスグループを作っておくとポリシーをたくさん登録しないで済む。

それぞれ個別の設定方法は、マニュアル・オンラインヘルプを参照の事
どうしても判らない時は、このスレの詳しい人が教えてくれるでしょう。
私も色々教えて頂きました。Thanks>>ALL

233 :for〜:04/03/01 12:52 ID:???
>>231
まだ導入検討中なんだけど、Gateway(Fortigate)のウイルス対策とは別に、
クライアントとかサーバーのウイルス対策が必要なのは、常識では無いの?
それと、Gateway側のウイルス対策ソフトと、他のはメーカーを分けると、
セキュリティが上がると聞いた事があったけど、それも常識では無いの?

それほど、詳しくは無いので、どこかで聞いた知識で申しわけないけど、
そういうものかなぁと思ってたんで、詳しい人教えて下さい。

234 :anonymous@ p1035-ipad74marunouchi.tokyo.ocn.ne.jp:04/03/01 15:43 ID:???
人(企業)それぞれでしょう

235 : ◆.p586Vj8xI :04/03/01 17:54 ID:0fzqyV/c
>>233
自分は、ゲートウェイとPC(クライアント)は両方必要と思っています。
PCだけ or ゲートウェイだけ は避けます。

236 :228:04/03/01 18:57 ID:???
>>232
ありがとうございます。
今困っているのはノートン先生のLiveUpdateが
タイムアウトになってパターンファイルが更新できないことです。

237 :231:04/03/01 20:27 ID:???
>>233
うちはPC、サーバー、グループウェアサーバー
SMTPゲートウェイでウィルススキャンをしています。
今回HTTPゲートウェイのスキャンをやりたくてFortigateを買ったのですが、
欲が出てSMTPゲートウェイも置き換えられないかと思っているのですが、
>>231 に書いたとおり対応の遅さにあきらめています。

238 : ◆JeYFCvvdow :04/03/01 21:41 ID:???
>>237
いやいや、FortiGateの方が対応が早いものもあれば逆もある。
Fortiの方が早くても目立たないが、遅い方は目立ってしまう。
新参者の扱いってこんなもんだと思いますよ。

239 :61 ◆FG200xXuLw :04/03/02 11:01 ID:???
MR7
キタ━━━━━━(゚∀゚)━━━━━━!!!!!
リリースノートはまだなのね

240 :61 ◆FG200xXuLw :04/03/02 11:44 ID:???
>>236
Fortinet Technical Discussion Forumに以下の記事がありました。

Symantec Updates -- Use URL Exemptlist

A PC/server behind a FGT with HTTP scanning enabled will sometimes encounter problems obtaining Symantec/Norton updates.

The simplest workaround is to use the URL exemptlist to disable AV scanning for that one site.

Put the following in the URL exemptlist:
symantecliveupdate.com

RE: Symantec Updates -- Use URL Exem... (in reply to chall)

According to Symantec, they could use update servers from any of the following URLs:

The domains that LiveUpdate accesses are:
HTTP: symantec.com, symantecliveupdate.com, and akamai.net.
FTP: speedera.net


241 :61 ◆FG200xXuLw :04/03/02 11:50 ID:???
MR7を早速入れてみました。
細かい変更点はリリースノートが無いので判りませんが
FG200の場合、ウイルススキャン上限ファイルサイズが100MBに拡張されてました。

242 : ◆.p586Vj8xI :04/03/02 12:21 ID:IPezf5Bu
>>241
拡張された分、メモリをどんどん食っていくので気をつけたほうがいいです。


243 :不明なデバイスさん:04/03/02 21:50 ID:???
>>241
ソフトバンクBBはまだみたい。

>>242
前に話題になったメモリ増設は無理なのかな。

244 :61 ◆FG200xXuLw :04/03/03 10:32 ID:???
>>243
ソフトバンクBBのは、http://support.fortinet.com/にログインできないんですか?

メモリ増設できないかと少し調べてみたら、FG200はチップセットがIntel440MXで
これの最大メモリサイズは256MBなんで無理そうです。

245 :買いました。:04/03/03 14:16 ID:???
先輩方教えてください。
Default content profilesにStrict,Scan,Web,Unfilteredの4つがあるのですが、
それぞれどのような役割を設定するものですか。
設定画面はどれも同じなっているため使い分けがわかりません。
標準的な使い方であればデフォルトで問題はないのですか。
こちらではHTTP,FTP,SMTPのウイルススキャンができれば十分です。

246 : ◆.p586Vj8xI :04/03/03 16:12 ID:XinhBWLT
>>243
そういえば忙しさで忘れてました・・・<メモリ増設
244さんのいうとおりなのかもしれません。(って、また忙しさで未確認・・・

>>245
デフォルトで存在する4つは、それぞれを開けば項目わかるようになっていると思います。
「デフォルトで」って話なら、すべて設定が違うはずです。
全て同じになってるのなら、それは初期状態ではないです。
まずそれを確認してみてください。
あと、できればバージョンも書いていただいたほうがいいです。違う話をしてしまうと困るので。

「デフォルトの状態なら」の話ですが、Scanのプロファイルが一般的なのかと思われます。
自分で使うなら、Scanのプロファイルに分割メール転送を有効に修正してから使うかも。

247 :買いました。:04/03/03 16:54 ID:???
>>246
説明の仕方が悪くてすみません。
すべて同じと言うのは設定画面が同じで、チェックされているところは違います。
バージョンは、2.50,build171,031215です。
たとえば、Strictは、
アンチウィルススキャン〜Eメールコンテンツブロックまですべてチェックあり
上限サイズを超えるファイル/Eメールがすべてブロック
分割メール転送がすべてオフ
といったせっていになっています。
Scan、Web、Unfilteredは(意味があると思うのですが)まばらにチェックにされています。
よくわからないのが、Strict、Scan、Web、Unfilteredの優先順位というか
何に対してチェックが有効なのかということです。
StrictでほとんどチェックされているのでScanなどは重複するような気もするのですが、
実際は違うと思うのですが、そのへんが理解できていません。
情けない質問ですみませんが、詳しく教えてください。

248 : ◆.p586Vj8xI :04/03/03 17:19 ID:XinhBWLT
>>247
Strict
いちばん厳しい設定です。全プロトコルウィルスチェック有効なのはもちろんのこと、
上限サイズを超えたら止める設定や、Web・Eメールのコンテンツフィルタ等も全て有効です。
ファイルブロックも有効なので、設定されてる拡張子のファイルも全て止めます。
安全・・・なのかもしれませんが、これは不便すぎるとおもいます。zipもダウンロードできませんし。

Scan
ウィルススキャン用の設定です。
全プロトコルのウィルスチェック・隔離を有効にしてあるものです。
私はこれが無難だとは思いますが、抜けとして、設定サイズを超えたファイルがあったら
ウィルスチェックせずにスルーするのと、分割メールがブロックされるようになっているので、
そのあたり注意が必要かもしれません。

Web
Web(http)用の設定です。
httpのウィルスチェック・隔離と、コンテンツフィルタ系が有効になっています。
他のプロトコルの設定は無い状態です。

Unfiltered
Web対象外リストと、Eメールの対象外リストの設定だけが入ってるものです。
これは使う人いるのか?って設定かも。

てきとうな説明ですいません。
全項目を理解して、それぞれ有効か無効かを自分で設定するのがほんとは一番かと思いますので、
チェック項目でわからないのがありましたら書いてください。私のわかる範囲で説明します。

249 : ◆.p586Vj8xI :04/03/03 17:21 ID:XinhBWLT
>>247
ちょっと追加。
プロファイルで設定したものは、ポリシーで選択してはじめて有効になります。
プロファイルは複数設定して、ポリシーごとに選ぶことが可能なので、
クライアント->外、外->鯖 などなど、用途にあわせたプロファイルを作成するのがいいと思います。

250 :買いました。:04/03/03 17:44 ID:???
>>248,>>249
丁寧に説明していただきありがとうございました。
>プロファイルで設定したものは、ポリシーで選択してはじめて有効になります。
>プロファイルは複数設定して、ポリシーごとに選ぶことが可能なので、
>クライアント->外、外->鯖 などなど、用途にあわせたプロファイルを作成するのがいいと思います。
そういうことなのですね。
ちょっといじってみます。
ありがとうございました。

251 :買いました。:04/03/03 18:05 ID:???
外→内用プロファイル
アンチウィルススキャン:HTTP、FTP、SMTP有効
隔離:SMTP有効
上限サイズ〜:すべて転送
分割メール転送:SMTP有効

内→外プロファイル
アンチウィルススキャン:SMTP有効
隔離:SMTP有効
上限サイズ〜:すべて転送
分割メール転送:SMTP有効

外→内ポリシー:外→内プロファイル
内→外ポリシー:内→外プロファイル
ちなみにファイアウォールとルータの間に
トランスペアレントモードでFortiGateを入れています。


に設定しました。
イントラPCのWeb利用時のHTTP、FTPウィルスチェックと
メール(SMTP)のウィルスチェックがしたいのでこれでよいような気がします。
間違っていたら指摘してください。

252 :買いました。:04/03/03 18:41 ID:???
こちらもノートン先生(企業用)を使っています。
社内LiveUpdateサーバーがシマンテックのLiveUpdateサーバーから
LiveUpdateでウィルス定義ファイルなどダウンロードするのですが、
>>236 さんと同じでタイムアウトになります。

>>221 さんのアドバイスどおり設定しようとすると、
シマンテックのLiveUpdateサーバーをIPアドレスで指定するようになるのですが、
>>223 さんの指摘のように、
サーバーが複数ありその上ラウンドロビンDNSで負荷分散しているため
すべてのIPアドレスを見つけるのは容易ではありません。
liveupdate.symantecliveupdate.com
というような指定は出来ないものなのですか。
シマンテックユーザーの方はどのように設定していますか。
何かうまい方法があるのですか。
トレンドマイクロやマカフィーではこのような問題はないのですか。

253 : ◆.p586Vj8xI :04/03/03 19:18 ID:XinhBWLT
>>251
あら?
「イントラPCのWeb利用時のHTTP、FTPウィルスチェック」の部分ですが、
イントラPCとは、プロファイルの「内」の部分のことですよね?
だとすると、プロファイルが逆かも。
たとえばInternalに接続されているPCがExternalから外にあるWeb(インターネット)を見てるときに
ウィルスチェックしたいのであれば、
内→外プロファイルにhttpのスキャンが必要になります。

処理の方向は、あくまで「セッションを張る方向」と思ってください。
クライアントがInternalにあって、メールサーバーがExternalの向こうにあって、
クライアントからPOP3でメールを取りに行くときにウィルスチェックしたいのであれば、
Internal→External のポリシーでウィルスチェックが有効になってなければいけません。

254 :243:04/03/03 20:00 ID:???
>>244
ソフトバンクBBはダメです。

255 :( `∀´)y-~~:04/03/03 20:55 ID:???
FortiGateは対応していないかな。
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_WILDJP.A
この手のウィルスに有効なソリューションだともっと売れるね。

256 : ◆JeYFCvvdow :04/03/03 21:42 ID:???
>>252
うちもNortonAntiVirus企業版ですが、タイムアウトになったことはありませんね。

Web Exempt Listを上手く使えば、こういうことが出来るような気がするんですが、
うーん、考えつかない・・・。 (>_<)
ちなみに>>223で書いたラウンドロビンの問題はある日突然IPアドレスが
変わることなんですよね。

257 :228:04/03/03 22:01 ID:???
>>256
うちは1回のダウンロードで15個の更新ファイル数十MBをダウンロードします。
あとはファイアウォール(ForitGateではない)の設定かな。
ttp://service1.symantec.com/SUPPORT/INTER/entsecurityjapanesekb.nsf/jp_docid/20020723123051949?open&prod=&ver=&pcode=&src=&miniver=&tpre=jp&prev=&dtype=corp

258 :買いました。:04/03/04 09:02 ID:???
>>253
実は書き込んだ後ウィルステストをしたら効果がなくて
いろいろかんがえても原因がわからず、
内→外プロファイル
アンチウィルススキャン:SMTP有効 ⇒ HTTP、FTP、SMTP有効
隔離:SMTP有効
上限サイズ〜:すべて転送
分割メール転送:SMTP有効
にしてしまいました。
ご指摘の件を参考に、
外→内ポリシー:外→内プロファイル ⇒ 内→外プロファイル
内→外ポリシー:内→外プロファイル ⇒ 外→内プロファイル
に訂正したらうまくいきました。
あとは>>252 のノートン先生の問題が解決すればハッピーです。
ありがとうございました。

259 :61 ◆FG200xXuLw :04/03/04 09:35 ID:???
>>258
>>240に対処方法を書いてみましたが、試してみてはいかがでしょうか?

Webフィルタ>対象外Urlリストに、symantecliveupdate.comを追加
ファイアウォール>プロファイルで、Web 対象外リストにチェック

260 : ◆.p586Vj8xI :04/03/04 09:37 ID:JqFukwXd
>>258
うちにノートン先生が無いのでテストできないんですが、
257に書いてあるURLを見る限りではhttpかftpで外に出て行くだけだから
そのポリシーがあれば問題ないかと思うけど、そうじゃないんだよねぇ。
ウィルスチェックを無効にしてればのーとん先生ちゃんと動きますか?

261 :買いました。:04/03/04 10:10 ID:???
>>259
やってみます。

>>260
スキャンサイズを最低の1MBsにするとタイムアウトしないのはわかっています。

262 :買いました。:04/03/04 10:26 ID:???
>>261
無事に設定できました。
ttp://service1.symantec.com/SUPPORT/INTER/entsecurityjapanesekb.nsf/jp_docid/20020723123051949?open&prod=&ver=&pcode=&src=&miniver=&tpre=jp&prev=&dtype=corp
に書かれている
liveupdate.symantecliveupdate.com
liveupdate.symantec.com
*.akamai.net
を設定しました。

すでに60303iは今朝ダウンロードされているので、
次の更新があるまで結果がわかりません。
最近は日に数回更新があるので、
(新種発生ですのでよいことではありませんが)
この調子だと今日明日に結果が出るかもしれません。

263 :61 ◆FG200xXuLw :04/03/04 10:50 ID:???
>>262
akamai.netを対象外Urlリストに入れるのは微妙な所ですよね。
社内LiveUpdateサーバー用のプロファイルを作って、ポリシーに
社内LiveUpdateサーバーを書いてあげるのが良いような気がします。

対象外Urlリストもグループ化できるといいなと思いました。

264 :61 ◆FG200xXuLw :04/03/04 11:17 ID:???
MR7のリリースノートが出てました。

機能拡張
・RADIUS port numberが設定できるようになった。
・SYSLOG facility levelが設定できるようになった。
・アンチウイルスのスキャンサイズの上限を増やした。
 以前はシステムメモリの15%が上限だったが、40%が上限になった。
・BASE64エンコードされた添付ファイルをウイルススキャンできるようになった。
・新機種サポート(50A、FortiWIFI-60、4000)

バグフィックス26件詳細省略

既知のバグ8件詳細省略


265 :買いました。:04/03/04 11:30 ID:???
>>263
レベルが低くてすみませんが教えてください。
(1)プロファイル
新規作成のデフォルトに対し、Web対象外リスト有効
だけでよいのですか。
(2)ポリシー
送信元:Internal
宛先:External
で新規作成し、
送信元:すでにあるInternalのアドレス(0.0.0.0/0)
宛先:すでにあるExternalのアドレス(0.0.0.0/0)
スケジュール;Always
サービス:ANY
アクション:ACCEPT
コンテンツプロファイル:(1)でつくったプロファイル
でよいのですか。
何か違う気がするのですが。

266 : ◆.p586Vj8xI :04/03/04 11:43 ID:JqFukwXd
>>264
あきらかにバグフィックス項目少なすぎ。
リリースノートにのってない修正項目が多大にあると思われ。

>>265
送信元はInternal_Allではなく、LiveUpdateの鯖だけのアドレスグループを作成し、それを選んだほうがいいです。
それと、Internalのアドレスがプライベートアドレスで、NAT/RouteモードならばNATのチェックボックスは必須で。

267 :買いました。:04/03/04 11:54 ID:???
>>266
FortiGateはファイアウォールとルータの間にトランスペアレントモードで入れてます。
(グローバルです)
社内LiveUpdateサーバーはプライベートIPですが、有効になるのですか。

268 :買いました。:04/03/04 12:06 ID:???
>>267
ポリシーが
# ID 送信元 宛先
1 1 Internal_All External_All
2 2 External_All Internal_All
3 3 LiveUpdate External_All
という順になりましたが、順番(優先度など)はこれでよいのですか。

269 : ◆.p586Vj8xI :04/03/04 12:19 ID:JqFukwXd
>>267
FortiGateを通過する時点でのアドレスなので、グローバルアドレスでアドレスグループを作成してください。

>>267
それでは3番目のポリシーが有効に働きません。
優先順位は上からです。ポリシーを上から順に見ていって、該当するものがあれば処理されて下には行きません。

270 : ◆.p586Vj8xI :04/03/04 12:21 ID:JqFukwXd
>>268
ポリシーの表示はモデルによって違ったりする部分もあるので、
モデル名等も書いていただけると・・・

271 :買いました。:04/03/04 12:25 ID:???
>>269
そうするとNAT処理されていますので、Internal_Allと同じになってしまうと思います。

>>270
Fortigate-200 2.50,build171,031215です。

よろしくお願いします。

272 : ◆.p586Vj8xI :04/03/04 12:30 ID:JqFukwXd
>>271
そういえばそうか・・・・
じゃぁInternal_Allしか選択できないですね。Internal配下にグローバルアドレスで何かがなければ。
とりあえずポリシーの順番だけ変えればOKだと思います。

273 : ◆.p586Vj8xI :04/03/04 12:31 ID:JqFukwXd
>>271
NAT処理している機器の内側にFortiGate入れるのはどうだろう。と思ってみた。思ってみただけ・・・

274 :買いました。:04/03/04 12:37 ID:???
>>272
了解です。

>>273
こちらですとファイアウォール(内側)とスイッチの間になります。
どこに入れるのが一般的(もしくは効果的)なんですか。

275 :61 ◆FG200xXuLw :04/03/04 13:16 ID:???
>>274
私の所はそんなに規模が大きくないので、FG200のみで
ExternalはPPPoE、DMZはGlobal、InternalはプライベートIPのNAPTで運用しています。

Globalアドレスに余裕があるなら、既存FirewallでLiveUpdateサーバに1対1NATするとかどうですか?
大幅にネットワーク構成変えてもいいのなら、既存FirewallをやめてFG200にやらせるとか

276 :VPNってどお?:04/03/04 14:07 ID:Rl0t97k2
Fortigate-200 導入しようかとおもっているのだが
実際 VPN の安定性とかどおなのでしょうか?
使っている人います?

277 :anonymous@ p1035-ipad74marunouchi.tokyo.ocn.ne.jp:04/03/04 15:09 ID:???
導入検討中なのですが
コンテンツフィルタリングはどういう設定方法になるのでしょうか?
シマンテックのみたいにカテゴリー選択方式ですか?

278 : ◆.p586Vj8xI :04/03/04 15:17 ID:JqFukwXd
>>276
自分とこではVPN使ってますが、いまんとこべつに障害とかは無いですねぇ。
他の方どうでしょ?

>>277
FortiOS2.5では、全て手入力でのコンテンツフィルタリングです。
Cerberianのエンジンはのってるんで、ライセンスあれば可なんですけどねほんとは。
正式対応(?)は2.8からになります。2.8からはカテゴリ選択で可。

279 :買いました。:04/03/04 15:23 ID:???
>>275
構成は変えられないです。

280 : ◆.p586Vj8xI :04/03/04 15:32 ID:JqFukwXd
>>274
そもそも構成がわからないのでなんとも言えないのですが、
FortiGateを入れるのは、「FortiGateで何かしたいトラフィックがある場所」ってことですよね。
プライベートアドレスをNATする箱の外のネットワークにいま付けてると思いますが、
そのNATされて出てくるパケット以外にFortiGateを通す必要なものがなければ、
NATの箱の内側にトランスペアレントモードで入れるのがいいかもしれません。

281 :買いました。:04/03/04 15:51 ID:???
>>280
1番の目的はHTTP、FTPのウィルスチェックです。
2番の目的はSMTPのウィルスチェックです。
これは現在やっているもの(DMZにある)を置き換えを狙っています。

で何かしたいトラフィックですが、
基本は内側で、欲を言うと+DMZです。
それでファイアウォールとルータの間に入れています。

282 :277:04/03/04 17:04 ID:???
>>277
回答ありがとうございます
現状ではURLを指定してブロックするしかないわけですね

283 :277:04/03/04 17:06 ID:???
上のは>>278さんへのレスでした

284 : ◆.p586Vj8xI :04/03/04 17:26 ID:JqFukwXd
>>282
コンテンツフィルタについて補足。
Cerberianのコンテンツフィルタリングのライセンスは別料金になると思います。

285 :VPNってどお?:04/03/04 17:34 ID:Rl0t97k2
回答ありがとうです。
HTTP、FTP、SMTPのウィルスチェックですが、実際すべてスキャン対象
とした場合、Fg200 だとどのくらいのスループットがでるでしょうか?
PC200台くらいなら問題ないですかね、ちなみに接続は、フレッツ100Mです。

286 : ◆.p586Vj8xI :04/03/04 17:57 ID:JqFukwXd
>>285
えぇと、PC200台で設置したことないので想像になってしまいますが、
FG200ではちときびしいのかと。
カタログ値のスループットはFirewallのみだし。
FG300・・・欲を言えばFG400かな。でも高い・・・
VPNも使うのですよね?

ちなみにIDS系ってけっこう処理重いらしいです。

287 :買いました。:04/03/04 19:51 ID:???
>>285
似たような環境ですが、問題ないと思いますよ。
速度測定サイトでは惨敗かもしれませんが、
日常的な業務使用では問題ないと思います。
こちらはVPNなしですのでそのへんは勘弁してください。

288 : ◆JeYFCvvdow :04/03/04 21:46 ID:???
>>276
>>278
うちも特に問題は無いです。IPSecはね。

話はそれますが、以前>>139で話していた、
PPTP clients assigned out of range IP addresses(Bug ID:0004195)
のバグですが、MR7のリリースノートを見たところ、闇に葬られたような気が・・・。
Open Bugsにも載ってない・・・。単なる書き忘れなら良いのですがね。
図研さん、後よろしく。

289 :買いました。:04/03/05 09:05 ID:???
60303alがアップされたので試したところ、
タイムアウトせずすべてダウンロードできました。
いろいろとアドバイスいただきありがとうございました。
ただ、ファイアウォールのNATもいじっていますので、
もしかしたらこちらが真因かもしれません。

290 :VPNってどお?:04/03/05 10:02 ID:oC11OFmr
いろいろと情報頂ありがとうございます。
導入の方向に向け、動いているので助かりました。


291 :61 ◆FG200xXuLw :04/03/05 11:00 ID:???
>>285
実効スループットは判りませんが、FG200を通すと以下のような感じになります。

DL元→FG200(AV対象ファイル取込&チェック)→クライアント

例えば、IEで何かをDLしようとした時、FG無しだとすぐにダイアログが出ますが
FG経由だと、取込&チェックが終わるまで応答してくれないので
大きいファイルをDLした時とかにストレスが溜まったりするかも知れないです。

ところで、AV自体は同時複数セッションで行われるようですが
同時セッション数の制限とかメモリを使い切った時の挙動とか教えてほしいです。

292 :買いました。:04/03/05 11:44 ID:???
ノートン先生の問題が解決して当初狙っていた内容は無事にクリアできました。
みなさまありがとうございました。

欲が出てきたというか、NIDSがどんなものか試してみようと思うのですが、
検知−一般−Externalチェック、IP、TCP、UDP、ICMPすべてチェック
検知−シグニチャリスト−有効すべてチェック
防御−防御を有効にするチェック、シグニチャ有効すべてチェック
などという設定でよいものですか。
実際に使われている方アドバイスお願いします。

293 : ◆.p586Vj8xI :04/03/05 11:45 ID:pKZtINQL
>>291
メモリを使い切ったら(一定以上になったら)新たなセッションがはれなくなります。
なので、あまり大きくするのは危険。

294 : ◆.p586Vj8xI :04/03/05 11:49 ID:pKZtINQL
>>292
検知のほうは、あくまで「検知」なので、ログに出すかアラートメールを送るかをしないと意味がありません。
それに、そのログ・アラートを見て自分が対処する必要があります。
ちなみに検知を全チェックすると、pingとかにも反応しますよ。

防御もむやみに全チェックするのはどうかなと。
攻撃じゃないパケットも防御されてしまう可能性もありますし・・・

295 :買いました。:04/03/05 13:25 ID:???
>>294
面倒なので(ダメな理由)
検知は外しました。
防御はデフォルトのシグニチャにしました。

296 :ソフトバンクBBだめぽ:04/03/05 19:55 ID:???
MR7はどんなでつか。
うちはソフトバンクBBなんでさっぱりアナウンスがない。
サポート、情報もひどくて最低でつ。
図研はどうなんだろ?

297 : ◆.p586Vj8xI :04/03/05 22:53 ID:pKZtINQL
>>296
とりあえず自分とこではMR7で運用中。いまんとこ問題はなさそう。

298 :61 ◆FG200xXuLw :04/03/06 09:26 ID:???
>>293
その様な仕様になっているんですね、了解しました。

>>296
うちもMR7で運用中、特に問題は出てません。VPNはやってませんが
Fortinet Technical Discussion ForumにはFG50、FG60に
適用したらPPTPが動かなくなったとか書かれてました。

図研さんからメールでリリースのお知らせとか来たことはないです。
一度設定についてサポートをお願いしましたがすぐに返事もらえましたよ。
◆.p586Vj8xI さんのリリース予告を見て、http://support.fortinet.com/をチェックしてます。
アカウントよこせ〜といっても駄目なんですか?

299 :ソフトバンクBBだめぽ:04/03/06 13:48 ID:???
>>299
図研のサポートもパッとしないんでつか。
きちんとサポートしてくれるとこってあるんでつか。
ttp://support.fortinet.com/
のアカウントはソフトバンクBBもダメでつ。
ふぉーち日本法人は何やっているんだろ?

300 :-_-:04/03/06 15:16 ID:???
>>298
>図研さんからメールでリリースのお知らせとか来たことはないです。
MR6の時にうちは来たよ。
ただし、図研さん内部での検証が終わってからですが。
だからMR7のリリースのアナウンスは、来月ぐらいに来ると思います。
っていうか、基本的に代理店は全て自社の検証が終わらないと
ユーザーには案内を出さないよ。

>>299
ソフトバンクBBは図研からサポートを受けてるとの噂です。
ということは自動的に
図研 > 超えられない壁 > SBB
という図式が成り立つと思われ。

301 :& ◆XEujnOSzoI :04/03/06 21:43 ID:???
フォーティーゲートは無名ですがシマンテックやマカフィーなどの
有名なところのアプライアンスと比べて本当にスキャンスピードが
速いのですか。
新種対応スピード、検出能力、駆除能力のウィルス性能はどうですか。
安定稼働してますか。
サポートは万全ですか。

302 :_:04/03/06 22:49 ID:???
>>301
荒らすつもりではないが、藻前欲張りすぎ。
ウダウダ言うのだったら検証機借りろ。

303 :301:04/03/07 22:37 ID:???
>>302
フォーティゲートを買った皆さんは当然ベンチマークして
その結果何らかの理由でフォーティゲートを選んだんですよね。
結果はともかくその過程で集めたデータがあったら教えて欲しいです。

304 :diagnose:04/03/07 23:15 ID:???
>>303=301
>フォーティゲートを買った皆さんは当然ベンチマークして
正直な話人柱になってくれるお客さんがいたので。ネタじゃなくて、マジな話。
イチイチ他社製品と比較してらんねぇよ。

> 有名なところのアプライアンスと比べて本当にスキャンスピードが
> 速いのですか。
俺達は監査機関じゃねぇんだ。カタログスペックと作った人を信用するしかねぇよ。
つーか、FortiGateの構造を考えたらどっちが早いかわかるだろう。

>新種対応スピード
Fortinetのエンジニアの力量次第だろう。
どこかにも書き込みがあったが、対応スピードは各社それぞれ早い時もあれば、遅い時もある。

>安定稼働
安定するかどうかってのは、使用環境によりけり。
何をもって安定していると言う? どういう環境で使うの?

>サポートは万全ですか。
代理店による。あと保守契約の内容次第。
サポートは金で買うものと思え!

>その過程で集めたデータがあったら教えて欲しいです。
こういう匿名掲示板では教えられん。販売代理店に直接聞け。
これも一種の商売道具だ。簡単には出せんわい。
藻前みたいな香具師は嫌われて教えてくれないことが多いので気おつけろ。

305 :277:04/03/08 10:23 ID:???
再びお伺いいたします

現行OS(2.5)上でのコンテンツフィルタリングに関してですが
特定のURLを指定する以外にも
禁止ワードを指定する方法もあるらしいのですが
これは「指定した単語を含むページの閲覧がブロックされる」
という解釈でいいのでしょうか?

