Bloqueo por tiempo

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
titobv
Mensajes: 18
Registrado: 31 May 2007, 20:54

Bloqueo por tiempo

Mensaje por titobv »

Tengo un fortigate 300A y tengo configurado mi red net-interna a all, en schedule tengo un horario definido de uso de navegacion a internet pero me respeta en inicio de hora pero el fin no respeta y la gente sigue navegando y la idea es que llega la hora de fin y el usuario deje de navegar en internet.
Saludos.
Tito.
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Mensaje por cmendoza »

Hola Tito y bienvenido al foro...

Creo que lo que te esta ocurriendo es que los usuarios ya tienen los sockets o sesiones abiertas, y hasta que no se cierran, ellos pueden seguir saliendo a internet...

Esto quiere decir que ya no les dejaría crear conexiones nuevas... El messenger les puede funcionar, pero si intentan abrir una página de internet, esta no les va a funcionar...

Lo que te cuento lo he leido, pero nunca lo he probado... podrías probarlo y nos cuentas??? muchas gracias.

Saludos.
titobv
Mensajes: 18
Registrado: 31 May 2007, 20:54

Bloqueo por tiempo

Mensaje por titobv »

Gracias, efectivamente esta ocurriendo eso , si entran a google, pueden seguir navegando luego de la hora de finalizacion marcada en el schedule y la idea es que les saque de la navegacion una vez que llego la hora tope.
Con respecto a messenger los usuarios no tienen acceso.
Saludos.

cmendoza escribió:Hola Tito y bienvenido al foro...

Creo que lo que te esta ocurriendo es que los usuarios ya tienen los sockets o sesiones abiertas, y hasta que no se cierran, ellos pueden seguir saliendo a internet...

Esto quiere decir que ya no les dejaría crear conexiones nuevas... El messenger les puede funcionar, pero si intentan abrir una página de internet, esta no les va a funcionar...

Lo que te cuento lo he leido, pero nunca lo he probado... podrías probarlo y nos cuentas??? muchas gracias.

Saludos.
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Re: Bloqueo por tiempo

Mensaje por cmendoza »

titobv escribió:Gracias, efectivamente esta ocurriendo eso , si entran a google, pueden seguir navegando luego de la hora de finalizacion marcada en el schedule y la idea es que les saque de la navegacion una vez que llego la hora tope.


Pues creo que no existe la opción para que tire todas las conexiones activas una vez que se finalize el tiempo para el que este programado la regla... si que se puede hacer a mano, en la página principal, pinchando en "Statistics"-->"Sessions"-->"Details", filtrando por número de regla y luego tirando todas las conexiones... pero, esto en un caso puntual, no siempre...

Voy a abrir un soporte sobre esto con Fortigate a ver que dicen, porque, si no lo tienen, lo podrían implementar en futuras versiones.

Saludos.
titobv
Mensajes: 18
Registrado: 31 May 2007, 20:54

Re: Bloqueo por tiempo

Mensaje por titobv »

Pues te agradeceria mucho ya que he probado con FSAE y las politicas de active directory pero no funciona.
Saludos.



cmendoza escribió:
titobv escribió:Gracias, efectivamente esta ocurriendo eso , si entran a google, pueden seguir navegando luego de la hora de finalizacion marcada en el schedule y la idea es que les saque de la navegacion una vez que llego la hora tope.


Pues creo que no existe la opción para que tire todas las conexiones activas una vez que se finalize el tiempo para el que este programado la regla... si que se puede hacer a mano, en la página principal, pinchando en "Statistics"-->"Sessions"-->"Details", filtrando por número de regla y luego tirando todas las conexiones... pero, esto en un caso puntual, no siempre...

Voy a abrir un soporte sobre esto con Fortigate a ver que dicen, porque, si no lo tienen, lo podrían implementar en futuras versiones.

Saludos.
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Mensaje por cmendoza »

Con el FSAE te pasaría lo mismo... lo he instalado en una empresa y funciona pero con limitaciones... tiene mucho que mejorar.
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Mensaje por cmendoza »

En el foro de fortinet, ha contestado que se puede ejecutar este comando desde la consola de texto (CLI):

diagnose system session clear

Esto borraría todas las sesiones activas... te podría ayudar algo, pero no es la solución ideal...

