5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Fortigateについて語ろう

1 :anonymous:03/10/02 23:27 ID:???
世界初 ASICベースのアンチウイルス・セキュリティ・ゲートウェイ
オフィシャル(日本語はまだ無い・・・)
http://www.fortinet.com

みなさん語りませんかー。



2 :anonymous@ m023122.ppp.asahi-net.or.jp:03/10/03 00:15 ID:???











ちょっとエビフライ置きますよ・・・


              ,.、,、,..,、、.,、,、、..,_       /i
             ;'`;、、:、. .:、:, :,.: ::`゙:.:゙:`''':,'.´ -‐i
             '、;: ...: ,:. :.、.:',.: .:: _;.;;..; :..‐'゙  ̄  ̄
              `"゙' ''`゙ `´゙`´´´











3 :four tea:03/10/05 21:30 ID:???
ソフトバンクが取り扱いはじめたね。


4 :見習い:03/10/07 15:34 ID:3NePi4Mf
うちで使ってます

何か知りたいことありますか?解る範囲でよければ書きます

5 :nobody:03/10/07 17:44 ID:???
質問。

・この箱,どこが代理店として扱ってる?
・検知能力・処理速度,パターン更新頻度はどうよ?
・やっぱりFirewall機能セットかい?
・ところでやっぱり韓国系の箱?(いや,性能よくて壊れなければどこ製でもいいけど…)


6 : ◆JeYFCvvdow :03/10/07 23:17 ID:???
今日、検証機借りました。
設定方法はNetScreenに近いですね。
おおまかな設定は結構簡単に設定できました。

7 :anonymous@ wacc2s4.ezweb.ne.jp:03/10/08 07:48 ID:/m/MYYn2
ソリャあたりまえ。元Netscreenの健じぃが起こした会社。

8 :nobody:03/10/10 11:48 ID:???
>>7
うむ。NetScreenを立ち上げた人が興した会社なのね。
でもやっぱり胡散臭そうなのは気のせい?
代理店ハケーン
http://www.znw.co.jp/products/FortiGate/

9 :ハマり中:03/10/11 00:47 ID:iACt/+Mb
会社にFortigateキター!

・・・のはいいけど、初のVPN接続構築まかされて試行錯誤
なんとかPhase1は通ったけどPhase2でコケる

ルーティングの設定わかる方ヒントプリーズ
Ext Int
IKE    →     128.xxx.0.0/255.255.0.0
Ipsec  →     128.xxx.0.0/255.255.0.0

他に何か通すのってあるんですか?

10 : :03/10/11 21:22 ID:???
FortigateにVPN-GWをやらせるのなら通すも通さないもないが。

11 :ハマり中:03/10/14 22:28 ID:Z3yKDKWT
>>10
ありがとう
早速自分で勝手に作ったルーティング設定消しました
ってことは単純にPhase1,Phase2の設定のとこを作成してあげればいいのかなぁ?(今自宅なので名前忘れました)

テスト環境がフリープロバイダ経由のダイヤルアップで、FortigateRemoteVPNClient(中身はSSH Sentinel V1.4)使ってます
どなたかフレッツADSL&SSH Sentinel使ってFortigateをVPNゲートウェイにして使ってる方、設定のコツ教えてください。



12 :楽太郎:03/10/14 22:38 ID:???
放置ゲートに語られても困るなぁ・・・閉めといて。

13 : ◆JeYFCvvdow :03/10/15 00:01 ID:???
>>7
スマソ。当たり前なことはわかっていたけど、あえて書いてみた。

>>8
うちもそこから引っ張ってます。

14 :なりすまし:03/10/15 00:46 ID:???
>>4
何使ってます?FG50それともFG200でつか?

15 :ハマり中:03/10/15 16:43 ID:???
最新のFortigateRemoteVPNClientのマニュアルには
VPNポリシーを追加汁!と書いてあるのだが、ウチのFGT200にはそんなのないぞー
どうもコイツが設定できないせいでPhase2にいけないような気がしてきた。
ファームのアップデートが必要?

16 :いらいら:03/10/16 03:14 ID:EtFfJX/4
京都成安学園の先生たちはちゃんと事業を教えていない。

17 :anonymous:03/10/16 18:14 ID:???
>>4
うちもFortiの200か100を買うつもりなんですが、安定性はどうですか?
こけたりしますか?
VPNとしては使うつもりないのですが

18 :なりすまし:03/10/17 00:25 ID:???
Fortimanagerっていつでるんでつか?

19 :anonymous@ YahooBB218122062014.bbtec.net:03/10/17 23:29 ID:???
保守age


20 :anonymous:03/10/20 18:40 ID:???
>>4さんカムバァーック!!


21 :_:03/10/21 11:22 ID:???
>17
4じゃないけど...
5か月目になるけど特に問題はでていません。
うちの若いのが本稼働する前にスループット
測ってましたが結構よかったらしいです。
FW/1からの乗り換えなので上もコストが
下がって満足してます。。

なにか問題があった時に首がとぶのは私なんで
マイナー製品を使うのはやだったんですがねえ。

どなたかクライアントソフト経由のIPSecやっている
方みえませんか?クライアントの動作が不安定になると
こわいんですが。


22 :anonymous:03/10/21 19:08 ID:???
>>21
うほっ!
安心しました

他に気になるのはウィルスがスルーしちゃうとか噂あるけど、そこんとこどうなんでしょう?
実際に使っている方

23 :anonymous@ inuyama11198.ccnw.ne.jp:03/10/25 17:26 ID:TRwiCwg1
保守


24 :なりすまし:03/10/26 22:59 ID:???
22>
10M以上のファイルはスルーしまつ

25 : ◆JeYFCvvdow :03/10/26 23:18 ID:???
>>24
ウィルスファイルがスルーするかどうかのテストはやりそびれたのですが、
10MB以上がスルーするってのは、そういう設定なのではないでしょうか?
既に検証機を返してしまたので忘れましたが、スキャンするファイルサイズの
上限を設定するところがあったと思います。

ちなみに、指定するファイルサイズは、解凍後のファイルサイズです。

26 :なりすまし:03/10/28 00:48 ID:???
機器のバッファが10Mしかないと思われ・・・

27 : ◆JeYFCvvdow :03/10/28 20:06 ID:???
>>26
ひょっとすると、バージョンの違いとかあるのでしょうか・・・。
ちなみに私が使った機器は FortiGate400 Ver2.5 MR4です。

どこにあるかは忘れましたが、以下のような画面が無かったでしょうか?
ttp://www.geocities.co.jp/SiliconValley-Cupertino/5773/fortigate/img.jpg
ここに10と書かれているので、圧縮したウィルスファイルは解凍後10MBを超えると、
スルーすると代理店に聞いています。

ただ、>>26さんがいうようにバッファの容量の問題はあるかもしれませんね。
以前、NetScreenスレでFortiGateが話題になった時、HDDの無い機器だと
スルーするというレスがあったので、小さい機種だとあり得るかもしれません。
確か、上位機種はメモリの容量が大きかったと思います。

28 :なりすまし:03/10/29 02:00 ID:???
本当でつか?
Fortiはスルプシトをageるため10M以上はスルー汁と聞きまつたが・・・?

29 : ◆JeYFCvvdow :03/10/29 07:47 ID:???
>>28
全て代理店から聞いただけのうえ、記憶がやや曖昧で申し訳ないのですが、
確かにファイルサイズの指定は、スループットに影響があると言っていたと思います。
また、Fortinet曰く、10MBを超えるファイルの中にウィルスがあるということは、
まずありえないので、デフォが10MBということらしいです。

30 :なりすまし:03/10/30 00:12 ID:???
>>29
サンクスコ
ところでFortiユーザー?


31 : ◆JeYFCvvdow :03/10/30 00:39 ID:???
>>30
ユーザーというよりも、近々お客さんの所に導入するので、
検証機を借りてただけです。

32 :FG200:03/10/30 10:27 ID:???
会社のFG200を設置前に開けてみたことがある。
筐体でかい割にずいぶんコンパクトなボードで驚いた(ややがっかり)。
CPUもFortiASIC(FPGA?)もフィンがかぶっていて型式はわからなかった。
メモリは256MBのDIMMが一基。以前検証用に借りたFG100も全く同じボードと
メモリ構成。恐らくFG50もボードは同じではないか?(メモリは少ないかも)
FG60は後から出たのでわからないが違うかもしれない(ETHERポートの数とか)
下位機種のスループット、セッション数の制限はソフト的にかけてるのかな。
CFカードスロットがオンボードで実装されておりここからFortiOSがロードされる。
FortiOSのバイナリもAVパターンファイルもそれほど大きくないみたいだから
ワークメモリはかなり余裕がありそう。

33 :FG100:03/10/31 02:53 ID:???
アンチウィルスフィルタをSMTPにかけるとテスト用にウィルスを
送信してもエラーメールが送信者に返送されるだけで削除したって
文面が付加されない・・うちだけかな?
POP3にかけるとどうなるかはまだテストしてない。
設定した文面は日本語もOKだって代理店の人はいってたので
大丈夫だと思うけど・・


34 :なりすまし:03/11/01 21:43 ID:???
ウイルスチェックが働きすぎて、アプデートできませんですた。


35 :FG50:03/11/03 15:20 ID:???
BBで買った奴って、
Foreinetサイトユーザ登録いるんだろか?
(BBにはユーザ登録済み)
BBに聞いてみたが10日ほど放置されてます。

36 :anonymous@ 170.87.111.219.dy.bbexcite.jp:03/11/04 22:24 ID:???
日本語サイトまだ〜

Fsasのバリアパワーアップソリューションの基本パックって
FortiGate200だよ。
http://www.fsas.fujitsu.com/solution/s01nbsolution/nb01network/n01_02barrier/index.html

37 :なりすまし:03/11/05 23:58 ID:???
>>36
拡張パック、フルパックもFiortiなんでつか?

38 :Mr.X:03/11/11 15:18 ID:???
>>33
エラーメールを返すというより、smtp のセッション中に 500番台のエラーコード
を返しているだけです。エラーメールを作成しているのは、接続してきた smtp
server。

39 :中の人:03/11/11 16:38 ID:/rddgVM6
>>37
うんにゃ、拡張パックは定期的なセキュリティ診断とレポーティング。
フルパックは、サーバーとクライアントのウィルス対策を提供している。


40 :-:03/11/11 23:32 ID:???
金曜日、ケソ・ジーに会いに行きまつ。

41 :FortiGateHome(FTTH):03/11/12 21:57 ID:???
FortiGate Home(FTTH)出ないかなあ。
100BASE-TX x 2 port
同時ユーザ数:5
PPPoEスループット:90Mbps以上
FireWallスループット:90Mbps以上
VPN:なし
実売価格40千円以下希望。

42 :anonymous@ z29.220-213-46.ppp.wakwak.ne.jp:03/11/14 01:28 ID:R4U6Bfpu
httpのウイルスチェックも出来るみたいだけど
実際はどうなんだろう?

43 :anonymous@ p5006-ipad31sasajima.aichi.ocn.ne.jp:03/11/14 11:08 ID:/yn1h5pX
もう疲れたぽ(´へ`)

44 :anonymous@ AIRH03289016.ppp.infoweb.ne.jp:03/11/14 11:56 ID:Gce30DYE
>>42
サンプルのeicarで試してミレ。
httpだとエラーになる。

ただ、ルーターとして動かしておいて、Winの共有フォルダーの中に
ウィルス置いて、それをFortigate経由でコピーしようとすると
エラーにならない。
どうも、httpやftp、smtpなんかじゃないとチェックしないようだな。

最新のファームだとまたわからんけど。

45 :anonymous@:03/11/15 12:04 ID:???
ルータとファイアウォールの間に置く
FortiGateのIDSの能力はどの程度ですか。

46 :なりすまし:03/11/16 20:40 ID:???
>>45
ナンチャッテが良く似合う。(w

47 : ◆JeYFCvvdow :03/11/16 23:09 ID:???
>>45
>>46の言うようにナンチャッテが良く似合うというレベルですね。
IDS機能に関してはオマケだと思います。
そういえば、Ver2.5MR4.0ではIDS機能で攻撃パターンのON/OFFが
まともに動かないバグがありました。MR5.0では修正されるようです。

48 :45:03/11/17 21:09 ID:???
>>46
>>47
ありがとう。
やはり値段からすると妥当なところですね。
HTTP、FTPのアンチウィルスで使用します。
IDSはやはりISSですか?