306 : ◆.p586Vj8xI :04/03/08 11:45 ID:Yina/FPC
>>305
その解釈であっています。
ただし、かなーり抜けだらけになります。
キーワードフィルタは、はっきり言って使い物にならないぐらいです。

307 :anonymous:04/03/08 13:05 ID:???
Fortinet200使っているが、NetSkyの亜種が通り抜けた人いない?
VirusListみるとNetSky.Hまで対応してて通り抜けてるから
最新の亜種かな。
どこにVirus情報送ればいいんだろ

308 : ◆.p586Vj8xI :04/03/08 13:14 ID:Yina/FPC
>>307
最新の4.239のパターンにしても通り抜けるんであれば、
リセラーに送ったほうがいいのかと。
Fortinetの送り先をここに書いていいかわからんので・・・・
送るときはzipに圧縮してpassword付きで送るのがベター。
ま、送る前にリセラーに電話して「送りますよー?」って言ったほうがいいと思う。

#むしろ私が欲しいぐらい(w

309 :61 ◆FG200xXuLw :04/03/08 13:16 ID:???
>>307
サンプルはこちらから送れるようです。
http://www.fortinet.com/FortiResponseCenter/submit.html

310 :277=305:04/03/08 13:52 ID:???
>>306
ありがとうございます
URL指定と併用しないとダメですね

ちゃんとしたコンテンツフィルタリングは
OS2.8+Cerberian待ちですね

311 :61 ◆FG200xXuLw :04/03/08 14:00 ID:???
ところで、Cerberianのライセンスってお幾らぐらいなんでしょうか?
大体の目安が判れば予算化しときたいので。

312 :307:04/03/08 14:58 ID:???
>>308,309
ありがとん、送ってみるよ


313 :anonymous:04/03/08 20:12 ID:???
>>307
世の中じゃ W32.Netsky.I@mm まで出てるよ
まだFortiは未対応のようだね

314 :( `∀´)y-~~:04/03/09 11:33 ID:???
W32/Netsky.J-mm,W32/Netsky.K-mm
アンチウイルスパターン 4.241(03/08/2004 16:33)
キタ━━━━━━(゚∀゚)━━━━━━!!!!!


315 :anonymous@ EATcf-320p47.ppp15.odn.ne.jp:04/03/10 01:53 ID:nE1M4f40
Zまでいったら、次は何になるんだろうねw


316 : :04/03/10 09:35 ID:???
Z→ZZ→ν→V→V2→∀

317 :age:04/03/10 10:19 ID:li5WX85m
age

318 :買いました。:04/03/10 10:43 ID:???
ウィルスパターンの更新記録をログに残したいのですが、できないのですか。
イベントログの更新失敗、更新成功はチェックしてあります。
レベルはInformationです。

319 :anonymous@ ntibrk007066.ibrk.nt.adsl.ppp.infoweb.ne.jp:04/03/11 18:49 ID:j6JHtCbc
LAN内にあるマシンAから別のマシンBの
MACアドレスあるいはipアドレスを指定して
特定のポートを閉じ、Bから別のマシンCへのパケットを
遮断するwindowsのフリーソフトはありますか?


320 :anonymous@ ntibrk007066.ibrk.nt.adsl.ppp.infoweb.ne.jp:04/03/11 18:57 ID:j6JHtCbc
まちがいm(_ _)m

321 : ◆.p586Vj8xI :04/03/17 15:42 ID:Ew8eROHL
2.8なかなか出てこないですな・・・・

322 :61 ◆FG200xXuLw :04/03/17 16:08 ID:???
>>321
2.8そろそろ出る予定なんですか?

ところで、MRTGとかRRDtoolでFGの状態を可視化している方っています?
とりあえず、MRTGでTrafficグラフは作ってみたんですが、CPUとかMem使用状況等は
Private MIB内にあるようなんですよね、、、図研さんにMIBちょうだいってお願いはしましたが。

RRDtoolを素で使うのはちょっと骨が折れそうなんで、フロントエンドを物色中なんですが
漏れはこれだ!とかお勧めってありますでしょうか?

323 : ◆.p586Vj8xI :04/03/17 16:28 ID:Ew8eROHL
>>322
fortinetのftpサイト内(ファームウェアあるとこ)にMIB置いてあったと思ったのですが。
2.50のフォルダの中にMIBというフォルダがあるので、中のぞいてみてください。
それがご希望のものかはわからないですが・・・

自分もMRTGでトラフィックの状況だけは見ています。

324 :ななし :04/03/17 21:05 ID:???
>322
Nagios, BigBrother, 手抜きならWebminかな


325 :61 ◆FG200xXuLw :04/03/18 13:10 ID:???
>>323
あ、ftpサイトにMIBありました、見落としていたようです。
図研さんからも同じ物を頂けました。
とりあえず、手持ちのSNMPマネージャに食わせてCPU/MEM使用状況とか確認できました。

>>324
ありがとうございます、ご提示下さった物調べてみます。

326 :fushianasan:04/03/24 11:24 ID:???
なんか閑散としてる気がしたら、人大杉でieとかから見られなくなってるんですね。

327 :FGユザ:04/03/24 21:39 ID:???
Fromを詐称するタイプのワームメールを受け取っても警告メールを
送る仕様みたいだけどOFFに出来ないのかな?
黙って捨ててくれるだけでいいんだけど。

328 : ◆.p586Vj8xI :04/03/24 22:34 ID:Ga5G8YT5
>>327
FortiGateはFromの人に警告メールを送ったりしませんよ。
そもそも送る機能は無いし。

329 :FGユザ:04/03/24 22:52 ID:???
>>328
FGはメールを送っていませんでした。
私の早トチリでした。失礼しました。


330 : :04/03/25 10:02 ID:???
トランスペアレントモードだとワイヤーの一部という感じで
余計な構成変更しなくて済むからお手軽に導入できるね

331 :導入しました:04/03/26 07:56 ID:???
システムのステータスのモニターで「合計セッション数」は
スペック表のファイアーウォールの「最大同時セッション」に
あたるんでしょうか。他に「同時セッション/秒」というのが
るんですが違いがわからないでいます。
FORTIGATE-100で同時セッション/秒は4,000となっていて
モニターでみてみると合計セッション数がピーク時3,500にな
ります。


332 : ◆.p586Vj8xI :04/03/26 08:14 ID:ErpdzGez
>>331
同時セッション/秒 は、1秒に張れる最大セッションです。
なので、たとえばFG200は最大20万、秒4000セッションですが、
1つめのセッションをはりはじめて1秒で20万セッションは不可です。
1秒で4000セッションまではれて、そのペースで毎秒4000セッションはっていけば、
5000秒で最大の20万セッションまではれるという意味です。

・・・って、カタログ値は単機能使用時の理想値であって、
普通に使ってればまず無理な数字です。
アンチウィルス有効にしていたら、そんなにはれるわけがない。
そのへんは使用環境依存で。

ちなみにFG100で3500って表示がでてるのであれば、ちと多いのかもしれません。
メモリの状況とか大丈夫ですか?
85%になったら新規セッションをはれなくなったりするので、
監視してヤバそうだったら上位機種を検討したほうがいいと思います。

333 :導入しました:04/03/26 09:08 ID:???
>>332
さっそくアドバイスありがとうございます。
イメージがわいてきました。
メモリ使用量はピーク32%です。
メモリはそれほど増えないのですがCPU使用率が100%に
なることが多いみたいです。レスポンスが体感的に低下
するといったことは現在のところありません。


334 : ◆.p586Vj8xI :04/03/26 12:46 ID:ErpdzGez
>>332
訂正。
FG200は最大20万・・・と書きましたが、FG100のことでした。すいません。

335 :FG100ユーザーです:04/03/27 10:09 ID:???
>>328
fromじゃなければ、どこに送っているの?
テストで送ってみたら帰ってきたけど。

336 :FGユザ:04/03/27 20:46 ID:???
>>335
私が確認したときはForiGateの背後にある自社のメールサーバに配送を試みた
プロバイダのメールサーバから配送失敗のエラーメールが送られてきました。
従ってFortiGate自身がエラーメールを送っているわけではありませんでした。
なおFROMを詐称していた場合はエラーメールがそこ向かって送られるようです。

配送失敗になるのはFortiGateがメール中にウィルスを発見するとステータス554で
異常終了?にしてしまうからのようです。
素人考えですがウィルス付きでも配送完了として扱ってくれればエラーメールが
発生しないで済むような気がします。ただFortiGateはメールを正式にリレーしている
わけではないのでそのような実装が難しいのかなと勝手に想像しています。

できればウィルスメールに対して完全にブラックホールになってほしいのですが。


337 : ◆.p586Vj8xI :04/03/28 14:46 ID:j2lb3KBB
>>335
FortiGateからはどこにも送ってません。
返ってきたのであれば、メールとして送り返したのはメールサーバーだと思います。

>>336
Fromを詐称してた場合に詐称してるFromに送られるのはメールサーバーがそうしてるだけであって、
FortiGateが送ってるわけじゃないです。
SMTPセッション内でエラーを返すのがデフォルトになっているだけで、
エラーを返さず正常に終了させることも可能です。cliから下記コマンドを入力してください。
set antivirus service smtp splice disable

もちろん正常に配送完了になっても、ウィルスであればちゃんと削除されて届きます。

338 :FGユザ:04/03/28 19:28 ID:???
>>337
>Fromを詐称してた場合に詐称してるFromに送られるのはメールサーバーが
>そうしてるだけであって、FortiGateが送ってるわけじゃないです。
私の書き方がまずかったようです。FortiGateがどのような場合も
メールを送らないことは最初に指摘して頂いた時に理解しました。

早速 antivirus service smtp splice disable を設定してみたところ、
プロバイダのメールサーバはエラーメールを(FROMに向けて)
送らなくなりました。素晴らしい! これで安心して眠れます。
ご教授ありがとうございました。

339 : ◆.p586Vj8xI :04/03/29 10:00 ID:???
>>338
あ、すいません、ちゃんとそう書いてありましたよね・・・
読み間違いしたようです。。。

smtp splice disableの設定はsmtpのセッション全てに有効になってしまうので、
FortiGateより内側のPCから送信した時も、止めずに送信完了してしまいます。
たとえば企業とかで、内部PCがウィルスに感染し、そこから外に向かってウィルスメールをばらまいてしまった場合、
デフォルトの設定だとsmtpセッションのエラーとして止められますが、
smtp splice disableにしてしまうと、駆除されるものの感染してウィルスを送信したメールが
ばらまかれてしまうのがネックかもしれません。
Ext->のセッションだけsmtp splice disableが有効にできればいいのですが、現状はできないようです。

340 :fushianasan:04/03/29 16:09 ID:???
FG200にtelnetでログインするには何か設定など必要でしょうか?

現状は無応答です。

341 :61 ◆FG200xXuLw :04/03/29 17:02 ID:???
>>340
システム>ネットワーク>インタフェースから対象となるインタフェースを修正
管理権限アクセスのTELNETにチェックでどうでしょうか。

342 : ◆.p586Vj8xI :04/03/29 17:03 ID:R3t71uH/
>>340
ログインしたいInterfaceの設定で、telnetを許可する必要があります。
InterfaceのIPアドレスを設定するところにあります。

中だけならいいですが、外(internet)から入る必要がある場合は、できるだけsshで。。。。

343 :FGユザ:04/03/29 17:54 ID:???
>>339
深い考察恐れ入ります。内部にウィルスを持ち込まないように
注意するしかないですよね。そのためのForiGateですし。

(ここから小声)
現在かなりの数のNetSky."Q"がスルーしています。がんばって、FortiNet!

344 : ◆.p586Vj8xI :04/03/29 17:56 ID:???
>>343
(同じく小声)
Netsky.Q多いですよね、届きすぎ。
しかしウィルスバスター2004もまだ未対応・・・ちと怖いのでどっちでもいいから早く対応してほしい。

345 :anonymous:04/03/29 18:31 ID:???
(同じく小声)
しかたないので拡張子PIF、ZIP、SCR、EXE止めました
シマンテックは対応完了したようですね
トレンドマイクロはまだみたいですが

346 : ◆.p586Vj8xI :04/03/29 18:54 ID:???
>>345
(こそこそ会話)
ウィルスバスター2004はNetsky.Qに対応しましたね。(パターン842)

347 :anonymous:04/03/29 21:02 ID:???
こそこそ

348 : ◆.p586Vj8xI :04/03/29 23:27 ID:R3t71uH/
とっくにFortinetにはNetsky.Qのファイルは送ってるんですけどね。
これが技術力の差ということですかな。
やる気の無さとも言うが。

349 :-:04/03/30 01:27 ID:???
関係ないけど、今日の朝NortonのLiveUpdateをしたらRev8で
帰る前に再度Updateしたら、Rev50だった。
そろそろ、Symantecの開発者が倒れるだろうな・・・。

350 : ◆.p586Vj8xI :04/03/30 03:26 ID:kevbCxZb
ようやくNetsky.Q対応のパターン(4.274)が出ていましたね。
さて寝るか・・・・。

351 :fushianasan:04/03/30 11:43 ID:???
>>341&>>342さん ありがとうございました。 telnetの件、解決しました!

Definitions versin 4.275ですが、なにげに 3/29/13:08 なんですね。
もちっと早くアップしてほしかったところですね。

352 : ◆.p586Vj8xI :04/03/30 11:53 ID:kevbCxZb
>>351
バージョンの横にある日時がパターン作成日なのかはわからないですが、
3/29 13:08 がUSAだとしたら、日本時間では9時間後なので3/29 22:08となりますね。
でも遅いですね(笑)

353 :fushianasan:04/03/30 11:56 ID:???
>>353 さん

西海岸時間なら17時間時差があるのではないでしょうか?(勘違いかな。)

354 :anonymous@ p5046-ipbffx02souka.saitama.ocn.ne.jp:04/03/30 11:59 ID:d6kRStlo
>>352でしたね。間違い。

と考えると、米国西海岸時間29日13:08+17時間=本日6:07に再アップされたのかもしれませんね。

355 : ◆.p586Vj8xI :04/03/30 12:56 ID:kevbCxZb
うは、無知さらけだしでした・・・
9時間はGMTとの差ですよね。。。。(鬱

356 :login:Penguin:04/03/30 18:49 ID:???
>>349
どこかの記事であったけど、今のVirus検知は99%は自動化されていて
残り1%が人間が見ないとわからないそうですね。

#その自動化のソフト売ればいいのに・・・


357 :FG:04/03/30 21:55 ID:???
>>356
それこそがノウハウでしょ。
上を行く技術が作られたら売られるかもね。
FPCの日本語化はまだなんだろうか…

358 : ◆JeYFCvvdow :04/03/31 01:23 ID:???
>>357
FPCって何ですか?

359 :0.00:04/03/31 07:17 ID:???
FortiProtect Centerのことじゃないかな?

360 :fushianasan:04/03/31 10:41 ID:???
Anti Virus Definition 4.276(3/31 7:17) で Qの亜種がスルーしまくっているような
気がするのですが、皆様いかがですか?


www.free-av.com の製品では Netsky.Q.2 と検出されます。

361 : ◆.p586Vj8xI :04/03/31 10:56 ID:L0s3YV6z
いまのところスルーしてるのは無いです。
たぶんうちには届いてないだけだと思いますが・・・

362 :fushianasan:04/03/31 13:13 ID:???
スルーしたものをノートンさんに検出させてみたところ
Netsky.Q@mmではなく スルーしたのはNetsky.Q@mm.enc というモノのようです。

363 : ◆.p586Vj8xI :04/03/31 14:48 ID:L0s3YV6z
FortiGateでスルーしたmessage.scrをウィルスバスターでもノートンでも検知できないのがありました。
そもそもウィルスじゃないって可能性もあるんですが、さすがにこのファイル名は・・・。
さてどうしたものか、何かで調べる方法ないかなぁ。

364 :fushianasan:04/03/31 15:21 ID:???

ttp://www.free-av.com あたりでしらべてみてはいかがでしょうか。

これで出なければシロということで(w



先ほどの件ですが、ピータノートンさんの所に聞いて見たところ、

 .encが付くのは暗号化されているか破損しているウィルスだそうです。
enc=暗号化そのままですね。

謎は深まるばかり。

365 : ◆.p586Vj8xI :04/03/31 15:25 ID:L0s3YV6z
>>364
見てみたんですが、英語ダメダメ人間なのでわかりませんでした・・・(鬱

366 :fushianasan:04/03/31 15:48 ID:???
>>365

言葉足らずでした。

http://www.avup.de/personal/en/avwinsfx.exe  

ドイツ製のアンチウィルスソフト(商用利用以外無料)でスキャンしてみては
いかがですか?の意でした。

私の経験では ノートンさんで非検出だったものが、これとトレンドマイクロ、マカフィー

では検出された経験があります。

まあ、ウィルス以外にも仕事は山ほどあると思いますので、気にしないほうがよいかもしれません :-)

367 : ◆.p586Vj8xI :04/03/31 16:04 ID:L0s3YV6z
>>366
ありがとうございます。
早速インストールしてテストしてみたところ、Netsky.Qとして検知されました。
ノートンやウィルスバスターで検知できないのは不明ですが、とりあえずウィルスとわかって一安心です(?

368 :anonymous:04/03/31 19:39 ID:???
Netsky.Qたくさん検出しますが、Source IPのところが感染しているのか、それともそこから宛先不明で戻ってきただけなのかって判断できますか?
メールヘッダーなどが読めれば、どちらか判断つくのでしょうが。
お客さんから来たメールからNetsky.Qを検出した場合に、感染してるよ!って教えてあげたいのですが、今はどっちかわからないので困ってます。

369 : ◆.p586Vj8xI :04/03/31 20:23 ID:L0s3YV6z
>>368
Netsky.Qがどのタイプかは調べてませんが、
ウィルス自体がMXを調べてToのMXに直接送るタイプであれば、表示されてるIPアドレスが
感染してるIPアドレスでしょう。もちろんマスカレードしてたら別ですが。
それか、PCのSMTPサーバーの設定(Outlookの?)を調べてそれを使うタイプであれば、
メールからわかるIPアドレスはメールサーバーのでしょう。

もちろん他の動作をするものや、例外等もあるでしょうけど・・・

370 : ◆.p586Vj8xI :04/03/31 20:32 ID:L0s3YV6z
調べたら、Netsky.Qは自身のSMTP機能でMXを調べて送るタイプのようです。
北大から大量に届く・・・(w

371 :anonymous:04/03/31 20:51 ID:???
ごめんなさい
そうじゃなくて、Netskyってわざと(?)存在しないメールアドレス(@xx.xx.xxドメインは存在する)宛てに、
メールだしません?
そうすると、エラーメールが送信元アドレス(これは偽装されている)帰ってくるわけですが、Fortigate
で検出されているのが、このエラーメールなのか、本当にNetsky感染しているPCがメール送ってきて
いるのか知りたいのです。
これって見分けがつきますでしょうか?

私、勘違いしてます??
エラーメールも感染してると思ってるわけですが.....

372 :anonymous:04/03/31 21:10 ID:???
Netsky.R-mmっていうのが現れましたね
これがNetsky.Q@mm.encのことなのでしょうかね

373 : ◆.p586Vj8xI :04/03/31 22:53 ID:L0s3YV6z
>>371
たぶんそれは無理だと思います。たぶん。
FortiGateから見たら、どちらもただのメールですから。

374 :fushianasan:04/04/01 07:49 ID:???
ノートンさんで検出される
NetskyQ@mm.encですが、結局以下のとおりらしいです。

ttp://www.symantec.com/region/jp/sarcj/data/e/enc.detection.html

> ご使用の電子メールプログラムで以前に感染していたメッセージを選択するたびに、
> NAVはそのヘッダーを関連があるウイルス/ワーム/トロイの木馬の検出名に.encが付いた
> 脅威として検出するようになります。


なにやらよくわかりませんが、fortiをすり抜け、NetskyQとして感染活動を行うのは事実です。

ご注意を。

375 :-:04/04/01 22:29 ID:???
今更なお話ですが、FortiGateのアンチウィルスは
Outlook(Exchange)を使うとウィルスはスルーですか?

376 :-:04/04/01 23:33 ID:???
>>375
Outlookは関係ありません。
Signatureが対応していればFortigate通過時に対応します。

377 : ◆.p586Vj8xI :04/04/01 23:42 ID:iiYUSfva
>>375
すいません、Exchangeの仕様をよくしらないのですが、
FortiGateでチェックできるのは、http・ftp・smtp・pop3・imap4の各プロトコルになります。
ftp以外はチェック対象ポート番号の追加もできるので、ポートが違っても各プロトコルの手順を踏んだやりとりであれば
ウィルスチェック可能です。
Exchangeはどうなんだっけ・・・・

378 :376:04/04/01 23:56 ID:???
>>377
Exchangeはややこしいのですよ。
キャプチャしても理解できねぇ〜(汗

>>376
Outlookと言っても、ExchangeServerのクライアントとして使い、
pop,smtp,imapを使わないんですよ。

379 :375:04/04/02 00:47 ID:???
>>378
意味汲み取れずすんまそん。
話の流れを見ると、POP/SMTPと独自プロトコルを変換する
リレーサーバのようなものが物理的に存在してないと難しそうですね。
DMZ上にSendmailのような物を立てて回避したりしてます。

380 : ◆.p586Vj8xI :04/04/02 03:59 ID:sm5lg8GN
なるほど、ややこしいのですね。
とりあえず外部から届くメールはSMTPだと思うので、そこに入れるぐらいしか無いんですかね・・・。

381 :fushianasan:04/04/02 11:04 ID:???
すみません、Email Filterについて教えてください。

Email Filter - "Content Block"にキーワード(例: nudity)を追加したところ、
nudityが含まれるメールの件名に Email Filter - "Config"で指定された警告が
付記されるようにはなったのですが、これが正しい動作なのでしょうか?

正直言うと、キーワード(件名、本文、mailアドレス)の含まれたメールを
reject などしてくれると思っていたのですが。

あと、Email Filter - "Block List"は何を入れ、どのような動作を期待して
よいのでしょうか。

呉呉すみません。


2.50-build212

382 : ◆.p586Vj8xI :04/04/02 11:14 ID:sm5lg8GN
>>381
Content Blockについては、その動作で正しいです。
あくまでSubjectにタグを付けるだけで、止めたりはしません。

Block Listは、メールのFromにあたる部分を入れるものです。
この機能に関してはメール自体を止めることになります。
たとえば"fortinet.com"と入れれば、fortinetからのメールは一切こなくなります。
xxx@xxx.com と入れれば特定のメールアドレス単体の拒否になります。

ただ、"com"とだけ入れると、comが最後についている全てのドメインからのメールを拒否することになります。

383 : ◆.p586Vj8xI :04/04/06 12:13 ID:h7cA6YNU
>>374
私の手元にある、すりぬけてたNetsky.Qは4.283では全てひっかかるようになりました。
そちらのはどんな感じですか?まだすりぬけてるのあります?

384 :378:04/04/07 01:30 ID:???
1台検証機がまわってきたので試してみたのですが、
メールサーバ → FortiGate → Outlook
と、いう組み合わせではダメでした。
やっぱり素直に
FortiGate → メールサーバ → Outlook
と言う組み合わせが一番のようですね。

385 :fushianasan:04/04/07 08:45 ID:???
◆.p586Vj8xI さん

>>382
どの辺が"Content Block "なんでしょうか、とふと思ってしまいますね。
とりあえずtagをつけるからユーザー側のメーラールールで自動処理しやすくなりますよ、
といった感じですかね。


>>383

うちも同じです。>Q変種


ありがとうございました。



386 : ◆.p586Vj8xI :04/04/07 10:03 ID:V3TRIJLJ
>>384
やっぱりダメでしたか。
Exchangeぐらいは対応してほしいものですが、開発リソース的に無理なんでしょうかね。。。

>>385
名称と実際の動作が異なる(?)のは、けっこう困りますよね。
名称と一致してれば設定画面さわってれば動きがわかりますが、
FortiGateでは実際にテストしてみないと動作がわかんない部分が多い気がします。
昔はもっとちぐはぐでしたが。。。(笑)

387 :61 ◆FG200xXuLw :04/04/08 08:47 ID:???
Fortinet Technical Discussion Forumに、FortiOS 2.8の情報がありました。
リリースは4月中旬ぐらいみたいです。

<その1>

Over 50 new features and enhancements, including:

・IPv6 Support
・Virtual Domains (Fortigate-3000 and 3600)
・Enhanced Email Filtering (AntiSpam)
・Dynamic Attack Prevention System

Dynamic Attack Prevention System
Fortinet’s Dynamic Attack Response Combines the Best of AV, NIDS and IDP. [From what I hear it allows you to prevent all of the current detection signatures. So, the 2.80 boxes should be able to prevent 1400+ intrusions. - jbult]


388 :61 ◆FG200xXuLw :04/04/08 08:49 ID:???
<その2>

Additional Features in FortiOS 2.8

・AV Enhancements
・Improved performance
・Heuristic Detection
・HTTPS scanning
・HTML link for Virus detection
・AV for PPTP and L2TP VPNs
・Quarantined AV samples for Fortinet response analysis
・Append customized text to email messages
・Management Enhancements
・Role based administration
・Improved Tech-support
・Support extended characters in name/password
・WebUI improvements
・Backup improvements
・CLI interface via WebUI
・SNMP enhancements
・Firewall Enhancements
・Policy based NAT
・Multiple IP Pool
・More pre-defined services
・SIP
・Diffserv setting via Policy
・User Authentication via SecurID
・Non-standard port numbers for pre-defined services
・Address book support for IP address range
・Multiple Secondary IPs
・New GUI Provides Integrated Security "Dashboard" [See the picture at the bottom. It looks great. The picture is a pre-beta screenshot, so it could look radically different once released - jbult]

389 :61 ◆FG200xXuLw :04/04/08 08:50 ID:???
<その3>

VPN Enhancements

・Support Dynamic DNS host names for VPN tunnels
・IPSec in Transparent mode
・WebUI Display
・Central site Internet access for Remote VPN tunnel
・DHCP over IPSec [I've been waiting for this - jbult]
・Overlapping address for VPN branch office

FortiOS 2.8 Provides First Phase of IPv6 Rollout
Fortinet IPv6 Phase 1(FortiOS 2.8): Coexistence
- IPv6 addresses and routing between interfaces
- IPv6 addressing server functionality
Fortinet IPv6 Phase 2: Tunneling
- Connect IPv6 “islands” together using existing IPv4 networks
Fortinet IPv6 Phase 3: Application Aware
- Advanced applications (example: Antivirus scanning) for IPv6


390 :Q:04/04/08 08:52 ID:???
キタ━━━(゚∀゚≡(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)≡゚∀゚)━━━!!!!!!!!!!

391 :61 ◆FG200xXuLw :04/04/08 08:55 ID:???
<その4>

Virtual Domains for Managed Services

・Supported on the FortiGate 3000 and FortiGate 3600
・Up to 250 Virtual Domains (VDOMs) per system
・Service providers can offer different services (antivirus, content filtering, etc.) for different customers on the same FortiGate unit

Email Content Filtering (Antispam) Enhancements

・Check & Mark Messages with Signs of SPAM:
・Keywords & phrases in message body and subject line
・Blacklist of known bad spam senders
・Invalid return email address (DNS check))
・Spoofing (MIME header check)
・IP address Black/White list
・IP-based checks against the Real-time Blackhole list (RBL) and the Open Relay
・Database (ORDB)
・Reverse DNS lookups

新WebUIのpre-betaスクリーンショット
http://v.isp.2ch.net/up/289b0b9c4dc9.jpg

392 :anony:04/04/08 17:43 ID:???
>>388
HTTPS scanning っていうので、SoftEther止められるかしらん?

393 : ◆.p586Vj8xI :04/04/09 13:49 ID:fHAclGHK
Bagle.XってのがトレンドマイクロはすりぬけるけどFortiGateで止められた。
FortiGateが先ってのは初めて体験した(w

394 : ◆.p586Vj8xI :04/04/09 15:36 ID:fHAclGHK
FortiOS 2.5を入れたFortiGateの全モデルでパターンファイルのアップデートができない現象が発生しています。
ほっといたら永遠に更新されないので、手動で作業する必要があります。
作業の方法は・・・各パートナーに問い合わせてください。(てきとう

395 :61 ◆FG200xXuLw :04/04/09 16:03 ID:???
>>392
多分HTTPSでのアンチウイルスチェックの事じゃないかと思います。
きっと一旦FGに取り込んで復号してからチェックするんでしょうね。

SoftEtherを止めようとするならIDSの方でじゃないでしょうか
今でもカスタムシグネチャを書いてあげれば止められるのかも知れません。

>>394
ほんとだ、なんかFortiResponse Distribution Networkが使用不能になってました。
とりあえず、Virus Definition4.287をDLして手動で適用しました。
今は、FortiResponse Distribution Networkが使用可能になって
4.288にアップデートされてました。


396 :anonymous:04/04/09 18:21 ID:???
>>394
有益な情報ありがとうございます
この手の情報はPush配信してくれないものですかねぇ...
してくれるベンダーさんありますか?