Sigo con el tema abierto... les he dicho que lo ideal sería que en el objeto en el que se establece el tiempo, haya una opción para que cuando esa planificación finalice, se limpien todas las sesiones pertenecientes a esa politica... a ver que contestan


Saludos.
titobv
Mensajes: 18
Registrado: 31 May 2007, 20:54

Control de tiempo

Mensaje por titobv »

Gracias por la atencion. Estoy ejecutando el comando : system session clear
pero me sale el error : Command fail. Return code -61
y si solo le doy en la linea de comandos : diagnose system ?
para que me despliegue el help del comando, me da el error :

command parse error before 'system'

Que puede ser ?
Saludos.

cmendoza escribió:En el foro de fortinet, ha contestado que se puede ejecutar este comando desde la consola de texto (CLI):

diagnose system session clear

Esto borraría todas las sesiones activas... te podría ayudar algo, pero no es la solución ideal...

Sigo con el tema abierto... les he dicho que lo ideal sería que en el objeto en el que se establece el tiempo, haya una opción para que cuando esa planificación finalice, se limpien todas las sesiones pertenecientes a esa politica... a ver que contestan


Saludos.
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Mensaje por cmendoza »

perdona... te he puesto el comando según lo han escrito en el foro de fortinet pero no esta bien. El correcto es el siguiente:

diagnose sys session clear

Saludos.
titobv
Mensajes: 18
Registrado: 31 May 2007, 20:54

Control de tiempo

Mensaje por titobv »

Le ejecuto el comando diagnose sys session clear, pero no saca a los usuarios de las sesiones, no se si estoy haciendo algo mal o el comando no es el adecuado para lo que necesito, no importa que sea a traves de comandos lo que se les saque a los usuarios en una hora determinada , ya que puedo ejecutar el comando a traves de un programa.
Saludos.

cmendoza escribió:perdona... te he puesto el comando según lo han escrito en el foro de fortinet pero no esta bien. El correcto es el siguiente:

diagnose sys session clear

Saludos.
titobv
Mensajes: 18
Registrado: 31 May 2007, 20:54

Re: Control de tiempo

Mensaje por titobv »

Ahora estoy ejecutando el comando execute reboot , execute shutdown, en los dos casos me pide confirmacion (y/n), de que manera puedo ejecutar cualquiera de los dos comandos sin que me pida confirmacion.

Saludos.


titobv escribió:Le ejecuto el comando diagnose sys session clear, pero no saca a los usuarios de las sesiones, no se si estoy haciendo algo mal o el comando no es el adecuado para lo que necesito, no importa que sea a traves de comandos lo que se les saque a los usuarios en una hora determinada , ya que puedo ejecutar el comando a traves de un programa.
Saludos.

cmendoza escribió:perdona... te he puesto el comando según lo han escrito en el foro de fortinet pero no esta bien. El correcto es el siguiente:

diagnose sys session clear

Saludos.
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Mensaje por cmendoza »

hola... si lo haces por un escript, no puedes poner en una linea del escript solamente una "y"???
titobv
Mensajes: 18
Registrado: 31 May 2007, 20:54

Mensaje por titobv »

Gracias, pues le pruebo con todas las posibilidades pero no funciona, la idea es que si no me sacan los comandos que he probado a los usuarios, le ejecuto un comando reboot o shutdown a las 10:00am y les saca a todos los usuarios, pero eso en forma automatica, sin embargo no se como hacer para poner el comando reboot o shutdown en forma automatica a una hora determinada.
Saludos.

cmendoza escribió:hola... si lo haces por un escript, no puedes poner en una linea del escript solamente una "y"???
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Mensaje por cmendoza »

Hola titobv...

Los fortigate se pueden configurar para reiniciarse automáticamente configurando lo siguiente:

config system global
set daily-restart enable
set restart-time hh:mm
end

Mira a ver si funciona y nos cuentas.

Saludos.
titobv
Mensajes: 18
Registrado: 31 May 2007, 20:54

Mensaje por titobv »

Gracias, buenazo , si funciona, ahora la idea es que a esa hora se quite a un grupo de las politicas con el fin de que no navegue, es decir a las 08:00 a un grupo1 se le quita de las politicas de navegacion pero como siguen navegando se reboot el firewall y se les obliga a salir, pero quiero que a las 14:00 el grupo1 vuelva a estar en las politicas y puedan volver a navegar, esto lo estoy haciendo manualmente, como puedo hacerlo en forma automatica.

Saludos.

cmendoza escribió:Hola titobv...

Los fortigate se pueden configurar para reiniciarse automáticamente configurando lo siguiente:

config system global
set daily-restart enable
set restart-time hh:mm
end

Mira a ver si funciona y nos cuentas.

Saludos.
Responder