それはそうと、こいつのPPPoEの実行スループットはどのくらいですか。
(値段が手頃な手頃なFotiGate200ぐらいで)

49 :anonymous@:03/11/17 22:49 ID:???
ttp://www.fortinet.com/jp/
日本語サイト、キタ━━━(゚∀゚)━( ゚∀)━(  ゚)━(  )━(  )━(゚  )━(∀゚ )━(゚∀゚)━━━!!

50 :なりすまし:03/11/18 01:42 ID:???
>>45
ナンチャッテIDSやウイルスチェシク、VPNをやったらかなり落ちると思われ。
情報キボンヌ

51 : ◆JeYFCvvdow :03/11/18 07:38 ID:???
>>48
ウイルススキャンのやり方次第ですね。
聞いた話ばかりで申し訳ないのですが、httpフルスキャンをやった場合は、
カタログ値の3DESの半分程度だそうです。
なので、FG200でhttpフルスキャンをすると25Mbps程度だということで・・・。
ま、SpeedTestのサイトや、Vectorからデカイのをダウソしないかぎり、
気にならない程度かと思います。

52 :anonymous@ Z213212.ppp.dion.ne.jp:03/11/27 20:27 ID:2xIUzeho
age

53 : ◆.p586Vj8xI :03/12/03 17:13 ID:???
>>44
アンチウィルスとして対応してるプロトコルがhttp・ftp・imap・smtp・pop3だけだな。
まぁポートの追加はできるからhttpだけど81使ってる〜とかいうとこでも平気らしいけど。

54 : ◆.p586Vj8xI :03/12/03 17:14 ID:nKgI8uT4
遅レスだが一応。

>>38
smtpのセッション中にエラー返すか、
受信者に文面追加して通すかは設定次第。

55 : ◆.p586Vj8xI :03/12/03 17:19 ID:nKgI8uT4
>>27
2.36までは10MBまでチェックでそれ超えたらスルー。
2.5からは容量可変になっていて、
搭載メモリの約14%を上限として1MB〜設定可能。
それ超えたらスルーするか止めるかは選択可能。

56 :○anonymous:03/12/03 19:38 ID:???
>55

搭載ディスクじゃなくて、メモリなんでしょうか?

57 : ◆.p586Vj8xI :03/12/03 20:32 ID:nKgI8uT4
>>56
FortiGateのウィルスチェックはメモリしかテンポラリに使用しないので、
メモリに依存します。
HDDは隔離された後のウィルスファイルとログ用です。

搭載メモリはFG50が64MB、FG60とFG100が128MB、FG200〜FG500が256MB、
FG1000が512MB、FG3000〜FG3600が1GBです。
ただしFG300の初期ロットは128MBのものがあります。
それぞれの約14%が上限。


58 :○anonymous:03/12/03 22:51 ID:???
>57

なるほど。
ということは、FG50は最大でもやはり10M
その他が18M,35M,70M,140Mといったところ?

なんか勿体無いな。HDD搭載している場合、速度犠牲にしても
ワークに使えるようなオプションが欲しいところだな。

ところで、このファイルサイズって、圧縮ファイルの場合は、
展開後のサイズですか?もしくは、圧縮ファイル自体+展開ファイルサイズ?
中身を見ているんだから、展開前というなら、gzみたいなストリーム圧縮ファイル
だけしかサポートできないよね。


59 : ◆.p586Vj8xI :03/12/04 13:12 ID:???
>>58
すんまそん、一部間違えてました。
FG100のメモリは256MBでした。

で、チェックできるサイズが、表記を見ると9MB、18MB、37MB、73MB、あと不明
となっています。
HDDは、たしかにもったいないですよね。
大きいサイズだけでもHDD使えるようにリクエスト出してみます。

圧縮ファイルの場合は展開後のサイズです。
ストリームでチェックしているわけではなく、いったんFortiGate内に取り込んで展開してから
スキャンかけます。
圧縮ファイルのサポートは「zip, lzh, rar, gzip, tar, upx」で、12階層まで展開します。
そんなに多重に圧縮するやついねーよ!って感じですな。

60 : ◆.p586Vj8xI :03/12/04 13:19 ID:WmXXgNMj
>>58
ウィルスチェックにオンメモリでしか動かない点については、
FortiNetの言い分としては、速度重視なのでできないと言われたことがあります。
まぁ、ウリの部分を犠牲にする意味があるのか?ってことだと思いますけど、
ユーザーに選択させるのもいいと思うんですけどね、自分としては。
でもあまりサイズを増やせてもデメリットもでてくるので、
実際に設定するサイズとしては10MB以下が妥当かにゃ。

61 :FG200手配中:03/12/04 17:01 ID:???
InfoSphereIP8タイプをADSLで使用中、CIDRなIPを8個もらっております。
現状は、ADSLモデム→ルータ→SonicWall DMZを繋いでいるんですが
FG200納入後は、ルータを省いてADSLモデム→FG200の直結にしようと
考えています。何処かで、FGのPPPOEではCIDRアドレスは扱えないと
見た覚えがあるのですが、現在のファームでも同様なのでしょうか?

ルータを省ければIPが1つ余るんで他に回そうと考えてます。

62 : ◆.p586Vj8xI :03/12/04 18:18 ID:WmXXgNMj
>>61
ダメなのは2.36の頃の話で、2.5では対応しています。
ただしWebUIからは設定できません。CLI(sshとかtelnetとかシリアルコンソール)で設定することになります。

63 :anonymous@ 166.137.210.220.dy.bbexcite.jp:03/12/04 20:55 ID:???
メモリ増設ってできるの?
開けて勝手に挿すなり挿し換えてok?
オプションでカスタマイズできるの?

64 :ねらってます:03/12/04 21:44 ID:???
こいつのアンチウィルスの実力はどうよ。
WildListのものは問題なく検知、駆除できるのかい。
カテゴリ外だけどVB100%とれる実力あんの。

65 : ◆.p586Vj8xI :03/12/05 12:34 ID:hp/xTy7e
>>63
モデルによってはDIMMスロットあったりしますが、さしたことはありません。
公式にはカスタマイズ不可です。有料オプションもありません。
月曜にでもさしてみます。

66 : ◆.p586Vj8xI :03/12/05 12:35 ID:hp/xTy7e
>>64
WildListのは100%検知できると言っています。メーカーが(w

実力っていうか、検知できるウィルスの数はトレンドマイクロとかに比べると極端に少ないです。
ただ、メーカーが言うには、DOSの頃のものとかもう出て回ってないウィルスとかは対象外だそうな。
新しい物・危険度が高い物に対応ってことらしいです。速度確保の為。

67 :○anonymous:03/12/05 13:59 ID:???
>66
>メーカーが言うには、DOSの頃のものとかもう出て回ってないウィルスとかは対象外だそうな

そのメーカコメントは前から聞いていたし、
現実に日本企業の社内NWには、古いウイルスが、ゴロゴロしている例も
多いことを伝えたんですけどね。

手持ちの(届いて隔離してあった)ウイルスを、試したところ、チラホラ抜けたし、
展開後のファイルサイズ制限を超えたらすり抜けるという仕様だと
困る例が多くて、なかなか薦められないでいます。

#実際、展開すると100M超えるけど、圧縮すると数十Kどまりなんて
#ファイルは、簡単に作れるし、これにウイルス付けて送られると。。なんですよね。
#ウイルスを送る人間は「悪意を持って」行うということを認識して欲しいんですけどね。
#(二次災害は除く)実際、特定のクライアント用アンチウイルスソフトだけ
#すり抜けたり、書き換えたりするウイルスは、良く転がってたりするぐらいですし。

補助的に使う分にはいいんですけど>Forti
アンチウイルス機能を売りにするには、まだ不満といったところです。


68 :anonymous@ AIRH03239023.ppp.infoweb.ne.jp:03/12/05 19:32 ID:WYRCt1Cf
>>67
つーか、外から急速に拡散してくるようなWarm対策がメインだからな。
社内ネットワークに蔓延するタイプの奴。httpやsmtpを介さない奴は
適用外だろう。
とりあえず、これまで別サーバーを立てないといけず、ネットワーク構成や
FireWall設定が複雑になる原因だった、VirsuWall並の機能を持ってれば
漏れは十分だけどな。

あと。その「抜けた」ウィルスがどういう奴で、どの様な構成だと通り抜けたのか?
そのウィルスはWildListにのってるのか?
というのはどうなんだろう。

69 :○anonymous:03/12/05 19:48 ID:???
>68

先にも書きましたが、ただのメール添付ファイル送受信テストですよ。
展開したらサイズが膨れるようにしたテキストファイルアーカイブに
ウイルスくっつけて送信。(もちろんリストにあるもの)

チェックできない添付ファイルは、削除するか弾いてくれる方が
提案しやすくてうれしいのだけど、そういうふうになったの?

70 : ◆.p586Vj8xI :03/12/05 23:34 ID:hp/xTy7e
>>69
55に書いたけど、チェックできない大きなサイズのファイルは
スルーするかブロックするかを設定で選択可能です。

71 :○anonymous:03/12/06 00:25 ID:???
>70

じゃあ、あとは、顧客の運用体系だけが問題になるだけですね。
良かった、良かった。


72 :anonymous@ EATcf-314p34.ppp15.odn.ne.jp:03/12/06 02:04 ID:3zy0lfYv
>>62
うっ!
コンソールから操作できるんだ
知らんかったよ
どっかにマニュアルとか上がってる??
きっと、暮れ!って言えばもらえるもんじゃないよね?

あと話変わるけど、ウィルスキターーー!!メールにメールのヘッダー情報とかって表示できないんでしょうか?
誰宛のメールだか知りたい場合もあるんですよね
誰か知らないかしら
マイナー製品?だから情報少ないよね

73 : ◆.p586Vj8xI :03/12/06 03:27 ID:O6qXa8Nj
>>72
CLIリファレンスあるけど、買った人にしか渡してないなぁ。Webとかには落ちてないし・・・
どっかのリセラーに聞いてみるとくれたりするかも??

うぃるすきたーーー!メールって管理者宛のアラートだよね?
だとしたら表示されますよ。

ウィルス名、プロトコル、SourceIP、DestIP、fromアドレス、Toアドレス が表示されます。
それぞれ変数になってて、メッセージ自体カスタマイズできるし。

やっぱまだマイナーっすよね。知らない人多いし。
自分はもう1年半さわってる。って言ったらバレそう・・・

74 :○anonymous:03/12/06 04:37 ID:???
>73

S.A.さんとこの人かなぁ。

75 :64:03/12/06 13:08 ID:???
>>66
ICSA Certified Anti-Virus Productsだからって
WildListのものを100%検出できるわけではない。
VB100%受賞は意外と難しい。

高速化のためのASICじゃないのかなあ。
ASICなんてパターンマッチングくらいしか
使い道なそうだし。
WildList以外を対象にするかは
ユーザーが選択することであって
ベンダーの決めることではないな。

76 :61:03/12/06 14:08 ID:???
>>62
遅ればせながら、情報ありがとうございました。納品されましたら設定チャレンジしてみます。
で、CLIリファレンスは製品に添付されて来ないんですか?