397 : ◆.p586Vj8xI :04/04/09 18:38 ID:fHAclGHK
>>396
うちは各販社には配信しましたが、
そこから先のエンドユーザーまでは知らないところが多いので、
販社からエンドユーザーに連絡するようお願いしています。
急を要するものだから、エンドまで把握しておくべきなのかなぁ・・・

398 : ◆JeYFCvvdow :04/04/09 23:26 ID:???
うちは図研さんから13:40頃に第一報のメールが来ました。
第ニ報の対処法のアナウンスは16:00です。
事前に心の準備が出来たので助かりました。

>>397
>急を要するものだから、エンドまで把握しておくべきなのかなぁ・・・
いくら操作が簡単だからと言っても、個人的にエンドユーザーにそういうことを
やらせるのはちょっと酷かと思います。
なんて言うのかな、エンドにとってはこういうことは一大イベントのようです。

399 :anonymous@ v096066.ap.plala.or.jp:04/04/12 22:40 ID:PrKAWoJh
やっとVirus Definition4.288への手動アップデートが終わったと思ったら、4.289へのアップデートが失敗しまくってる。
またバグかよ。。。。いい加減にしてくれ。。

400 : ◆.p586Vj8xI :04/04/12 23:16 ID:WxGKjoFW
>>399
build133の人は失敗することがあるらしい

401 : ◆JeYFCvvdow :04/04/13 01:14 ID:???
>>399-400
うちはbuild171ですが、そのような現象は出ていないです。

402 :399:04/04/13 06:55 ID:pNUzF8Iw
確かにbuild133です。アップしてみます。。。。

403 :61 ◆FG200xXuLw :04/04/13 10:24 ID:???
MRTGでメモリ使用状況・コネクション数・CPU使用状況を取得するのに使うOID

メモリ使用状況:
.1.3.6.1.4.1.12356.1.1.6.4.0

コネクション数:
.1.3.6.1.4.1.12356.1.1.6.6.0

CPU使用状況:
.1.3.6.1.4.1.12356.1.1.6.1.0

CPU空き状況:
.1.3.6.1.4.1.12356.1.1.6.2.0

2.5ではAV・IDSの情報は取れない(SNMPトラップは受信できる)2.8に期待



404 :61 ◆FG200xXuLw :04/04/13 10:45 ID:???
Fortinet Technical Discussion Forumによると
2.8は一部のIMとP2Pをブロックできるらしい

IM:  MSN IM、Emule、Yahoo
P2P: Kazaa、Gnutella、Edonkey、Morpheus

これに、Winny、WinMX、Softetherブロックが加われば最強かも

405 :_:04/04/16 00:47 ID:???
>>403
たしかにアンチウイルスの情報はほしい。
2.8のMIBはやく見たいな

406 :寺町通り ◆6KVcpBNXy. :04/04/16 02:07 ID:5CiBxTXo
>>404
うちはAOLのメッセンジャー使ってる奴が多いんだよなぁ

407 :61 ◆FG200xXuLw :04/04/16 08:51 ID:???
Webフィルタで嵌っています。

まず、http://www.staff.uiuc.edu/~ehowes/resource.htmにあるブロックリスト(広告業者とか海外エロサイトとか8000件強)と
google検索で上位に来るエロサイトとかをURLブロックリストに追加しました。

続いて、コンテンツブロックリストにエロ関係の禁止キーワードを30件ほど追加しました。
これで、それなりにブロックはされているのですがひとつ問題がありました。

検索サイトで適当に検索した時に、検索結果に禁止キーワードが含まれている場合、検索自体がブロックされてしまう事です。

とりあえず、YahooやMSNなどの著名どころの検索サイトURLを対象外URLリストに追加し
検索だけは出来るようにしたのですが、googleで困ってしまいました。

禁止キーワードがあっても検索はさせる、でもキャッシュは見せたくないが、やりたいことです。

googleの検索クエリーにはいくつかパターンがあって、それを対象外URLリストに登録しようと思ったのですが、うまくいきません。
具体的には下の2.のパターンを除外できれば可能だと思うのですが、現状では正規表現とか使えないようです。

1.www.google.co.jp/search?q=検索文字列及びパラメータ
2.www.google.co.jp/search?q=cache:キャッシュ用パラメータ

何か妙案とかありませんでしょうか?それとも2.8なら可能とか?

408 :61 ◆FG200xXuLw :04/04/17 09:32 ID:???
2.50MR8、キタ━━━━━━(゚∀゚)━━━━━━!!!!!
リリースノートは来てないんで詳細不明。とりあえず入れてみます

409 :61 ◆FG200xXuLw :04/04/17 11:42 ID:???
MR8入れました。

・AVの最大サイズが100MB→25MBに変更された。
・ログフォーマットが変わってた。(追加情報あり)
・セッション情報画面のリフレッシュ/上/下ボタンのaltテキストが表示されるようになった。

以上とりあえず気が付いた点だけです。

410 :FG100@:04/04/17 16:24 ID:sVpQjvRk
> AVの最大サイズが100MB→25MBに変更された。

減りましたかw

411 : ◆.p586Vj8xI :04/04/18 23:15 ID:OWmJI2EZ
>>410
減ったというか、もともと100MBって設定しても動かないし。

412 : :04/04/19 09:22 ID:???
2.8マダー?
Cerberianマダー?

413 :61 ◆FG200xXuLw :04/04/19 11:01 ID:???
>>407
URL Exemptリストに正規表現(書式自信なし)で書いてみた。

www.google.co.jp\/search\?[^(cache:)]?

やっぱり駄目らしい、、、マニュアルには正規表現使えないとは書かれていないんだか(使えるとも書いてないけど)

MR8でも直っていない目で見える所

日本語WebUIの時、AVの隔離リストで日本語ファイル名が化けている(英語WebUIではOK)
H×H.zip ってのが隔離されているが、H$B!_(BH.zip になっている。
隔離ファイルをダウンロードする時も文字化けする(英日とも)

中の人見ていたらよろしくです。

414 :61 ◆FG200xXuLw :04/04/19 13:01 ID:???
MR8に変更してから、ウイルス名の無い警告メールが届くようになりました。

警告メール
Virus/Worm detected:
Protocol: smtp
Source IP: *.*.*.*
Destination IP: *.*.*.*
Email Address From: *
Email Address To: *

ログ
日時 log_id=* type=virus subtype=infected pri=warning src=*.*.*.* dst=*.*.*.* src_int=external dst_int=dmz service=smtp status=blocked from="*" to="*" msg="The file your_product.pif is infected with ."

これって誤報でしょうか?

415 : ◆.p586Vj8xI :04/04/19 15:22 ID:ZxPXd25v
MR8はリリースノートが無いので正式リリースではないと思います。

416 :61 ◆FG200xXuLw :04/04/19 15:53 ID:???
>>415
MR7の時もファーム公開後、しばらくしてリリースノートが公開されたんで
もうそろそろ来るんじゃないかと思っているんですが、、、

FG5000なんていう知らない機種用のファームもあるようですし。

417 :61 ◆FG200xXuLw :04/04/20 09:05 ID:???
リリースノートが着てないかとftpをチェックしたらMR8が消えていた。
誰かさん用の暫定リリースだったんですかね。

AVの動作が怪しいのでMR7に戻します。

418 :fushianasan:04/04/20 10:58 ID:???
Email Filterについて教えてください。

Content Block に設定した語句の含まれないメールの一部に対しても
banned words ということで件名が書き換えられてしまう事があります。

現バージョンの不具合という認識でよろしいのでしょうか?


FG200 2.50,build212,040224

419 :anonymous@ IMZfa-01p1-132.ppp11.odn.ad.jp:04/04/21 10:36 ID:???
FG60の導入を考えているのですが、
トランスペアレントモードで2本のADSLを挿して、
冗長構成ではなく同時に処理させる事は可能なのでしょうか。



420 : :04/04/21 13:13 ID:???
>>419
トランスペアレントモードってことは
別にルータ2台用意してそいつにPPPoE張らせるんだから
問題ないでしょ

421 :FG100:04/04/21 20:00 ID:UG+a6Fkd
v2.36から2.50 MR6へのファームウェアのバージョンアップ方法
のマニュアルが代理店のページにあるのですが、TFTPで取得
する方法でバージョンアップ後も初期設定に戻ってしまう
みたいなのですが、「システム」の「ステータス」の
「ファームウェアバージョン」でローカルディスクの
ファイルを指定してアップグレードできるみたいですが
TFTPで取得する方法と違いはあるのでしょうか。
みなさんはどちらのパターンでおこなってるんでしょうか。



422 : ◆.p586Vj8xI :04/04/21 21:22 ID:D0qOO55h
>>421
TFTPでファームウェアを入れた場合は、設定ファイルを初期化します。
ブラウザからファームウェアを入れる場合、
バージョンアップは設定が引き継がれますが、
バージョンダウンは設定が初期化されます。
ただ、設定を引き継ぐ場合は飛びバージョンアップは危険らしいです。
リリースノートでは、1つづつバージョンをあげていくことと、
その都度設定のどっかを修正しなければいけなかったと。

自分がやるときは、ブラウザからバージョンアップしていったん初期化してから
再度設定を作ってます。もちろんこんなめんどくさいことはやりたかないのですが、
「設定を引き継ぐ」という行為があまり好きではないので。
Win95からWin98をアップグレードインストールするのが嫌いなのと一緒。(ぉぃ

423 :anonymous:04/04/22 07:55 ID:???
やっとパターンの自動うぷできるようになった…

メモ:
パターンファイルをダウングレードするには、
今入っているのと同じバージョンのファームウェアを入れ直す
(もしくはアップグレード)。

424 :61 ◆FG200xXuLw :04/04/22 09:12 ID:???
>>419
同時に処理させる事っていうのは負荷分散させたいと言う意味でしょうか?
>>420が言うようにADSL用ルータは2台あるんですよね?

当方のFG200のヘルプからルーティングの箇所を抜粋すると次の事が可能なようです。

・static/policyルーティングが可能
・ルーティングテーブル毎に2つのGatewayを指定できる。そして冗長及び負荷分散が可能

噂では5月末にリリースされるらしい2.8ではインタフェースに2つのアドレスが指定できるように
なるようですね。マルチリンクPPPoEもサポートされていると嬉しいな。

425 :419:04/04/22 09:53 ID:???
>>420
>>424
ありがとうございます。
「2本のADSL」と書いてしまいましたが、実際にはCATVとADSLでして、
CATVは固定IPを取って自鯖のホスティング用に、ADSLは
内部→外部のインターネットアクセス・VPN・VoIPに使用しています。
当然それぞれにルータはありますが、CATVの方は非PPPoEです。

要はこの2本にFORTIGATEを導入したいのですが、予算上2台は
厳しく、色々な絡みでルータはそのまま使いたい為、各モデムと
ルータの間にFG60をトランスペアレントモードで挟んで、1台で
処理させたいのです
出来そうな気はするのですが、カタログでもWebでも冗長構成には
触れているものの、同時処理については曖昧だったものですから。

426 :61 ◆FG200xXuLw :04/04/22 10:03 ID:???
>>425
http://www.znw.co.jp/support/index.html
上記から、図研さんに評価機の貸し出しを依頼してみたらいかがでしょうか?

借りれて評価出来ましたらレポートしてくれると嬉しいです。

427 :名無し:04/04/22 10:35 ID:9QYc6TGU
>407
リストへの登録は力業ですか? 
一気に取り込む方法なんかがあれば教えていただきたいのですが。

428 :61 ◆FG200xXuLw :04/04/22 10:56 ID:???
>>427
テキストファイルから一気に登録できますよ。
WebUIのWeb URL Block登録画面右上の赤上矢印のボタンからアップロードできます。

urlblock1.com
urlblock2.com
初期登録時は上のように羅列すればブロック有効で登録されます。

urlblock1.com 0 ←ブロック無効
urlblock2.com 1 ←ブロック有効
ダウンロードするとブロックリストは上のようになります。

429 :anonymous@ noma.sherry.jp:04/04/23 01:40 ID:Rm7QeDmc
FortiGate,検証機を借りて使用してみているのですが,
VirtualIPの設定した際に,内側同士の通信でVIPの
アドレスでアクセスが出来ません.

グローバルアドレス 1.2.3.4 を,Intゾーンの
192.168.0.123 に VirtualIP 設定した場合に,
1.Ext側から1.2.3.4へアクセス ○
2.Int側から1.2.3.4へアクセス ×
3.Int側から192.168.0.123へアクセス ○
となってしまうのですが,2を可能にする方法は
無いのでしょうか.

問い合わせたところ,最初は出来るという回答を
貰ったのですが,後からやっぱり出来ませんという
回答に変わり,本当に製品として不可能なのかどうか
知りたいのです.

みなさんもVIPを使う時は2の通信は諦めているのでしょうか?


430 : ◆.p586Vj8xI :04/04/23 09:23 ID:2wsQ/XYm
>>429
前のバージョンで試した限りは×でした。
自分がさわったFirewallではダメなのしか見たこと無いんですが、できるのもあるんでしょうか。

うちはもともと内部用DNSがあるので特に気にしてませんが。。。

431 :名無し:04/04/23 13:26 ID:???
>430
FW-1でNAT table編集は、要件違い?

最近導入しだした*BSD/*Linux系 FireWallでは可能だったよ。


432 :名無し:04/04/23 13:38 ID:L2nVhODR
>428
>urlblock1.com
>urlblock2.com
上記の形式になっているリストなんかは、ネット上にあるのでしょうか?
レジストリの形式になっているものから、加工して利用するしかないですか?

433 :61 ◆FG200xXuLw :04/04/23 14:01 ID:???
>>432
>>407で書いたサイトからダウンロードできる物の中にテキスト形式のリストがあります
AGNIS-OP.ZIP、AGNIS-AS.ZIPがそうです

ダウンロードしたブロックリストは多少加工が必要かも知れません
正規表現などFGで処理してくれない形式が含まれています
私が使った限りでは、無加工でFGに取り込んでもブロックしてくれないだけで特に問題は起きていません

434 :anonymous@ noma.sherry.jp:04/04/23 22:16 ID:Rm7QeDmc
>>430
やはりダメですか.
いまはNetScreenを使用しているのですが,これは可能です.
一端NetScreenに繋がった後,折り返して接続されます.
内部用DNSを立てるしかないのでしょうかね...

435 :-:04/04/24 01:59 ID:???
内部からVIPのアドレスにアクセス出来ないのってヤバくないか?
特にDNSサーバ。
詳しいことは忘れたけど、自分自身のNSレコードを確認するために
VIPにパケットを投げなければいけなかったと思います。

>>434
基本的には内部の通信はFWを経由しないのが常識だと思われ。
内部DNSを立てるまでの間、hostsファイルにでも書いておくべき。

436 :FG100:04/04/27 18:35 ID:???
>>339
便乗質問なのですが
set antivirus service smtp splice disable
にてエラーをかえさないようにできるようですが
ウイルスが削除されたメール自体も届かないように
できるのでしょうか。
ウイルスメールが外から来た場合、エラーも返さず、
メール自体もFortigateで捨ててしまうようにでき
ないかなと・・


437 : ◆.p586Vj8xI :04/04/27 19:33 ID:2kVrABEl
>>436
それはできません。
ってゆか、消えてしまうのは怖すぎ・・・

438 :anonymous@ gwl.saiyo-tec.jp:04/04/28 15:14 ID:NElK1hj/
FG-60のユーザーですが、困っています。
InfoSphere Bフレッツ8個IPで、PPPoEが繋がりません。

set system interface wan1 mode pppoe connection enable ipunnumbered enable username <> password <> borrow xxx.xxx.xxx.xxx

xxx.xxx.xxx.xxx のところはプロバイダから割り当てられた番号を振っています。
username <> ,password <> の部分は当然プロバイダから指定されているものを記述しています。
何か設定が抜けているのでしょうか?




439 : ◆.p586Vj8xI :04/04/28 15:43 ID:7ugpmAg8
>>438
まず確認なのですが、フレッツスクエアには繋がりますか?
あと、アンナンバードの設定をしない状態で接続は可能ですか?

440 : ◆.p586Vj8xI :04/05/06 02:06 ID:zNtUiMRb
2.50 duild251 MR8がリリースノート付きでサイトに置いてありました。
正式リリースなのかな?

441 :61 ◆FG200xXuLw :04/05/06 10:41 ID:???
>>440
正式リリースらしいMR8入れました。

アップデートしたらコレクションしていた隔離ウイルスが全て消えてました。
あと、ウイルス隔離をしてくれてないようです。


442 : ◆JeYFCvvdow :04/05/09 01:31 ID:???
>>441
なんだか最近MRを出す度におかしくなってきていますね。
Fortinetは、ちゃんとテストしてリリースしているのか、見ていて不安になります。
もう少し気合入れてくれないと、取り扱い品目から外してしまうかも・・・。

443 :61 ◆FG200xXuLw :04/05/10 13:35 ID:???
>>442
う〜ん、今回は私がフライングしたのがまずかったんだと思いますよ。

一応件のウイルス隔離してくれない症状は治りました。
やったことは、CLIでログディスクをフォーマットです。

フォーラムの記事によると、MRとかのリリース方法を変えたとか書いてありました。
リリース候補版を限定的なユーザ(人柱?)に使わせて、フィードバックを受けた後、正式版リリースって事らしいです。
恐らく何かの手違いで公開されてしまった人柱版を私は使ってしまったんですね。

444 : ◆.p586Vj8xI :04/05/10 18:52 ID:63UaClJf
>>443
うちはMR7からMR8にしましたが、いままでのコレクション分は保持されてますし、追加もされてます。
ちなみにFG200。
なんかのタイミングなんでしょうかねぇ、1台しか使ってないのでよくわからんです。

445 :61 ◆FG200xXuLw :04/05/11 10:13 ID:???
>>444
時系列的にはこんな感じですね。

1.MR7→MR8(人柱版Build249)
  AVで隔離ファイル名が出てこなくなった。隔離されなくなった/コレクションは残ってる
2.MR8(Build249) AVエンジン・パターン自動アップデート(版数等は失念)
  AVで隔離ファイル名が出るようになった。相変わらず隔離されない/コレクションは残ってる
3.MR8(Build249)→MR8(正式版Build251)
  相変わらず隔離されない/コレクション消滅
4.CLIでログディスク初期化
  隔離されるようになった/コレクション再開

という感じなんで、恐らく1か3の時点で隔離ファイル用領域が壊れたんでしょうね


446 : ◆.p586Vj8xI :04/05/20 11:22 ID:Az2qgQf5
>>445
build249から、いちどMR7に戻した方がよかったのかもしれませんね。

いまのところMR8は安定していますね。

447 :anonymous:04/05/20 12:56 ID:???
ネタ不足

448 : ◆.p586Vj8xI :04/05/20 13:27 ID:Az2qgQf5
>>447
ごもっとも・・・。2.8まだ出ないしねぇ。

449 : :04/05/20 14:02 ID:???
サーベリアンマダー? チンチン

450 :200user:04/05/20 21:44 ID:???
eIQ FirewallAnalyzer
ttp://www.asgent.co.jp/Products/eIQ/index.html
これ使っている人いますか?

451 :anonymous:04/05/21 18:32 ID:???
>>450
これいくらなん?

452 :200user:04/05/21 22:28 ID:???
24万3000円

453 :200user:04/05/21 22:32 ID:???
アズジェント、eIQnetworks社と販売提携
〜ファイアウォールログ分析ツール“廉価版”を提供〜
ttp://www.asgent.co.jp/Press/040223.html

454 :four tea:04/05/22 00:02 ID:???
FortiNet訴えられたらしいよ。

455 : ◆JeYFCvvdow :04/05/22 10:39 ID:???
>>454
ソースキボンヌ

456 : ◆v9UHi4tk/w :04/05/22 16:45 ID:???
>454

是非是非。。ソースを


457 :200user:04/05/22 19:08 ID:???
eIQ FirewallAnalyzerはフォーティネットの人に教えてもらいました。

458 :61 ◆FG200xXuLw :04/05/27 10:55 ID:???
皆さんご無沙汰しております。
ネタが無いようなので燃料投入

2.8のオンラインデモが何時からか公開されていました。
http://www.fortinet.com/demov280/

459 :_:04/05/28 00:04 ID:???
>>458
スパムに対応したみたいですね
ポリシールーティングは便利そう
ルーティング部分は微妙にCISCOっぽいけど
結局RIPだけなのかなあ。IP-Pluseとかがあったら
笑えるけど。



460 : ◆.p586Vj8xI :04/05/28 11:47 ID:1J+vmAa0
>>459
そのうちOSPF対応するらしいです。
冬にはBGP・・・(ほんとか?

461 :FG初心者:04/06/03 23:59 ID:mpzLIIuD
ExternalのAdministrative Accessにhttpsアクセスを許可したところ、
Trusted Hostで指定していないホストでも認証画面が表示されます。
ポリシーで拒否しても認証画面が表示されます。
これは仕様でしょうか?ご存知の方は教えてください。

462 : ◆.p586Vj8xI :04/06/04 00:18 ID:PmZtSejD
>>461
現時点の仕様です。
Interfaceでhttpsの許可をした時点で、認証画面までは行けてしまいます。
その後の認証では許可されたところからしかログインできませんが。

これ、一昨年から言ってるんだけど直さないんだよね。
これでほんとにセキュリティ製品なのかって感じ。

463 :FG初心者:04/06/04 00:58 ID:RnWIa55j
>>462
早速のお返事ありがとうございました。
「ログインできませんからOKです」という考えなんでしょうかね?

InternalにVirtualIPでNATも張れなかったような気がするので、
外部からのメンテナンスは見送りかな?


464 : ◆.p586Vj8xI :04/06/04 10:12 ID:PmZtSejD
>>463
そもそも「FortiGateだ」とバレること自体が問題だと思うんですけどねぇ。
2.8でもあいかわらず。

>InternalにVirtualIPでNATも張れなかったような気がするので、
>外部からのメンテナンスは見送りかな?

ん?これはFortiGateの設定でということですか?

465 :FG初心者:04/06/05 00:07 ID:h6ZAMrln
間違っていると誠に申し訳無いのですが、IP1のサービスの場合はGlobalが1個しか無いので、
ExternalのIPをVirtualIPでInternalのインターフェースにNATして、外部からのアクセスを
許可したいと思います。
ですが、マッピングの段階でエラーが出ます。
現段階では詳しくメッセージを記載出来ませんが、これは可能ですか?
もしくは、他の方法で外部からのメンテナンスを可能なように出来るのでしょうか?

申し訳ございませんが、ご存知の方はご教授お願い致します。

466 :anonymous@ west3-p228.eaccess.hi-ho.ne.jp:04/06/05 00:07 ID:sH5DxKAr
Ver2.50 build251にUpdateしたらVirusScanサイズ25Mになったんだけどなんで?
以前は100Mまでいけたような記憶が。
詳細知ってたら教えて。


467 :anonymous@ west1-p97.eaccess.hi-ho.ne.jp:04/06/05 00:15 ID:wBj956/G
>>465
もう少し情報教えてよ。


468 :FG初心者:04/06/05 00:41 ID:h6ZAMrln
>>467
ExteranlのIPを → NAT → InternalのIPへマッピング
この状態で、他のglobalIPからExternalへのアクセスはポリシーで制限をかけつつ、
ポリシーで許可したIPからのみアクセスを許可したいのです。
引っかかっているのは、このExternalのIP→NAT→InternalのIPへのマッピングです。
Netscreenでは可能だったと記憶しているので、FGでも出来るかな?と、思ってました。

この方法では無くても、指定されたGlobalIPからのみFGのExternalへメンテナンスをかけ
たいのですが、皆さんはどのように行っていますか?
HTTPSの認証画面が出る状態でしょうか?

469 : ◆.p586Vj8xI :04/06/05 09:20 ID:PkdzNz9p
>>468
それはできません。
はじめに書いたとおり、そのような制限はできませんので。

>>466
build251から、搭載メモリに対して約10%までしかウィルスチェックのサイズを設定することができません。
ちなみに、前バージョンでは約40%でした。。

470 :プロ固定金土日こと星山成寿(李明煕/イ・ミョンヒ):04/06/05 15:17 ID:???
プロ固定金土日こと星山成寿(李明煕/イ・ミョンヒ)
の2ちゃんねるワンポイントアドバイスの時間です。

長年プロ固定してますので、削除とか他人のIP抜き取り個人情報調べ、
2ちゃんねるのアングラの仕事など西村博之の右腕として広範囲な仕事を
任されております。一般に2ちゃんねるは、収益を上げてない個人管理の掲示板
かのように思われていますが、各トピックごとに様々な人間がアクセスしてくる
ため、それらのIPで個人情報を調べた名簿を企業に売買しすることにより、
裏側では巨大な収益をあげております。DHCの裁判でいきなり5億円もの損害賠償
を請求されているのも、彼らの独自の調査によって2ちゃんが裏側で稼いでいる
情報がばれているからにほかなりません。2ちゃんねるでも、ほんの一部の幹部
しかしらない情報としましては、「薬・違法掲示板」の名簿を、覚醒剤の売買
組織に、売り捌いていることです。これに関しては、アングラマネーなので当然
税金もかからず、実は一番の巨大な利益は「薬・違法掲示板」で集まった
シャブ中連中の個人情報を組織に転売することにより得ています。
最近それらの情報に警察や公安が気づき始めたため、西村博之の実家には何度も
ガサ入れ(家宅捜査)に入られており、逮捕への証拠固めとして、国家権力が
動き始めて、かなり立場的には危険になったことは確かです。ですので、
以前ほど堂々と、そのような行為もできなくなってきているので、私も住居を
転々としている次第です。あっ、このことについては、本当に危ない話
なので、他言しないでくださいね。もしばれた場合は、ネタ情報として
逆にでたらめな似通った情報をたくさんネット上に流すことにより、煙に
まいてください。大抵の場合、ガセの情報をたくさん流せば、またネタが
始まったと、冗談で終わります。以前オウム真理教が毒ガスサリンを
自分たちが作っているのに、毒ガスで命を狙われたなどと自作自演した
作戦と同じ手口ですね。よろしくお願いします。


471 :FG初心者:04/06/08 22:36 ID:Gs0dcNLp
LocalのHDDに溜め込まれたログをscpかftpでコピーできると助かるのですが、
やはり出来ないのでしょうか?


472 :61 ◆FG200xXuLw :04/06/09 09:38 ID:???
>>471
syslog使うのは駄目ですか?

473 :FG初心者:04/06/09 19:19 ID:QlMIp8g+
SYSLOGも検討していますが、どうせHDDにログがあるならそれをコピーするのが
良いかと思いまして。
Syslogサーバを増やすのもなんですし。

474 :61 ◆FG200xXuLw :04/06/10 10:51 ID:???
>>473
一連のレスを読み返して見ましたが、WebUIにリモートメンテしたいということでよろしいでしょうか?
一つの代案として以下のような運用はいかがでしょうか?

・Internal内の既存若しくは新規サーバにPROXYを設置
・バーチャルIPにてポートフォワーディングで当該PROXYをNAT
・ポリシーで当該PROXYへのアクセス制御
・当該PROXYのACL・認証等でアクセス制御
・外部から当該PROXY経由でInternalへ管理権限アクセス

475 : ◆JeYFCvvdow :04/06/11 00:11 ID:???
>>468
私だったら、Externalからのhttpsでのメンテを全部禁止にして、
PPTPなどでFortigateに接続し、InternalのIFへhttpでアクセスします。
指定されたグローバルIPアドレスに限定ということにはなりませんが・・・。

476 :FG初心者2:04/06/11 15:18 ID:wwV4Ri1t
300のデモページができてますね。
http://www.fortinet.com/demo/index.html

ちなみに、ヘルプ(マニュアル?)も?マークをクリックすると出てきます。


477 :FG初心者2:04/06/11 16:02 ID:wwV4Ri1t
どなたかFortiGate-60のデュアルWANインタフェースの設定方法などの情報をお持ちじゃないですか?

使った実績なんかもあると嬉しいです。


478 :anonymous@ gatekeeper-tky.datacontrol.co.jp:04/06/11 17:09 ID:???
>>476
バージョン古すぎ・・・

479 : ◆.p586Vj8xI :04/06/11 17:49 ID:WIoRrqWs
>>478
ドメイン出てるよ?(w

480 :FG初心者2:04/06/11 18:05 ID:wwV4Ri1t
最新は 458 だったんですね。
失礼しました。&助かりました。>>478

481 :anonymous:04/06/11 18:11 ID:???
>>478
がんばってね(はーと

482 :FG初心者:04/06/12 01:55 ID:12NQll9j
>>474
Proxyにも詳しくなくて申し訳ありません。
結局NAT先はInternalのアドレスになりませんか?
すみません。勉強不足です。

>>475
もちろんExternalからの許可するつもりはありません。
確かにVPNとう手が有りますね。IPSecだと金が掛かってしまいますけど。


一旦内部で折り返すと、内部に障害がある場合に問題切り分けが面倒になると思います。
とのことで、単純にExternalへのメンテナンスが有れば良いのですが、認証の画面が表示
されるのが気に入りません。

結局リモートからのメンテナンスは、内部のPCで折り返すかVPNですかね。

483 : ◆JeYFCvvdow :04/06/12 14:17 ID:???
>>474
>>482
Proxy経由でWebGUIを動かすのって恐くないですか?
ReadOnlyなら別に良いのですが。

484 :61 ◆FG200xXuLw :04/06/14 08:22 ID:???
>>482
私はIP8な環境ですが、試しにFGのInternal自体のアドレスを
External自体のアドレスにNATしようとしたら、
スタティック、ポートフォワーディングともにヴァーチャルIPが既に登録されている旨の
エラーメッセージが出て登録できませんでした。そちらも同じ状況ですよね?

ただし、Internal内のホスト、例えば192.168.0.1にポートフォワーディングでNATは可能でした。
IP1でもこれは可能ではないでしょうか?

>>483
Proxyにアクセスできるホストが限定されていて、FGのポリシーとProxyのACLが
適切に設定されていれば私は大丈夫だと思います。
まあ、このあたりは運用ポリシー次第だとは思いますが、、、

485 : ◆JeYFCvvdow :04/06/15 00:10 ID:???
>>484
あ、スマソ。言葉が足りなかった。
踏み台にされるとか、ログイン元がわかり辛いとかそんなのじゃなくてですね、
キャッシュが変に作用して、設定がグチャグチャになるとかそういう話です。
WebGUIなんかでよく「本製品の操作はプロキシを経由しないでください」
とか書いているのあるでしょ。そういう恐さです。
# ま、この辺りは大丈夫だとは思うのですが、やっぱりビビリます。



486 :FG初心者:04/06/15 07:47 ID:eJhJ2trD
>>484
可能ですが、Internal内のPCで折り返すのが少しだけ抵抗があります。

例えばIP8とかを利用してExternalのインターフェースに割り当てているIP
以外でバーチャルIPをInternalのインターフェースにポートフォーワディング
は可能でしょうか?


