Synology DSM限制使用者帳戶登入時間的問題。 (第2頁)

HIMALAYAS
個人積分：230分
文章編號：52273132

230分

樓主

2014-09-23 12:07

謝謝vxr大大，
我再找時間來測試802.1X的認證方式(以前沒使用過)。
Fortigate Firewall支援IPSec及SSL VPN，
目前clients用的都是OpenVPN及L2TP/IPSec VPN，
所以就沒有讓80C來擔任VPN Server，
另外就是Firewall將來會升級更換，如果VPN用戶帳號建立在上面，
那麼更換Firewall時就得重來一次，這工程就有些累人了，呵呵~
另外，80C目前還有些小狀況，80C重新開機，更改管理port後可以很順利
的使用GUI介面進去，但持續操作後他變慢了，尤其是在觀看紀錄與報表時，
到最後他又不動了，但機器運作還是正常的，Firewall & UTM還是有起防護作用，
我想我是不是要用console線進去將boot device format後重新安裝FortiOS呢？謝謝！

vxr wrote:
80C的internal port是支援802.1x的..
如果你是用VPN..
何不使用80C的VPN???...

≡≡ 覺人之詐，不憤于言；受人之侮，不動于色；察人之過，不揚于他；施人之惠，不記于心 ≡≡

vxr

vxr
個人積分：400分
文章編號：52273187

400分

12樓

2014-09-23 12:12

HIMALAYAS wrote:
謝謝vxr大大，我再...(恕刪)

你要檢查你的system log是否有關於flash error的相關錯誤再評估...
你是使用甚麼版本的FOS?...

HIMALAYAS

HIMALAYAS
個人積分：230分
文章編號：52274307

230分

樓主

2014-09-23 13:16

機器在遠端，VPN連進去capture下來的畫面，
這是中華電信資安艦隊送的，已經運行二年多了，
應該是第一代的80C吧！
FortiOS：V4.0 MR3 Patch 18

XXXXXX-FW # get system status
Version: Fortigate-80C v4.0,build0689,140731 (MR3 Patch 18)
Virus-DB: 22.00820(2014-09-17 17:14)
Extended DB: 1.00234(2013-08-13 12:14)
IPS-DB: 5.00548(2014-09-18 00:29)
FortiClient application signature package: 5.548(2014-09-23 09:00)
Serial-Number: FGT80C391261XXXX
BIOS version: 04000009
System Part-Number: P05403-05
Log hard disk: Available
Internal Switch mode: switch
Hostname: XXXXXX-FW
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Distribution: International
Branch point: 689
Release Version Information: MR3 Patch 18
System time: Tue Sep 23 13:07:57 2014

vxr wrote:
你要檢查你的system log是否有關於flash error的相關錯誤再評估...
你是使用甚麼版本的FOS?...

≡≡ 覺人之詐，不憤于言；受人之侮，不動于色；察人之過，不揚于他；施人之惠，不記于心 ≡≡

vxr

vxr
個人積分：400分
文章編號：52274472

400分

14樓

2014-09-23 13:26

HIMALAYAS wrote:
機器在遠端，VPN連...(恕刪)

你可以先確定是不是flash error相關錯誤有出現..?!
是有某些方式可以讓FGT80C透過USB接入HDD/SSD/FLASH當作boot/logging disk啟動(當然僅限於5.2之前的版本)....

5.2.x是徹底封殺掉...

這僅限於那些特定的x86機種...