ちょっと、Googleってみたらフォーバルクリエイティブさんに技術情報が少し載ってるんですね
http://www.forvalcreative.com/jpn/support/fortigate/index.html
でも、FortiOS 2.36までしか情報公開されてない・・・

77 :72:03/12/06 22:22 ID:???
>>73
どうもです
月曜会社いったら試してみますよ

CLIリファレンスも>>76のところから古いけど落とせるみたいですね
あとで読んでみます

ところでフォーチやっぱりマイナーですよね
実際売れてるんでしょうか?
あの馬鹿みたいに高い上位機種とか(w
KDDIのサービスも加入者いるのかしら??

78 :なりすまし:03/12/07 01:17 ID:???
KDDIも売ってます、40GATE。
んでKDDIに機能的なこと聞いたけど、よくわかりませんって言われますた。

79 : ◆JeYFCvvdow :03/12/07 02:10 ID:???
>>77=72
>あの馬鹿みたいに高い上位機種とか(w
馬鹿みたいに高い上位機種もまだ増えるみたいでつ。

>>76
CLIリファレンスは添付のCD-ROMに入っているはずですが・・・。
もしかして、代理店によって違うの?
そういえば、うちにあるCD-ROMは手作りっぽかったな。

どうでもいいけど、pingやtracerouteの前にexecuteと入力しなければ
いけないのはダルい。

80 : ◆.p586Vj8xI :03/12/08 10:39 ID:1sWq5J5y
>>76
製品にCDついてるから、それにCLIリファレンスも入ってると思います。

>>79
FG4000とか5000のことでつか(w
そのまえにFG800が出てきますね、ぎがびっと持った機種が。

もともと添付されてるやつも手作りっぽいっすよね。まぁしゃーないけど。
exe pingぐらいの略で勘弁ってことで。

81 :名無平社員:03/12/08 12:43 ID:df4UmbwQ
Fortiのスレ発見ww

CLIリファレンスはfortiのSupportにログインすればあると思うんだが・・・



82 :61:03/12/08 13:10 ID:???
>>79,80
了解です。納品されたら確認してみまつ

>>81
Fortinet Japan社員さんの降臨でつか?
こちらもユーザ登録後確認してみまつ

値段だけなら↓がお安いかも
http://www.pasoq.co.jp/shopping/hard/maker/kind/000504010090000.html
ダイワ某さんの直販サイトですが、6掛け以下のお値段でつね
以前は出てこんかったけど、私が発注したんで取り扱い開始した悪寒

83 : ◆JeYFCvvdow :03/12/08 22:19 ID:???
>>80
>FG4000とか5000のことでつか(w
>そのまえにFG800が出てきますね、ぎがびっと持った機種が。

そうです。それです。先日永田町でその話を聞きました。
つうか、4000なんて売れねぇ。
1slot単価がForti100程度ならどうにかなるけど。

>exe pingぐらいの略で勘弁ってことで。
をを、知らんかった・・・(汗
ありがとうございます。


84 : ◆.p586Vj8xI :03/12/08 22:32 ID:1sWq5J5y
>>83
Fortiもそんなに売れるとは思ってないのかも<500とか
とりあえずラインナップそろえとかないとっていう表向きな面が強いっぽ。

CLIは普段から略しっぱなし。みょーに長くなるコマンド多いんで。
Intarfaceのあどれす決めるときなんて、
s s in internal m s i 1.1.1.1 255.255.255.0
で済んじゃいますよね。ってこれじゃ自分で何やってんだかわかんなくんなりますが(w

85 : ◆JeYFCvvdow :03/12/08 23:18 ID:???
>>84
>s s in internal m s i
既にInterfaceのアドレスを振った後なので、途中まで試してみたのですが
set s in internal m s i
でないと動かなかった。

っていうか、いやな現象を見てしまった。

*****fortigate # s
*****fortigate (set)# s
*****fortigate (set-sys)# interface
^
|
Ambiguous command.    <=★



*****fortigate # set
*****fortigate (set)# system
*****fortigate (set-sys)# interface
^
|
Incomplete command.    <=★

同じことをやっているのに、この★の行の違いは何だろう・・・。

86 :_:03/12/09 01:35 ID:???
>>85
yaccもlexもつかいこなせないSEなワタクシですが、CLI parser
の構文解析で、i) 複数の候補がある場合は`Ambiguous', ii) 該
当するものがない場合は`Incomplete', とふるまっているんじゃ
ないかなと思う次第です。

ネタにマジレスカッコワルですね...。

87 :anonymous@ 57.pool8.ftthtokyo.att.ne.jp:03/12/09 04:07 ID:1yLfaVXl
>85
ファームv2.50MR5の場合Menuには出てこないのがあるみたい
実際の最上位のコマンドには
diagnose
execute
exit
get
set
unset
sysctl < こいつが問題

がありました

s だと setとsysctlの区別が付かないんで
s s in の場合 Ambiguous Commandとなり
set s in の場合Incomplete Commandになるってことかな
確かMR4まではMenuに出てたんで気がついたけど
もしかしたら他にもMenuに出てこないCommandあんのかなぁ

CLIで省略形が使えるのなんて普通だとは思うけど、
こういう細かい部分に配慮して欲しいトコ

ところで誰か
diag system と diag test 〜 の効果と使い方教えてくれ
systemの方は後ろに何持ってきてもIncompleteだし
testの方もCommand打っても変化が無くて気になって仕方がない

88 : ◆JeYFCvvdow :03/12/09 07:42 ID:???
>>86
ネタのつもりじゃないのでカッコワルくないです。
複数の候補があるということは予想しましたが、なにせ表示が
(set-sys)# となっているので、set-sysに入っているものだと
思っていました。
まさかsysctlがあったとは・・・。

>>87
えーっと、sysctl・・・
CLIリファレンスに載ってない・・・。

89 : ◆.p586Vj8xI :03/12/09 11:52 ID:Bb3v8L/I
>>87
84は2.50 build160で確認してました。sysctlは無くなってるみたい。

diag system top
diag system matrix
とか・・・ってもしかして公開してないんだろうか。

90 : ◆.p586Vj8xI :03/12/10 12:24 ID:7uOXYYf2
>>72
いちおうサンプル。

Subject: Virus/Worm detected: W32/Klez_Family-mm

Virus/Worm detected: W32/Klez_Family-mm
Protocol: smtp
Source IP: 211.6.83.170
Destination IP: 203.14.2.123
Email Address From: total-eco@luck.ocn.ne.jp
Email Address To: aromaorder@happy.jp

ほぼそのまま引用。IPアドレスをメールアドレスは多少隠蔽。
こんな感じのが管理者(?)に届きます。


>>74
S.A.さんって誰だろう・・・思いつかないからたぶん違うと思う(笑)

>>76
もう納品されました?
そしてPPPoE あんなんばーどの設定できました?


メモリ増設のテストは忙しくてできてないです。
どなたかやってみて下さい(w

91 :61:03/12/10 13:53 ID:???
>>90
納期未定でつ _| ̄|○

92 : ◆.p586Vj8xI :03/12/11 18:56 ID:???
>>91
発注してるのに納期未定???
なんでじゃろ。

93 :@:03/12/13 02:01 ID:vmLvjxPQ
FortiOS 2.8 age

前回の2.3→2.5は情報が少なくて心細かったけど、今回はここのスレがあるから大丈夫(w

94 : ◆.p586Vj8xI :03/12/13 13:29 ID:gv/0blAL
>>93
2.8で管理画面のデザインががらっと変わりますよね。

95 : ◆JeYFCvvdow :03/12/13 13:38 ID:???
>>94
おっ! デザイン変わっちゃうんですね。
NetScreen3.Xから4.Xの時変更ぐらい変わっちゃいますか?

96 :@:03/12/13 22:17 ID:vmLvjxPQ
>>94
ガラっとって。。。。
2.3→2.5のときより変わってますか??w

2.5のときはIDSがだいぶ強化されたからすぐ入れたんだけど、今回はどんなもんでしょうか?

97 : ◆.p586Vj8xI :03/12/13 23:36 ID:gv/0blAL
>>95
すいません、NetScreen3.Xの画面を知りません(w

>>96
2.36->2.5よりも画面変わりますね。
機能も・・・
IDS・IDP部分も変わります。

98 :FG200:03/12/14 00:04 ID:vw0QlhMp
>>97
うちようやく先月2.5にしたばかりなのに(w

99 :名無しさん@お腹いっぱい:03/12/14 15:28 ID:JZMNlK3D
ヘルプやマニュアルの日本語訳版つてないのかな


100 : ◆JeYFCvvdow :03/12/15 01:03 ID:???
>>99
ないみたいですね。
管理画面は日本語対応しているのに、マニュアルが英語なので
結局は管理画面は英語を使ってしまう。

そういえば、某代理店で日本語マニュアルを作成中のようだけど、
多分2.8からでしょうね。

>>多分、このスレにいる某代理店の方、どうですか?

101 :anonymous@:03/12/15 06:46 ID:???
>>100
日本語マニュアルより、>>61-62みたいなFAQを充実してもらいたいと思ったり
マニュアルに書いてないことを知りたいことの方が多いんだよね

102 : ◆JeYFCvvdow :03/12/15 07:26 ID:???
>>101
確かに・・・。(汗

103 :61 ◆FG200xXuLw :03/12/15 10:01 ID:???
>>92
販社に発注は掛けてるけど、先週時点でそこへの納期が未定なのでつ
もしかすると、今日あたり納品されるかも知れません。
自社のリプレースPCとかも大量に納品されてきそうなので、
FGを触るのは後回しになりそうな悪寒

うちに来るのは、FortiOS 2.8になってるのかなぁ〜
私にとってはどのVer使っても初物なんで、2.8から入ります。
ところで、2.8でも、アンナンバード設定はCLIのままなのでしょうか?

104 : ◆.p586Vj8xI :03/12/15 20:23 ID:9DZtQtrD
>>100
うちは作ってないから違うな・・・(w
ちなみに2.26の頃は作ってました。
今作ってない理由は、バージョンアップが早すぎて、
金かけて日本語マニュアル作っても出来上がった頃には古くなってるから。
今2.5のマニュアルできあがったとしても短命に終わるし。

>>103
2.8のリリースは2月以降の予定なので、当分2.5で納品されると思われ。
いまMR5(build133)で、1月後半・・・にはMR6で出荷されると思う。

105 :@:03/12/15 21:30 ID:SpCCDxRM
>>104
MR5出てたんだ....

106 : ◆.p586Vj8xI :03/12/15 22:31 ID:9DZtQtrD
>>105
11月頭には。

107 :99:03/12/15 23:27 ID:GDeCzHYz
日曜日にはじめて触って(デモ機)SonicWallよりずっとイイ!(・∀・)
とおもつたのですが、ヘルプがすべて英語だったので (´・ω・`)シヨボーン

>>101
のおっしゃるとおり機能と制限のほとんどが理解できると
FAQがほしいのですが、最初にとっかかるときは、マニュアルとヘルプ
の日本語版はほしいです。
ヘルプだけでも日本語化キボーン!!
そうすればSonicに楽勝なり



108 :FG200:03/12/16 22:33 ID:???
皆さん分割メールってどう対策されてますか?

109 :なりすまし:03/12/17 00:37 ID:???
マニュアルって(´・ω・`)シヨボーンじゃないでつか?