487 :61 ◆FG200xXuLw :04/06/15 08:45 ID:???
>>485
なるほど、キャッシュの副作用が怖いって話でしたか
今回の案件の場合は、キャッシュは不要でしょうから
例えば、Squidを使ってキャッシュ無しの設定で運用するってのもありかも知れません。
単純にフォワードするだけなら、iptablesとかでも可能かも

>>486
やってみましたが、やはり無理でした。

488 :man:04/06/15 18:37 ID:???
メールチェックすると長いときだと数分かたまる・・・
仕様でしょうか。


489 : ◆.p586Vj8xI :04/06/15 22:07 ID:Q2Xui85l
>>488
サイズ、回線速度等に依存します。
FortiGateで1通のメールを全て受信してウィルスチェックしたあとにクライアントに渡しますので、
サーバーからFortiGateまでが遅ければ、重いメールがあればクライアントから見ると止まったように見えます。
その間は、FortiGateとサーバー間でがんばって転送してると思って下さい。

490 :anonymous@ salt.sherry.jp:04/06/16 00:49 ID:???
>>488
うちでも発生しています.
固まる時は,AVを通るもの全体(SMTP/HTTP)が通信不能になります.
pingとか他のセッションであれば普通に使えるので,AVが重いのかも...
小さいサイズのメールでも,不特定のタイミングで固まるので
>>489 のような問題ではないようです.


491 : ◆.p586Vj8xI :04/06/16 10:13 ID:8paCwgze
>>490
最近そんな話多いですね・・・てゆか大杉なぐらい。
まずavを通るものから止まるような現象の発生理由としては、メモリ不足。
メモリが足りないと、まずavを通るセッションがはれなくなります。メモリ多く使うから。
・・・でも、最近メモリが足りない理由として多いのは不具合が多い。
ntp動かしてるだけでメモリ食いまくってなんもできなくなったりもする。
メモリ使用率が85%になったら新しいセッションはれなくなるので、
それに近い数字とかだと危険かもです。
再起動直後のメモリ使用率をどこかに控えておいて、
それとかけはなれた数字とかになってると危ないと思ったほうがいいかもしれません。

ちなみにMR7(2.50 build212)ではパターン更新するプロセスのメモリリーク等があるので、
早急にMR8(2.50 build251)にしたほうがいいと思う。パターン更新されなかったりするので。

492 :61 ◆FG200xXuLw :04/06/16 15:13 ID:???
>>491
メモリー不足でない状況で、AV絡みで私が遭遇した現象

HTTPで同名ファイル(URL・ファイルサイズが違う)を複数同時に
ダウンロードしようとしたらできないというのがありました。
メモリ使用率を見ていたら、上がったり下がったりでFGが何度も
やり直ししているように見えました。これって既知なんでしょうか?

2.8の前にMR9が出そうなんで直っておれば良いんですが、、、

493 : ◆.p586Vj8xI :04/06/16 15:30 ID:8paCwgze
>>492
httpで同じファイル名、違うURLでテストしてみたんですが、とくに問題ありませんでした。(MR8)
それって毎回発生しますか?
ちと気になる・・・

494 :61 ◆FG200xXuLw :04/06/16 15:56 ID:???
>>493
ごめんなさい、FTPの間違いでした。
上がったり下がったりの件は、ダウンローダ使用時に
タイムアウトになってやり直しをしている為でした。Orz

今も試してみましたが、やはり再現します。
例えば、下記からのFTPダウンロード等です。
http://www-6.ibm.com/jp/domino07/lotus/home.nsf/Content/DP6_Notes_Domino_R50_incr509a
http://www-6.ibm.com/jp/domino07/lotus/home.nsf/Content/DP6_Notes_Domino_R50_incr510

495 : ◆.p586Vj8xI :04/06/16 16:24 ID:8paCwgze
>>494
w332nsrvi.exeのファイルで試してみたのですが、普通にダウンロードできました。
片方をクリックし、応答があるまえにもう片方の同じファイル名のをクリックする・・・でいいんですよね?
その後はどちらもファイルダウンロードのダイヤログが開きました。

FG200 MR8(build251)です。
アンチウィルスのチェックサイズは10MBで、それ以上はスルーの設定です。

496 : ◆.p586Vj8xI :04/06/16 16:29 ID:8paCwgze
25MBに設定して試してみましたが、やはりうまくいきます。けっこうメモリ食いますね・・・・。

497 :61 ◆FG200xXuLw :04/06/16 17:02 ID:???
>>495
操作はその通りです。
私のPC/ブラウザが腐ってるのかな、、、一度インターネットオプションで
ftpをパッシブに設定したらうまくいくようになってしまいました。

追試ありがとうございました、とりあえず直って結果オーライです。

498 : ◆.p586Vj8xI :04/06/18 12:14 ID:8IqRP3Sj
リリースノート付きでMR9発見。DLしてみまっす。

499 :61 ◆FG200xXuLw :04/06/18 13:14 ID:???
>>498
あっ、ほんとだ、リリースノートにMR9,Rev.1とか書いてあるよ、、、
MR10の前に、Rev.2・・・とか続くのかいな?

Cerberian使ってるときはMR9入れるな
“exec formatlogdisk”しろって書いてありますね。

さて、私も落として入れちゃおう

500 :anonymous@ iserv.bulky.co.jp:04/06/18 13:26 ID:???
この間、Fortigate50を導入。
Hotmail宛がほとんど通らなくなった・・・。
docomoの携帯宛ても宛先によってよく止まる・・・。

ウィルスチェックオプションをはずしたら、
docomo宛で引っかかることはなくなったけど、
Hotmail宛はまだほとんど止まる。

unset system sessionttl *** ってやったら、接続切られるし、謎


501 : ◆.p586Vj8xI :04/06/18 13:43 ID:8IqRP3Sj
>>499
リリースノートの追記とかでリビジョン変わったことあるから、そのせいだと思う。
ファーム自体が同じビルドで内容変わったことはない・・・それはさすがに(w
って、HDD消さなきゃあかんのか。コレクションが・・・・

>>500
500ゲットおめ。
unsetコマンドはまだ動かない。リリースノートに書いてある。
謎が多いなら買ったとこに問い合わせすべし。

502 :500:04/06/18 13:54 ID:???
>>501
あり。
MR9の話題が出てたので、速攻見に行ったら、
「MR9でもまだ直ってない」
とありました。
失礼しました。

メールの方は、いろいろ試してみて、うまくいけばよし。
ダメなら問い合わせしてみます。
有益な情報が得られたら、反映させて頂きます。


503 : ◆.p586Vj8xI :04/06/18 14:15 ID:8IqRP3Sj
>>502
あのコマンド、いつになったら直るんでしょうかねぇ。たぶん2.5では直す気なさそう。<fortinet
FG50は貧弱だから、クライアント多かったらけっこうよく止まるねぇ。

504 :61 ◆FG200xXuLw :04/06/18 15:47 ID:???
>>501
MR9入れちゃいました。
以前のMR8人柱版投入と同様に、案の定ウイルス隔離しなくなりました。
やっぱフォーマットせんといかんですね。

ちょこっとだけ気がついた点
・メモリリークが直った感じ
・AVのファイル上限まで溜め込まないで、直ぐに転送/ブロックされるようになった

505 : ◆.p586Vj8xI :04/06/18 15:57 ID:8IqRP3Sj
>>504
こちらもMR9入れました。
うーん、ウィルスの隔離できてる模様。。。。
コレクションまだとっといてないのでフォーマットしてません。

転送の感じも前と変わらず・・・・。
メモリリークはいままで常にあったので、今回もある気がしてなりません(笑)
しばらく運用してみます。

506 :-:04/06/18 22:18 ID:???
MR9のリリースノートをみましたが、直って欲しいところがまだ直ってない・・・。
あぁ、上司から認可がもらえねぇ〜_| ̄|○

507 : ◆.p586Vj8xI :04/06/18 22:30 ID:8IqRP3Sj
>>506
たぶんMR10は出ないっぽいなぁ。
あとの修正は2.8だと思われ。
そして2.8出たばっかりはバグバグで使い物にならないと・・・。
夏が終わる頃には2.8が使えるようになってるといいなぁ。

508 : ◆JeYFCvvdow :04/06/19 00:36 ID:???
>>507
>たぶんMR10は出ないっぽいなぁ。
この前、代理店の営業さんがうちに訪問に来て言ってたのですが、
そこの社長さんが米Fortinet社に
「2.8を出す前に2.5をもっと完璧に作れYo! ゴルァァァ!」
と、乗り込んだらしいです。

509 : :04/06/22 11:12 ID:???
セッション保持時間って変えられる?

510 : ◆.p586Vj8xI :04/06/22 13:00 ID:oA3itR74
>>509
tcpの無通信タイムアウト値なら変えられます。

set system session_ttl default 300
set system session_ttl port 23 timeout 300

上がtcp全体を変える場合、下が23/tcpを変える場合。
300は秒です。お好みで変えて下さい。
両方設定してある場合はポート単位が優先になります。
ちなみにデフォルトは300秒。

511 : :04/06/22 16:55 ID:???
>>510
サンクス

512 : ◆.p586Vj8xI :04/06/23 17:18 ID:KYmrl34e
>>498
最初にDLしたリリースノートと、今サイトにあるリリースノートでサイズがだいぶ違う。。。。
しかしファイル名は同じ。中身違うのかなぁ・・・。
ちぇっく面倒だから放置・・・

513 :-:04/06/24 01:37 ID:???
藻前ら、代理店に「Cerberianとの提携ってどうよ?」
って聞いて美奈代。
面白いことが聞けるかもよ。

514 : :04/06/24 09:07 ID:???
>>513
まさか白紙になったのか!?

515 : ◆.p586Vj8xI :04/06/25 10:09 ID:zXXxC4nO
>>513
独自の・・(ぽそ

516 : :04/06/25 10:29 ID:???
Σ(・∀・;)

517 :anonymous@ YahooBB220006072109.bbtec.net:04/06/25 12:55 ID:djiaPV6S
 

518 :61 ◆FG200xXuLw :04/06/25 13:03 ID:???
>>515
FortiGuardの事でつか?
あれって有償/無償?Cerberianより安い/高い?

http://www.fortinet.co.jp/products/pricelist.html
そういえば、ここにこの前まで、Cerberianのライセンス参考価格が
あったはずだけど無くなってますなぁ、、、

519 : ◆u3CudPDzYA :04/06/26 00:22 ID:???
日本語ホームページ充実せんかなぁ

520 :M8user:04/06/26 20:21 ID:???
MR9は安定していますか。

521 : ◆JeYFCvvdow :04/06/26 23:14 ID:???
>>515
あ、情報ソース同じっぽいですね。
私もそれ聞きました。


522 : ◆.p586Vj8xI :04/06/27 01:01 ID:lsDZ8g7W
もうCerberian買えないっす

>>520
いまんところMR9で問題でてないっす。
MR9で発生する問題はMR8でも発生するって意味ですが(w
なので、MR9にしといたほうがいいってこと。

523 : :04/07/02 08:31 ID:???
MR10は来月末にリリースだって

524 : ◆.p586Vj8xI :04/07/02 09:31 ID:ftO/7jfS
>>523
8月末ってこと??
今月末と聞いているんだが・・・

525 : :04/07/02 11:10 ID:???
>>524
interopで聞いてきたんだけど聞き間違いかなぁ。
MR10以降は大きなバグが無い限り出ないとも言ってた。

526 :anonymous:04/07/02 18:12 ID:???
http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20040701/5/

527 :520:04/07/05 20:49 ID:???
>>522
MR9はログディスク初期化必須ですか。

528 : ◆.p586Vj8xI :04/07/06 00:20 ID:N3GRGDcn
>>527
必須ではありません。
formatしたほうがパフォーマンスがよくなる〜とか書いてあったっけ。
コレクション消したくないのでformatしないで使ってます。

529 : ◆JeYFCvvdow :04/07/06 01:28 ID:???
今更ですが、InteropでFortiManager見てきますた。
うーん、Sm*rtDa*hb**rdみたいで(・∀・)イイ!!

530 : :04/07/06 10:02 ID:???
W32/Bagle.adってまだ対応してない?

531 :ahaha:04/07/06 11:15 ID:???
ReplacementMessagesのメッセージに日本語入れたら、
一部のメーラだと文字化けしてみれないね。

Content-Typeのcharsetを指定できたらいいんだけどなぁ。無理か。

532 :anonymous@ 43.133.210.220.dy.bbexcite.jp:04/07/06 23:04 ID:o4DoNU1A
200をMR9にアップデートしたらパターンの更新等のステータスが
「ネットワークエラー」の表示でパターン更新ができないのですが、
これってバグなんでしょうか??どなたか知りませんか?

533 :FG-2M:04/07/07 11:37 ID:???
目の前にFG200がありますが、MR9を適用してもパターン更新は「ネットワーク
エラー」にはなってないですね・・・なんだろう?
一応、私はHDDをFormatしているんですがそれが関係しているのかな。

534 :me too:04/07/07 22:21 ID:???
うちも200(MR9)だけどフォーマットしていない。
メモリ使用率がどんどん上がって困ってる。

535 : ◆.p586Vj8xI :04/07/16 16:17 ID:jqPqRNmx
2.8が見える気がするようなしないような。

536 :61 ◆FG200xXuLw :04/07/16 16:33 ID:???
>>535
あ!ホントだ、初版なのにMR3からスタートですか〜
さすがに即入れは怖いんで、とりあえずリリースノート読んでみるでつ

537 : ◆.p586Vj8xI :04/07/16 18:41 ID:jqPqRNmx
>>536
入れてみました。日本語化け化けがちらほら。
ちょっと怖いです(w

538 :61 ◆FG200xXuLw :04/07/17 08:39 ID:???
>>537
化け化けですか、、、英語表示ならあまり問題ないかな
さて、これから入れてみようと思います。

AVのヒューリスティックスキャンとHDD利用での1GB対応に期待

539 :61 ◆FG200xXuLw :04/07/17 14:56 ID:???
バージョンアップで色々はまってしまいました。

・なんかアクセスできないと思ったら、Service group listの内容が消えていた(再登録で回避)
・Spam filterの新機能に引っかかってメール送受信ができなくなった(とりあえず新機能部分OFF)
・Virtual IPの仕様変更かバグで2.5MR9と挙動が違う、、、orz

ポリシーとかプロファイルを色々見直さなければいけない悪寒

540 : ◆u3CudPDzYA :04/07/17 18:15 ID:???
>>539
バージョンアップ怖いな。
バージョンアップ後、設定バックアップ戻してもダメなのかな?

541 :FG-2M:04/07/17 22:01 ID:???
2.5MR9もちょっと変だなぁ。
HTTPがいきなり通らなくなる現象が発生したよorz
#トランスペアレントで発生
POPやSMTPは普通に通過出来るのに・・・なぜだ〜

FG-60のExternalのインタフェーススピードがファイルに表示されない
Bugはいつ直るんだ!

542 :gera:04/07/18 00:05 ID:???
.



543 :初心者:04/07/18 00:06 ID:???
ADSL環境(IP1個)にてWEBサーバを公開しています。
WEBサーバ(DMZ)は192.168.1.2でgatewayが192.168.1.1です。
externalからWEBサーバへport22,25,80,443を割り振っています。アクセスログを見たところ
すべてgetawayのIPアドレス(192.168.1.1)になっていました。
どこからみたらよいでしょうかね・・・


544 :FG-2M:04/07/18 03:19 ID:???
>543
初心者が手を出していい製品じゃないのに・・・
source IPがグローバルIPじゃなくてDMZのIPになっているってこと?
externalからdmz向けのFirewall policyのNATにチェックが入っているとか。


545 :FGT:04/07/19 16:06 ID:???
>>541
自分とこでは、HTTP、SMTPがいきなり通らなくなる現象が発生したよ。
トランスペアレントで発生。
再起動で復旧、なぜだ〜

546 :導入検討中:04/07/19 20:52 ID:???
支店と営業所、出張所、計5拠点をBフレッツを使って
インターネットVPNのWANを構築する計画です。
小さい会社なので、コスト>安定性>セキュリティ
支店:Fortigate100
営業所、出張所:同60
を予定しているのですが、
@拠点間VPNの安定性、スループットはどうですか。
APPPoEの安定性、スループットはどうですか。
BONUとFortigateの間にブロードバンドルータは必要ですか。
ノウハウ、実績のある方教えてください。
SonicWALLと天秤にかけているのですが、
正直どちらがインターネットVPNに適していますか。

547 :FG-2M:04/07/20 00:53 ID:???
>>546
同じトランスペアレント環境だ・・・orz
2.5MR8に戻した方が良いかな。
WEBアプリが動かなくなるのが辛い。
私のおもちゃFG-60で再現テストしてみるか。

548 :FG-2M:04/07/20 00:54 ID:???
あ・・・レスアンカー間違えた・・・

549 :61 ◆FG200xXuLw :04/07/20 14:05 ID:???
>>540
リリースノートによると、設定ファイルの互換性はないらしいです。
(CLIコマンドが変更されてるからかな?)
バージョンアップの過程で設定は自動変換されるんですが
Service group list部分のタイトルはあるけど、中身がないって状態でした。

どうも、ExternalがPPPoEだとNAT(Virtual IP・IP Pool共)が効かないらしい。

550 : ◆.p586Vj8xI :04/07/20 16:18 ID:RllPppPi
ちなみに、今出てるMR3は日本での正式リリースではないです。念のため。。。。

551 :anonymous:04/07/20 19:32 ID:???
http://www.itmedia.co.jp/enterprise/articles/0407/20/news043.html
これどうなんですかね?
FortiGateと競合しそうだけれど
まだ値段もわかりませんが・・・

ウィルスチェックをゲートウェイじゃなくって、クライアントで行なうっていうのがシマンテックにしては新しい感じだけど、NortonAntivirusしばりになるんだろうなぁ




552 :FG-2M:04/07/21 23:12 ID:???
>>545
バグだって・・・
対処方法はロギングしない。or ログのサイズを10M以下にする。
MR10で修正予定らしいよ。(8月リリース)

553 : ◆.p586Vj8xI :04/07/21 23:57 ID:a7njVP5c
>>552
らしいね。って同じ文面見てるんだろうか(w
とりあえずロギング部分だけの修正版出してほしい。今すぐ。
MR10なんて待ってられるかっちゅーねん。

554 :FG-2M:04/07/22 02:14 ID:???
>>553
たぶん同じじゃないかな。FGは代理店それほど多くないし。
ここまで不安定な製品も久しぶりだよ。

しかし何でデータのフォワードとログが関係してるんだorz
MRxx(数字)が二ケタ台にのらないと安定しないのかな。
#CiscoのIOSじゃないんだから勘弁してくれ。

>>546
悪いことは言わないから辞めた方がいいよ。
出来ない事はないけど、VPNするんだったらNetScreenや第二候補のSonicWallに
していた方が無難。

FWとしてもまだ安定しているとは言いがたいから。
じゃじゃ馬好きならどうぞ・・・

555 : ◆.p586Vj8xI :04/07/22 11:00 ID:C11gpBIs
>>554
MR出ても安定しないってのがイヤかも・・・。
少し古くても、「このバージョンなら安定してます」的なものが存在しないってのが困る。
次々とバージョンアップしてもらっても結局トラブルだらけ。

556 :FG-2M:04/07/22 12:28 ID:???
>>555
確かにね。MRを出してもMRの意味を成してないし・・・
こんな状況なのにv2.8を出してくる神経がある意味凄い。
#出たときからMR3だし(ぉ

557 : ◆.p586Vj8xI :04/07/22 13:07 ID:C11gpBIs
>>556
修正項目は全て2.8で・・・・という考えなのかな?
しかし2.8MR3も怖くて実環境投入できず(w
MR4でてからかなぁ、それでも人柱だよね。

558 :FG-2M:04/07/22 17:36 ID:???
>>557
何を入れても人柱だよね。
フィールドテストをするんだったら自分たちでやって欲しい・・・
代理店もあんまりテストしてないんだろうね。

559 : ◆JeYFCvvdow :04/07/22 22:04 ID:???
あ〜、なんだか皆さん不満が爆発しはじめたようですね。


560 :_:04/07/22 23:16 ID:???
InterScanの代わりに入れようと思ってるけど、チョト不安だな...
FireWallやVPNは別にイラネけど、安いウィルススキャン用の
箱と思って買うのは無理っぽい?

561 : ◆.p586Vj8xI :04/07/23 00:30 ID:W2hH8+3g
>>559
ベンチャーの出たばっか商品ならまだいいけど、
こんだけ時間たってあの程度じゃねぇ。
機能付けるだけ付けてバグだらけ。すぐなおさないし。
なんかあったらバージョンアップしろというけど、それはそれでまた別のバグに悩まされるわけだ。
今回はトラフィックログをLocalHDDに記録するとメモリリークすると。
対処法は、記録するのをやめろと。
ほんとにこれでFirewallか?どう管理しろというんだ?
すぐに直す気ないらしいし。

562 : ◆JeYFCvvdow :04/07/23 01:17 ID:???
>>561
>ほんとにこれでFirewallか?どう管理しろというんだ?

そうなんですよ。私も以前から管理面で非常に困ってるんですよ。
Fortigateなだけに放置しても良さげな案件にしかオススメできないんですよ (寒っ

Firewallって導入よりも、運用の方に重みが置かれるってことを
Fortinetは判っているのだろうか? と、思う今日この頃です。
FireWall-1のありがたみを改めて認識してしまいます。

ところで、>>552のログのサイズ10MB以下にするってのは、10MBで
ローテーションするということですよね?
私はawkやgrep処理することを考えて、最初から10MBにしてます。
10MB以下じゃないと、ショボイPCだと辛いので・・・。
みなさん何MBにしてますか?

563 :=:04/07/23 01:22 ID:N/+DQE/4
おぉ、少し波が立ってるねぇ。。。
先月、FortiGate-300を1台購入して、来月、もう1台、追加予定。
NetScreenもSonicWallも少しずつ導入してるけど、まぁ、正直、
どこの製品も品質は大きくは変わらないよ。
敢えて比べるなら、NetScreenは少しマシかな?って程度。
確かにもうベンチャー企業じゃないと思うから、少し頑張っては
欲しいけど、2、3年前の他の製品はもっと酷かったような。。。

564 :61 ◆FG200xXuLw :04/07/23 10:52 ID:???
2.8のマニュアル類とか公開されたみたいだから、とりあえず落としとこ

565 :FG-2M:04/07/23 10:57 ID:???
>>560
InterScanの代わりに入れたところはあるよ。
スキャンの精度は確実に落ちるから、神経質なユーザなら辞めておいた
方がいいよ。新物好きだったら受ける可能性はあるけど。

>>562
そういうことみたい(10M以下でローテッド)
でもまだ試してないです。

確かKDDIってFortigate使ってサービスしていたような。
どうなっているんだろう?気になる〜


566 :anonymous:04/07/23 12:43 ID:???
>>565
>スキャンの精度は確実に落ちるから

詳しく聞かせてもらえますか?
古いウイルスがひっかからないっていうのは聞いたことありますが、それのことですか?

567 : :04/07/23 13:38 ID:???
>>566
動作を軽くするためにパターンファイル容量を制限してるって
代理店の人が言ってた
今流行ってるウィルス以外はほとんど素通しラスィ…

568 :546:04/07/23 19:53 ID:???
>>554
どうもです。
無難にNetScreenにしておきます。

>>567
あくまでも「Wildリストに対応」しているとのことです。
流行らなくなってリストから消えるとそれにあわせて
消しているそうです。

>>565
高速HTTPスキャンって割り切るか、VPN装置といった使い方
がよいと勧められました。

569 : ◆JeYFCvvdow :04/07/23 22:39 ID:???
>>567
私もそのように聞いてます。
確かに今時、DoS時代の古いウィルスをスキャンするのも
いかがなものかと思うので、この考え方はアリかと思います。

っていうか、商売的にもゲートウェイ1ヵ所でウィルスを検知するのも
良く無いと思うので、古ウィルスはクライアントのアンチウィルスで
検知するってのが良いかと・・・。

570 :FG-2M:04/07/24 00:57 ID:???
>>566
VirusScan大手と比べると、解析・パターンファイル作成・配布が遅れ気味なの
でそういった意味でスキャン精度が低いと言えます。
クライアントタイプのソフトと組み合わせるのがベターです。
また、価格相当と言った所ですね>みなさま

HTTPスキャンはお世辞にも速くないですよ。
チェックをはずした時との速度差は歴然・・・

571 :_:04/07/24 01:04 ID:???
>>565
まぁ値段アレなので精度が少し落ちるぐらいはやむを得ないかと。
あとはスルプトだけど、DSL接続とかなら50Aで問題ナシでつかね。
>>569
まぁDOSの奴はかまわんけど... どのあたりまでっていう
基準が難しい気がするなぁ。


572 :ウイルス対策の不備:04/07/24 11:33 ID:ZGfEtxo9
>>570
他のウイルス対策ゲートウェイよりはずっと速い。
問題は、現行OSの仕様。添付ファイルが、本文ごとまとめて
エンコードされていると、先頭のtextの部分だけ検索して
OKとやっちゃうところかな。これはQ3辺りに改良されると
聞いているが

573 :FG-2M:04/07/24 13:49 ID:???
symantecの遅さには開口しっぱなしだったなぁ・・・
それでこの値段?って思うほどに。
それに比べると確かにFortiGateは速いか。
過渡な期待は危険なのには変わりないけどね。
ASICベースなんて書いてあるからなおさら。

FG-60分解したけど、どの辺りにASICが搭載されているのかぱっと見わからん。

574 :546:04/07/24 14:26 ID:???
>>573
SGS5400ですか?
スループットはどのくらいでしたか?

575 :WebShieldも遅い:04/07/24 18:34 ID:ZGfEtxo9
高速に処理できるのはFortigate位だろう。でもOS改善までは逃すウイルス多し

576 :=:04/07/25 20:48 ID:R+tDyuYU
コストパフォーマンスならFortiGateが文句無しでしょ。
まぁ、他のAVGW製品が高すぎて遅すぎって言うだけだけどね。。。
取りあえず、クライアント側にはAVソフトウェアを導入する事は必須として、
AVの二重化を安く構築したい場合にはお勧め出来るんじゃない?
流行のウイルスだけでも、ある程度GWで削除してくれれば、管理者としては
そこそこ助かるよ。

577 :FG-2M:04/07/25 23:02 ID:???
>>574
現行の1つ前のやつ。型番忘れた・・・
FireWall機能だけで1桁(何Mbpsだったかな)台しか出なかったので
速攻使うの辞めた記憶がある。(後に返した)

>>576
FortiGate1台の全てを任せないで他社製品と組み合わせるんだったらお勧め
します。コストを考えるとね。
あと、もう少し安定性が良ければなぁ・・・
でも安定したらNetScreenのようにどこかに買収されちゃったりして。

578 :anonymous:04/07/27 12:39 ID:???
気づけば日本語サイトがわりとまともになったんだね....

>>577
うちは安定してるけどなぁ
少なくとも落ちたりしない
(最近CPUのメーターがあがりぱなしなのが気になるけど)
VPNとか使ってないのでそのあたりの違いかな?

579 : ◆.p586Vj8xI :04/07/27 12:48 ID:TnUvKpTv
>>578
特定の機能の不具合とかが多いから、その機能を使わない状態であれば問題ないのかも。

580 :61 ◆FG200xXuLw :04/07/27 14:30 ID:???
2.8のMIBマダー

581 :FG-2M:04/07/27 17:56 ID:???
>>579
HDDへのログの記録は普通機能だから痛いんだよ・・・
FG100にしておけばよかったよ。

>>578
私もVPNは使ってないです。
FG200のばかー

582 : ◆JeYFCvvdow :04/07/27 23:14 ID:???
2.8インスコしてみますた。
コ、コ、コ、コマンドが全然違う〜〜〜〜〜!_| ̄|○

まだ、少ししか試してませんが、2.5で直して欲しいと
代理店に伝えてもらったバグが直っていました。

どうなんでしょうか?
2.5でのバグは余程のものでないかぎり2.8から修正と
いう形になるのでしょうか?
2.8のリリースは、こうやって前向きに受け止めないと
やってられんわな。

583 : ◆JeYFCvvdow :04/07/31 23:43 ID:???
2.5の時にSquidから拾ってきたURLリスト(約60,000リスト)を加工して使っていたのですが、
2.8ではそのまま使えませんですた。
行末の1を::01000000:: に置換してとりあえずは使用可能でした。
ただし、32,000リストが限界でした。
ちなみにFTG60で試しました。上位機種だともっといけるかもしれません。


584 :FG400 2.50 build212:04/08/04 08:26 ID:???
FG400 2.50,build212なのですが、W32/Bagle.zip-mm感染の添付メールがウィルスごと
スルーしちゃいました。AntiVirusDefinition は4.423 の一つ前だった事は確認してるのですが・・・
その後再現しないのですが、こんなことってあるのでしょうか?

585 :anony:04/08/07 19:22 ID:???
>>567
私も代理店の人からそんな話を聞きました。
やっぱり機能を詰め込みすぎた結果なんでしょうか?
AntiVirus機器として特化して使う場合、
パターンファイルはフルに搭載して欲しいですね。


586 :mikaka:04/08/10 23:12 ID:GkY4wQKm
Fortigate使いはじめてから、WindowsUpdateに失敗する事が多くなったきがする。
皆さんhttpスキャンの上限どの位にしてます?

587 :ななし:04/08/11 16:27 ID:???
ftp://ftp-temp:g$tF1le@support.fortinet.com/b299
こんな所に2.5MR10人柱版みたいなのがありますね

588 : ◆.p586Vj8xI :04/08/11 16:30 ID:KxZZlWsD
>>587
誰だかわかんないけど、それってここに書いていいような内容じゃないと思うが。

589 :anonymous@ l236188.ap.plala.or.jp:04/08/11 18:47 ID:9J8f6/tI
・Fortigate100(2.5MR9)
・アンチウィルスの上限10M(上限越えたらチェックせずスルー)

の環境で、10Mを越えるSMTPを、
DMZ上のメールサーバからExtarnal(インターネット)宛てに送る度に、
インターネットやVPNが切断されて、5〜10分程で正常に戻るんだけど、
同様の症状出た事ある人いる?