HIMALAYAS

HIMALAYAS
個人積分：230分
文章編號：52275139

230分

樓主

2014-09-23 14:04

vxr大大，請問要如何檢視flash是否有error的相關訊息呢？
80C有內建一個8GB的flash disk，之前寫入很大量的log後CPU會被拉到100%，
曾經懷疑這8GB flash disk有壞軌，所以後來就將log改寫入到memory裡面，
讓memory寫滿的時候就overwrite，直到上星期三的下午才發生GUI介面停止的現象，
因此才會想乾脆把boot device format掉重新的安裝FortiOS。
以前在日誌裡面都會記錄一些不需要的流量條目，這佔掉很大量的記憶體容量，
所以我用set extended-traffic-log disable指令將他關閉掉，只記錄我有
打開的合法流量紀錄規則，這樣的確大大的減少流量日誌的紀錄，然而後來為了要擋掉
TeamViewer及ShowMyPC，所以打開UTM的應用程式控制，但是應用程式控制裡面有二個
默認的規則是監視所有的應用程式，無法刪除取消，這時他又會開始記錄所有的合法流量，
這個問題目前也困擾著我。
大大對Fortigate的產品非常有研究，有沒有考慮開堂授課呢？呵呵~

vxr wrote:
你可以先確定是不是flash error相關錯誤有出現..?!
是有某些方式可以讓FGT80C透過USB接入HDD/SSD/FLASH當作boot/logging disk啟動(當然僅限於5.2之前的版本)....
5.2.x是徹底封殺掉...
這僅限於那些特定的x86機種...

≡≡ 覺人之詐，不憤于言；受人之侮，不動于色；察人之過，不揚于他；施人之惠，不記于心 ≡≡

vxr

vxr
個人積分：400分
文章編號：52275898

400分

16樓

2014-09-23 14:46

HIMALAYAS wrote:
vxr大大，請問要如...(恕刪)

"vxr大大，請問要如何檢視flash是否有error的相關訊息呢？"
你在System log或著在啟動期間開啟CONSOLE遭遇到如下類似訊息:
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD33353&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=63944213&stateId=0%200%2063942816
那可能就是存在bad block...

"80C有內建一個8GB的flash disk，之前寫入很大量的log後CPU會被拉到100%，"
這個情況更像是log process把CPU time吃爆...

"曾經懷疑這8GB flash disk有壞軌，所以後來就將log改寫入到memory裡面，
讓memory寫滿的時候就overwrite，直到上星期三的下午才發生GUI介面停止的現象，"
當你發生類似這種情況時..
透過console進入(telnet/ssh應該也可以), 使用如下CLI檢查:
diag sys top

"
以前在日誌裡面都會記錄一些不需要的流量條目，這佔掉很大量的記憶體容量，
所以我用set extended-traffic-log disable指令將他關閉掉，只記錄我有
打開的合法流量紀錄規則，這樣的確大大的減少流量日誌的紀錄，然而後來為了要擋掉
TeamViewer及ShowMyPC，所以打開UTM的應用程式控制，但是應用程式控制裡面有二個
默認的規則是監視所有的應用程式，無法刪除取消，這時他又會開始記錄所有的合法流量，
這個問題目前也困擾著我。"
你需要的是關閉這兩項的logging..
config app list
edit <app_list_string>
set other-application-log {enable | disable}
set unknown-application-log {disable | enable}
next
end

在App Control啟動後, by default, 會同時存在兩種幾乎一樣的logging..
App Control與Traffic Log的logging..
如果你想要避免重複類似的logging被記錄, 二擇一(進而節省記憶體使用):...
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD33623&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=63944177&stateId=0%200%2063942779

寫教學文不是沒有, 只是關注率不是很高..
畢竟這類產品並不親民, 而且是企業型應用...

你是否是1024MB DDR2-667 RAM機種??...
對於FOS的UTM效能:
5.2.x >= 5.0.x > 4.0MR3
硬體效能則要視採用的CP加速器規格..

你UTM服務開啟了哪些服務?...

HIMALAYAS

HIMALAYAS
個人積分：230分
文章編號：52276329

230分

樓主

2014-09-23 15:11

vxr大大，太感謝您的指導，
Fortigate CLI Reference我有在翻閱，V4.0 MR3版將近千頁，
只有英文版，有時看的頭昏眼花，有時看的霧煞煞...有時還找錯方向，
CLI的控制功能比起GUI強非常的多，只不過GUI有中文介面親善一些，
比起CISCO產品我比較喜歡FortiNet的產品，感覺操作上比較直觀，
這類的產品的確不親民，但用上後會很喜歡上他，我家裡個人是用50B，
有計畫再花一筆錢換成60D，對於家庭用60D應該是很夠用是吧！

80C UTM的部分只有開啟IPS及應用程式控制，這二項應該比較不耗資源對吧！
資安設備這塊的確是比較少人關注，但是有用到的人還是會很注意的，感謝您
辛苦的po文。

vxr wrote:
你UTM服務開啟了哪些服務?...