110 : ◆.p586Vj8xI :03/12/17 10:07 ID:6p3NGfi7
>>108
自分とこは、スルーする設定にしてまつ。

111 :anonymous@ 69.87.111.219.dy.bbexcite.jp:03/12/18 20:23 ID:???
NECも始めますた。
ttp://www.necsoft.com/solution/fortigate/

112 : anonymous@:03/12/18 23:07 ID:rZ935GVF
>>90
遅くなりましたがサンプルども
Ver2.36だったから表示されないみたいですた
2.5では表示できるみたいですね

ついでにお聞きしちゃいますが、2.5だとHTTPでウィルス検知やブロックした場合に、そのURLを表示できますか?
いまはIPしか表示できなくて、結構不便だったりします

113 :-:03/12/18 23:35 ID:???
>>111
NECも図研ネットウエイブから仕入れてるんだね。

114 :_:03/12/19 09:50 ID:???
>113

図研は商社だからね。本気になるまでは、ボリュームメリットの方が大きいでしょう。
サポートは、当てにならんけど、安いからなぁ。


115 : ◆.p586Vj8xI :03/12/19 10:34 ID:aGdf/WUX
>>112
クライアントのブラウザ上ではURLでますけど、
管理者宛アラートでは出ません。2.5 build160でもIPaddressのみ。

>>114
こなれた商品ならともかく、まだまだ発展途上の製品でサポートがあてにならないって痛いと思う・・・

116 :_:03/12/19 11:20 ID:???
>115
> こなれた商品ならともかく、まだまだ発展途上の製品でサポートがあてにならないって痛いと思う・・・

いや、だから安く仕入れてサポートは自社で行うところには向いているかもってことです。
こなれているかどうか別にして、図研扱いのセキュリティ関連商品って、皆そうじゃない?
RSCP -> *S-Solとか。E/Uが安いからって引くと泣くけど。

商品こなれると、こんどはサポートしてた人員が、ごっそり切られたりするけどね
(FC/ASなど)

117 : anonymous@:03/12/19 23:15 ID:KTyRWcE/
>>115
IPだけですか
ちと残念です
ログには取られてるんだから、そのうち対応してくれるといいなぁ

118 :61 ◆FG200xXuLw :03/12/20 13:47 ID:???
FG200ようやく納品されますた。

リリースノートによると、OSは2.5MR4のようです。
手持ちの仕事が片付いたら、ぼちぼち設定を始めようと思います。
何分、初物なので設定に手間取るかも知れません、皆様のアドバイスを頂けますと助かります。
FAQになるかも知れませんが、作業経過等を備忘録代わりにカキコしてこうかとも思ってます。

119 :なりすまし:03/12/21 00:12 ID:???
皆さんはNSと比べてどう思いますか?

120 :anonymous@ EATcf-138p158.ppp15.odn.ne.jp:03/12/21 00:28 ID:XOKZ3uCw
>>119
どこを比べたらいいの?
VPN?

121 : ◆.p586Vj8xI :03/12/21 01:20 ID:FYx9AoEZ
>>118
おめでとうございます。
リリースのーとと製品に入ってるバージョンが違ってる可能性もあるので、
管理画面に入ったとこにバージョン出てるので、そこで見た方が確実かもです。
いちおう最新はMR5ですが、ちょっとバグバグなのでいやーんです。
だからといってMR4が大丈夫って意味ではないですが(w
MR6はやくしてくれ・・・

122 :anonymous@ exserver2.firnet.ne.jp:03/12/21 10:04 ID:???
Cerberianコンテンツフィルタのライセンスを国内で購入できるところありますか?

123 :61 ◆FG200xXuLw :03/12/22 16:29 ID:???
>>121
Fortigate-200 2.50,build133,031024 と出ました、日付が10月下旬なんでMR5なのかな?
添付CD内のマニュアル類は、中国語版と英語版でした。
納品されたのは、図研さん扱いの基本保守サービスのみ

とりあえず、internalのIPを変更してLANに接続して設定画面を眺めています。
CLIでも繋いでみて、set system interface内のPPPOE設定オプションの
ipunnumberedで設定できそうなのを確認。

さて、ISPに、10.1.1.1/29(10.1.1.1〜10.1.1.8)が割り当てられたとして(本当はGlobalアドレス)
externalインターフェースに、ipunnumbered enable borrow 10.1.1.2 と割り当てるとします
DMZインターフェースに、同様に、10.1.1.2 と割り当てるとします。

ここで、ちょっと不安になったので、図研さんのサポートにTelしてみました。
まずは、WEB-UIで基本的なPPPOEの設定をして、DMZにもアドレス付与
その後、CLIで上記設定を行って出来上がりのようです。

後は、既存のファイアウォールポリシーやNAPTの設定等を行えば、SonicWallと差換えられそうです。

#この手の設定って、かなりの所で必要だろうからペーパ一枚入れておいてくれれば助かるのになぁ〜

124 : ◆.p586Vj8xI :03/12/22 16:55 ID:9+Ygmmk0
>>123
build133はMR5ですね。
CLIでPPPoEの設定をしたら、WebUIでExternalの設定はいぢらないでください。
いぢったとたん、ipunnumberedはdisableになります。
アクセス制限など、あの画面で設定できる部分は先に行っといたほうがいいです。
んでもってCLIで。
べつにWebUIでPPPoEの設定を先に行う必要はありません。

この部分は、たぶんMR6でWebUIに追加されるんじゃないかなぁ・・・と予測。
でも予測を裏切られること多しなので期待してないけど。

125 :anonymous@ ZE129001.ppp.dion.ne.jp:03/12/22 17:34 ID:???
????

126 :なりすまし:03/12/23 23:54 ID:???
>>120
VPNとか、スルプトとか、安定性とか、です。

127 :FG100@:03/12/24 01:20 ID:???
>>126
うちはVPN他の製品使ってるからわからないなぁ
っていうか皆さんVPN使ってるんでしょうか?

安定性はいまのところ問題ないよ トラブルなし
スルプトはHTTPスキャンしてるせいか結構落ちるね
FG200ぐらいにしとけばよかった


128 : ◆JeYFCvvdow :03/12/24 01:35 ID:???
>>127
うちはIPSecとPPTPを使ってます。
IPSecは今の所問題ないです。
PPTPは若干問題ありってところです。(FG60 MR5)
この問題は通常起こらないとは思います。

っていうか、くだらないバグの多さはNetScreen並かと思います。

129 :FG100@:03/12/24 02:42 ID:vk0Vfv9l
>>128
バグってVPNがらみ?

130 :61 ◆FG200xXuLw :03/12/24 10:07 ID:???
>>124
うっ、MTU辺りをいじってしまったかも、CLIで再度設定しまつ
そうですね、出来る所はWebUIで設定してます。コマンド打つの案外面倒ですので

今日は、FireWallの辺りを少し触って見ることにします。

Internal(LAN)のあるマシンは、NAPTの設定が必要なんで
バーチャルIP部分でGlobalIPとInternal(LocalIP)を、スタティックNATで対応させます。
さて、この割り当てたバーチャルIPに対するポリシーは、From external/dmz To internal
From internal To external/dmz、つまりinternalを基点に設定すればよいのですよね?

あれば嬉しい機能:
SonicWallにはあるんですが、WebProxyを中継してくれる機能
トランスペアレント(クライアント側PROXY設定無しに)にProxyサーバに中継してくれます。
ディスク持ちモデルなら、FG自体がProxyになってくれてもいいかも

PPPOEマルチセッション対応
これは、インターフェース設定でVLANを追加すれば可能なのかなぁ〜

131 : ◆.p586Vj8xI :03/12/24 11:35 ID:AdFytk60
>>128
くだらないバグっていうと、ftpでアンチウィルスを有効にしてると
日本語ファイル名のやりとりができないってことですか(w

#MR5のみ

132 : ◆.p586Vj8xI :03/12/24 11:45 ID:AdFytk60
>>130
get system interface
ってコマンド打ってみて、Interface externalんとこが
desired ipunnumbered addr: disabled
ってなってたらWebからいぢっちゃったってことになりますね。
有効であればIPアドレスが入っています。

バーチャルIPでExternalとInternalの対で設定された場合は、
ポリシーではExternal to Internalの設定になりまつ。
って、あれ、unnumbered設定をしていてDMZにグローバルがありつつ、
ExternalからバーチャルIPですか?
ExternalInterfaceのアドレスをポートフォワーディングするのは試しましたが、
それ以外のアドレスをStaticNATする設定やったことないです。
ちと試してみますが、もしかしたらダメかも?

PPPoEマルチセッションは今はダメなはず。
でもってFortiUSAがあまりやる気なさそう。
日本以外で需要なさそうなので。

133 : ◆.p586Vj8xI :03/12/24 11:50 ID:AdFytk60
>>130
やっぱりバーチャルIPの設定で選んだInterface以外ではポリシーに選択が出てこないですね。

134 :61 ◆FG200xXuLw :03/12/24 16:55 ID:???
>>132
>>133
まだ、externalをInternetに繋いでいないので確認できませんが
バーチャルIPのテスト設定を行ってみた所、確かにexternal to internal/dmzの
ポリシーにバーチャルIP設定が現れることは確認しました。
ちょっと、気になるのはinternalのローカルIPを割り振ってるのに、dmzの所にも
宛先にバーチャルIP設定が現れることです。

staticNATで、external to internalの通信が出来ればOKなので
From external側でバーチャルIPに対してアクセス制限をかけ
From internal側でバーチャルIPに対応するローカルIPでアクセス制限をかければ
良いのだろうと解釈しておきます。
ローカルIPだけだと、判りにくいのでアドレス設定で判りやすい名前を付けて管理しまつ
現状だと、バーチャルIPとローカルIPの2つを意識してポリシーを設定しないと
いかんようなので、改善されると嬉しいですね。

上記設定での挙動は今のところわかりませんが、NAPTするホストはそれほど重要でないので
現時点でうまく通信できなくてもやむなしです。

PPPoEマルチセッションは現状むりですか、うちの環境だとフレッツスクエアを使うぐらいしか
現状用途はないですが、フレッツグループとか使いたい所には厳しいですね。

またまた、質問で恐縮です。
ポリシーの中のNAT設定の効用つうか用途は何なのでしょうか?

135 : ◆.p586Vj8xI :03/12/24 17:08 ID:AdFytk60
>>134
DMZにグローバルを振った状態でのExternal->Internalへのアクセスは
明日にでも試してみましゅ。余ってるunnumberedのアカウントとADSLがあるんで。
今日やらない理由は早く帰りたいから(w

ポリシーの中にあるNATのチェックボックスは、IPmasqするかどうかです。
どのポリシーにも存在してるのは、どのポリシーに対してもIPmasqできるから。
たとえばExternal to InternalのポリシーでNATのチェックボックスを有効にすると、
インターネット上のアドレスは全てFortiGateのInternalのアドレスへ変換されます。
Internalにある鯖(?)から見れば、アクセス元が全てFortiGateのInternalのアドレスになります。
Internal to Externalのポリシーで使えば普通のIPmasqの動作になりますね。
逆の使い道は。。。なんだろう? あんまり使わないですね。
Internalの鯖でデフォルトゲートウェイを設定しなくても使えるぐらいでしょうか。ってやっぱり意味無いですね。

136 : ◆.p586Vj8xI :03/12/24 17:10 ID:AdFytk60
>>134
バーチャルIPの先をInternalのローカルIPをふってるのにDMZのポリシーに出てますが、
そこで選択しても全く機能しません。
出ないようにしてほしいですよね。って言っときます。

137 :61 ◆FG200xXuLw :03/12/24 17:23 ID:???
>>135
明日にでも確認よろしくお願いします。今日はクリスマスイブですしね。

とりあえず、現状のセキュリティーポリシーを、サービス→グループ設定などを
使って構築しています。

138 : ◆.p586Vj8xI :03/12/25 17:58 ID:lB3trQBP
>>137
ごめんなさい、今日やる予定だった検証できてません(汗
今日突然MR6(2.50 build171)がリリースされて、そっちの検証が優先になってしまって・・・

139 : ◆JeYFCvvdow :03/12/25 22:11 ID:???
>>131
ここで書いたことの他に、pptpでアドレスの範囲を2つにすると、
次の3つ目がpptpクライアントに割り当てられてしまうことです。
Fortinetや図研さんでも現象の再現が出来たようなので、
対応してくれるようですが、出たばかりのMR6で改善されているのだろうか・・・。
# ま、こういうアドレスの割り当て方をした漏れも・・・(汗