アンチウィルスのログには、容量を超えてる内容のログが出てる。

障害時にExtarnalにPING打っても応答無し。

でも、回線はプロバイダに認証ログ確認してもらったら再接続の要求は
無いとの事。

なんなんでしょ?

590 :-:04/08/11 23:17 ID:???
>>587
削除依頼出しといてね。


591 :FG400 2.50 build212:04/08/16 10:11 ID:???
>>584
の続きなのですが、W32/Bagle.zip-mmに続きBeagle.AOに感染したzipファイルが
8/8 素通りしました。(多分、AntivVirusDefinitionは当時の最新)

ユーザーから突っ込まれたらどうしよう。。。。

592 :FG400 2.50 build212:04/08/16 16:45 ID:???
自己レスですが、
http://www.fortinet.com/FortiProtectCenter/
08-09: W32/Bagle.AQ-mmとなっているということは 8/9以降しか
検出できなかった、ということでしょうか。

593 :期待しすぎ:04/08/16 22:55 ID:???
SMTPゲートウェイは要所なのでメジャーベンダー製品のものと併用した方が
ベターです。
もっともメール型ウィルスは拡散速度が異常に速いので、
*.exe、*.pifなどをフィルタリングした方が効果的です。
とりあえずはファームアップした方がよいかもしれません。

594 :FG400 2.50 build212:04/08/17 07:00 ID:???

>>593

そうですか?
この部分だけでもきちんと動いてくれないと ”一体、何の機械やねん!”って事になるかと
思うんですが。。。

まあ、もちろん各クライアントにはウィルスバスターを入れてますけど、
ttp://headlines.yahoo.co.jp/hl?a=20040816-00000001-vgb-sci のような時に困ってしまう。

ちなみにWORM_RATOS.Aはシマンテック名W32.Mydoom.Q@mm
ttp://www.fortinet.com/VirusEncyclopedia/には8月3日掲載だけど素通りでした。

595 :anonymous@ turmeric.sherry.jp:04/08/17 09:57 ID:???
>>592,594
FortiProtectCenter,VirusEncyclopedia とFGのパターン配布が
正確に一致していないように見えます.
FGの管理画面から,Anti-Virus - Config - Virus List で
リストを確認するようにしてみてはどうでしょう.
diff取るとかしないと追加を把握しにくいですが.

596 :FG400 2.50 build212:04/08/17 10:01 ID:???
>>595

そうなんですよね。

でもFGが検出するまではフォーティネットでのウィルス名が判らないという罠・・

597 :anonymous:04/08/17 12:42 ID:???
>>594
8月3日掲載のは違うウィルスじゃないの?
WORM_RATOS.Aは16日発生じゃん

598 :anonymous:04/08/17 12:48 ID:???
FortiでWORM_RATOS.Aにあたるのは W32/Mydoom.S-mm だね
日付だけじゃなくって何時に対応したかまで公開して欲しいなぁ

599 :FG400 2.50 build212:04/08/17 13:16 ID:???
>>597

そのようですね。
NortonAntivirusではHPにMydoom.Qと載ってるくせに検出するとMydoom.sと表示された。


600 :anonymous:04/08/17 18:15 ID:???
>>599
NortonAntivirusで検出したらMydoom.sって表示されたってこと?
うちの脳dさんはMydoom.Qって出るけど

FortiでMydoom.Sって表示されたってことならそりゃしかたないでしょ
名前つける基準が各社違うから

601 :_:04/08/17 21:20 ID:???
RATOS.A はトレンドは17時で、fortiは21時(MyDoom.S)対応
だったよ。どっちにしても間に合ってねぇーよ(笑

ところでfortiで、photos_arc.exeだけブロックする設定とかできる?

602 :593:04/08/17 22:31 ID:???
うちの呆痴げーとくんはRedlofなどを平気で見逃します。
高速HTTPスキャンを期待して買ったけどいまいちです。
すでにリストラリスト入りしています。

603 : ◆.p586Vj8xI :04/08/17 23:16 ID:nFOK4QF3
>>601
ファイルブロックでファイル名書いたら止められるんじゃないかな?

604 :anonymous@ 221.244.62.226:04/08/18 10:49 ID:Q5kXlL9y
FG60 2.50,build171を使用中ですが、以前OCNのADSL(IP8)を利用して
wan1とdmzを同一セグメントとしていたのですが、
(wan1:PPPoE,dmz:static)
回線をUSEN GATE02(IP8 FTTH 非PPPoE)に変更後、以前と同じ設定が
できずに困っています。(wan1とdmzを同一セグメントにする設定)
wan1,dmz共static設定にして両方に同一セグメントとなるアドレスを
設定しようとすると「アドレスが間違っています」みたいなエラーが出ます。

PPPoE以外でwan1とdmzを同一セグメントとすることはできないのでしょうか?


605 :anonymous:04/08/18 12:33 ID:???
>>601
今回シマンテックも遅かったよね
20〜21時ぐらいだった気がする
ハラハラさせられたよ

606 :アノニモセ:04/08/18 14:24 ID:MVPQPC7X
ふつう、dmzはプライベートにしてWAN1からNATするんじゃねーの>604

それか、トランスペアレントモードにするのかも。(やったことねーけど)

607 : :04/08/18 16:20 ID:???
>>606
ハァ?
NATかましてDMZですか?

608 :FG200:04/08/18 16:47 ID:???
Fortigate200(2.5 Build269)をトランスペアレントモードで
使用しておりますが何故かある特定のドメインに内部のメールサーバ
からメールが送信できません。
FortiGateを外すとさくさく送信できてしまいます。

こんな現象が発生した方いらっしゃいませんか?もし何か原因
的なものが思い当たる方がいたら教えて下さい。


609 : ◆tMWD8CeOp2 :04/08/18 20:23 ID:VBEgi0TY
>>604
その構成だと、WANとDMZだけを同一セグメントにすることはできません。
WANをグローバル、DMZをプライベートアドレスにするか、
トランスペアレントモードにして全部のインターフェイスを同一セグメントにするしか。

>>608
それってアンチウィルスをはずしたらちゃんと送れるようになりますか?
そうだとすると、解決できないかも。
アンチウィルスを有効にしてると、FGが代理でtcp/synを出すので、
MXレコードが複数あり、プライオリティの高い鯖が直接送れないところだと、
2番目にいってくれないようです。
使ってる鯖ってqmail系じゃないですか?

610 :Redlof.A:04/08/18 21:30 ID:???
>>602

FortigateではRedlofもちゃんとスキャン&除去してるぞ。
エンコードされた部分だけ削除してるから
クライアントでスクリプト部分で検知されることがあるがな

クライアント型で検知されたからといって盲目的に信用してると
馬鹿見るぞ。

ま、スクリプト部分も削除してくれるのが一番だがな〜

611 : :04/08/19 01:06 ID:???
>>609
>FGが代理でtcp/synを出すので
というか、Fortigateが Proxy 動作を行う際に、リレー元に ACK を返してしまう(一度コネクションが確立してしまう)のが問題。
## qmail は TCP コネクションの成否で、リレー先 MX の稼動状況を判断している為
Typo だったらすまぬ。

結構あるんだよなぁ…Primary な MX に、外部からのリレーを受け付けないホストを設定してるとこ。
スプール用のホストなんだろうけど、とても褒められたもんじゃないよね。
つーか、わざわざそんな事する意味がわからんし。

おかげで queue がガンガン溜まって、罪も無いドメイン当ての Mail が遅延しまくった苦い記憶が…

612 :61 ◆FG200xXuLw :04/08/19 08:40 ID:???
2.5MR10来てますね、私は、2.8MR4待ち、、、

613 :FG200@:04/08/19 12:40 ID:???
>>612
2.8どうっすか?
2.5から移行するメリットありますかねぇ?

614 :61 ◆FG200xXuLw :04/08/19 15:26 ID:???
>>613
色々機能強化されてはいるんですが、現状はバグ多すぎって感じ・・・
http://support.fortinet.com/forum/を覗いてみては如何ですか?

2.8に移行してメリットと感じられるのは私的にはこんなところかな
・AVでDISKを使えるようになった(1GBまで)
・AVでヒューリスティックスキャンをしてくれている
・IDS(IPS)関係が良くなった
・GUIが良くなった(現状日本語は×ですが)

615 :FG-2M:04/08/20 11:05 ID:???
v2.5MR10を入れてみた。
FG-60のwan1のデフォルトのインタフェーススピードが表示されないBugはFix
されてるなぁ。

後は、ログのメモリリークが直っているかだな。
リリースノートを見る限り直っているんだか分からない(載ってない!?)

616 :604:04/08/20 14:33 ID:???
>>609
>その構成だと、WANとDMZだけを同一セグメントにすることはできません。
やはり無理ですか。残念です。
トランスペアレントモードも試してみようとしたのですが、
このモードではVPNが使用できないみたいなのでパスしました。

現在はご指摘のようにWANをグローバル、DMZをプライベートとして
バーチャルIPを設定してルーティングしています。

ありがとうございました。


617 :FG200:04/08/20 15:59 ID:???
>>609,>>611さん
ありがとうございます。
来週ウィルススキャンを外して送信可能か否か試してみます。
結果はまた報告します。

しかし相手がqmailの場合は致命的な気がするのですが・・・。

618 :FG200@:04/08/20 18:19 ID:???
>>614
なるほど
気安くファームあげられない環境なので生の声が聞けて助かります
もう半年ぐらい待った方がよさそうですね

619 :Client:04/08/23 19:12 ID:Lj9cesPE
会社のFG200に自宅(ADSL YAMAHART55i)からFortiClientで接続を
試みているのですがノートPCだと問題なく接続でき社内のイントラを利用できますが
デスクトップPCだとFortiClient上では接続できているのですが社内のプライベートアドレス
にpingが通りません。別のPCだとpingを打つとロックしてしまいます。
どなたか解決方法ご存知ないでしょうか?

620 :どうもP2Pやってるみたいなので:04/08/24 11:39 ID:???
FG200で特定のIPのみInt→Extブロックって出来ませんか?

試しに「ファイヤーウォール」→「アドレス」→「Internal」に対象のIP(A.B.C.D)とサブネット設定(255.255.0.0)。名前は仮にアノーンとしときますか
「ファイヤーウォール」→「ポリシー」→「Int→Ext」の一番に下のを登録してみた
送信元:アノーン
あて先:ExternalAll(0.0.0.0)
スケジュール:Always
サービス:Any
アクション:Deny
こうするとIPアドレスA.Bで始まるクライアント全てが通信不可になってしまいます。
そもそもこの行為自体FGでやるべきことではないのですか?
ご存知の方宜しくお願いします。

621 :61 ◆FG200xXuLw :04/08/24 11:48 ID:???
>>620
対象IPのサブネットマスクを255.255.255.255で設定(例えば、192.168.0.1/255.255.255.255)
登録したアドレス郡をグループ登録してあげればスマートでしょうか

622 :620:04/08/24 12:24 ID:???
>>621さん
ありがとうございます。なるほどサブネットマスクで絞り込むわけですね。
今のところ怪しいクライアントは1つだけなのでそれだけブロックできればOKですが、後々増えたときにもグループ化しておけば楽ですね。

623 : :04/08/24 13:18 ID:???
IPの何たるかも知らない香具師がネト管!?
((((;゚Д゚))))

624 :620:04/08/24 14:56 ID:???
>>623
仕方ないですよー僕だってそれ専門で会社入ったんじゃないので。
多少社内でパソコンに詳しいって理由で管理者やらされてます。
たぶん2,3年後くらには「俺ってバカな書き込みしてるなー」って思うかもしれません。これから頑張ります。
一応結果ですが、ブロックできたみたいです。
その前にp2pやってる人間を突き止めろって話もありますが…

625 ::04/08/24 15:20 ID:???
>>620
がんがれ〜ヽ(´ー`)ノ初めは皆素人

626 :61 ◆FG200xXuLw :04/08/24 16:07 ID:???
>>624
P2Pやってる人間突き止めたいなら、完全ブロックせずに帯域制限かけて泳がせて見れば?
一応、2.8では、bit_torrent、edonkey、gnutella、kazaaは検知したりブロックできる様にはなってる

627 :623:04/08/24 17:15 ID:???
>>624
正直、スマンカッタ

628 :620:04/08/25 10:01 ID:???
>>625さん
応援ありがとうございますm(_ _)m
>>626さん
ものすごくFGに負担かかるようなので(実際LANとWANのランプが激しく光り、モニターでCPUの使用率が100%になってる)
こりゃブロックしたほうがいいなという結論です。
それで、ファーム調べたらFortigate-200 2.36,build073,030514でした。
様子見て早急にファームのアップデートしてみます。
>>623さん
いえ、逆に自分の質問にスルーさせれるの覚悟でいたので
反応があっただけ嬉しいです。

629 :61 ◆FG200xXuLw :04/08/25 10:15 ID:???
>>628
ファーム上げるなら、2.5にしておきましょうね
2.8は人柱覚悟で、、、orz

630 :620:04/08/25 13:43 ID:???
>>629さん
情報ありがとうございます。
そうですかぁ2.8のp2pブロック機能は魅力ですが、
会社で使ってる以上人柱覚悟のファームは使えませんね
大変参考になります

631 :FG初心者:04/08/29 23:53 ID:lfnl4hgQ
>>619
ノートとデスクトップの環境・FortiClientの設定を比較してはどうですか。
Virtual IPとか間違っているとか、Nat Traversalが外れてるとかでは?
ちなみに私は54iですが問題ありません。

632 :FG-2M:04/08/30 02:18 ID:???
リリースノートにか書かれていないけど、ログファイル(10M以上の設定の時)のメモ
リリークはv2.5MR10で直っているらしい。
っていうか何で書いてないんだろう?(Workaroundがあるから?)

さて、9月上旬に試してみるか。

633 :620:04/08/30 11:29 ID:???
FortiClientで思い出しました。XP SP1 + FortiClient Ver 1.4の環境です。
インストールするとネットワークコンピューターが使えなくなることありませんか?
使えないというか、ワークグループのコンピューターが見えなくなるんです。
仕方ないので\\コンピューター名\な使い方で対処してもらってます。

634 :無謀:04/08/30 20:16 ID:???
「2年後にはセキュリティのリーディング・カンパニーに」――米FortinetのCEO
ttp://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040830/149213/

635 :FG900:04/08/31 01:09 ID:VyFQ/R+c
FortiReporter使った人います?
意外と良かったよ。

636 :-:04/08/31 01:28 ID:???
>>634
うーん、無謀かもしれないけどこればっかりは蓋を開けてみないとねぇ。
漏れはブランド力さえつけばCP社を抜けると勝手な分析をしてまつ。
ただ・・・。彼らはは出てくるのが10年早かったかもしれない。
CP社のロードマップを見ると最終形は放置門に近いと思う。

637 :anonymous:04/08/31 20:21 ID:???
>>636
どうやってCPに勝つつもりなのかしら
何か新しいことやらないと

638 :-:04/09/01 23:21 ID:???
俺としてはFTGはCPのOPSECに入って欲しい。
もちろんアンチウィルスでね。
そこでもっと名前を売って、実績を上げてからが勝負かな。

639 :FG-2M:04/09/02 12:02 ID:???
もっと中身をちゃんと作ってくれないと別の意味で名前が売れるよ・・・


640 :FG60です:04/09/04 13:19 ID:Y+Xm5vL+
トランスペアレントモードで ウイルス対策を自動更新したいです。
ゲートウェイとかDNSの設定が見当たらないのですが、
どうやって設定するのでしょうか?
どなたか教えてください


641 :げげげ:04/09/05 13:49 ID:hwY5IvQ2
IP-VPNてどうよ?
通信営業だす。ip-vpnなど教えてください。

642 :FG-2M:04/09/05 15:05 ID:???
どうでも良いけど、FortiNetから来るリリースアナウンスって遅くないですか?
今ごろ2.5MR10のメールが来たよorz
私だけかな?

643 :うっきー:04/09/07 20:09 ID:???
>>632
直っていないと思うよ。

こんなページ見つけました。
ttp://www.nvc.co.jp/product/fortinet/

644 :マミキチ:04/09/07 23:10 ID:+OExWnVZ
スパムメールに対応するようになると聞いたんだけど、どうなってるのかな?

645 : ◆JeYFCvvdow :04/09/09 00:08 ID:???
>>644
2.8からSpamFilterという機能がつきました。
実際にこの機能を使ったことが無いので、どの程度使えるかはわかりませんが、、
IPアドレスでのフィルタや、,RBL Serverの指定をはじめ、
その他、メールアドレスやキーワードでブロックできるようです。


646 :FG-2M:04/09/09 11:36 ID:???
>>643
マヂ!?orz
取り扱いベンダーは直っているって言ってるけど、Fortinet JPはダンマリ・・・
ここのリリースノートってなんだよって思ってきたよ。

こんなんじゃCPを抜くなんて到底無理〜

647 :& ◆KZKUWAFO4g :04/09/09 22:27 ID:???
>>646
ふぉてぃねっと社がまずやるべきことは、
仕様通り動作する製品にすること。
稼働率というか信頼性を向上させること。
ファイアウォールとして一級品にならないと
ちぇっくぽいんと社は超えられない。
さらにウィルス検知力を向上させないと
ねっとすくりーん社にも及ばない。
課題は山積み。
これがふぉーてぃねっと社の実際。
がんばれ。

648 :FG-2M:04/09/09 23:00 ID:???
>>647
トレンドのエンジンと比べたらそりゃ劣るよ。
おまけ程度の考えて使わないとね・・・


649 :anonymous@ 61-26-114-208.rev.home.ne.jp:04/09/10 02:23 ID:uheRVTac
Fortigate300どかなと思っています。
アンチセキュリティ機能のみ使う予定(ファイアウォールなどは使わない)です。
他と比べて安いみたいなんだけど(理由はほとんどそれ)
同業他社というかここよりいいのあるのでしょうか。
おしえてください。

650 :FG60:04/09/10 07:04 ID:???
とりあえず、SonicWALL、WatchGuardとかの第2グループにはなってきているみたい…

「04年Q2のVPN/ファイアウオール市場は前年同期比1%減,SSL VPNは成熟期へ」,米調査
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20040907/149529/

651 : :04/09/10 09:10 ID:???
>>649
適当なLinuxマシンにF-secureでも入れた方がいいと思われ

652 :61 ◆FG200xXuLw :04/09/10 09:44 ID:???
2.8MR4がようやくきましたね
リリースノート読んでから適用します

653 :anonymous@ 203.141.134.240.user.ad.il24.net:04/09/10 16:57:54 ID:qSg3FAia
ATT、及びOCNからのメールが受信できないっす。
トランスペアレントモードで使ってますが、同じような現象の方いますか?
FGが代理でセッション確立して云々っていうのは関係ないですよね?

654 :FG-2M:04/09/11 03:03:59 ID:???
>>649
FG300をチョイスした理由は?

655 :sage:04/09/11 10:25:18 ID:O50UjJ0u
>>694
もれは、Fortigateはあきらめた。FG300を買うぐらいなら、アラジンのeSafe
ttp://www.aladdin.co.jp/esafe/index.html
をおすすめするよ。
Varioセキュアルーターも悪くなさそうだが、ウィルスチェックは
メールだけだ。ファイヤウォールとして使わないならもったいなし。

656 :Fortigate:04/09/11 10:46:05 ID:???
スマソ
sage損ねた。


657 :anonymous@ 61-26-114-208.rev.home.ne.jp:04/09/11 11:48:06 ID:IltFQTsf
>>650
第2グループということは一般的にはSonicWALL、WatchGuardなどのほうが
信頼度があるということでしょうか。両方知りませんでした。調べてみます。
>>651
ASICベースでスループットが早いというのが売りみたいなので、興味を持ったのです。
>>654
会社の規模からそのくらいがいいのかと。あとは費用です。
>>655
アラジンのeSafeは聞いたことありますね。
ありがとうございます。

もう少ししらべなくちゃ。



658 :FG-2M:04/09/11 19:44:31 ID:???
>>657
まぁ第2グループはこなれてきた(枯れてきた)という所でしょうか。
HTTPのAntiVirusを動かすとHTTPが物凄く遅くなるから気をつけてね。
FG400でも30MBぐらいしか出なかったから。
ASICの割にはショートパケットの処理も遅い・・・

POPやSMTPならFG300ならそんなに気にならないんじゃないかな。

>>652
2.8MR4が出ましたか。
後で確認してみます。サンクス。

659 :anonymous:04/09/12 00:19:16 ID:???
>>657
いろいろあるよね。
WebShiledとか、Trustream SSGとか、SecureSoftとか、Astaro Linuxとかかな。
でも、どれも結構高いんだよねぇ。値段ならやっぱりFortigate?


660 :61 ◆FG200xXuLw :04/09/13 09:03:09 ID:???
2.8MR4適用したけど、うちの問題はまだFIXされてないや・・・
日本語GUIもまともになったみたいだから、これで日本でも正式リリースかな〜

MR3ではAVでDISKをバッファーに出来たけど、何やら問題があったのか
MR4では設定はあるけど動かなくなってますね、どうもしばらく凍結らしい

ログが見やすく整形されているのはGoodです

メモ終わり

661 :かけだし君:04/09/14 15:11:23 ID:pVkeMeXU
初心者で恐縮ですが、教えてください。
Fortigate100購入予定ですが、購入先の代理店に
よって、サポートの良し悪しがありますか。
よろしければ、いいとこ、やめたほうがいいとこ
などコッソリ教えていただけると嬉しいです。
正規代理店以外もインターネットで広告を見ますが、
そういう所で買うと、サポートはどこで受けるのですか。
又、IPSecでヤマハのRTX1000と接続実績のある方
おられますか。
以上、よろしくお願いいたします。

662 :損社長:04/09/14 21:48:25 ID:???
かけだし君、ぜひうちから買ってくれ。

663 :通りすがった者:04/09/14 22:38:17 ID:KmL/Z9p0
>>658
2.8MR3から上げてみました、snmpのおかしいのはそのままみたいですね。

664 :FG-2M:04/09/15 00:59:50 ID:???
>>661
Fortinet Japanが腐ってるからどこもそんなに大差ないんじゃない。
買ったことがあるのはNが付く2社から。
SBからは買ったこと無いから分からないけど。

RTX1000?普通に動くよ。RTX1500は来月借りる予定。
FGとの相互接続もやったことある(繋がる)けど、あくまでラボレベルでの話し。

FG200に2.5MR10入れたよ。
今の所無事?だけど、なんだかHDDが見えなくなったよ(T_T
Formatコマンドまで消えた!orz

665 :61 ◆FG200xXuLw :04/09/15 08:34:27 ID:???
>>661
損BBは、http://support.fortinet.com/のユーザIDくれないとか
サポートが・・・とか以前このスレで誰かが言ってましたよ、現在の状況は存じませんが
うちは商社経由(安かった)で買いましたが、サポートは図研さんです

666 :名無し:04/09/16 02:54:55 ID:???
>659

Jさん?

667 :名無しさん@お腹いっぱい。:04/09/18 01:34:41 ID:???
FG200って最大セッション数が40万だのと嘯いてるけどさ、
実際には、平均1000セッション越えた辺りから動作が不安定になる様に見えるんだけどウチだけ?
相変わらず激しくメモリリークしてるし、もう泣きそう。

668 :名無し:04/09/18 18:23:00 ID:???
>667

他の処理を全くさせない設定での数値でしょ>40万
ウイルススキャンとかのメモリ食い機能使ったら、ガタ落ちして
当然だわな。
ルールが増えただけでもスループット落ちるし。

カタログ読むときには注意しなきゃね。


669 :かけだし君:04/09/19 16:43:58 ID:TMdkZCzZ
FG-2M さん
◆FG200xXuLwさん
ありがとうございました。



670 : ◆JeYFCvvdow :04/09/20 22:50:06 ID:???
>>667
40万ってのはFW最大同時セッション数と書いてあったと思います。
FW機能だけを使ってそんなもんでしょうか?

某代理店が図研さんのパートナー会で、「用途が決まっていない場合FTG300以上にしましょう」
と、言っていたような気がします。
つまり、色々させる場合はFTG200ではちょっと弱いということですね。

671 :anonymous@ cts148007.cts-net.ne.jp:04/09/23 00:35:42 ID:1rfQZjv3
FG-200をMR9にて利用していますが2.5MR9以前にバグがあると本日メールが来ました。
スキャンエンジン1.31にバージョンアップされた今月の10日頃から
調子悪くなり、サーバー側の原因だとあれこれ調べましたが特定できず
打つ手がなくなった本日、タイムリーに? バグメールが来ました。
変な意味でうれしかったですね。  出来れば、もう少し早めに教えて欲しいですね。  
この7日間以上、綱渡りで運営していました。
2.5MR9以前の方は早急にMR10にバージョンアップすることをお勧めします。
セッションが常時5000を超えてるから限界なのかと冷えました。
AV機能が10分ほどロックされて、ローカルからもFGにアクセスできないくらいに
なります。 メール以外のFW機能はその間でも正常に動作してるようです。
今回だけは参りましたね・・・・

672 :anonymous@ ntoska080131.oska.nt.adsl.ppp.infoweb.ne.jp:04/09/23 00:51:26 ID:???
>>671
つかとっくにMR10でてただろ

673 :FG-2M:04/09/23 01:38:16 ID:???
>>671
ForitinetのSupportページはマメに見た方が良いよ。
アカウントを持っているんなら。

674 :名無し:04/09/23 02:08:43 ID:1rfQZjv3
>>672
しかしね・・・  ココでの皆さんのレポート参考にしていますよ。
そうじゃないと、新しいのが出たらすぐに入れるのは怖いですからね。
それほど安定していないって言う証拠かもしれないけど・・・
代理店からのメールを待つか、こちらのみなさんのレポートを参考に
MRの新しいものがでたときには慎重にしています。
サポートのメーリングリストに登録していますので、新しいMR情報等も
リアルタイムで入っていますが・・・

675 :_:04/09/23 09:35:26 ID:qRwU/gzi
SBのサポートページ・・
MR9のままなんですけど・・orz



676 :損BBは・・・:04/09/23 10:54:45 ID:???
ファームくれってメール汁。

677 :_:04/09/23 11:47:55 ID:qRwU/gzi
>>676
ありがとん

678 :anonymous:04/09/23 12:29:18 ID:???
>>671
うちは2.5MR5だったりしますが問題でてません
スキャンエンジンも1.31です
なにか条件があるのでしょうか?

Supportページ見れないです _| ̄|○

679 :anonymous:04/09/23 12:30:22 ID:???
おまけ

「ウイルス感染は社内ネットの幹で止めろ」と米フォーティネットCEO
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040922/150280/

同社は今後、日本市場に力を入れていくという。まもなく、日本国内に
サポート・センターを設立し、日本法人であるフォーティネットジャパン
の人員を倍増する予定だ。

680 :カズ:04/09/23 13:05:24 ID:1rfQZjv3
>>678
これはあくまでも予想ですが、ある程度のAVに負荷がかからないと
この症状は発生しないのではないでしょうか?
どちらにせよ、メンテ時にMR10にあげておいた方がいいかと思います。
ここの皆さんのレポートは非常に貴重ですので、毎日チェックしています。
私にとっては、どちらかというとサポート情報よりも重要だったりします。

681 :FGユザ:04/09/23 17:46:12 ID:???
2.8MR4でRBLを利用したスパムフィルタがうまく動作しません。

送信元アドレスがブラックリストにあるはずのサーバから例外なく
スパムを受け取ってしまいます。最終的にはスパムを破棄するのではなく
サブジェクトの書き換え"SPAM"追加を実行したいので、その様な設定もして
みましたがやはり書き換えはできませんでした。

同じスパムフィルタの禁止ワードは動作していますのでプロテクションプロファイルと
ext->intのファイアウォールポリシーの設定は問題ないと思います。
またtelnetでFGにログインしてRBLサーバ(dnsbl.sorbs.net、bl.spamcop.netなど)に
exec pingを実行し少なくともDNS問い合わせが出来ることも確認しています。
ポリシー、プロファイル、RBLリストの設定をいったん削除して追加したり
FGを再起動したりしましたがやはりだめでした。

どなたかこの機能が動作している方いらっしゃいますか?


682 :FG-2M:04/09/24 14:39:11 ID:???
>>671
こっちはそのメール今日来たよ。
来るの遅い!
MR10当ててる所と当てていない所がある・・・

683 :unknown:04/09/27 11:30:05 ID:???
>>678さん
>>680さんの言うように、ある程度まで負荷がかかると、
ウィルススキャンしているポートが接続不能になる現象がうちでも発生しました。2.5MR9。
MR10に上げるのは様子を見ていたのですが、このバージョンアップで
解消したらいいのだけど。。。

ちなみに繋がらない間は管理画面もhttps telnet などが動かない。
FG以下にあるスキャンしていないwebやメールサーバなんかは接続するのに問題ないようなんだけど。
やっと繋がったと思ってモニター見たら、大抵CPU使用率が90%超えてたりしないですか?

いつもこのスレ参考にさせてもらっているので、多少なりと情報提供を。

684 :anonymous:04/09/27 14:53:27 ID:???
週末に怪しげなサイトを閲覧したものがおりまして、クライアントのノートン先生が
JS.Exception.Exploit
MHTMLRedir.Exploit
Download.Ject
Trojan Horse
を次々と検出。
見事にトロイの木馬がダウンロードされちゃいました。
もちろんFortiGateでは検出ログなし
こんなもんですかね?


