Hola, tengo un problema y creo que es el IPS el que lo hace, tengo un fortigate 100A en todo momento con el uso de memoria por encima del 70% (aunque la cpu no esté ni al 5%), por loque a nada que haces algo con él (consulta de log o simplemente tiene un exceso de algo), me dá:
2011-10-04 15:08:11 FortiGate has reached system connection limit for 9 seconds
Lo que hace que en el event log pase a tener:
16 2011-10-04 15:08:02 critical The system has activated session fail mode
17 2011-10-04 15:08:02 critical The system has entered system conserve mode
Esto me provoca desconexiónes de sesiones AS/400 que entran a traves de la wan, creo que está relacionado por lo menos.
Leyendo en el foro vi la siguiente page de fortinet, pero no sirve para mi firmware Firmware Version v4.0,build0458,110627 (MR3 Patch 1)
[Debes identificarte para poder ver enlaces.]
Digo que creo que es el IPS, porque si hago un "diag sys top" con Shift-M para ver lo que come memoria siempre tengo el primero el ipsengine ¿Hay alguna manera de deshabilitarlo?
Run Time: 0 days, 2 hours and 42 minutes
2U, 1S, 97I; 249T, 88F, 59KF
ipsengine 153 S < 1.1 14.8
cmdbsvr 23 S 0.0 12.0
httpsd 75 S 0.0 9.1
httpsd 65 S 0.0 8.7
httpsd 181 S 0.0 7.8
httpsd 185 S 0.1 7.7
httpsd 186 S 0.0 6.8
httpsd 187 S 0.0 6.8
httpsd 33 S 0.0 6.8
sslvpnd 59 S 0.7 5.9
miglogd 31 S 0.1 5.7
newcli 184 R 0.1 5.7
newcli 179 S 0.0 5.7
scanunitd 74 S < 0.1 5.5
cw_acd 72 S 0.0 5.3
urlfilter 54 S 0.1 5.2
merged_daemons 52 S 0.0 5.2
authd 56 S 0.0 4.9
fdsmgmtd 61 S 0.0 4.9
updated 60 S 0.0 4.8
Por cierto lo más curioso de todo es que no uso el IPS para ninguna política, por lo que no se porque consume nada.
Un saludo y muchas gracias por vuestra ayuda.
Consumo de memoria IPS
Re: Consumo de memoria IPS
hola si no usas el ips
proba de modificar esto:
config ips global
set algorithm low
set ips-opt disable
end
y renicia el equipo
proba de modificar esto:
config ips global
set algorithm low
set ips-opt disable
end
y renicia el equipo
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Consumo de memoria IPS
Muchas gracias, probaré a ver si así deja de consumir un poco.
Lo de las desconexiones del As/400 creo que va por otro lado, creo que tiene que ver con el keep alive de la sesión, buscando por el foro encontre otro post tuyo que explicaba como subir el tiempo de desconexión para un puerto, he subido el del puerto 23 a ver si así dejan de caerse las sesiones.
Muchisimas gracias de nuevo.
Lo de las desconexiones del As/400 creo que va por otro lado, creo que tiene que ver con el keep alive de la sesión, buscando por el foro encontre otro post tuyo que explicaba como subir el tiempo de desconexión para un puerto, he subido el del puerto 23 a ver si así dejan de caerse las sesiones.
Muchisimas gracias de nuevo.
Re: Consumo de memoria IPS
Hola, con el cambio de tiempo al puerto 23 no consigo solventar lo de las desconexiones, creo que los tiros van algo así como por lo que intento poner a continuación
Las sesiones se establecen entre el servidor as/400 y una conexión que entra a través del fortigate, creo que el problema esta en el NAT, ya que para el as/400 todas las conexiones entrantes tienen la ip del forti en vez de su ip origen, por lo que cuando el as/400 intenta saber si una sesión está viva o no, pues no es capaz de determinarlo y las tira todas.
¿se os ocurre alguna solución?
Las sesiones se establecen entre el servidor as/400 y una conexión que entra a través del fortigate, creo que el problema esta en el NAT, ya que para el as/400 todas las conexiones entrantes tienen la ip del forti en vez de su ip origen, por lo que cuando el as/400 intenta saber si una sesión está viva o no, pues no es capaz de determinarlo y las tira todas.
¿se os ocurre alguna solución?
Re: Consumo de memoria IPS
Hola, y porque nateas?
desde donde generas la session? otra interface? inteernet? vpn ?
saludos
desde donde generas la session? otra interface? inteernet? vpn ?
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Consumo de memoria IPS
Hola, nateo porque cambio de interfaz.
Lo de los tiempos de desconexión con el as/400 lo he "parcheado" subiendo el timeout, lo que pasa que tengo un problema
haciendo:
config system session-ttl
config port
edit 23
set timeout 7200
end
si hago un get me sale
id: 23
protocol: 0
timeout: 3600
no consigo que funcione, para conexiones con destino puerto 23 me sigue cogiendo el timeout global, por lo tanto he tenido que cambiar el timeout global a 7200 lo que hace que algunas conexiones por ejemplo al pueto 80 no se cierren y eso me provoca demasiadas conexiones simultáneas al forti.
¿El timeout lo hace por puerto origen o por puerto destino?
si hago un get al session-ttl directamente me sale
default: 7200
port:
== [23]
id: 23
No se porque no me coge el timeout que le hemos puesto al 23 cuando hay una conexión entrante con ese puerto como destino
Lo de los tiempos de desconexión con el as/400 lo he "parcheado" subiendo el timeout, lo que pasa que tengo un problema
haciendo:
config system session-ttl
config port
edit 23
set timeout 7200
end
si hago un get me sale
id: 23
protocol: 0
timeout: 3600
no consigo que funcione, para conexiones con destino puerto 23 me sigue cogiendo el timeout global, por lo tanto he tenido que cambiar el timeout global a 7200 lo que hace que algunas conexiones por ejemplo al pueto 80 no se cierren y eso me provoca demasiadas conexiones simultáneas al forti.
¿El timeout lo hace por puerto origen o por puerto destino?
si hago un get al session-ttl directamente me sale
default: 7200
port:
== [23]
id: 23
No se porque no me coge el timeout que le hemos puesto al 23 cuando hay una conexión entrante con ese puerto como destino
Re: Consumo de memoria IPS
hola, estas editando mal el ttl
copia esto tal cual
config system session-ttl
config port
edit 23
set protocol 6
set timeout 302400
set end-port 23
set start-port 23
next
end
copia esto tal cual
config system session-ttl
config port
edit 23
set protocol 6
set timeout 302400
set end-port 23
set start-port 23
next
end
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Consumo de memoria IPS
Hola,
Tuve problemas con el consumo de memoria y de CPU... aplicando las configuraciones recomendadas en el siguiente link se mejoró muchísimo.
[Debes identificarte para poder ver enlaces.]
Tuve problemas con el consumo de memoria y de CPU... aplicando las configuraciones recomendadas en el siguiente link se mejoró muchísimo.
[Debes identificarte para poder ver enlaces.]