140 :61 ◆FG200xXuLw :03/12/26 11:55 ID:???
>>138
うちのFG200は早速MR6にアップデートしますた。

既存のFirewallポリシー、NAPT設定等は一応完了し、後は繋いで見るだけですが動かなかったらピンチです。
検証結果お待ちしております。

141 : ◆.p586Vj8xI :03/12/26 15:38 ID:8f6lxic5
>>140
やってみますた。(MR6で)
ExternalはPPPoE unnumbered、DMZはぐろーばるをstatic、
InternalはローカルIPです。
で、バーチャルIPをExt->Intで書き、ポリシーにも書き、、、

それでExt->Intのアクセスできました。
ただ、やっぱりDMZ->IntのグローバルIPでのアクセスはできませんでした。
Ext->Intの許可をしているグローバルIPには、Extからしか入って来れません。
DMZからIntへの通信が必要な場合は、
実際にふられているローカルIPへのアクセスをする必要があります。
もちろんポリシーを書くことが前提です。

142 :61 ◆FG200xXuLw :03/12/26 16:15 ID:???
>>141
お忙しい所、検証ありがとうございます。
実は、◆.p586Vj8xIさんの検証を待たずに、接続してみました、こちらの環境での結果はOKでした。
今もFG200越しにカキコしてます。
検証いただいた条件と、私の環境は若干違うようなのでOKな例を書かせていただきます。

・ExternalはADSLモデム直結のunnubered設定
 仮に、10.1.1.1/29
・ExternalのグローバルIPを、InternalのローカルIPにバーチャルIPでStaticNAT
 External自身のIPは、10.1.1.2/29 バーチャルIP対応は、10.1.1.3/29:192.168.0.1
・DMZのグローバルIPを、InternalのローカルIPにバーチャルIPでStaticNAT
 DMZ内鯖IPは、10.1.1.4/29 バーチャルIP対応は、10.1.1.4/29:192.168.0.2

私の環境では、DMZ内もグローバルIPという事です。

少しはまってしまったのが、ポリシーの設定でした。
Intenal to DMZは、通信できるのに、Internal to Externalの通信が出来ない。
はて?はて?と思いつつ、ログを眺めると、HTTP等のリクエストは送ってるが
戻り先が、External自身のIPで行き止まりになってました。
Internal to ExternalのポリシーにNATをチェックして解決です。ちゃんちゃん

次は、アンチウイルスの設定に行こうと思ってるんですが、またまた?です。
うちでは、基本的にHTTPのアクセスはDMZ内のPROXYサーバ経由です。
プロファイル内にはHTTP等のチェックボックスがあるわけですが、これは
サービス内の初期設定内のサービス名に対応してるんですよね?
初期設定ではHTTPはtcp/80となっていて、PROXYは違うポートなんで
チェックから外れちゃうのでは?と思っています。じゃあ、カスタムでHTTPの所に
ポート追加したろと思ったら、FGに駄目って怒られてしまいました。
これも、CLI設定行きのパターンなんでしょうか?それとも、ポートとか関係なく
パケットの中身を見て、FGがうまいことやってくれるんでしょうか?

143 :61 ◆FG200xXuLw :03/12/26 16:18 ID:???
>>142
> ・DMZのグローバルIPを、InternalのローカルIPにバーチャルIPでStaticNAT
>  DMZ内鯖IPは、10.1.1.4/29 バーチャルIP対応は、10.1.1.4/29:192.168.0.2

ここ間違いでした。
DMZ内鯖IPは、10.1.1.4/29 バーチャルIP対応は、10.1.1.5/29:192.168.0.2

144 : ◆.p586Vj8xI :03/12/26 18:10 ID:8f6lxic5
>>142
「HTTP」という名前のサービス(デフォルトで入ってるやつ)は、あくまで80/tcpのみです。
で、アンチウィルスの機能として対応しているhttpも、80/tcpのみを見ています。
ただし、アンチウィルスのhttpとしてのポートを追加することは可能で、
これはCLIのみになります。
上記2つの「http」の名前の対応は別々になります。

今回のケースでは、クライアントがInternalにいて、DMZにproxyサーバがあり、
そこからInternetに出て行くだけだと思われますので、
Internal->DMZへの通信はウィルスチェックせず素通しして
DMZ->Externalへの80/tcpをウィルスチェックすれば大丈夫だと思います。
proxy用に使用しているポートを追加する手もありますが、それだと手間かかると思うので。

ポリシーとして必要なのは、Internal->DMZのproxy用のサービス、
DMZ->Externalの80/tcpのサービス。
(DNSが必要とか、そのへんはあたりまえとして)
でいいんじゃないでしょか?


ちなみにCLIでアンチウィルスのhttpとして認識するポートの追加コマンドは、
set antivirus service http port add 8080
です。(8080は例)

145 :61 ◆FG200xXuLw :03/12/27 16:23 ID:???
>>144
いつもありがとうございます。
了解しました、やはりCLIで設定ですね。

ポリシーの方は色々あるんで、CLIやWebUIで色々ごにょごにょやる必要がありそうです。
さしあたり当面の運用に差し障りの無い設定は出来ましたので、その他の機能はマターリ
触っていこうと思います。

146 :FG200ユーザ:03/12/28 21:35 ID:HNZyxu4r
誰か管理コンソールのログインURL誰か教えてくれませんか?
https://xxx.xxx.xxx.xxx〜だったと記憶してるんですが・・・
またIDSセンサーの設定が飛んだみたいです。
頻繁になりますが誰か同じ症状で悩んでる人いませんか?
私今帰省中で会社に行いけないし、ベンダー休みだし・・・
このままだとアラートメールが止まりません。
本当に困っています。

147 : ◆JeYFCvvdow :03/12/29 01:55 ID:???
>>146
https://FG2000のIFのIPアドレス/
でしょ?

> またIDSセンサーの設定が飛んだみたいです。
> 頻繁になりますが誰か同じ症状で悩んでる人いませんか?

またってことは以前も飛んだのですか?
っていうか、飛ぶものなんでしょうか?
そういえば、以前書いたIDSのチェックのON/OFFが効かない件はMR5で
修正されたはずなのに、まだ改善されていないっぽい。
もしかして、うちもその飛んだのだろうか・・・。

148 :FG200ユーザ:03/12/29 08:28 ID:XcoV/UD/
導入後半年位です。
飛んだのは3回目です。IDSセンサーのところで200番、212番ってチェック
いれますよね。あれです。
設定が飛ぶのはこれだけです。
その他のポリシー設定とかは飛んでないです。
https://FG200のIFのIPアドレス/の後に何か付くんです。
誰か知ってる人いないかなー・・・




149 : ◆.p586Vj8xI :03/12/29 14:44 ID:EBPEF17U
>>147
MR5でもまだ設定が反映されないあたりの不具合残ってます。
MR6で修正されたと聞いています。

>>148
200番?212番?なんで番号??
そもそもどのバージョンを使用されていますか?
アドレスは最後の/の後は何もつけなくて大丈夫です。
何も付けないで見えないなら、何かを付けても見えません。

150 :61 ◆FG200xXuLw :03/12/29 16:55 ID:???
うちのFG200だけなのか、時計がやたらと遅れて行きます。
ntpの同期設定は行っているのですが、同期してないように思われます。
ntpサーバは、ntp1.jst.mfeed.ad.jp を設定、同期周期は60分にしてあります。

本年は皆様ご助言ありがとうございました、よいお年を、、、

151 : ◆.p586Vj8xI :03/12/29 18:17 ID:EBPEF17U
>>150
MR6の段階でも、NTP鯖はFQDNで認識できないバグが存在します。
とりあえずIPアドレスで入力しておくしか今は手がありません。

152 : ◆JeYFCvvdow :03/12/29 19:10 ID:???
>>150-151
FortiGateに限った話ではないですが、IPアドレスで指定するか、
FQDNで指定するかって結構悩むんですよね。
IPアドレスだとアドレスが変更になった場合接続できないし、
DNSだとDNS鯖が氏ぬと接続できない。

IPアドレスで指定する方がリスクは低いと思うのですが、
Y!Japanのように年1ぐらいでアドレスが変わっているところを
見てしまうと考えてしまいます。
# 私はY!のDNSRRでババを引かないようにhostsに書いているので、
# こういうアホな悩みを持ってしまうわけなのですが・・・。
スレ違いスマソ。

153 :FG200ユーザ:03/12/31 11:31 ID:tcJRXMXV
管理コンソールに入れました。
やはりIPアドレス指定だけでOKでした。
ご迷惑おかけしました。
ベンダーから指定されたのはIPアドレスのあとに何かついていたので・・・
NIDS ALERT: ICMP PING CyberKit 2.2 Windowsってなアラートが
5秒に一回来てアラートメールが2万件以上で大変です。
今は設定をしてOKなのでアラートメールはとまっています。
ちなみにベンダーからは年末にバージョンをあげろと言われたので
新年早々にバージョンアップして様子見です。

154 :61 ◆FG200xXuLw :04/01/05 17:10 ID:???
あけましておめでとうございます、本年もよろしくお願いいたします。

>>151
MR6のリリースノートを見てみたら既知の不具合と書いてありますた。
IPアドレス指定でしのぎます。

>>142で設定した、NAPTの設定を少しいじってみたら通信できない
ケースがあるようです、具体的には以下の通りです。

ヴァーチャルIPで、Ext→IntのStaticNAT設定を、ポートフォワーディングで
ポート指定すると、dmzに対してアクセスしようとしているようです。
ポートを限定すれば、ポリシーに書かなくて済むと思ったんですが
現状無理そうなんで、StaticNAT+アクセス制限ポリシーで運用します。

155 : ◆.p586Vj8xI :04/01/05 17:35 ID:TnVwugPA
>>154
ポートフォワーディングでもポリシーに書くのは必須になります。
ポリシーに書かなかったらDMZに行ってしまったのは、
もともとそのアドレスがDMZのセグメントだからだと思います。たぶん。

156 :anonymous@ gatekeeper-tky.datacontrol.co.jp:04/01/08 12:07 ID:???
age

157 :-:04/01/08 19:44 ID:???
>>156
ヲイヲイ・・・。代理店がふしあなさんでageるなよ。
思わず笑っちゃったじゃないか。

158 :_:04/01/08 23:08 ID:???
>157

受けた、受けた。
CheckPointスレのJ社とN社のやり取りみたいなこと起きないかなぁ(藁


159 :@:04/01/10 07:00 ID:???
>>156
たまにですがお世話になっておりますw

160 :anonymous@ fuelup.infocom.co.jp:04/01/10 12:40 ID:???
どうでもいいが、oracle位まともに通るFW作れよなw
今時、WAN間に使えないって業務で使えねえジャンかよ;;

161 :161:04/01/10 14:27 ID:???
>>160
WANにFWおかなければいいじゃん。まさかインターネットに???
ちなみに160のお客さんの話だよね。自分の会社でやろうとした?

162 ::04/01/10 15:43 ID:???
>160
いまどき、動的Portでしか動かないOracleを使う方が
問題では?
(どうしても使いたければ、FW-1導入してください)

固定Portで動くようにしてあれば、大抵のFW通りますので。
(今のOracleは、固定が普通)



163 : ◆.p586Vj8xI :04/01/10 22:32 ID:???
MR5使ってる人はMR6にしましょう〜♪

164 :anonymous@:04/01/11 01:22 ID:0C3EfkH+
>>163
うちはまだMR4なんだけど、リリース情報とかってどこ見ればわかるのでしょうか?
フォーチのメールニュースは購読しているのですが、そういう情報来ないし(2.8は来たけど)

165 : ◆.p586Vj8xI :04/01/11 03:16 ID:vGTeIQLT
>>164
fortinetのwebにアカウント登録してるのであれば、
ファームウェアといっしょにリリースノートも見れたと思います。
たぶん。。。。
なければ買ったところ(or サポートしてくれるところ)に聞いてみるのがいいかと。

166 :anonymous@ ZH017114.ppp.dion.ne.jp:04/01/14 15:30 ID:0Hbxgykc
質問です
FG200へVPN接続するのに、他拠点からADSL+Routerで各クライアントにクライアントソフト(SSH Sentinel)入れて
同時に接続なんて出来るのですか? 拠点のIPは非固定で。
同一IPでのダイヤルアップVPN接続は蹴られちゃうかな?