ほぼ同時刻に
JS/Exploit.DialogArg.B
はブロックされたのですが、どうもjavaスクリプト系の検出が弱い感じがします。
今のところsmtpは問題ないのですが。

ファームは2.5MR5です。

685 :FG-2M:04/09/27 15:31:28 ID:???
>>683
ちなみにお使いの機種は何ですか?
最近、書かない人が多いね・・・

確かに管理画面やssh,telnetが繋がらない(途中で切れる)事はあったよ。
2.5MR9以下で。
MR10を入れたFG200はHDDが逝っちゃったので現在確認出来ません。

686 :FG-2M:04/09/27 15:39:29 ID:???
>>684
大手と比べたらFGは見劣りするのは事実。過渡な期待をしちゃ駄目よ。
それからウィルス名やトロイの木馬はベンダーによって命名方法が違う
ので書かれても答えるのが難しいです。

Fortinetは確かにJavaScript系は弱いかも。
http://www.fortinet.com/VirusEncyclopedia/search/encyclopediaSearch.do?method=quickSearch&virusName=JS&QuickSearch=Search+Name&keyWords=

687 :FG-H:04/09/27 18:15:27 ID:2aTSFCOQ
お初です。

>>685
物理障害で無いなら、
特別イメージでの再フォーマットが必要かと思われ。




688 :FG-2M:04/09/27 21:05:03 ID:???
>>687
コマンドまで出なくなったのと、再起動するたびに見えたり見えなかったり
するので修理に出しました。(HW自体が不安定)


689 :anonymous@ 166.41.244.43.ap.yournet.ne.jp:04/09/28 13:06:51 ID:???
>>685
FG60ですよ。FG200もありますが、こちらは未確認です。
今度バージョンアップしてみるので、結果報告してみます。

690 :FG-2M:04/09/29 03:38:56 ID:???
>>689
今回の現象とは違うけど、Windows XPだとこんな事が起きるらしい。

3.2.23 GUI hang under Windows XPTM
Description: GUI hang under Microsoft Windows XPTM when using Internet ExplorerTM with option turned on to
refresh every time.
FortiGate Models Affected: All
Bug ID: 5002
Status: Fixed in MR10

691 :61 ◆FG200xXuLw :04/10/02 10:31:43 ID:???
2.8MR5が来てましたね

MR4から上げようと思ったら
「システム設定はデフォルトに戻されると同時に現在の設定はすべて消去されますが、よろしいですか ?」と
おっしゃる・・・、デフォルト設定がどうだったか忘れちゃったんで出なおしです。

692 :61 ◆FG200xXuLw :04/10/02 11:16:15 ID:???
MR5のリリースノートをよく見たら、前のバージョンはembedded RSA signatureを
扱えないからメッセージ出るけど問題ないって書いてあったわ

ひとまず、アップデートは正常終了
PPPoE(unnumberd)でのバーチャルIPの問題はまだ直ってない orz

693 :通りすがった者:04/10/02 12:46:05 ID:FzjULkzm
>>691
MR4→MR5では、設定はそのまま引き継がれるようです。
MR5→MR4にダウングレード?すると、設定が見事に吹っ飛びました。
snmpの値がおかしいのは相変わらずの様ですね。

694 :ys:04/10/02 19:50:17 ID:???
こんばんわ
 ysといいます 最近妙なイタズラメ-ルがケータイにきて困っています
個人のアドレスみたいなんですけどどうもそのアドレスがシッポを
つかまれないように本来のアドレスとは違うものにしているみたいなんです
メールの内容が明らかに自分をしっている人物のものなので
送り主が誰かをしりたいのであいての本当のアドレスを突き止める方法をしりたいです
誰か教えてください おねがいします

695 :FG-2M:04/10/03 03:00:11 ID:???
>>693
v2.5でもバージョンダウンすると設定は消えるよ。
確か仕様だった気がする。

696 :anonymous@ 219.163.143.98:04/10/04 19:31:19 ID:sED+1DzV
こんばんは
教えてください、
トランスペアレントモードでExternalとDMZを
同一ネットワーク
Internalをもうひとつネットワークの構成は組めるのでしょうか?
また全てIPアドレスひとつで
InternalだけセカンダリIPみたいな形は
取れるのでしょうか?

697 :-:04/10/04 21:42:26 ID:???
>>696
SonicwallからFortigateに変更というわけでつな。

698 :FG-H:04/10/05 12:24:33 ID:sqpU6czD
>>697
Fireboxかもよ・・。

>>696
Fortigateでは無理。
internal側にL3機器を置いて回避すれ・・。(NATデバイス)
FGはトランスペアレントね。





699 : ◆JeYFCvvdow :04/10/05 23:27:39 ID:???
詳しいことは忘れましたが、ftgでPPPoE接続の場合、WAN側とDMZ側の
IPアドレスを同じ(いや、WAN側がunnumberedだったかな?)にすることが
出来るので、既存の構成に近い形でリプレースできるかも。

700 :61 ◆FG200xXuLw :04/10/06 09:23:09 ID:???
>>699
うちはその構成で、Sonicwallからリプレースしました
IP8でExternalはunnumbered、DMZと同一ネットワークです
オペレーションモードはNAT/Routeにしています

現在2.8MR5を使ってますが、External-InternalのバーチャルIPが効きません
DMZ-InternalのバーチャルIPは問題なし
2.5MR9では問題なかったので早くFIXしてほしいです

701 :anonymous:04/10/06 12:32:55 ID:???
キタワーーーーーーーーーー
http://www.fortinet.co.jp/news/pr/2004/pr100604.html

702 :anonymous@ 219.163.143.98:04/10/06 13:29:49 ID:hb29hgKu
>>697さん
>>698さん
>>699さん
>>700さん
ありがとうございました。
ちなみにいまFireBoxでした。
2.8だとOKなるんでしょうか?

703 :anonymous@ p6e1317.kngwnt01.ap.so-net.ne.jp:04/10/07 02:30:46 ID:ijuckFpJ
>>682
Fortigateってどの販社から買ってますか?
差し支えなければ教えて頂きたいのですが・・・。

自分の所は、
 ・バグ情報
 ・OSアップデート情報
なんて一切来た事がなく、挙句の果てにFortinet.comでID登録しようとしたら、
販社の方で勝手にSerialが登録されてました・・・。

ちなみに、うちは商社系子会社から買ってしまいました。



704 :FG-2M:04/10/08 10:43:39 ID:???
>>703
NVCは登録書みたいなのを送ってきます。
これに記述して送り返すとfortinet.comのアカウント登録を代行してくれます。
アカウントは後日送られてきますよ。

もう1社はどうだったかな・・・

705 : ◆u3CudPDzYA :04/10/09 17:20:00 ID:???
>>703
商社系子会社ってどこ?

706 :anonymous@ YahooBB220009054125.bbtec.net:04/10/10 20:25:01 ID:???
さあForiGateユーザーのみなさん、
1、購入会社、値引率
2、サポート会社
3、サポートレベル(情報提供、ファーム提供、回答内容&レスポンス)
について報告しましょう。

707 :FG-2M:04/10/10 22:24:28 ID:???
>>706
そういうならまず貴方から報告してよ・・・
まだ買ったことがないでもいいからさ。

Fortinet Japanが腐ってるから販社のサポート力の差は気になるけど。

>>703
確かに気になるかも。
何処の商社系子会社ですか?

708 :-:04/10/11 00:58:53 ID:???
商社系子会社・・・。
俺、微妙に関係してるかも。ちょっと探り入れてみます。

709 :703:04/10/11 07:54:54 ID:???
>>704
情報ありがとです。
そか、fortinet.comのIDもらえる販社もあるのか。
このスレ読んでると、FortiOS自体にかなり問題がありそうなので、
IDもらえないと困るなぁ・・・。

>>705
Cから始まる会社っす。
(Fortinet JapanのWebにも載ってるはず)
補足だけど、OSのアップデートCDだけは、時折思い出したように
送ってくるです。


710 :708:04/10/11 23:58:17 ID:???
よかった。うちじゃなかった。

711 :61 ◆FG200xXuLw :04/10/12 11:33:30 ID:???
>>702
バーチャルIPの件ですか?
それなら、現在2.5ならOKで2.8はNGです

そういえば、2.8MR5リリースに伴ってドキュメント類も整備されてますね
v2.80_Configuration_Example_SOHO_1_June_2004.pdfのP17によると
うちで使ってる、FG200だとAVとIPS効かせて25-50ユーザ程度ですって
もう少し奮発して、FG300にしておけばよかった、、、orz

712 :anonymous@ ns02.noa.gr.jp:04/10/13 16:42:25 ID:???
FortiGate 100ですが、unnumberedとNATの併用ってできまつか?

713 :fushiana:04/10/15 11:14:06 ID:???
1が新スレ立ててからいつのまにやら1年経ってたんだねぇ

714 :61 ◆FG200xXuLw :04/10/15 11:25:54 ID:???
なんかNIDSがSoftEtherに対応してる

715 :anonymous:04/10/15 18:26:07 ID:???
参考になるなぁ、
伊藤君系列から買うとダメっと


716 :FG200:04/10/15 18:55:56 ID:???
winnyに対応してくれ.....

717 :ついでに:04/10/16 01:01:17 ID:???
損もダメです。

718 :カズ:04/10/16 08:55:08 ID:Awvil0zI
トラブルなので経験がある方は教えてください。

FG200でファーム等は最新版です。
まず、AV機能が全く利用できなくなり(外部からのメールをすべて拒否)
当然、内部からもだめ。
とりあえずAV機能を停止したところ、正常に受信できるようになりました。
しかし、ローカルからの管理画面へのアクセスが不能になりました。
コンソールからは試していません。

この状態で電源をOFF->ONすれば正常に動作するような気もするのですが
もし、今はなんとか動いている状態が、最悪な状態にならないか怖いので
動きが取れない状態です。

このような状態から復旧した経験がある方はぜひ、ご教授願います。


719 :61 ◆FG200xXuLw :04/10/16 09:04:43 ID:???
>>718
2.5MR9以前とAVエンジンv1.31の組み合わせで
件の問題が出るって以前メールが来てたけどそれとは別ですか?
解決策はMR10にしろってことでしたが

720 :カズ:04/10/16 13:41:23 ID:Awvil0zI
>719
ご返答ありがとうございます。
2.5MR10で運用中ですので、以前の症状ではありません。
MR9以前のトラブルでも苦労しました。(メール来るのが遅かったもので・・)

FG200がもう一台あるのですが、そちらも同じバージョンですが、
今回の症状は出ていませんので、個別のトラブルのようです。


721 :61 ◆FG200xXuLw :04/10/16 13:51:08 ID:bmuhfk+h
>>720
http://support.fortinet.com/forum/の何処かで似たような案件を読んだ事があるような気がします
役に立たなくてごめんなさい

722 :カズ:04/10/16 15:42:07 ID:tBSDZgf3
>>721
ありがとうございます。

とりあえず「telnet」でログインできるようですので「internal」から入り
「external」から「https」で入れるように変更しましたが、反応しません。

んん・・・  やはりシャットダウンしかないのか・・・?

Webインターフェースからアクセスできないのは非常に不安ですしAVも動いてない状態ですので
どうにかしたいです。


723 :anonymous@ p29742a.kngwnt01.ap.so-net.ne.jp:04/10/16 17:20:12 ID:???
>>718
2.5MR10にもバグがあるよ。
高負荷運用時に、AV機能(SMTP)が使用不能になるやつ。
元々、負荷が上がるとSMTPをRefusedする機能が付いているらしいのだが、
それが誤動作する模様。

ファームのbuild314で解決済みらしいから、販社に問い合わせてみるのが
よろしいかと。
あるいは11月末登場予定の2.5MR11まで待つか。

ファームのバージョンアップなしでの解決方法としては、
 ・なるべく低付加で運用するように工夫する
 ・現象が起きたら電源OFF/ONする
くらいしかないかも。

つーかさ、これって結構重大なバグだよねぇ。
何故販社はこれをアナウンスしないのかと小一時間(以下略


724 :カズ:04/10/16 19:26:34 ID:Awvil0zI
>>723
貴重な情報ありがとうございます。

やはり、バグでしたか・・・  突然、症状が出ましたからね。
FG200から300へのグレードアップを考えないとだめなんでしょうね。
前回も負荷が上がってからでた症状です。
今回も負荷が上がってからの症状。  なんか、fortigateファンだったんですが
がっかりですね。

しかし、情報ありがとうございました。  電源OFF/ONします。


725 :723:04/10/17 01:25:15 ID:???
>>724
Fortigate本体をアップグレードしても、状況は変わらないかと。
バグだし。
うちでも恐らく同じと思われる現象が発生したんだけど、その時は、CPU:70%、
メモリ15%程度だったし。
 
って言うか、CPU負荷常時70%程度で、サポートには「負荷高いですね」って
言われたんだけど・・・。
Fortigateって初めて使ったんだけど、この程度で高負荷なの?


726 :anonymous@ FLH1Aaq114.kng.mesh.ad.jp:04/10/17 01:32:22 ID:txKi69LT
>>725

>CPU負荷常時70%程度 (一部省略)
>この程度で高負荷なの?

Fortigateに限らず、高杉。常時なら異常な負荷状態にある。

私見だが、
何かの処理が、あいているCPUを無駄に食いつぶしているバグかと。
CPUがはやくなっても、無駄な処理が増えるだけで、
負荷状態は変わらないのではないかと思う


727 :そうすると:04/10/17 09:46:31 ID:???
2.5MR11を待つのと2.8への移行はどちらがよさそうですか。
2.8MR6が狙い目ですか。

728 :FG-2M:04/10/17 21:25:13 ID:???
>>727
やりたい事にもよると思いますが。

さて、旅行から帰ってきたので明日から復活です。
CPU負荷率が話題になっているようなので、修理から戻ってきたFG200を付けてみて
同じ事が起こったら報告します。(今月中につけるのは多分無理かな)

729 :61 ◆FG200xXuLw :04/10/18 10:30:20 ID:XJxedec/
>>723
CLIでtopして、当該プロセスkillじゃ駄目かな?

そういえばサポートサイトに、100A〜500Aなんて新機種名が出てますね

730 : ◆u3CudPDzYA :04/10/18 21:31:32 ID:???
>>728
Ver2.5とVer2.8って何が違うの?
やりたい事ってなんですか?

731 :やりたいことって:04/10/18 22:51:06 ID:???
まずは搭載されてる機能が正しく動作し安定稼動することかな。
その上でどの機能を使うかって話だと思うのだが。

732 :FG-2M:04/10/19 16:59:25 ID:???
>>730
逆に質問されてもね・・・
私は貴方がFortiGateにどういう仕事をさせたいのか知らないので
答えようがありません。

お付き合いしてる販社に聞いてください(違い)
ここじゃ書ききれないので。

733 : :04/10/19 19:27:25 ID:???
fortigate300

約20000セッション、トラフィック10〜15MbpsでCPU負荷80〜95%をいったりきたり。
アンチウイルス無し、FW機能のみ。

このあたりが限界かな。

734 :723:04/10/20 01:48:56 ID:???
>>726
そか、そう言うものなんですか・・・。
うちにあるサーバ/ストレージ(NAS)類って、ほとんど常時CPU使用率70%以上
なんで、そう言うものかと思ってました。

2.5MR11が出たら入れてみるか・・・。
デグレードしてたら困るけど。

>>729
うちでこのバグの現象が出た時は、Web(GUI)は操作可能だけど、CLIからは
ログインすら出来ませんでした。
ただ、GUIから再起動かけても反応なかったので、UIが見れてただけかもし
れないけど。


735 :カズ:04/10/20 18:39:40 ID:9thm8Mjr
今回の台風のおかげで?  電源off/onできる機会がありました。
現在はAV機能も使えるようにして、何事もなかったように動いています。
CPU使用率は10% セッション8500ですが、これが突然70%を越えて
バグが出るようです。
しばらく監視します。  代理店にも投げていますので何らかのフォローが
あるかと思います。

736 :Forti使えますか?:04/10/21 01:32:47 ID:IEVXAsUo
販社より、このスレ住人の方が詳しそう。
というわけでエロい人教えてください。

えっと想定している用途とか環境が
1.クライアント数20台
2.使用機能Firewall+AntiVirus(10MBまでスキャン、以上スルー)
3.想定機種Forti100(HDD無い方が良いかなと思っただけ)
4.動作モードは今のところプロキシモード(NAT使うと思う)

で、望んでいる事が
5-1.Firewallはある程度普通に動いて欲しい。
NAT(NAPT)、フィルタ、ログ(SYSLOG)、GUIによる設定
ダイジョブ or ダメダメ?
多少のやんちゃは目つぶります。

5-2.AntiVirus(HTTP+SMTP&POP)
だいたいでおk(クライアントはノートン先生導入)
ただ、URLや拡張子でスキャンしないというフィルタは
を書きたい。出来ますか?
(260前後見る限りURLは逝けそうだとわかったんだが)

5-3.ウイルスパターンの自動アップデート
「プロキシ」経由で更新出来たらウレシイ。出来ますか?
出来なければ構成変更考えるから必須では無いけど。

長文スマソ

737 :Forti使えますか:04/10/21 17:50:23 ID:IEVXAsUo
自己レス
串以外は問題無い事わかったんで逝ってみます。

738 :FG60 user:04/10/21 23:30:50 ID:???
>>737
FG60ユーザーですが、串は問題ないです。
WebUIでは設定できないかも知れませんが、
telnet後のコマンドで設定可能です。

739 :Forti使えますか?:04/10/22 09:08:54 ID:???
>>738
おおっ、そうなのか。
それは良いことを聞いたよ。感謝!感謝!

740 :61 ◆FG200xXuLw :04/10/22 10:33:37 ID:MUZ4EIJD
>>736
もう少しすると後継機が出そうな気配だから
急ぎじゃないなら買い控えたほうがいいかも

741 :Forti使えますか:04/10/23 00:11:47 ID:???
えっ、そうなの?
じゃあ、予算だけ確保して発注は少しの間待つのが賢いかな。

>>740
もしかしてメーカーかベンダーの人ですか?

742 :anonymous@ p8485dd.osaknt01.ap.so-net.ne.jp:04/10/23 12:41:07 ID:wkVlVF7f
すみません、こちら詳しい方多そうなので質問させて下さい
PPPOEを2セッションはって片側はインターネット、
もう一方はフレッツグループでVPNという構成をとりたいのですが
forti60で可能でしょうか?

743 :ごーと:04/10/24 22:52:41 ID:???
結局南極、放置ゲートって、どうなわけさ!?
Firewall+GWでのVirusScan
(他人様へ迷惑をかけないための外へのsmtp+webmail対策で外からのhttp)
とした時にいいのか、悪いのか?
バグだらけで、ろくにサポートしないんじゃ、カタログスペックよくても
どうしようもないんだけど。。。

744 :カズ:04/10/25 00:22:33 ID:CPMR3l0V
私が購入している販売店はサポートはいいですよ。
真剣やっていただいています。
買う前に、ここに質問するようなことをいろいろと聞いてみて
その反応を探ってみて決めるといいかもしれませんね。

ちなみに、私が書いている不具合も対応している?ファームをとりあえず
提供していただきました。 
MR11がでるまで待てないので、次のメンテのときに入れてみますが・・・
当然、結果はこちらの責任でしょうけど、今よりはいいかと・・・

ちなみに販売店は孫さんグループです。

バグ等のアナウンスは日本の代理店から出るのが遅いでしょうから
ここの掲示板で投げてみると詳しい方が多いので貴重な情報を得ることができます。
いつもチェックして感謝しています。



745 :-:04/10/25 00:33:53 ID:???
孫サソとこのサポートって良いのか?
俺にバグのエスカレーションされる前にバグ出ししてくれるのだったら
乗り換えるぞ。


746 :723:04/10/25 02:32:26 ID:???
>>744
えと、build314のファームの事であれば、サポートは受けれるはずです。
Fortinet Japanと販社からはその様に確約を取り付けてます。
ので、自己責任と言う事はないかと・・・。


747 :カズ:04/10/25 09:37:27 ID:2owIH82G
>>746
情報ありがとうございます。
build314ではなく316のファームをいただいています。
314でも私の症状は解決できていないと聞いています。

実際に314のファームで動かしている方はいるのかな?
316でなおっているといいんですが、電源off/onしてから
299のファームでも今のところ異常は出ていませんが、突然ですからね。
とりあえず316を今週末に入れる予定です。
もし、すでに導入済みで直っていないという情報があれば教えてください。


748 :61 ◆FG200xXuLw :04/10/25 10:00:46 ID:t6QidIcB
>>741
私はFG関係の人じゃありません、ただのユーザです
サポートサイトの方に新機種名が出ていたのであくまで近いうちに出てくるんだろうという憶測です

ところで、2.8って正式リリースされたんでしょうか?
前に問題あるからベータファーム頂けませんってサポートにメールしたら無視されたんだよねぇ〜

749 :FG-2M:04/10/25 13:03:24 ID:???
ImpressにFortiGate-Aシリーズなるものがちょっと載ってましたよ。
実機らしき画像も。



750 :FG-2M:04/10/25 13:05:14 ID:???
>>742
やったことないなぁ。
実機はここにあるけど・・・

751 :61 ◆FG200xXuLw :04/10/25 14:06:04 ID:t6QidIcB
>>749
これですね
http://enterprise.watch.impress.co.jp/cda/topic/2004/10/25/3694.html
上に乗ってるのは何だろ?
下はLCDとか付いている所を見ると、FG-300Aあたりですかね

そういえば、サポートの方にはAシリーズ用のファームも上がっていました
リリースノートを少し見てみたところ、パフォーマンスアップとポートを増やしたって書いてありました

752 :61 ◆FG200xXuLw :04/10/25 14:17:47 ID:t6QidIcB
画像拡大したら、FG-100AとFG-300Aって書いてありましね

753 : ◆0EJSkWyUSA :04/10/26 01:34:35 ID:???
ベンダーに2.8はサポート外だって言われたよ。


754 :61 ◆FG200xXuLw :04/10/26 09:01:40 ID:5Ylm6eqL
>>753
まだ、サポート外なんですか、、、

http://www.fortinet.com/にFG-Aのプレスリリース・カタログ等が掲載されましたね
受注開始してて、11月中旬から出荷開始とのこと

気になる仕様だけど200Aを見てみると、インターフェース周りが結構増えてますね
4 port switch/2 DMZ ports/2 WAN ports(ISPのクラスタリング・冗長構成)/2 USB ports/LCD+Keypad
200だと標準装備だったHDDがオプションになってます

スループットの方は、Firewall throughput (Mbps)が、150(200A)/120(200)で1.25倍
168-bit Triple-DES throughput (Mbps)が、70/50で1.4倍
Antivirus throughput (Mbps)が32となってますね

755 :FG-2M:04/10/26 11:20:25 ID:???
>>754
さすがに2倍!とは行きませんか。やっぱり。
FortinetのマイナーチェンジはAとかBとか付けていくんですかね?
分かり易いような分かり難いような・・・

v2.8ってサポート対象外だったんだ。知らなかったorz


756 :anonymous:04/10/26 18:20:42 ID:???
プレスリリース読むとAシリーズは最初から2.8が載ってるっぽいようなこと書いてありますね
これでサポート外ってことはないでしょう?

757 :FG-2M:04/10/26 19:46:39 ID:???
>>756
2.8正式サポートのタイミングがAシリーズ発売ということでは?

758 :723:04/10/26 22:26:36 ID:???
>>747
build314だったら、うちで稼動中です。
適用してから2週間近く経っていますが、特に問題ないです。
>723の問題が出て、サポートに依頼して出てきたのがbuild314でした。

>>753
2.8に関しては、うちの場合はサポート外以前に、「日本では存在していないない事
になっている」と言われました。
担当曰く、「確かにfortinet.comからダウンロードは可能な様だが、Fortinet Japan
から渡されていないので、こちらもお渡しできない」と言う旨の返事をもらってます。

ので、「日本国内の販社ではサポートが開始されていない」と言う事ではないかと。
2.8自体が今現在どういう位置付けなのかも、本家のサポートページが見れないの
で分からないわけですが・・・。


759 :& ◆9BilEU6Lj2 :04/10/26 23:18:28 ID:???
>> 754
MR4の時点では販社に問い合わせたら「サポート外」との返答でした。

>> 757
最初から載っていたらサポートするしかないですからね。

>> 758
> 2.8に関しては、うちの場合はサポート外以前に、「日本では存在していないない事
になっている」と言われました。

MR4が出ていた時点では、Fortinetの日本法人がサポートしてくれないのでサポート外と言われました。
MR5が出てからは聞いていませんが、Fortinetの日本語ページにも2.8のリリースの件は書かれていますからどうなんでしょう?

760 :anonymous@ eatkyo103243.adsl.ppp.infoweb.ne.jp:04/10/27 07:46:45 ID:???
Fortinet、パフォーマンスを大幅強化した「FortiGate Aシリーズ」発表
http://www.itmedia.co.jp/enterprise/articles/0410/26/news102.html

特徴は、従来機種に比べ2倍以上という高いパフォーマンスを実現すること。
これにより、VoIPやWebアプリケーションなど、
遅延に厳しいアプリケーションについても安全かつリアルタイムに処理を行えるという。

また新ファームウェアの「FortiOS 2.8」では、
未知のウイルスに対処すべくヒューリスティック技術がサポートされたほか、
アンチスパム機能が搭載されている。

761 :anonymous:04/10/27 18:17:33 ID:???
ヒューリスティック技術ってノートン使ってていままで活躍したことないんだよなぁ
たいていそのまま感染しちゃう

762 :759:04/10/27 22:36:05 ID:???
>> 761
NOD32のはちゃんと機能しましたよ。

763 :762:04/10/28 21:48:25 ID:???
>>758
販社に聞いたら、今度出るA付きモデルからは2.8が載ってしまうので、2.8も現時点でサポート対象との事です。
ただ問題がある事と、回答などのレスポンスが鈍いという事は言われました。

764 :FG300:04/10/29 12:34:04 ID:???
買って半年してないんですが....
無償アップグレードお願いします

765 :FG-2M:04/10/29 15:36:30 ID:???
>>764
そんな事は良くあることです・・・ここで言われも(T_T
無償は無理だろうなぁ。っというか、アップグレードキャンペーンをやるんだろう
か?やらないだろうなぁ。

766 :FG300:04/10/29 19:10:22 ID:???
みなさんもBagle 亜種祭り中ですか?

767 : :04/10/30 02:14:30 ID:???
>>766
ATにはまだ対応してないの?月曜、祭り状態だったらやだな

768 :FG-2M:04/10/31 00:08:54 ID:???
>>767
Fortinetのサイトを見た方が良いよ。
BAGLE.ATはトレンドが付けた名前だからFortinetが同じ名前を付けるとは限らないし。

http://www.fortinet.com/VirusEncyclopedia/search/encyclopediaSearch.do?method=viewVirusDetailsInfo&fid=1835

769 : ◆JeYFCvvdow :04/10/31 00:42:41 ID:???
FTGにBagleらしきものが引っかかった時のログの一部です。
virus="Suspicious" msg="The file price.com is infected with Suspicious. ref http://www.fortinet.com/VirusEncyclopedia/search/encyclopediaSearch.do?method=quickSearchDirectly&virusName=Suspicious."

あってるのだろうか?

770 :767:04/10/31 01:00:01 ID:???
>>768
どうもです。こんなページあったんですね。
いまさらだけど、けっこうスルーしてくれること多いですね>fortigate
GWに他のいれるのも許してくれそうにないしなあ


771 :FG-H:04/10/31 14:27:59 ID:MsW59OIB
FortiOS2.8MR5、まだバグ多い。
AシリーズにはMR6が載ってきそうな予感。
Aは2.5では動かない予感。
既出だが200A〜500Aは、HDD無し/有りモデルとなる。

Fortiguard(カテゴリブロック)のレポート機能はHDD無いと使えないから
注意すれ。


772 :あぼーん:あぼーん
あぼーん

773 :763:04/11/01 15:14:25 ID:???
>>771
Aでは2.8しか動かないような事を販社のサポートの人がいってましたよ。

774 :anonymous:04/11/01 17:57:37 ID:???
値段わからないけどこれかなりFortiと競合するね
帯域ライセンスだし
http://enterprise.watch.impress.co.jp/cda/security/2004/11/01/3769.html

775 :?:04/11/01 22:25:28 ID:???
SGS5400の方だと思うが。

776 :名無し:04/11/03 14:40:04 ID:7bZ+spa4
Fortigate1000をHA構成で使ってます。
OSは2.65/MR6です。AntiVirusとIDS機能も使用。

急に外部との通信が重くなったので、ActiveとStand-byを切り替えたら
無事復旧しました。

debugデータを取って販社に送ったら、OSの不具合なので、至急MR10
にあげろって言われたのですが、2.65/MR10って安定してますかね?



777 :2.65?:04/11/03 22:56:44 ID:???
何を使っても大差ないないよ。
今のところ放置門に安定性を求めるのはむり。
とりあえずは2.5MR10にあげてMR11を待つのがよさそう。
可能であれば定期的に再起動するのがよさげ。

778 :FG-2M:04/11/08 16:51:16 ID:???
>>776
MR6よりはMR10の方が安定してますよ。
FG60/FG200の場合ですが。

2.65!?
サポートを見ても見当たらないんですが・・・

779 :773:04/11/09 08:18:37 ID:???
2.8のMIBが公開されていますね

780 :anonymous@ ktc158040.tmtv.ne.jp:04/11/11 22:54:29 ID:7VJ3YgBH
FortiManagerって使った事ありますか?
FG60Aを多数導入して集中管理しようと思っているんですが、
FG60のNetworkはInternetに接続出来ません。
AVのパターンファイルもFortiManagerから取得しようと思って
います。できますよね?
どなたかご存知でしたら教えて下さい。

781 :FG-2M:04/11/12 02:54:10 ID:???
>>780
多分使ったことがある人って皆無に近いんじゃないかと。

>FG60のNetworkはInternetに接続出来ません
パターンファイルのアップデートが出来ないって事?
ちなみに使っているファームのバージョンは?(Bug有りのような気が)
証明書の期限切れバージョンだったりして・・・


782 :61 ◆FG200xXuLw :04/11/12 08:16:37 ID:YMppdaaV
>>780
これからFGを導入されるんですか?
ならば、それなりの案件でしょうから代理店等に一度コンサルしてもらったらいかがですか?