≡≡ 覺人之詐，不憤于言；受人之侮，不動于色；察人之過，不揚于他；施人之惠，不記于心 ≡≡

vxr

vxr
個人積分：400分
文章編號：52276634

400分

18樓

2014-09-23 15:27

HIMALAYAS wrote:
vxr大大，太感謝您...(恕刪)

"Fortigate CLI Reference我有在翻閱，V4.0 MR3版將近千頁，
只有英文版，有時看的頭昏眼花，有時看的霧煞煞...有時還找錯方向，
CLI的控制功能比起GUI強非常的多，只不過GUI有中文介面可愛一些，
比起CISCO產品我比較喜歡FortiNet的產品，感覺操作上比較直觀，
這類的產品的確不親民，但用上後會很喜歡上他，我家裡個人是用50B，
有計畫再花一筆錢換成60D，對於家庭用60D應該是很夠用是吧！"
毫無疑問的..
他是夠用的..
而且他(60D, ARM系統)的系統記憶體較大..
有2GB DDR-1066 RAM...

"80C UTM的部分只有開啟IPS及應用程式控制，這二項應該比較不耗資源對吧！"
當只有這兩個服務啟動時..
會使用flow-based engine...
這區別了與proxy-based engine極大的不同..
proxy-based engine都會需要把packet去緩衝到記憶體...
會對系統效能造成殺傷力..
在新的FGT機種(x86), 這種殺傷力減少很多..
而且動不動就是雙核四核的CPU...
80C的取代機種為80D:
get hardware status
Model name: FortiGate-80D
ASIC version: not available
CPU: Intel(R) Atom(TM) CPU N2600 @ 1.60GHz
Number of CPUs: 4
RAM: 1957 MB
Compact Flash: 980 MB /dev/sdb
Hard disk: 15272 MB /dev/sda
USB Flash: not available
Network Card chipset: RealTek RTL-8168 Gigabit Ethernet driver 8.038.00 (rev.)

SPI:
效能最高, 純防火牆服務, 無所謂精確率
Flow-based:
效能中等, 無法使用NP加速(80C沒有), 精確率中等, 不會緩衝到系統記憶體, CP加速器有效
Proxy-based:
效能較低, 大量使用CPU/記憶體資源, 精確率極高, CP加速器同樣有效

ivnchung

ivnchung
個人積分：35分
文章編號：52280988

35分

19樓

2014-09-23 19:51

FortiGate80C的效能比 DSM 強多了...
還是建議您把VPN 改建到80C
而且他的防火牆可以開啟用戶政策,就可切時段了。
應該徹底解決您的問題。僅供參考囉...

HIMALAYAS

HIMALAYAS
個人積分：230分
文章編號：52281811

230分

樓主

2014-09-23 20:52

謝謝大大的建議，其實DSM VPN Server的效能要看是選用那一款的機型，
Synology NAS中高階以上的機型都是雙核心的CPU，有些機型的記憶體標配
還是2GB的，效能決不在話下，還有他Support OpenVPN。
之所以不在Fortigate 80C上讓用戶使用VPN是管理上的考量，將來如果防火牆
設備要更換的話，那上面建立的帳號就要再重來一次，很累人的，80C我也有建立
SSL VPN，只供系統管理者使用，呵呵~

ivnchung wrote:
FortiGate80C的效能比 DSM 強多了...
還是建議您把VPN 改建到80C
而且他的防火牆可以開啟用戶政策,就可切時段了。
應該徹底解決您的問題。僅供參考囉...

≡≡ 覺人之詐，不憤于言；受人之侮，不動于色；察人之過，不揚于他；施人之惠，不記于心 ≡≡