167 :164:04/01/15 01:14 ID:???
>>165
レスありがとうございます
メールでお知らせが理想だったんですがダメみたいですね
このスレちょくちょくチェックするようにすればOKかなw

168 :anonymous@ p5046-ipbffx02souka.saitama.ocn.ne.jp:04/01/22 11:27 ID:???
FG300って構成した内容をファイルに出力できますか?

壊れた時、このファイルを読み込むだけで設定が復帰できたらうれしいのですが。

169 :souka.ocn:04/01/22 11:44 ID:???
>>166
たぶん出来ないと思います。

170 : ◆.p586Vj8xI :04/01/22 15:08 ID:???
>>168
設定ファイルは保存可能です。
ただ、アンチウィルス検知時のメッセージ等、一部保存されない部分もあります。

171 :souka.ocn:04/01/22 15:53 ID:???
ありがd>◆.p586Vj8xI

仮に設定クリア状態になっても、保存したファイルから戻せます?

172 : ◆.p586Vj8xI :04/01/22 21:24 ID:???
>>171
ファイルから戻せば、現状の設定は全てクリアされてファイルに保存してある設定になります。

173 : ◆JeYFCvvdow :04/01/22 22:17 ID:???
MR6にうpしますた。
以前書いたくだらないバグがなくなりますた。

設定ファイル保存で思い出したのですが、adminユーザーでないと設定ファイルを
保存出来ないのですね・・・。adminにtrusthost制限をかけたので、バックアップを
リモートで出来なくて鬱でした。

174 :souka.ocn:04/01/22 23:01 ID:???
重ね重ねありがd>◆.p586Vj8xI

さて、どこから買おうかなぁ〜。やっぱマクニカでしょうかね。



175 : ◆.p586Vj8xI :04/01/22 23:11 ID:???
>>173
adminとread&writeユーザーの違いってあんまり無いけど、
設定バックアップできないのは不便ですよね。
adminのtrusthostに複数かければいいんですが、1個しか書けないから中書くと外が書けない・・・
WebUIではread&writeユーザーはFGの再起動も出来ないですが、
sshで入ったら普通に再起動できちゃいます(w
設定とるときは、sshで入ってget configで取ってます。
ヘッダつければそのまま戻せるファイルになるので、まぁそれでもよいかなと。

176 :61 ◆FG200xXuLw :04/01/23 08:04 ID:???
>>174
うちは図研扱いのを、付き合いのある商社から購入しました。
設定はFG200に付属してきたUSBメモリにバックアップしています。

177 :anonymous@ 061196101081.cidr.odn.ne.jp:04/01/28 09:16 ID:???
ぷらっとホームでも取扱い始めたね
仕入れは図研からみたいだけど

178 :-:04/01/29 07:40 ID:???
図研のサポートの方ごめんなさい。
リリースノートでfixされたバグと、対応中のバグを混同したバカは漏れです。_| ̄|○

179 : ◆.p586Vj8xI :04/01/29 18:41 ID:???
みんな図研からなのかぁ。

180 :for〜:04/01/30 06:18 ID:???
>>177
それは、去年の春くらいから扱っていたと思う。
調べたら、平成15年5月28日開催のイベントの案内が来ていたよ。

181 :fushianasan:04/01/30 14:52 ID:???
すみません、知っている方がいたら教えて頂きたいのですが、

購入後一年経つと、本体のアンチウィルス機能が停止してしまうのでしょうか。
それとも新規の定義をとる為のアカウントが無効になってしまうイメージですか?

あと、パソQ(www.pasoq.co.jp)などで次年度以降のハードウェア保証を
買えば更新できるのでしょうか?

182 : ◆.p586Vj8xI :04/01/30 14:58 ID:???
>>181
1年?
とりあえず製品だけを買った場合のアンチウィルスのライセンスは90日ですが・・・
で、期限がきても機能自体は動いてます。定義ファイルが取得できなくなるだけです。

パソQのことはよくわからないので、パソQに聞いてみてくだされ・・・

183 :fushianasan:04/01/30 15:13 ID:???
ありがとうございます。
たとえばFG200で、これを買って ttp://store.nttx.co.jp/_II_FG10960488
一年切れる前にこちらを買えばOKです? ttp://store.nttx.co.jp/_II_FG10960307

184 : ◆.p586Vj8xI :04/01/30 15:53 ID:???
>>183
それだと、アンチウィルスのライセンスが90日で切れて、次の1年のを買うまで
アップデートができなくなってしまう気がします。
nttxが仕入れてる販社がどういう扱いにしてるかにもよりますが、
本来、定価638000円のFG200自身は、ファームウェアアップデートが1年ありますが、
アンチウィルスidsのシグネチャデータベースの更新期限は90日に設定されています。

もしかしたら初年度分は販社が製品に含んだ形で販売してる可能性もありますので、
買うところに問い合わせてみてください。

あんまり答えになってないみたいでスマソ

185 :61 ◆FG200xXuLw :04/01/31 10:33 ID:???
>>181
私はパソQつうかここの出資会社のひとつから購入した口です。
パソQから購入しようとすると、多分私と同じ扱いになるかと思われます。
NTT-Xでも同様かも知れません。
(商品構成とか価格を見ると大本のDBは同じように見受けられるんで、、、)

FGは図研さん扱い

初年度基本(センドバック)保守サービス込み、内容は以下
・保障期間1年
・ハードウェア故障時のセンドバック対応
・ファームウェアの最新バージョン提供
・AntiVirus/NIDSデータベースの提供(更新権利)
・技術問い合わせへの対応

で、次年度以降1年間ハードウェア保障を購入すると上記が継続されるのだと思います。

186 :-:04/02/02 02:31 ID:???
うちに出入りしてる図研さんの担当さんは、
このスレ見てるって言ってたな。降臨キボンヌ。

187 :61 ◆FG200xXuLw :04/02/04 10:04 ID:???
MyDoomとかもしっかり弾いてくれていい仕事をしてくれている
うちのFG200ですが、アラートメールをちっとも送ってくれません、、、

DNSはDMZ上のと、Externalのプロバイダのを指定しています。
SMTP ServerにはFQDNでDMZ上のメールサーバを指定し
SMTP Userにもちゃんと、user@domain.comで指定しているのに適用しても
テストボタンが無効のままでテストメールすら送れない始末です。

何故なんだ〜〜

閑話休題
Virusチェック等で一度取り込むみたいなんで、FG自体のRWINとかの
TCPパラメータをチューニングしようと思ったんですけど設定項目が
ないみたいですね残念。

diagしてみたら、CPUはCeleron300MhzだったりNICは蟹8139だったりで
高い割には案外チープな作りなんですな。

188 :○anonymous:04/02/04 10:26 ID:???
>187
> 高い割には案外チープな作りなんですな。

NOKIAやRSに比べれば、高性能CPUだね(w;
やはり、ウイルススキャンのためだろうね。
NICは気にいらないけど。>蟹
トラブルの元だから。


189 :2.8待ち:04/02/04 13:08 ID:???
>187

適用おしてるかい?

190 :61 ◆FG200xXuLw :04/02/04 13:38 ID:???
>>188
ウイルススキャンとかはF32つうASICがやってるんじゃないのかなぁ〜
書庫の解凍とかはCPUのお仕事だと思いますけど

>>189
適応ボタン押しまくりですよ、、、

191 :_:04/02/04 13:46 ID:???
>190
実際のところ、どうなんでしょ。
ベースOSがLinuxとかだったら、ソース要求すれば公開義務あるんだけど。
見れば判る。(見たい)


192 :fushianasan:04/02/04 14:13 ID:???
>>187
◆FG200xXuLwさん、ありがとうございます。

切れる前に、更新ライセンスを買えばいいってことで、とりあえずFG200
買ってみます。
でもなんで大本のDB同じなんだろう???パソQ

193 :61 ◆FG200xXuLw :04/02/04 14:54 ID:???
>>191
diagで色々情報見てみたけど、ベースOSの痕跡とか私には判りませんでした。

>>192
お〜仲間が増えそうだ。
サポート条件とかが同じって事が前提になりますが、http://support.fortinet.com/registration.aspx
では、個別の製品登録は出来ません。図研さんの代表IDのような物に紐付きで登録されるそうです。
http://support.fortinet.com/へのログインは、この代表IDで行うことになってます。
(何人で共有しているか知らないけど、パスワード変更してくれるなと言われてまつ)

>でもなんで大本のDB同じなんだろう???パソQ
出資会社のBtoBシステムのDBが大本なんだと思います。
で、ASPサービスか何かをやっていて、NTT-Xとかも物流まで面倒みているんじゃないかな。

194 :Q:04/02/05 09:45 ID:???
次期OSからは全機種PPPoE対応になるって

195 : ◆.p586Vj8xI :04/02/06 12:14 ID:DquQSpP/
>>187
それってFG200ですか?FG100じゃなくて?
上位機種のNICはIntelだったり。

>>194
現時点の2.5でも全機種PPPoE対応なんですが・・・

196 :Q:04/02/06 15:09 ID:???
>>195
ってことはこのデータシートのスペック表は古いってことなのか
http://www.fortinet.com/jp/doc/FortinetBroch.pdf

販売代理店からは「次のOSから」ってアナウンスがあったけど

197 :61 ◆FG200xXuLw :04/02/06 15:28 ID:???
>>195
はい、FG200です。以下diagの抜粋

FG200 # d h g s c
processor : 0
vendor_id : GenuineIntel
cpu family : 6
model : 8
model name : Celeron (Coppermine)
stepping : 10
cpu MHz : 300.687
cache size : 128 KB
後略

FG200 # d h g s iop
前略
8800-88ff : Realtek Semiconductor Co., Ltd. RTL-8139
8800-88ff : 8139too
8c00-8cff : Realtek Semiconductor Co., Ltd. RTL-8139 (#2)
8c00-8cff : 8139too
9000-90ff : Realtek Semiconductor Co., Ltd. RTL-8139 (#3)
9000-90ff : 8139too
9400-94ff : PCI device 15bc:4001 (Agilent Technologies)
9400-94ff : FortiASIC32

>>187
自己解決しますた、SMTPユーザ名に変な物が入っていたようです。

198 : ◆.p586Vj8xI :04/02/06 19:10 ID:DquQSpP/
>>196
それは古いです。
たぶん日本語訳する人が古い資料でも見ながらやっちゃったクチでしょう。
英語のほう見たほうがいいです。
http://www.fortinet.com/doc/FortinetBroch.pdf

そして対応した代理店も日本語サイトのPDF見て答えちゃったクチなのか?
画面見たらわかるのに。

199 : ◆.p586Vj8xI :04/02/06 19:13 ID:DquQSpP/
>>197
あらん、FG100とFG200ってCPU一緒だったのか。
FG100がCel300ってのは覚えてたので、FG200はてっきり別かと思ってました。すんまそん。

200 :@:04/02/07 19:54 ID:sPlihXdt
MyDoomがスルーしまくるんだけど!って思ってFG覗いてみたら
ウイルスパターンが12/13から更新されてなかったよ
そのあたりの自動処理は信用してたんでガックシ

201 :ななしさん:04/02/07 23:38 ID:sapUk0n/
>>191,193
x86系のlinux 2.4だと思われます。diagで見える各種メッセージが
kernel 2.4系のlinuxのそれと全く同じです(w
Flashのデバイス名も/dev/hdaだったような気が…


202 :-:04/02/08 11:24 ID:???
>>200
それはきちんと管理していない藻前が悪い。

203 :岸朝子:04/02/08 13:20 ID:???
ウイルスパターンが更新されない不具合あったね
手動アップデートしたら直ったけど、あれはフォーチの方でもっと大きく発表してもいい不具合なんじゃないかと思ったよ

204 :for〜:04/02/08 13:29 ID:???
もし、情報持っていたら教えて下さい。
FortiGate 60 の上位版みたいな機種は出ないんでしょうか?
200を検討しているけど、3ポートしかないのが気になっているんで…

205 :ななし :04/02/08 21:27 ID:???
>201
じゃあ、Fortigateに言えば、ユーザで無くても
「ソース頂戴」で貰える筈だよね。
ましてや、ユーザや代理店なら。
少なくともカーネル組込みした部分は。

貰って公開してくださいな。
(守秘義務は無い筈)


206 :Q:04/02/09 09:45 ID:???
>>198
なるほど,納得しました
ありがとうございました

しかし某代理店はこの製品あまり詳しくないってことだな

207 :61 ◆FG200xXuLw :04/02/09 15:58 ID:???
>>205
洒落でソース要求してみましょっか?
仮にもらえても私にはメリットも利用価値も何もないですけどね。

どんな文面を送ればよいのでしょうか?テンプレキボン

208 :ななし :04/02/09 16:09 ID:???
>207

こんな感じで、どうでしょう?