783 :fushiana:04/11/12 15:46:46 ID:???
2.6MR10でWeb Content Blockに ”キボーン”をBanned Wordで登録したら
ttp://nikkeibp.jp/wcs/leaf/CID/onair/jp/it/343060 が見えなくなった・・・orz

もういや。。。

784 :FGユザ:04/11/14 11:09:11 ID:???
2.8MR6きましたね。
今現在リリースノートはないですが。

785 :FG-2M:04/11/15 09:15:30 ID:???
2.6って何・・・

>>784
確かにリリースノートが無いですね。
Release-notes-available-soonっていう0バイトのファイルがある。

786 :fushiana:04/11/15 11:37:40 ID:???
>>785

2.5MR10の誤りでした。

787 :FG-2M:04/11/15 17:29:42 ID:???
確かにキボーンでそのサイトがブロックされた。
何だこれ・・・



788 :fushiana:04/11/16 06:58:46 ID:???
>>787

あと、ヤフやググルで3つの単語を半角スペースで区切って検索すると
結構な確率でblockされます。

FG程度の機能でよいから高品質な製品ってないのかな。
価格はもうちょっと上がっても仕方ないから。




789 :61 ◆FG200xXuLw :04/11/16 11:50:58 ID:gsukiIBd
>>784
2.8MR6を入れてみました

PPPoE unnumberedのVIPの件他は相変わらず直ってない・・・
今は2.8もサポート対象になっているようなので改めてサポートに投げてみます

何故かウイルスメールとかがスルーになっていたので調べてみたら
プロテクションプロファイルのアンチウイルスのチェックが全て外れてる
勘弁してくださいよ・・・チェックする方にリセットするならともかくスルーさせるのは論外じゃないですか?

790 :FG-2M:04/11/16 20:28:16 ID:???
>>788
なるほど。
いったいどういうロジックになっているんだろう?

赤箱でのコンテンツフィルターも誤爆が多かったからなぁ。
特にバーチャルホストの時なんて酷かったよ。

ん・・・価格的には結構上がるんじゃないかな。他製品だと。

>>789
またおかしな変更が加えられていますね・・・
発想的には逆と私も思いますよ。
ノーガードっていうのはちょっと頂けない。

791 :61 ◆FG200xXuLw :04/11/17 11:54:29 ID:OZhJuHKS
2.8MR6バサッと消されてるよ
次のビルドは現地時間19日だってさ

792 :61 ◆FG200xXuLw :04/11/17 14:05:27 ID:HZblIvX8
いつの間にか、Fortinet Knowledge Center (beta)ってのが出来てますね
URL晒しても問題ない?中の人

793 :61 ◆FG200xXuLw :04/11/17 14:15:51 ID:FP4NAk3m
こっちは、Fortinet Technical Discussion Forumにいる人のunofficial knowledgebase
http://www.sharegreymatter.com/

794 :61 ◆FG200xXuLw :04/11/17 14:27:33 ID:OZhJuHKS
>>788
FortiGateと機能・価格面で競合するのはこれでしょうかね
日本で買える物(サポートも含めて)なのかは存じません
http://www.servgate.com/

795 :61 ◆FG200xXuLw :04/11/20 08:37:23 ID:aBOYxrVW
2.8MR6(Build292)がリリースノート付で来てますね

796 :anonymous@ proxy.sopia.or.jp:04/11/20 10:06:05 ID:???
メールサーバに設置して、AntiVirus機能だけ利用しようと考えているのですが、
安定性はどんな感じでしょうか?

レンタルサーバの無料ウイルスチェックに利用してるところもあるようなので、
結構良い感じなのでしょうか?

現在は、Amavis+Sophosで運営していて特に問題は発生していないのですが、
Fortigateは、ユーザ数に制限が無いようなので、凄く魅力的に思えます。

SMTPのAntiVirusに特化したFortigateとかは無いですよね?

797 :anonymous:04/11/20 11:27:01 ID:???
>>796
たまに再起動は必要かもね。
気になるんなら検証機借りてみれば?

798 :61 ◆FG200xXuLw :04/11/20 11:50:27 ID:zPyFYfm4
>>796
> SMTPのAntiVirusに特化したFortigateとかは無いですよね?
まあ、ALL in Oneが売りな訳ですので
導入するとすれば、メールサーバの前にFGを繋げてトランスペアレントモードにして
SMTPのAVだけ有効にするって感じでしょうか

GUIのデモだけですが、http://www.fortinet.com/demo/を見てみては

今度はFG-60Mつう新機種が出るようですね、Knowledge Center見てたら
これのマニュアルが出てきましたよ

799 :796:04/11/20 14:57:15 ID:???
>>797
>>798
ありがとうございます。
デモ確認致しました。SPAMフィルターもあっていい感じですね。

800 : :04/11/20 19:52:42 ID:???
Netscreen-5GT(AV付)とFG-50A、性能的、コスト(アップデート等の
保守費込)的にはどちらがお勧めですか?

801 :anonymous@ ktc158040.tmtv.ne.jp:04/11/20 21:58:46 ID:???
>>796
AVだけで使ってるけど、パターンファイルの対象ウィルスの数が少な目で
ちょっと不安かな?
本来はIDSの機能とセットと使ってFullのAV機能になるらしい?
公開されているスル−プットはFirewall時のもので、AV機能を使った場合
はその半分って説明会で言ってた。だから、AV+IDSにするのがちょっと
怖い・・・。最新?機のAシリーズなら問題ないのかな?
良くわからん。

802 :anonymous@ ktc158040.tmtv.ne.jp:04/11/20 22:01:36 ID:???
>>800

803 ::04/11/20 22:02:35 ID:???
>>800

804 :anonymous@ z210.219-103-198.ppp.wakwak.ne.jp:04/11/23 03:45:25 ID:???
>794

あまりに使えない、売れないからって、某社が、F-Secure入れた
あぷらいあんすにして売ってたぐらいの製品。
不良在庫処分特価だったよ。

805 :anonymous@ SKNfb-02p2-171.ppp11.odn.ad.jp:04/11/23 11:04:21 ID:???
上位回線50Mくらいの弱小プロバイダ。
Fortigate300をISPの基幹に入れたらどうでつか?
SMTPのAVだけ有効にして、
「うちのネットワークはウイルス通さないよ〜」って。
ユーザいやがるかな。。

806 : :04/11/23 11:53:53 ID:???
Fortigateを自宅で使ってる人っているのかな?
50ぐらいなら個人でも導入できそうな価格帯だけど。

807 :F-G400:04/11/23 15:25:39 ID:???
ちょっとお聞きしたいのですが・・・
FORTIGATE-400を利用したところ下記症状がでて悩んでいます。
ファームウェアは2.5MR10です。

・セッションを張りっぱなしにするアプリケーション使用時に、セッションが400で切断され
アプリケーションの利用ができない(アプリケーションは通信エラーとなり終了する)
(大体2時間以内に上記現象がおき、その後はアプリケーションを立ち上げなおしても
クライアント端末を変更しても接続できない状態が続きます)

400の動作モードはトランスペアレントモードでAntiVirusをはじめフィルタリングなど一切
利用していません。

無論セッション保持時間はデフォルトの300秒から21600に変更しています。
負荷が高いかと思ってモニタリングしてみましたが最大セッション数が4千、CPU負荷率は
10%未満で推移していました。

ソフトウェアの改良や代替できるものがあればいいのですが諸事情により利用している
ソフトウェアに手を入れたり変更したりすることができない状況です。

ファームウェアを2.8に変更すれば問題なくなるでしょうか?それともこの現象は回避できない
のでしょうか?またほかに何か見落としている設定項目などがあるのでしょうか?

ご教授いただけましたら幸いです。

808 :61 ◆FG200xXuLw :04/11/24 09:04:52 ID:sCbFxNYl
2.8MR6でサポートされた以下のコマンド投入したら
PPPoE Unnumberedの設定変更等のエラーが出なくなった
ExternalのUnnumbered IPに対しては、Internal IPにポートフォワードは出来るようになった
MR7でさらにFIXされるようだから、ようやく2.5MR10当時の環境に戻れそう、ここまで長かった

How to configure the FortiGate to allow the secondary IPs to overlap the primary IP
Starting in 2.80 MR6, it is possible for the secondary IPs to belong to the same subnet as the primary IP on that interface.

To enable overlapping, configure as follows:

config sys global
(global)# set allow-interface-subnet-overlap enable
(global)#

809 :FG-2M:04/11/24 16:13:27 ID:???
>>807
似たような事が起こった事があるので書いておきます。
セッション保持時間を延ばしただけでは対処できない場合は、そのプロトコルとサーバを
指定した専用ポリシーを作ってみてください。
このポリシーはなるべく先頭に設定方が良いです。
#引っ掛ける順序を上げる。

例えばそのプロトコルがhttpでanyで引っ掛けたつもりでも切れる事があります。
#何故かは分かりませんが保持時間と合わせてうまく行った。


810 :FG-2M:04/11/24 16:15:50 ID:???
>>805
その構成でやっている所は既に幾つかあるが・・・
Gatewayに近い位置に置いている所もあれば、メールサーバの前に置いている
所も。

811 :805:04/11/24 22:11:35 ID:???
>810
むむむ。そうなんですか。
導入したらユーザからメールが使えなくなったぞ〜。ヾ(`д')ノ
とか、いわれないかな。。
結構不安。。

812 :FG-2M:04/11/24 23:49:23 ID:???
>>811
ん・・・メールが使えなくなったとは聞いた事はないかな。
あくまで担当レベルだけどね。
デフォルトではAntiVirusのチェックに引っかかった時はそのメールは隔離されて
ユーザには届かないよ。
そういった意味では使えないと誤解される可能性はあるかも。
駆除してメッセージを送信する為にはコマンドを入れないと駄目みたい。
#v2.5の時の話しです。v2.8は分からないです。

エンドユーザでも何件か社内でトランスペアレントな構成に入れてもそういうのは
無かった。(タイムアウトしたりする事は稀にあったりするけど<--outlook)

813 :anonymous@ ktc158040.tmtv.ne.jp:04/11/26 02:05:44 ID:???
>807
普通にスマートクライアントからIIS上のWeb Serviceに
繋いでいるAPLを使ってます。
やばいのかな〜
FG200で安いし、AVだけなら簡単設定と思ってるん
ですが・・・
IPSとかも使ってますか?

814 :FG200:04/11/26 11:50:41 ID:???
ある特定のドメインからのみメールが届かなくなってしまった
という現象が発生しています(今も)。

FG200を外部向ルータとファイアウォールの間に設置し
トランスペアレントモードでSMTPのみウィルススキャンしてる
だけなんですが・・・・。v2.5 MR10を入れても現象は回避できませんでした。

今の2、3のドメインのみ発覚しているのですが
実はもっとあるのかも・・・怖いです。

こんな現象が発生されてる方で回避できた!って方がいらっしゃいませんか?








815 :61 ◆FG200xXuLw :04/11/26 13:58:22 ID:19a0efxs
>>814
NIDS/IPSは無効にしてますか?
有効なら何かに引っかかってるとか

まずはログとにらめっこがんばってください

816 :ななし:04/11/26 19:24:07 ID:FUT4Y5nm
>>814 
僕が使っているFG200でも同じ現象が起きました。
遅れないドメインは、マスターMXが死んでいる
(もしくはsmtp応答してくれない)ドメインみたいです。
通常はこれらのドメインへはセカンダリーMXへ送信するはずですが、
FG200が代理応答をしているため、メールサーバから見た場合、
マスターMXが生きているように見えるようです。このため、メール
サーバは何度も(繋がらない)マスターMXへメールを送信しようと
しているようです。

 回避策としては、アンチウィルスを切るか、Fortigateの前に
メールサーバをもってくるしかないようです。


817 :こんなのありました:04/11/29 14:29:29 ID:???
セキュリティベンダーのフォーティネット日本法人、2次店へのサポート体制も確立するなどパートナー対策強化
http://itpro.nikkeibp.co.jp/free/WAT/NEWS/20041126/1/

フォーティネットジャパンの2004年12月期の売上高は、日本法人を設立した昨年の約3倍となる見通し。
間接販売の強化などで「2005年の売上高は2004年の2倍を目指す」と遠藤社長は意気込む。

818 :816 :04/11/29 16:05:21 ID:CaFkycQq
ちなみに、うちの構成は下記のような感じ

[インターネット]--[f/w]--[fortigate200]----[中継サーバ]
                |--[メールサーバ]

これで814と同じ現象がおきた。
F/Wの外側と内側、中継サーバでTCPDUMP取ったところ、
F/Wの外と内では [syn][syn][syn][syn][syn][syn]ってなっているけど、
中継サーバでは、 [syn][syn+ack][ack(1)][ack(2)][F]となっていた。
メーカ(代理店)に確認したら、やっぱりFortigate200が代理応答していた。
→AntiVirusのアプライアンスの宿命みたいな仕様だそうです。




819 :816:04/11/29 16:20:34 ID:CaFkycQq
(−−;A
・・・・図がずれた。
メールサーバと中継サーバは同じ位置です。

[中継サーバ]-------[fortigate200]--[f/w]--[インターネット]
[メールサーバ]--|

が正しい図です。

820 :805:04/11/29 16:53:22 ID:???
うーん。SMTPで接続できない可能性。。。
これ、ISP事業で利用するのってすげー危険じゃ!?
ISPで利用してるしとクレームきてない?(′д`;)

上位回線の直下につけてユーザのSMTP通信全部保護しようと
考えてるんだけど、ありがた迷惑になりそうなところが心配。
そんな事例ってないですか? >中の人


>811
レス遅れてもうしわけないです。
やっぱ、自社とかのセキュリティに使うような用途っぽいっすね。
自分とこのSMTPサーバの保護だけ考えた使いかただとOKな感じっすね。



821 ::04/11/29 20:28:49 ID:???
>>820
やるのは構わないと思うけど全ユーザの合意とらないといけないのできびしいかと
下手にやると検閲になりかねん


822 :anonymous@ ktc158040.tmtv.ne.jp:04/11/30 01:32:38 ID:???
普通にAntiVirusだけやろうと思ってたら、フォルダー共有とか、
SlamerとかのVirsuはIPS機能も会わせて定義しないとAVの
効果は全く無いとの事。
でもIPSをとAVを同時に使用するとパフォーマンスがSpecに
あるVPN(3DES)の半分以下になるらしいです。
って事を聞きました。
AVとIPSを同時に使っている方はいらっしゃいますか?
内部LANにInlineで使おうとPlanしていたんだけど・・・。
やっぱり安かろう・・・でうかね。

823 :816:04/11/30 10:49:43 ID:RiVid1NW
>>814
さらに対策を調査したよ。
internal→externalのアンチウィルスをはずせば、とりあえず問題は解決するみたい。
※external→internalはアンチウィルスしても問題なし。

この使用だと、内側からはウィルス流し放題になるのが痛いけどね。


824 :FG-2M:04/12/02 14:35:45 ID:???
FG-200Aが借りられるかもしれない。
スループットとかを図れるチャンスだ!
期待してないけど・・・

825 :anonymous@ usen-221x116x170x42.ap-US01.usen.ad.jp:04/12/02 23:27:07 ID:???
>>823
もしかして・・・



826 :anonymous@ usen-221x116x170x42.ap-US01.usen.ad.jp:04/12/02 23:34:17 ID:???
>>823
仕様ですとか言われるわけですか?
状況的にバグのような・・・。


827 :anonymous@ q033065.ppp.asahi-net.or.jp:04/12/03 00:24:43 ID:???
>>826
他のFirewallでも発生することありえる現象だからねぇ。

828 :723:04/12/03 00:28:51 ID:???
>>826
うちも同じ内容で問い合わせた。
さすがに「仕様です」とは言わなかったが、ニュアンスとしてそれに近いものがあった。
取り敢えず、現行のファームでは無理との事。
Fortinetでも(当然だが)この事象は認識していて、修正する予定はあるがいつになるか
不明、と言う回答だった。

まぁ、こんな大事な事、買う前に教えろと小一時間(以下略



829 :FG-300:04/12/09 11:20:41 ID:???
これほんと?

セキュアセグメントにたくさんポリシ入れちゃうと一般セグメントも
スループットが引きづられてむちゃくちゃおちるって言う話。
一般セグメントからの通信が9割以上占めてるんですけど
セキュアセグメントのせいで、全体スループット落ちるのは勘弁して〜。

購入前の設計で、内部でもめてるんで、知ってる人教えてください。
ほんとだったら、最悪なんですが。。(;´д`)

***構成************************
性能(スループット値):
AV(SMTP・POP)+Firewall利用時:70MB
IPS・AV(SMTP・POP・HTTP)+Firewall・LOG利用時:15MB(IPS使うとこれ位とのこと)
構成:
一般社員セグメント------L3SW-----fortigate---インタネット(100MB)
開発セグメント ----|
適用ポリシ:
一般セグメント :AV(SMTP・POP)+Firewall
セキュアセグメント :ISP/IDP・AV(SMTP・POP・HTTP)+Firewall・LOG
******************************

***結果(スループット)*******************
一般セグメント :30MBぐらい
セキュアセグメント:15MB
*******************************



830 :829:04/12/09 11:24:13 ID:???
あ、やべー。(@д@;)
開発セグメント=セキュアセグメント
一般社員セグメント=一般セグメント
です。。ばれるかな。。


831 :anonymous:04/12/09 12:43:55 ID:???
http://www.itmedia.co.jp/enterprise/articles/0412/08/news076.html
社長もだけど副社長も強気ですな

832 :fushiana:04/12/16 09:58:23 ID:???
保守age!!


来年こそバグから開放されますように。

833 :VP:04/12/16 17:58:07 ID:???
50にFortiClientでVPNやろうとしてるんですがー
ネゴシエーションエラーで接続できません
IPsecでの設定方法を御教授願えませんか?

834 :833:04/12/16 22:00:51 ID:???
ポリシー設定しないとダメだったのね 解決

835 : :04/12/17 00:02:53 ID:???
現状では、ふつうのFW+SMTP・Proxyウイルスゲートウェイ製品のほうが安心だな

836 :816:04/12/17 09:32:47 ID:???
>>835
 でも他のSMTP・Proxyウイルスゲートウェイ製品では
あそこまでのスループットはでないという罠がある(w
 この製品をFWとして使用しているところって少ないん
じゃないかな?僕はFWとしては使ってないよ。(w


837 :61 ◆FG200xXuLw :04/12/18 15:06:13 ID:???
FortiOS v2.80, MR7, build 318リリースしたって
FortiProtect Bulletinに書いてあるけど現物がないよ〜

838 :anonymous@ pc4.daiki-unet.ocn.ne.jp:04/12/18 15:42:35 ID:XuKj+pcn
>>837
まだ検証中らしい
DNSフォワーダ設定できるようにもなってるね >v2.80

839 : :04/12/23 12:43:23 ID:???
>>836
サーバタイプでも、安い1Uラックサーバをロードバランサでまとめればパフォーマンスは問題ない
高速性が必要なら、複数サーバ+ロードバランサにするが、Fortigateみたいなのにするかどちらがいいんだろうね

840 :sage:04/12/23 14:36:14 ID:???
>>837
出たようです。
コンテンツサマリなんて項目がWebインターフェースの表示に追加されているようです。

841 :61 ◆FG200xXuLw :04/12/24 11:59:24 ID:???
>>840
サンクス、早速、build320の方を適用しました

ようやく、PPPoEでVIPがおかしい件が直ってくれました

なんかVIP利かせていると、HTTPコンテンツアーカイブの送信元IPが変な値になりますね〜
また、Eメールコンテンツアーカイブの件名はデコードして欲しいですね
あと、2.5の時からだけど、AVの日本語隔離ファイル名が化けるのもなんとかして欲しいです

SoftEther VPN 2.0 Beta1がリリースされたので
http://www.softether.com/jp/vpn2/security/
こちらのsnort用シグネチャを参考に、IPSのカスタムシグネチャを書いてみました
実験してみたところちゃんと検知してくれました(誤報は?ですが)

F-SBID( --protocol tcp; --default_action pass; --flow established; --revision 1; --content "SE-VPN2-PROTOCOL"; --no_case; --name "SoftEther_VPN_2.0_Connection";)

842 :anonymous:04/12/24 12:36:26 ID:???
Fortiもようやくよくなってきた
1年遅いが

843 :FG50A:04/12/25 00:22:54 ID:???
>>841
HTTPコンテンツアーカイブの送信元IPが変な値になるのは、VIP使っていなくてもなっています。
まあ「バグ」でしょうね。
これが何時直るのかは...
# バグがなければFortiGateとは言えない?

844 :anonymous@ z210.219-103-198.ppp.wakwak.ne.jp:04/12/25 03:56:50 ID:???
>839
SMTP AVGWサーバなら、ロードバランサ普通要らないだろ。
MX randomizeにすれば、それで済む話。

最近、DNSサーバやSMTPサーバをロードバランサで冗長化なんて
馬鹿な提案をする業者が多くて困る。そこが落札している事例も多いが、
何も知らないんだろうなぁ。


845 :-:04/12/25 22:07:29 ID:???
>>844
それを言うとWebサーバもDNSラウンドロビンで事足りる罠。
我々の利益のためにも余計なことを言うな!

846 :anonymous:04/12/26 10:04:50 ID:???
>>845
糞SIerが必死だな。w
でもな、Webサーバのロードバランサには、他にも意味が
あるだろう?意味わかるか?

847 : :04/12/26 14:25:16 ID:???
>>844
SMTPを受信するだけならひつようないだろうけどね
送信するほうとか、ゲートウェイに使うとかなら必要だな

848 :845:04/12/26 23:25:29 ID:???
>>846
そんなこと言われなくてもわかってるYo!

849 : :04/12/28 09:02:46 ID:???
ロードバランスが必要なほどアクセスないyo!

850 :anonymous:04/12/28 10:29:52 ID:???
>>849
まあ、実際Webのロードバランスが必要なケース
なんぞ、そんなにないけどな。w
ほとんどは、SIerに騙されて買ったケースが多いと思う。
漏れの知っている顧客に買ったけど1年も経たない内に
使わなくなったケースが何件もあるぞ。

SSLアクセラレータが必要なケースは多いけどな。

851 :61 ◆FG200xXuLw :04/12/28 10:44:01 ID:???
>>841のカスタムシグネチャなんだけど、ブロックしてくれないよ〜
全てのアクションを試して、ログにはstatus=droppedとかちゃんと出てるんだけど何でだろ?
これってIPSのバグ?それともシグネチャがまずいのかな?

852 :mischa:04/12/29 17:39:07 ID:wXiEUapK
FG100 v2.50 Build 299 MR10 です。
[セッション]→[Expire(秒)]の設定で、
set system session_ttl default 3600(初期値は 300)
とカウントダウン開始時間(保持時間)を延ばしてますが、
[ファイアウォール]→各[ポリシー]→[アンチウィルスと…]を有効にした場合、
[Expire(秒)]が「3600」ではなく「900」から始まります。
これを設定通り「3600」から始めるようにする方法ありませんか?
仕様なのでしょうか…?

853 :mischa:04/12/29 21:24:30 ID:9pGf9QDI
数MBのメールを受信(POP3)する時、
ブロードバンド回線を利用した環境からはあっさり受信できるのに、
ナローバンド(例えばISDN)回線からでは2分程でタイムアウトしてサーバーから
接続を切られてしまいます。(アイドル時間が長すぎる云々エラー)

ちょっと調べたのですが、
クライアント⇔FortiGate間では一生懸命受信処理を行なっているのに、
FortiGate⇔メールサーバ間でタイムアウト(↑の完了待ち)してるようなんでつ。
(クライアント⇔FortiGate間でメール受信してる時間が長すぎて(2分以上)、
FortiGate⇔メールサーバ間が無通信TimeOutしているのではないかと…。)

どなたか同様の経験をされた方、回避策をご存知の方いらっしゃいませんか?


854 :_:04/12/30 02:13:51 ID:???
>>853
購入元に相談してファームもらうしかないね〜

855 :anonymous:04/12/30 04:26:53 ID:???
>>853
同じ現象出てますね、popperのタイムアウト長くして少しは凌いでますが、解決策あるかなー

856 : :04/12/30 05:09:49 ID:???
hotmail yahooメールとかのwebメール効果的に禁止できる方法ってある?
リスト作るしかないのかな?

857 :anonymous@ sonicwall.takuma-ct.ac.jp<150.15.96.130>:04/12/30 10:24:23 ID:V8MWkx+5
駆除してメッセージを送信するには、どんなコマンドを入力すればよいのでしょうか。
CLI Command Referenceを読んでみたが、ちょっと分からない。


858 :mischa:04/12/30 13:13:04 ID:KaZoWVKM
>>854
>>855
コメントありがとうございます。
私のとったとりあえずの凌ぎ策は、
ウイルスチェックを受信時(POP3)ではなく送信時(SMTP)に行なうよう
ポリシーを変更しました。
(サーバーから取り出す時ではなく、入る前に断つことにしました。)
ただ、これをやると
>>857
のように、ユーザーにウイルスメールを断ったことを通知できないのが
痛いところです…。
今後、理想に近づいてくれるといいのですが…。>ファーム


859 :joe:05/01/02 14:27:03 ID:oRmshsSb
>>857
自己レス
>>337に設定方法があり、テストして一応望みとおりになりました。

860 :mischa:05/01/04 09:05:17 ID:1LKIk3py
>>859
情報ありがとうございます。
(自分の無知を痛感しています。)
こちらでも早速試してみます。

861 :861:05/01/05 12:27:05 ID:tOfJfEzN
ログレポートについて
ログ管理のときにレポートをテキストデータやCSVにはき出して
起きたいのですが、可能ですか?
当方100を使っています。

862 :anonymous:05/01/06 17:48:38 ID:???
>847

SMTP送信につかう場合は、DNSで制御するだろ、普通。
smtp.hogehoge -> avgw1,avgw2,などをAレコードに書けば済むだろ。

>850

Webのロードバランサは、裏にDBなんかがあった場合に
セッションキープのために入れるんだろうが、ほとんどのユーザは
そんなのが不要か、そもそもそれだけの負荷にDBが追いつかないでいるよ。

Webmailだってセッションキープ不要なものを選択さえすれば、、(笑)


863 :tailor:05/01/07 14:13:30 ID:SF7AGqoq
会社で利用しているレンタルサーバーでこの度フォーティゲートでのメールゲート
ウェイウイルスチェックサービスを無料で提供開始すると告知がありました。
既に月2万程度で有償オプションでシマンテック社のウィルスチェックを入れているのですが、
このサービスを解約しようと思うのです、FGのウィルス駆除の確度はシマンテックに対して
どのくらいの割合%と感じておられますか? コメントお願いします。

864 :61 ◆FG200xXuLw :05/01/07 14:57:20 ID:???
>>861
syslogに出すのじゃ駄目?2.8だとCSVで出すオプションもありますよ

>>863
併用が吉かと
駆除の確度はなんとも言えませんが、FGではDOS時代とかの古いウイルスは
基本的に駆除できないです(高速化とかの為のポリシーのようなので)

そのISPで使う機種と設定にもよりますが、何MBまでの添付ファイルを
チェックしてくれるか、また、それを超えた場合はスルー/ブロックなのか
ファイルブロックする拡張子は何かとか、事前に確認したほうが良いと思います

865 :tailor:05/01/07 15:23:07 ID:SF7AGqoq
>>864
早速ISPに確認してみます。参考になりました。
ありがとうございます。


866 :_:05/01/07 22:05:00 ID:???
そもそも今どきDOS時代のウィルスなんてスキャンする必要あるのか?

FortiGate以外を売ってる販社がよく「DOS時代の〜」とかいってFortiGateダメとか
いうけど、アフォかといいたい
そもそもここ1年、DOS時代のウィルスなんてうちの社内のメール鯖じゃ検出されてない

867 :___:05/01/07 23:12:18 ID:???
DOS時代はないにしてもラルーなどいまだに検知されてるぞ。

中小企業ならともかくある程度の企業になると過去の遺産っ
ていうのがあって(設計や会計報告など)決算期や監査、引
越しや事務所の改修などのイベントがおきだすと一気に噴出
します。

ウィルスバスタのCorp入れているからある意味助かっていま
すが一般社員の利用端末のCorpが動作不能状態になってい
た場合、よその会社に昔のウィルスが入ったメールが飛んで
しまう(あるいは逆にそれらが入ってくるなど)。

少しでも管理側に回ったことのある人間なら過去のウィルスが
ほとんどカバーされないという状況がどれだけぞっとしないも
のであるかすぐに想像つくとおもうんだが、とつられてみよう

868 :FG50A:05/01/08 12:01:47 ID:???
>>861

100はハードディスクがないからsyslogで飛ばさないとログは保存できない。
FortiOS2.8ならCVS形式でsyslogににだす設定に出来る。
2.5はちょっと使って止めてしまったので分かりません。

869 :FG50A:05/01/08 12:03:22 ID:???
>>868
CVS→CSVの間違い

870 :joe:05/01/08 18:49:57 ID:iUNO30e2
fortiguardの導入を検討していますが、使用経験のある方
1.httpアクセスのパーホマンス低下
2.ブロックの正確さ(?)
等に感想をお願いします。
試用期間があればいいのですけど。。

なお、当方の機器はFG200です。

871 :FG50A:05/01/08 19:38:45 ID:???
>>870
fortiguardはトライアル版がありましたよ。
# 今はどうだか知らないですが、ログを採りたいがためだけに使っていました。

872 :861:05/01/09 20:35:34 ID:4lu07y3f
868 :FG50A
外付けのハードディスクにとばすというのは可能でしょうか?

873 :FG50A:05/01/09 20:43:48 ID:???
>>872
外付けのハードディスクという意味がよく判りませんが。
syslogで飛ばして、syslogサーバで受ければファイルとして(リアルタイムに)保存される。
それ以外ではFortiLogとか使うしかないのでは無かろうか?

