Comunidad FORTIGATE.es

Hola, tengo un problema y creo que es el IPS el que lo hace, tengo un fortigate 100A en todo momento con el uso de memoria por encima del 70% (aunque la cpu no esté ni al 5%), por loque a nada que haces algo con él (consulta de log o simplemente tiene un exceso de algo), me dá:

2011-10-04 15:08:11 FortiGate has reached system connection limit for 9 seconds

Lo que hace que en el event log pase a tener:

16 2011-10-04 15:08:02 critical The system has activated session fail mode
17 2011-10-04 15:08:02 critical The system has entered system conserve mode

Esto me provoca desconexiónes de sesiones AS/400 que entran a traves de la wan, creo que está relacionado por lo menos.

Leyendo en el foro vi la siguiente page de fortinet, pero no sirve para mi firmware Firmware Version v4.0,build0458,110627 (MR3 Patch 1)

[Debes identificarte para poder ver enlaces.]

Digo que creo que es el IPS, porque si hago un "diag sys top" con Shift-M para ver lo que come memoria siempre tengo el primero el ipsengine ¿Hay alguna manera de deshabilitarlo?

Run Time: 0 days, 2 hours and 42 minutes

2U, 1S, 97I; 249T, 88F, 59KF

ipsengine 153 S < 1.1 14.8
cmdbsvr 23 S 0.0 12.0
httpsd 75 S 0.0 9.1
httpsd 65 S 0.0 8.7
httpsd 181 S 0.0 7.8
httpsd 185 S 0.1 7.7
httpsd 186 S 0.0 6.8
httpsd 187 S 0.0 6.8
httpsd 33 S 0.0 6.8
sslvpnd 59 S 0.7 5.9
miglogd 31 S 0.1 5.7
newcli 184 R 0.1 5.7
newcli 179 S 0.0 5.7
scanunitd 74 S < 0.1 5.5
cw_acd 72 S 0.0 5.3
urlfilter 54 S 0.1 5.2
merged_daemons 52 S 0.0 5.2
authd 56 S 0.0 4.9
fdsmgmtd 61 S 0.0 4.9
updated 60 S 0.0 4.8

Por cierto lo más curioso de todo es que no uso el IPS para ninguna política, por lo que no se porque consume nada.

Un saludo y muchas gracias por vuestra ayuda.

hola si no usas el ips

proba de modificar esto:

config ips global

set algorithm low
set ips-opt disable
end

y renicia el equipo

Muchas gracias, probaré a ver si así deja de consumir un poco.
Lo de las desconexiones del As/400 creo que va por otro lado, creo que tiene que ver con el keep alive de la sesión, buscando por el foro encontre otro post tuyo que explicaba como subir el tiempo de desconexión para un puerto, he subido el del puerto 23 a ver si así dejan de caerse las sesiones.

Muchisimas gracias de nuevo.

Hola, con el cambio de tiempo al puerto 23 no consigo solventar lo de las desconexiones, creo que los tiros van algo así como por lo que intento poner a continuación

Las sesiones se establecen entre el servidor as/400 y una conexión que entra a través del fortigate, creo que el problema esta en el NAT, ya que para el as/400 todas las conexiones entrantes tienen la ip del forti en vez de su ip origen, por lo que cuando el as/400 intenta saber si una sesión está viva o no, pues no es capaz de determinarlo y las tira todas.
¿se os ocurre alguna solución?

Hola, y porque nateas?
desde donde generas la session? otra interface? inteernet? vpn ?

saludos

Hola, nateo porque cambio de interfaz.

Lo de los tiempos de desconexión con el as/400 lo he "parcheado" subiendo el timeout, lo que pasa que tengo un problema

haciendo:

config system session-ttl
config port
edit 23
set timeout 7200
end

si hago un get me sale

id: 23
protocol: 0
timeout: 3600

no consigo que funcione, para conexiones con destino puerto 23 me sigue cogiendo el timeout global, por lo tanto he tenido que cambiar el timeout global a 7200 lo que hace que algunas conexiones por ejemplo al pueto 80 no se cierren y eso me provoca demasiadas conexiones simultáneas al forti.

¿El timeout lo hace por puerto origen o por puerto destino?

si hago un get al session-ttl directamente me sale

default: 7200
port:
== [23]
id: 23

No se porque no me coge el timeout que le hemos puesto al 23 cuando hay una conexión entrante con ese puerto como destino

hola, estas editando mal el ttl
copia esto tal cual

config system session-ttl

config port

edit 23

set protocol 6

set timeout 302400

set end-port 23

set start-port 23

next

end

Hola,

Tuve problemas con el consumo de memoria y de CPU... aplicando las configuraciones recomendadas en el siguiente link se mejoró muchísimo.

[Debes identificarte para poder ver enlaces.]