FortiGate各製品は、内部でLinuxカーネルを利用していると
見受けられます。
GNU Public Licenseに基づき、ソースを入手したいので、
メールに添付して送っていただけますでしょうか?

うだうだ言ってくれなかったら、

なお、内部にLinuxを使っているにも関わらず、著作権者表示が
無い様子が見受けられます(マニュアルにあれば削除)
これに関しては、改善されなければ、GNUに連絡を取らせて
いただくことになると思います。


209 :動詞:04/02/10 07:56 ID:???
>>207
洒落はやめたほうがよい。本気で欲しいと思う人が米国本社へアクセス
してみるのがよいと思う。ちなみに、Linksysも最初黙っていてLKML他
で騒ぎになり公開されて、今ではOpenWRTプロジェクトもできました。

210 : ◆.p586Vj8xI :04/02/18 01:35 ID:???
もうすぐ2.50MR7がリリースされるらしい。

211 :@:04/02/22 16:45 ID:???
2.8の話はその後全然でないね

212 : ◆.p586Vj8xI :04/02/22 23:44 ID:???
>>211
2.8は4月予定と聞いています。

213 :名無しさん@お腹いっぱい。:04/02/23 16:59 ID:???
>>210
いつごろですつか?

こいつはぬるぽワームに対応していますか?

214 : ◆.p586Vj8xI :04/02/23 18:19 ID:N9Y8wOHP
>>213
2月中には出ると聞いていますが、遅れる可能性もあります。
ぬるぽワームとはなんでしょう?

215 :61 ◆FG200xXuLw :04/02/24 10:58 ID:???
>>210
変更点とかリークキボン

216 :ぬるぽ:04/02/24 20:10 ID:???
>>214

ぬるぽワーム
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.A

217 :初心者:04/02/24 20:17 ID:???
ウィルススキャンでタイムアウトになりまつ。
特定のサイトからのダウンロードを
スキャン対象から外すことはできまつか。

218 : ◆.p586Vj8xI :04/02/24 21:45 ID:oqv+RFwF
>>216
今は対応リストにないですね。
そもそもwinny経由だとウィルスチェックできません。

219 : ◆JeYFCvvdow :04/02/25 00:03 ID:???
>>217
そんなもん、特定のサイトをウィルススキャンしないルールを書けばいいじゃん。
って、これじゃダメ?

220 :217:04/02/25 11:45 ID:???
>>219
やり方がわかりませんのでお手数ですがご教授願います。

221 : ◆.p586Vj8xI :04/02/25 13:52 ID:QeraCVoq
>>220
ポリシーで書いてください。
その特定のサイトのIPアドレスのポリシーを書いて、そのポリシーではウィルススキャンしない設定にして。

222 :217:04/02/25 19:49 ID:???
>>221
ありがとうございます。
やってみまつ。

223 : ◆JeYFCvvdow :04/02/25 22:37 ID:???
>>222
>>219で「これじゃダメ?」と書いたのは理由があってですな、
Y!JapanみたいにDNSラウンドロビンしているところでは、
ある日突然ウィルススキャンするようになるんですよ。

>>221
このあたりの回避策ってURLフィルタとかで上手く出来ないもんですかね?
DstやSrcにDNS名を使えればいいのですが・・・。

224 : ◆.p586Vj8xI :04/02/26 10:22 ID:gzu7KdYY
>>223
今の仕様だと無理ですな。IPアドレスで処理してるので・・・
ちょっと中の人に聞いてみます。

225 :( `∀´)y-~~:04/02/26 21:32 ID:???
ウイルスパターンファイル 4.229
キタ━━━━━━(゚∀゚)━━━━━━!!!!!

ここでは誰もうpだて情報はやらないのですか?

226 :61 ◆FG200xXuLw :04/02/27 08:25 ID:???
>>225
ウイルス/アタックデータベース更新はFGの中の人が勝手にやってくれるんで
私はあんまり気にしてませんね。
かきこ時点で、ウイルスパターンは4.230になってますた。

Firmの方は手作業なんで、キタ━━━━━━(゚∀゚)━━━━━━!!!!! と
言ってもらうと助かります。MR7はそろそろかな?


227 : ◆.p586Vj8xI :04/02/27 14:52 ID:E9jfqxAZ
FortiWiFi-60って、名前もっと考えられんかったんかのぅ・・・
そしてFortiLogが復活してる。過去にラインナップにあったけど消え去ったやつ。

228 :初心者:04/02/27 20:42 ID:???
FortiGateのまとめサイトやナレッジベース、FAQ、
ドキュメントなどはどこかにないものですか。
何をどのように設定すればよいかわからなくて困っています。

229 : ◆JeYFCvvdow :04/02/27 23:33 ID:???
そういえば、MR6にしてから1回目のログオンに
必ず失敗するのですが、そういう仕様なんでしょうか?

230 : ◆.p586Vj8xI :04/02/28 01:30 ID:5WIlSe7K
>>229
MR6にしてから・・・というより、IE6のパッチをあててからだと思います。たぶん。

231 :& ◆RdmUjfVKqQ :04/02/29 23:34 ID:???
W32/Bagle.C-mm対応ウイルスパターンファイル 4.231
キタ━━━━━━(゚∀゚)━━━━━━!!!!!
W32/Bagle.D-mm,E-mmはまだこない。
新種ウィルスの対応は他のベンダーに比べてだいぶ遅いね。
1分1秒を争うワーム全盛の現在では安心できないね。

232 :61 ◆FG200xXuLw :04/03/01 10:04 ID:???
>>228
何がどう判らないのか、判りませんが、、、
基本的には次の手順で最低限使えるようになると思います。

・ネットワーク構成を決めて、「システム→ネットワーク」でインターフェースの設定とかを行って通信できるようにする。
・何処から何処に何の通信を通す/通さないかを決めて「ファイアウォール→ポリシー」に書く。
 事前に「ファイアウォール→アドレス」の所で、IPアドレスとそれに対応する名前を登録しておく。
 また、「ファイアウォール→サービス」の所で、サービスグループを作っておくとポリシーをたくさん登録しないで済む。

それぞれ個別の設定方法は、マニュアル・オンラインヘルプを参照の事
どうしても判らない時は、このスレの詳しい人が教えてくれるでしょう。
私も色々教えて頂きました。Thanks>>ALL

233 :for〜:04/03/01 12:52 ID:???
>>231
まだ導入検討中なんだけど、Gateway(Fortigate)のウイルス対策とは別に、
クライアントとかサーバーのウイルス対策が必要なのは、常識では無いの?
それと、Gateway側のウイルス対策ソフトと、他のはメーカーを分けると、
セキュリティが上がると聞いた事があったけど、それも常識では無いの?

それほど、詳しくは無いので、どこかで聞いた知識で申しわけないけど、
そういうものかなぁと思ってたんで、詳しい人教えて下さい。

234 :anonymous@ p1035-ipad74marunouchi.tokyo.ocn.ne.jp:04/03/01 15:43 ID:???
人(企業)それぞれでしょう

235 : ◆.p586Vj8xI :04/03/01 17:54 ID:0fzqyV/c
>>233
自分は、ゲートウェイとPC(クライアント)は両方必要と思っています。
PCだけ or ゲートウェイだけ は避けます。

236 :228:04/03/01 18:57 ID:???
>>232
ありがとうございます。
今困っているのはノートン先生のLiveUpdateが
タイムアウトになってパターンファイルが更新できないことです。

237 :231:04/03/01 20:27 ID:???
>>233
うちはPC、サーバー、グループウェアサーバー
SMTPゲートウェイでウィルススキャンをしています。
今回HTTPゲートウェイのスキャンをやりたくてFortigateを買ったのですが、
欲が出てSMTPゲートウェイも置き換えられないかと思っているのですが、
>>231 に書いたとおり対応の遅さにあきらめています。

238 : ◆JeYFCvvdow :04/03/01 21:41 ID:???
>>237
いやいや、FortiGateの方が対応が早いものもあれば逆もある。
Fortiの方が早くても目立たないが、遅い方は目立ってしまう。
新参者の扱いってこんなもんだと思いますよ。

239 :61 ◆FG200xXuLw :04/03/02 11:01 ID:???
MR7
キタ━━━━━━(゚∀゚)━━━━━━!!!!!
リリースノートはまだなのね

240 :61 ◆FG200xXuLw :04/03/02 11:44 ID:???
>>236
Fortinet Technical Discussion Forumに以下の記事がありました。

Symantec Updates -- Use URL Exemptlist

A PC/server behind a FGT with HTTP scanning enabled will sometimes encounter problems obtaining Symantec/Norton updates.

The simplest workaround is to use the URL exemptlist to disable AV scanning for that one site.

Put the following in the URL exemptlist:
symantecliveupdate.com

RE: Symantec Updates -- Use URL Exem... (in reply to chall)

According to Symantec, they could use update servers from any of the following URLs:

The domains that LiveUpdate accesses are:
HTTP: symantec.com, symantecliveupdate.com, and akamai.net.
FTP: speedera.net


241 :61 ◆FG200xXuLw :04/03/02 11:50 ID:???
MR7を早速入れてみました。
細かい変更点はリリースノートが無いので判りませんが
FG200の場合、ウイルススキャン上限ファイルサイズが100MBに拡張されてました。

242 : ◆.p586Vj8xI :04/03/02 12:21 ID:IPezf5Bu
>>241
拡張された分、メモリをどんどん食っていくので気をつけたほうがいいです。


243 :不明なデバイスさん:04/03/02 21:50 ID:???
>>241
ソフトバンクBBはまだみたい。

>>242
前に話題になったメモリ増設は無理なのかな。

244 :61 ◆FG200xXuLw :04/03/03 10:32 ID:???
>>243
ソフトバンクBBのは、http://support.fortinet.com/にログインできないんですか?