874 :_:05/01/09 22:20:29 ID:???
単にsyslog server立てるのと、FortiLog買うのとどっちがいいんだろう?
コスト的にはsyslog server立てるほうが安そうだけど、logの集計とかできるならFortiLog買ってもいいかなぁ

わけあって10台くらいのFortiGate管理しなきゃいけないんだが

875 :(^^):05/01/10 08:09:27 ID:???
>>874 これはどうよ。
ttp://www.asgent.co.jp/Products/eIQ/index.html

876 :_:05/01/10 10:49:05 ID:???
>>875
それと同じモノがFortiLog(?)に乗るっていう話を聞いた稀ガス。

877 :FG-400:05/01/11 18:32:51 ID:gLrS41NT
はじめまして。
FortigateでIPSecパススルーの設定したいのですが、
どのようにすればよいでしょうか。
Int→EXTに、IKE&ESP 許可(NAT)
EXT→INTに、IKE&ESP 許可(VIP)
みたいにするのかな?

878 :774RR:05/01/13 10:26:18 ID:YY6aKVSk
FG400のユーザです。
現在SNMPを有効にする設定で運用中なのですが、頻繁にメモリ不足とのトラップが
飛びます。だいたい一日に6回程度飛んでいます。

 public enterprises
 enterprises[102]
 enterprises[Memory is too low, 9% free memeory left!]

実際のメモリ使用率は48%、CPU使用率は10%以下です。
メッセージの内容もmemeoryだし・・・

どなたか同様の現象が起きている方はいませんか?

ファーム:Fortigate-400 2.50,build299,040720
アップタイム:10.5日

おそらくこのバージョンにUPしたときから発生しています。
やっぱバグかな???


879 :FG:05/01/17 04:25:39 ID:???
急にhttpsでアクセスできなくなったけど、そんなことってある?
SSHでは普通にログインできるのだが。

880 :FG:05/01/17 04:26:56 ID:???
ああ、もちろんhttps は許可してあるのに。
SSHでログインして、httpsが許可されているのを確認したのだけども

881 :FG:05/01/17 10:28:24 ID:???
自己レス。
クッキー弾いてたの忘れてた〇| ̄|_

882 :yama:05/01/17 16:52:28 ID:XoC4P8qM
MR11がでましたね。
負荷がかかったときにこけるバグが直っていることを
祈っています。
現状では月に2度ほど電源切っています。 (^^;

883 : ◆u3CudPDzYA :05/01/18 23:38:08 ID:???
>>881
MR11って出たの?
詳細求む。

884 :anonymous:05/01/20 18:54:49 ID:???
どう思われます?
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050120/155031/

885 :anonymous@ 98.29.100.220.sst-bb.sst.ne.jp:05/01/20 22:43:34 ID:Q9Tkw4DH
>>884
FortiGateが大量のウィルスに対応できない為の言い訳に過ぎない。
実際、FortiGateをすりぬけてくるウィルスが多いし、。

886 :anonymous@ 218.42.154.25:05/01/20 23:20:29 ID:???
>>885 は、USERさんでつか? それとも競合メーカの人でつか?

すり抜けてくるウィルスが多い…と言う根拠はなんでつか? 参考までに知りたい…
具体的なウィルス名とか…

887 : ホシュ:05/01/20 23:22:27 ID:???
ホシュ

888 :_:05/01/20 23:42:10 ID:???
>>885
ゲートウェイで完璧にウィルスを遮断する必要ないじゃん。
あくまでも負荷軽減だよ。

889 :anonymous:05/01/21 09:14:48 ID:???
>>888
そんなことはない。

890 :fg200:05/01/21 11:43:57 ID:???
アンチウィルス入れてるとFTP接続が安定しないってどうなのかな

http://www.ux.mycom.co.jp/~FreeBSD/beginners-jp/html/msg04110.html
http://www.ux.mycom.co.jp/~FreeBSD/beginners-jp/html/msg04117.html

891 :61 ◆FG200xXuLw :05/01/21 15:00:53 ID:???
>>890
FTPのSession-TTLを延ばしてみては?
デフォルトは確か300秒だったと思います

892 : :05/01/22 10:52:31 ID:???
まあFortiだけでウイルスブロックなんてみんな期待してないだろ
クライアント型ウイルスソフト+ゲートウェイ型ウイルスソフトという構成で
使うことが前提の機器だから

まあ現在のところでは、やはり除去率からしてほとんどのことろでは
Fotriみたいなネット機器型は使わずにサーバ型しか使ってないでしょう

現状のところFortiにはワーム型さえ止めてくれればいいというユーザーばかりでしょ

893 :FG50A:05/01/22 15:38:56 ID:???
>>886
JPEGのワームとかは最新のモノでも素通りしましたね。
何もないよりは全然マシだと思うが、これだけで大丈夫とは言えない。
ただPCクライアントにちゃんとウィルスソフトを入れられない様な所は、値段も安いのでそれなりの効果があると思われる。

894 : :05/01/22 20:29:48 ID:???
>>893
クライアントにウイルスソフト入れてなければ、なおさらFortiは推奨できないのでは?

895 :FG50A:05/01/22 21:30:07 ID:???
>>894
PCクライアントにちゃんとウィルスソフトを入れられない→管理できない or 予算がない
高いモノは買えないって事です。
# 金掛ければちゃんと管理は出来るでしょう。

896 :anonymous@ ktc158040.tmtv.ne.jp:05/01/22 21:56:07 ID:X1pxWIOm
>>892
Fortiでワームは止まらんです。
バックドアを仕掛けられたあとの、FTPやHTTPでの
Virus実体の感染が止まるだけです。
現実的には最新のSecurityPatchが施されている環
境で、かつAV SWの予算はない・・・なんてところの
AV Gateway製品と思います。
ASPでのMail専用のGateway製品としては安価だし、
ライセンスフリーだから良いかもね。

897 :初心者:05/01/22 22:05:46 ID:FX8WVqs/
すいません、かなりの初心者なんですが、ちょっと教えて下さいm(__)m

コンピューターネットワークのデータ通信に使われる下記の方式を、2004年1月1日現在の日本で使われている通信速度の速い順に並べ、解答欄に番号を記入しなさい。速度に幅があるものや、複数の速度の規格があるものについては、理論値で最も早速い速度で比較しなさい。

解答群: 1.ADSL 2.FTTH 3.PHS データ通信 4.アナログモデム 5.イーサネット


明日専門学校の試験があるんで勉強してたのですが、コンピュータ関連の問題はさっぱりなもので・・(^^;

よろしくお願いしますm(__)m

898 :_:05/01/22 22:21:05 ID:iF31cISt
>>897
誤爆か?
こっちに書くべき内容だな
http://pc5.2ch.net/test/read.cgi/network/1096841266/l50

5->2->1->3->4

899 :初心者:05/01/22 22:35:03 ID:FX8WVqs/
>>898

ありがとうございましたm(__)m助かりました。他のレスは書き込みが少なかったのでここに書き込ませてもらいました。すいません

900 :_:05/01/22 22:40:45 ID:???
こんなの前日にわからんとか言ってるようじゃかなりヤバそうだけどなぁ、頑張れ

901 :anonymous@ ntchba099095.chba.nt.ftth.ppp.infoweb.ne.jp:05/01/25 22:29:24 ID:???
ここで定期的にリブートしてるっていってる人どんな事させてるの?VPN?
うちは2.5の最終リビジョンだけど安定してるよ

902 :_:05/01/26 01:28:20 ID:Rrv8vQF6
>>901
>うちは2.5の最終リビジョン

MR11でつか?


903 :初心者です:05/01/26 11:32:15 ID:wnfRAr9m
はじめまして
社内の担当者が突然やめてしまい
私が突然WEBサーバーの構築をすることになりました。
で、今はFG100と格闘中です。
色々探してるうちにここにやってきました。
初歩的な質問ですが教えていただければありがたいです。

ISPよりIPアドレスを8こもらってます。
aaa.bbb.ccc.128〜aaa.bbb.ccc.135
FG100でPppoe設定をしました。この掲示板を参考にさしてもらって
ipunnumberdでaaa.bbb.ccc.129 としました。

internal は192.168.1.99 です。

で、DMZにWWWサーバーとmailサーバーをそれぞれ立てるつもりで
wwwサーバーはaaa.bbb.ccc.130
mailサーバーはaaa.bbb.ccc.131
にする予定です。

めちゃ初歩的な質問ですが
では、DMZポートには何番を振ればいいのか?

この時点で躓いてます・・・
この質問自体間違ってるかもと不安です・・・

宜しくお願いします




904 :61 ◆FG200xXuLw :05/01/26 11:40:50 ID:???
>>903
私の所と同じような環境ですね
以下のようにすればOKかと思います

DMZ: aaa.bbb.ccc.129/255.255.255.248

ちなみにOSは2.5ですよね?2.8だと最新のMRにして
CLIでコマンド入れないと駄目かも

905 :初心者です:05/01/26 12:17:12 ID:wnfRAr9m
ありがとうございました。
早速試してみます!!

もうひとつ質問させてください
Internalのホストからインターネットを見に行くとページが表示できません
になります。
現在はFG100にISPのDNSを入れています。(まだ社内のDNSが稼動していないので)
仕方がないのでクライアントのネットワーク設定の所にもISPのDNSを指定して
WEB表示ができるようになりました。
クライアントのIPアドレスはDHCPで取得です。
この状態だと全部のクライアントにISPのDNSを設定しないといけませんが
そういうものなのでしょうか?

返信の書込み方間違ってたらすいません



906 :61 ◆FG200xXuLw :05/01/26 12:59:28 ID:???
>>905
とりあえず、DHCPでISPのDNSを配ったらどうですか?
当方もDHCPでIP配ってますが、自営のDNSとISPのDNS2つ配ってますよ

907 :初心者です:05/01/26 15:23:34 ID:wnfRAr9m
すぐお返事いただいてありがとうございます

DHCPでDNSを配るのって
set system dhcpserver dns aaa.bbb.ccc.130 xxx.xxx.isp.dns
ですよね?
これをするとUnknown commandになります・・・
先に設定することがあるんでしょうか?


908 :61 ◆FG200xXuLw :05/01/26 16:05:17 ID:???
>>907
WebUIで簡単に設定できません?
当方は2.8使ってるけど、2.5の時はFGでDHCPやってなかったんでよくわからないです

909 :901:05/01/26 22:45:17 ID:???
>>902
ごめん、MR10です。MR11ってアンオフィシャルじゃ?


910 :_:05/01/27 01:59:20 ID:V85CosFn
わかる方、おしえてください
SessionTTL 値は、いくつまで可能ですか?
9時間(32400秒)とか可能でしょうか?
2.5MR10です

911 :61 ◆FG200xXuLw :05/01/27 09:26:51 ID:???
>>910
2.8MR7の場合だけど、SessionTTLの最大値=604800秒=168時間=7日
最小値は300秒、デフォルトは3600秒

多分2.5でも同じじゃないかと思うけど、CLIで適当な値入れてみれば
エラーメッセージに出てきませんか?

912 :初心者です:05/01/27 09:53:40 ID:86BqZOiN
WebUIで設定できました。
わからない部分もなんとかクリアーできました。
ありがとうございます。
今日から、サーバーの設定がんばります。

913 :910:05/01/28 01:12:43 ID:gfnPdJb5
>>911
ありがとうございました。
無事、設定できました。
でっかい数字をいれられるけど、動作しないとか担ったりしないかな
としんぱいになったもので。
CLIのマニュアルには、デフォルト300秒とあって、上限値は書いていなかったもので。



914 :61 ◆FG200xXuLw :05/02/01 08:39:00 ID:HMt3Er9d
知らぬ間に、2.8MR8が着てる
とりあえずリリースノート読んできます

915 :初心者:05/02/05 10:41:06 ID:9etPAxki
Fortigate100を使用していますが、
ログをサーバへ飛ばす場合、
syslog.confのログファシリティはどう書くのでしょうか?


916 :61 ◆FG200xXuLw :05/02/05 13:24:23 ID:Rod/1ETU
>>915
      _______                     __
    // ̄~`i ゝ                    `l |
    / /        ,______   ,_____    ________  | |  ____ TM
   | |     ___ // ̄ヽヽ // ̄ヽヽ (( ̄))   | | // ̄_>>
   \ヽ、   |l | |    | | | |    | |  ``( (.  .| | | | ~~
      `、二===-'  ` ===' '  ` ===' '  // ̄ヽヽ |__ゝ ヽ二=''
                         ヽヽ___//   日本
  _____ _____  ______  _______
  |  ウェブ  | | イメージ | | グループ | | ディレクトリ |
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
       ._________________
      |syslog.conf                 │・検索オプション
      └────────────────┘・表示設定
         | Google検索 | I'm Feeling Lucky |  ・言語ツール
          ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
       ○ウェブ全体から検索 ◎日本語のページを検索

917 :FG50A:05/02/06 23:18:01 ID:???
>>914
build357からbuild358に上がった模様。

918 :2.5user:05/02/07 07:15:19 ID:???
2.5MR11使っている人いますか。
MR10と比較してどうですか。よさげですか。
そろそろ2.8かな。

919 :  :05/02/08 08:54:08 ID:???
なんだかやけにメモリリークするような<11

920 :61 ◆FG200xXuLw :05/02/08 15:31:45 ID:ciMjJ5ZM
>>917
サンクス

MR8にしたらAVでのメモリリーク直って今のところ快調です

921 :anonymous:05/02/08 17:53:04 ID:???
Fortinet社、アンチスパム機能を高めるFortiMailプラットフォームとFortiGuard-Antispamサービスを発表
http://www.fortinet.co.jp/news/pr/2005/pr020805.html


FortiMailはSMTP/IMAP4専用のFortiGateって位置づけかな?
オールインワンが売りだったのに結局Antispamは別料金ってことなのね

922 :_:05/02/08 21:19:11 ID:zAkQ9sLR
普通はFirewallでは無くてProxyでやる事なんだが、
このスレ住人に期待して質問をば

やりたい事
1.特定のホストからのインターネット通信は許可する
2.その他のホストも特定のURLのみインターネット通信を許可する

FirewallのDestinationにURLは書けないし、
Webフィルタを使用すると
原則禁止という記述
特定ホストからのインターネット接続は許可する
というやり方が思いつかないです。

ダメなら素直にsquid立てます。

923 :anonymous@ 62.28.100.220.sst-bb.sst.ne.jp:05/02/08 22:07:44 ID:???
>>922
Webフィルタの有効無効の設定ってなかったっけ?
コンテンツプロファイルにチェックして、該当するdstのポリシーにだけ有効にすれば。

924 :FG50A:05/02/08 23:34:21 ID:???
やり放題させたいモノと、そうでないモノのポリシーを分けて。
プロテクションプロファイルをWebフィルタ有りと無しのモノを使い分ければ出来るでしょう。

925 :FG-100:05/02/09 00:39:09 ID:???
>>922
うちではヤリイカ使用だな

926 :_:05/02/09 03:58:47 ID:???
さすがはFortiスレ
訳のワカラン販社やベンダーよりよっぽど使える

>>923 924
ストライ〜〜ク
やってみます

>>925
ストッパーとして串は確保しておきます

927 :61 ◆FG200xXuLw :05/02/09 11:31:01 ID:UW0UzAn7
FGのDHCPサーバ機能おかしくないですか?
除外範囲に指定したIPが割り当てられまくってる。orz

928 :anonymous:05/02/09 12:42:42 ID:???
複数のテクノロジで総合的なスパム対策を目指すフォーティネット
http://www.itmedia.co.jp/enterprise/articles/0502/08/news101.html


メールサーバー搭載って

929 :初心者:05/02/10 18:34:33 ID:XPF3KbQg
fortigate200aって、プロキシの機能はもってるんでしょうか?

930 :Fortiワカンネ:05/02/10 22:41:00 ID:???
亀レスだが
>>878
> メッセージの内容もmemeoryだし・・・
>
ワロタ。言葉のバグからまず直せと・・・。

しかしこのスレは保存しておかないと損だな。
有用な情報がイパーイ

931 :hamako:05/02/10 23:48:49 ID:ZqUTQoe2
>>929
たぶん、あると思ったけど 私は、やったことないね!!
 やったことある人 他にいますか???????


932 :forti:05/02/10 23:58:39 ID:???
>>931
嘘はつかないように。

933 :Fortiワカンネ:05/02/11 18:16:19 ID:???
>>932
広義に捉えればプロキシの機能は持っている。

ただ、
>>931
は意味ワカンネ。

934 :_:05/02/11 20:33:46 ID:???
NAPTの設定すれば、外部から見たらあたかもproxyのように見えるよね

935 :_:05/02/14 23:00:09 ID:???
LDAPの馬鹿ぁ〜〜

936 :FG50A:05/02/15 11:06:04 ID:???
NET-Gとの接続は問題なく出来るのでしょうか?
FortiOS2.8の場合のVPNの安定性はどうでしょうか。

937 :あのにます@ふしあなさん:05/02/17 23:06:00 ID:???
結局OSPFは喋れるようになったのかな,この箱。


938 :七資産:05/02/18 21:27:31 ID:???
今はFortiOS v2.5-MR10@FortiGate-200で運用しています。
2.5-MR11、2.8-MR6、2.8-MR8のいずれへうっぷでーと
するのがよいですか。

939 :FG50A:05/02/19 10:02:36 ID:???
>>938
2.5を2.8に入れ替えると、設定を完全には引き継げません。
再設定できない、停止する時間があまりとれないという事であれば、2.5-MR11にするのが妥当だと思いますが。

940 :七資産:05/02/19 17:43:02 ID:???
>>939
どうもです。
再設定する、時間あるというのであれば、2.8ですか。
安定性という面で2.8がベターですか。

941 :FG50A:05/02/19 19:48:28 ID:???
>>940
2.8の方はIPS等の機能が充実していますが、初期の頃はかなりバグバグでした。
FGに安定性を求める事自体、無理があるのかも知れませんが。
枯れているという意味では2.5でしょう、2.8はMRが上がるたびに機能が増えたりしている様なので。

942 :七資産:05/02/19 20:42:39 ID:???
>>941
アドバイスどうもです。
2.5-MR11でしばらく様子見とします。

話は変わりますが、
FortiGateをファイアウォールを基本として、
アンチウィルス、IDS、VPNも使用するという構成は無謀に近いですか。
このような使い方をしている組織の管理者さん、お客さんがいるSIerさんは
いらっしゃいますか。実際のところどうですか。
うちは現在のところアンチウイルスのみですが、
うまく使えるのであれば既存設備の置き換えも考えています。

943 :sageo:05/02/19 21:40:09 ID:???
http://www.ntt-me.co.jp/news/news2005/nws050107.htm

wakwakのユーザはPOPかIMAPしかウィルスチェックできなくなっちゃうね。
FortiGateがsubmissionに対応したら男前なんだけど。

944 :anonymous:05/02/21 18:12:36 ID:???
>>943
これって効果あるのかな
固定IPは例外って書いてあるけど迷惑メールの業者だって固定IPぐらいもってそうな気が

945 :fushiana:05/02/22 07:06:44 ID:???
迷惑メール業者(っていうかスパマー)ってopen proxyつかって送信してるんじゃなかったっけ?
ttp://spam.h1r.org/openproxy.html

946 :anonymous@ SSJfa-05p1-180.ppp11.odn.ad.jp:05/02/22 14:22:26 ID:???
PC150台くらいです。同時web閲覧は最大でも80台くらいかなぁ??

FG100Aか200どちらかを購入しようと思うんだけど、
ぶっちゃけどっちが良いのかなぁ??

ちなみにwebフィルタって使えるの?
フィルタ用データベースって提供されないんだよね?

スループットとか100Aじゃ期待できないのかなぁ??
ちなみに回線はFTTHベーシックです。

947 : :05/02/22 14:30:16 ID:yMp865Tz
>>946
FG買う前に日本語習ってこい

948 : :05/02/22 14:38:36 ID:???
>>947
すみませんでした・・。

949 :_:05/02/22 15:35:10 ID:???
>>946
2.8からURLフィルタのデータ提供あるんじゃなかったっけ?
どれだけ使い物になるかわからんけど

1回1回問い合わせに行くタイプだって説明受けた気がする

950 :anonymous:05/02/22 19:46:49 ID:???
>>949
>1回1回問い合わせに

ウイルスのパターンのように定期的にダウンロードするんじゃないんだ
速度低下しないんですかね

951 :節穴さん:05/02/22 21:16:10 ID:???
そろそろ次スレ考えるころ?
テンプレ案ある?

952 :FG50A:05/02/22 21:24:56 ID:???
>>946
100Aだと2.8しか使えない、200だと2.5でもいける。

>>949
FortiGuardの事を言われていますか?
であれば標準ではなく別途ライセンス契約をする必要があります。

953 :_:05/02/23 00:09:20 ID:???
>>949
FortiGuardならお試しライセンスついてるだろ?
四の五言わずに試してみな。
ちなみに、FortiGuardはそのURLが有害か否かを1回1回外部のDBに
問い合わせているよ。
敏感な人だったら少しスループットが落ちることに気が付くかもしれない
という程度。
間に中途半端なプロキシが挟まるよりもサクサクですよ。

954 :949:05/02/23 00:24:42 ID:???
>>953
いや、今年はもうお買い物できないんで、来年度になったら買ってみようと思ってるんだけど

955 :FG50A:05/02/24 08:13:19 ID:???
>>954
FortiGuardは >>953 の言われる通りトライアル版が使えるはず。
買う前に動かしてみる事は可能

956 :949:05/02/24 08:41:08 ID:???
>>955
すみません、説明が足りなかった
まだ本体すらないので、本体を春に買う予定なのです

957 :61 ◆FG200xXuLw :05/02/24 08:54:38 ID:VPeTC6dm
>>956
販社に頼んで試用機借りるって手もありますね

#2.8MR8がbuild359になってた

958 : :05/02/24 10:12:11 ID:???
>>951
とりあえず、関連URLだけ張って見ます。補完よろしく

Fortinet本社
http://www.fortinet.com/
FortinetJapan
http://www.fortinet.co.jp/
FortigateWebUIデモ(Fortigate-300 2.80,build290,041103(MR6))
http://www.fortinet.com/demo/
Fortinet Technical Discussion Forum
http://support.fortinet.com/forum/
Fortinet Knowledge Center(β)
http://kc.forticare.com/

959 :951:05/02/24 22:20:39 ID:???
フォーティネット社のFortiGateシリーズは独自開発の業界初ASICチップを搭載。
最新の不正侵入に対しても防御可能なこのシステムは一時も休むことなく、
あらゆる脅威から大切なオフィス・ネットワークを守ります。
UTMシステム市場のリーダーと認められたフォーティネット社が、
小規模オフィスから大規模MSSP(管理セキュリティ・サービスプロバイダ)まで、
あらゆる顧客のネットワークを保護します。
すべてのFortiGateファミリー製品は、アンチウイルス、コンテンツフィルタリング、
帯域制御、ファイアウォール、VPN、不正侵入検知・防御、アンチスパム、
仮想ドメインといった機能を備えています。

フォーティネットジャパン
http://www.fortinet.co.jp/

販売パートナー
http://www.fortinet.co.jp/contact/partners.html

製品概要
http://www.fortinet.co.jp/products/

FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

最新FortiOSバージョン
FortiOS v2.50, MR11, build 321
FortiOS v2.80, MR8, build 359

前スレ Fortigateについて語ろう
http://pc5.2ch.net/test/read.cgi/network/1065104846/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、
ネットワーク構成・環境を報告してください。

960 :_:05/02/24 23:37:53 ID:???
>>959
Fortinetのまわし物っぽくてイヤン。
良いところも悪いところも知ることが出来るのが2ちゃんねるの
良い所だ。

チェックポイントスレぐらいに毒吐こうぜ!
http://pc5.2ch.net/test/read.cgi/network/1030725389/l1

961 :1(マジです):05/02/26 01:40:52 ID:???
03/10/02に立ててから早1年5ヶ月。

2でエビフライなどを置かれながらも良くぞここまで伸びましたね。
当時に比べてだいぶ知名度も上がった事でしょう。

962 :951:05/02/26 23:04:39 ID:???
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
最新FortiOSバージョン
FortiOS v2.50, MR11, build 321
FortiOS v2.80, MR8, build 359

前スレ Fortigateについて語ろう
http://pc5.2ch.net/test/read.cgi/network/1065104846/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

963 :_:05/02/28 08:06:13 ID:???
次スレだけどこれでどう?
少し毒を混ぜながらも「明日へ向かってがんがろう!」みたいな感じで

ファイアウォール、アンチウィルス、不正侵入、VPN、etc
ケン爺!あんたは一体何がやりたいんだ!

とはいえ、安くて色々できるので、予算少なめのユーザには大ウケ!!

製品は決して悪くは無い。しかし! まるで数年前のNetScreenの如く
少し気の利いたことをすると、すぐにバグや変な仕様が見つかる。
また、上手く使いこなすにはL2-L7を浅く広く知っていなければならず、
スキル不足故に使いこなせない香具師も多そうだ。

藻前ら! こんな製品ですが生暖かく見守ろうじゃありませんか。
数年後にはイスラエルのあの会社を抜いているかもしれない・・・。


各種リンク先は>>2以降

964 :anonymous@ ackube006084.adsl.ppp.infoweb.ne.jp:05/03/02 00:52:31 ID:PSKQ+jE6
株式会社データコントロール
http://www.datacontrol.co.jp/
 東京事業所勤務 土肥誠司さんの金遣い

11/27 NICOS-VISA (S20) \5,000
11/27 LIFE-Master (S100) \2,355,359 83,106mile
12/4 SAISON-Master (S30) \0
12/5 UC-VISA (S80) \1,073,513
12/5 UC-Master (S80) \6,155
12/10 ANA-VISA (S50) \657,502 13,140mile
12/10 ANA-JCB (S100) \2,788,317 27,880mile
12/10 U-29 (S10) \100,000
12/10 DC-VISA (S20) \200,000
12/10 AMEX (S?) \1,707,720 34,142mile
12/27 NICOS-VISA (S20) \250,000
12/27 LIFE-Master (S100) \2,124,000 130,230mile
1/4 SAISON-Master (S30) \297,000
1/5 UC-VISA (S80) \220,000
1/5 UC-Master (S80) \6,097
1/10 ANA-VISA (S50) \500,840 10,000mile
1/10 ANA-JCB (S100) \1,939,699 19,680mile
1/10 U-29 (S10) \100,000
1/10 DC-VISA (S20) \5,000
1/10 AMEX (S?) \259,610 5,182mile


965 : :05/03/02 12:59:45 ID:???
>>964
削除依頼出しておいてあげたよ
ついでに通報もね

966 :”削除”依頼板転載人@黒戌:05/03/03 15:25:28 ID:b0hOyj0Z
これは‥‥
どっからもれたかのほうが気になるな

25 :該当スレ住人 :05/03/03 14:17:46 HOST:61.39.244.43.ap.yournet.ne.jp
対象区分:[個人・二類]優先削除あり
削除対象アドレス:
http://pc5.2ch.net/test/read.cgi/network/1065104846/964
削除理由・詳細・その他:
個人名・所属明記の上、クレジットカード使用明細が晒されている

967 :anonymous:05/03/03 15:29:37 ID:???
何故このスレに書き込んだの?

968 :anonymous@ 05001016311013_vb:05/03/03 15:30:16 ID:u838CRK9
まつり?

969 : :05/03/03 16:32:33 ID:???
>>968
トドの?

970 :anonymous@ 05015421365992_vx:05/03/03 16:38:32 ID:???
>>969m9(^Д^)プギャーーーーッ

971 :-_-:05/03/03 18:49:50 ID:???
>>967

>>156 >>478でフシアナしていたからだと思う。

972 : :05/03/04 08:55:11 ID:???
>>971
別に代理店さんがカキコしてもええじゃないの
なんか逆恨みで晒されちゃったのかなぁ〜

973 :anonymous@ hkd2-p6.flets.hi-ho.ne.jp:05/03/04 09:51:17 ID:jIvtzDbf
vvvvvvvvvvvvvvvvvvvvviiiiiiiiiiiiiiiiiiiiiiiiiiiiiipppppppppppppppppppppppppppppp

から一番乗り!!!!!!!!!!!!!!!!!!!!
HTML後で見てる奴m9(^Д^)プギャーーーッ m9(^Д^)プギャーーーッ m9(^Д^)プギャーーーッ

974 :anonymous@ hkd2-p6.flets.hi-ho.ne.jp:05/03/04 09:51:43 ID:jIvtzDbf
畜生矯正IDかよどこだここ狼か?!?!?!???!・!

975 :vip:05/03/04 10:00:09 ID:???
【 html化されたこのスレを読んでいるお前へ 】
このスレつまんねーだろ?
ライブで参加してる俺はもっとつまんねーよ


976 :VIPERの行動はすぐばれる ◆Iyutn6izzo :05/03/04 10:01:06 ID:???
うhwwwwwwwwwwwwwwwwwおkwwwwwwwwwwwwwwwwwww

977 :anonymous@ 05001016145387_mi:05/03/04 10:02:20 ID:DmGYYRD+
雪の日に

働いてる奴

超ワロスwwwwwwwwwwww


ニート20才



978 :anonymous:05/03/04 12:49:08 ID:???
>>974
狼とか プゲラ

979 :VIPS:05/03/04 14:00:57 ID:???
【 html化されたこのスレを読んでいるお前へ 】
このスレつまんねーだろ?
ライブで参加してる俺はもっとつまんねーよ

980 : ◆0EJSkWyUSA :05/03/04 20:55:20 ID:???
>>973
>>974
北海道のhi-ho使ってるボケどっか行け!


981 :-_-:05/03/05 23:28:05 ID:???
>>972
ちゃうちゃう。ここに書けば関係者の目に止まりやすいと
思ったんだろう。

325 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)