メモリ増設できないかと少し調べてみたら、FG200はチップセットがIntel440MXで
これの最大メモリサイズは256MBなんで無理そうです。

245 :買いました。:04/03/03 14:16 ID:???
先輩方教えてください。
Default content profilesにStrict,Scan,Web,Unfilteredの4つがあるのですが、
それぞれどのような役割を設定するものですか。
設定画面はどれも同じなっているため使い分けがわかりません。
標準的な使い方であればデフォルトで問題はないのですか。
こちらではHTTP,FTP,SMTPのウイルススキャンができれば十分です。

246 : ◆.p586Vj8xI :04/03/03 16:12 ID:XinhBWLT
>>243
そういえば忙しさで忘れてました・・・<メモリ増設
244さんのいうとおりなのかもしれません。(って、また忙しさで未確認・・・

>>245
デフォルトで存在する4つは、それぞれを開けば項目わかるようになっていると思います。
「デフォルトで」って話なら、すべて設定が違うはずです。
全て同じになってるのなら、それは初期状態ではないです。
まずそれを確認してみてください。
あと、できればバージョンも書いていただいたほうがいいです。違う話をしてしまうと困るので。

「デフォルトの状態なら」の話ですが、Scanのプロファイルが一般的なのかと思われます。
自分で使うなら、Scanのプロファイルに分割メール転送を有効に修正してから使うかも。

247 :買いました。:04/03/03 16:54 ID:???
>>246
説明の仕方が悪くてすみません。
すべて同じと言うのは設定画面が同じで、チェックされているところは違います。
バージョンは、2.50,build171,031215です。
たとえば、Strictは、
アンチウィルススキャン〜Eメールコンテンツブロックまですべてチェックあり
上限サイズを超えるファイル/Eメールがすべてブロック
分割メール転送がすべてオフ
といったせっていになっています。
Scan、Web、Unfilteredは(意味があると思うのですが)まばらにチェックにされています。
よくわからないのが、Strict、Scan、Web、Unfilteredの優先順位というか
何に対してチェックが有効なのかということです。
StrictでほとんどチェックされているのでScanなどは重複するような気もするのですが、
実際は違うと思うのですが、そのへんが理解できていません。
情けない質問ですみませんが、詳しく教えてください。

248 : ◆.p586Vj8xI :04/03/03 17:19 ID:XinhBWLT
>>247
Strict
いちばん厳しい設定です。全プロトコルウィルスチェック有効なのはもちろんのこと、
上限サイズを超えたら止める設定や、Web・Eメールのコンテンツフィルタ等も全て有効です。
ファイルブロックも有効なので、設定されてる拡張子のファイルも全て止めます。
安全・・・なのかもしれませんが、これは不便すぎるとおもいます。zipもダウンロードできませんし。

Scan
ウィルススキャン用の設定です。
全プロトコルのウィルスチェック・隔離を有効にしてあるものです。
私はこれが無難だとは思いますが、抜けとして、設定サイズを超えたファイルがあったら
ウィルスチェックせずにスルーするのと、分割メールがブロックされるようになっているので、
そのあたり注意が必要かもしれません。

Web
Web(http)用の設定です。
httpのウィルスチェック・隔離と、コンテンツフィルタ系が有効になっています。
他のプロトコルの設定は無い状態です。

Unfiltered
Web対象外リストと、Eメールの対象外リストの設定だけが入ってるものです。
これは使う人いるのか?って設定かも。

てきとうな説明ですいません。
全項目を理解して、それぞれ有効か無効かを自分で設定するのがほんとは一番かと思いますので、
チェック項目でわからないのがありましたら書いてください。私のわかる範囲で説明します。

249 : ◆.p586Vj8xI :04/03/03 17:21 ID:XinhBWLT
>>247
ちょっと追加。
プロファイルで設定したものは、ポリシーで選択してはじめて有効になります。
プロファイルは複数設定して、ポリシーごとに選ぶことが可能なので、
クライアント->外、外->鯖 などなど、用途にあわせたプロファイルを作成するのがいいと思います。

250 :買いました。:04/03/03 17:44 ID:???
>>248,>>249
丁寧に説明していただきありがとうございました。
>プロファイルで設定したものは、ポリシーで選択してはじめて有効になります。
>プロファイルは複数設定して、ポリシーごとに選ぶことが可能なので、
>クライアント->外、外->鯖 などなど、用途にあわせたプロファイルを作成するのがいいと思います。
そういうことなのですね。
ちょっといじってみます。
ありがとうございました。

251 :買いました。:04/03/03 18:05 ID:???
外→内用プロファイル
アンチウィルススキャン:HTTP、FTP、SMTP有効
隔離:SMTP有効
上限サイズ〜:すべて転送
分割メール転送:SMTP有効

内→外プロファイル
アンチウィルススキャン:SMTP有効
隔離:SMTP有効
上限サイズ〜:すべて転送
分割メール転送:SMTP有効

外→内ポリシー:外→内プロファイル
内→外ポリシー:内→外プロファイル
ちなみにファイアウォールとルータの間に
トランスペアレントモードでFortiGateを入れています。


に設定しました。
イントラPCのWeb利用時のHTTP、FTPウィルスチェックと
メール(SMTP)のウィルスチェックがしたいのでこれでよいような気がします。
間違っていたら指摘してください。

252 :買いました。:04/03/03 18:41 ID:???
こちらもノートン先生(企業用)を使っています。
社内LiveUpdateサーバーがシマンテックのLiveUpdateサーバーから
LiveUpdateでウィルス定義ファイルなどダウンロードするのですが、
>>236 さんと同じでタイムアウトになります。

>>221 さんのアドバイスどおり設定しようとすると、
シマンテックのLiveUpdateサーバーをIPアドレスで指定するようになるのですが、
>>223 さんの指摘のように、
サーバーが複数ありその上ラウンドロビンDNSで負荷分散しているため
すべてのIPアドレスを見つけるのは容易ではありません。
liveupdate.symantecliveupdate.com
というような指定は出来ないものなのですか。
シマンテックユーザーの方はどのように設定していますか。
何かうまい方法があるのですか。
トレンドマイクロやマカフィーではこのような問題はないのですか。

253 : ◆.p586Vj8xI :04/03/03 19:18 ID:XinhBWLT
>>251
あら?
「イントラPCのWeb利用時のHTTP、FTPウィルスチェック」の部分ですが、
イントラPCとは、プロファイルの「内」の部分のことですよね?
だとすると、プロファイルが逆かも。
たとえばInternalに接続されているPCがExternalから外にあるWeb(インターネット)を見てるときに
ウィルスチェックしたいのであれば、
内→外プロファイルにhttpのスキャンが必要になります。

処理の方向は、あくまで「セッションを張る方向」と思ってください。
クライアントがInternalにあって、メールサーバーがExternalの向こうにあって、
クライアントからPOP3でメールを取りに行くときにウィルスチェックしたいのであれば、
Internal→External のポリシーでウィルスチェックが有効になってなければいけません。

254 :243:04/03/03 20:00 ID:???
>>244
ソフトバンクBBはダメです。

255 :( `∀´)y-~~:04/03/03 20:55 ID:???
FortiGateは対応していないかな。
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_WILDJP.A
この手のウィルスに有効なソリューションだともっと売れるね。

256 : ◆JeYFCvvdow :04/03/03 21:42 ID:???
>>252
うちもNortonAntiVirus企業版ですが、タイムアウトになったことはありませんね。

Web Exempt Listを上手く使えば、こういうことが出来るような気がするんですが、
うーん、考えつかない・・・。 (>_<)
ちなみに>>223で書いたラウンドロビンの問題はある日突然IPアドレスが
変わることなんですよね。

257 :228:04/03/03 22:01 ID:???
>>256
うちは1回のダウンロードで15個の更新ファイル数十MBをダウンロードします。
あとはファイアウォール(ForitGateではない)の設定かな。
ttp://service1.symantec.com/SUPPORT/INTER/entsecurityjapanesekb.nsf/jp_docid/20020723123051949?open&prod=&ver=&pcode=&src=&miniver=&tpre=jp&prev=&dtype=corp

258 :買いました。:04/03/04 09:02 ID:???
>>253
実は書き込んだ後ウィルステストをしたら効果がなくて
いろいろかんがえても原因がわからず、
内→外プロファイル
アンチウィルススキャン:SMTP有効 ⇒ HTTP、FTP、SMTP有効
隔離:SMTP有効
上限サイズ〜:すべて転送
分割メール転送:SMTP有効
にしてしまいました。
ご指摘の件を参考に、
外→内ポリシー:外→内プロファイル ⇒ 内→外プロファイル
内→外ポリシー:内→外プロファイル ⇒ 外→内プロファイル
に訂正したらうまくいきました。
あとは>>252 のノートン先生の問題が解決すればハッピーです。
ありがとうございました。

259 :61 ◆FG200xXuLw :04/03/04 09:35 ID:???
>>258
>>240に対処方法を書いてみましたが、試してみてはいかがでしょうか?

Webフィルタ>対象外Urlリストに、symantecliveupdate.comを追加
ファイアウォール>プロファイルで、Web 対象外リストにチェック

260 : ◆.p586Vj8xI :04/03/04 09:37 ID:JqFukwXd
>>258
うちにノートン先生が無いのでテストできないんですが、
257に書いてあるURLを見る限りではhttpかftpで外に出て行くだけだから
そのポリシーがあれば問題ないかと思うけど、そうじゃないんだよねぇ。
ウィルスチェックを無効にしてればのーとん先生ちゃんと動きますか?

261 :買いました。:04/03/04 10:10 ID:???
>>259
やってみます。

>>260
スキャンサイズを最低の1MBsにするとタイムアウトしないのはわかっています。

262 :買いました。:04/03/04 10:26 ID:???
>>261
無事に設定できました。
ttp://service1.symantec.com/SUPPORT/INTER/entsecurityjapanesekb.nsf/jp_docid/20020723123051949?open&prod=&ver=&pcode=&src=&miniver=&tpre=jp&prev=&dtype=corp
に書かれている
liveupdate.symantecliveupdate.com
liveupdate.symantec.com
*.akamai.net
を設定しました。

すでに60303iは今朝ダウンロードされているので、
次の更新があるまで結果がわかりません。
最近は日に数回更新があるので、
(新種発生ですのでよいことではありませんが)
この調子だと今日明日に結果が出るかもしれません。

263 :61 ◆FG200xXuLw :04/03/04 10:50 ID:???
>>262
akamai.netを対象外Urlリストに入れるのは微妙な所ですよね。
社内LiveUpdateサーバー用のプロファイルを作って、ポリシーに
社内LiveUpdateサーバーを書いてあげるのが良いような気がします。

対象外Urlリストもグループ化できるといいなと思いました。

264 :61 ◆FG200xXuLw :04/03/04 11:17 ID:???
MR7のリリースノートが出てました。

機能拡張
・RADIUS port numberが設定できるようになった。
・SYSLOG facility levelが設定できるようになった。
・アンチウイルスのスキャンサイズの上限を増やした。
 以前はシステムメモリの15%が上限だったが、40%が上限になった。
・BASE64エンコードされた添付ファイルをウイルススキャンできるようになった。
・新機種サポート(50A、FortiWIFI-60、4000)

バグフィックス26件詳細省略

既知のバグ8件詳細省略


265 :買いました。:04/03/04 11:30 ID:???
>>263
レベルが低くてすみませんが教えてください。
(1)プロファイル
新規作成のデフォルトに対し、Web対象外リスト有効
だけでよいのですか。
(2)ポリシー
送信元:Internal
宛先:External
で新規作成し、
送信元:すでにあるInternalのアドレス(0.0.0.0/0)
宛先:すでにあるExternalのアドレス(0.0.0.0/0)
スケジュール;Always
サービス:ANY
アクション:ACCEPT
コンテンツプロファイル:(1)でつくったプロファイル
でよいのですか。
何か違う気がするのですが。

266 : ◆.p586Vj8xI :04/03/04 11:43 ID:JqFukwXd
>>264
あきらかにバグフィックス項目少なすぎ。
リリースノートにのってない修正項目が多大にあると思われ。

>>265
送信元はInternal_Allではなく、LiveUpdateの鯖だけのアドレスグループを作成し、それを選んだほうがいいです。
それと、Internalのアドレスがプライベートアドレスで、NAT/RouteモードならばNATのチェックボックスは必須で。

267 :買いました。:04/03/04 11:54 ID:???
>>266
FortiGateはファイアウォールとルータの間にトランスペアレントモードで入れてます。
(グローバルです)
社内LiveUpdateサーバーはプライベートIPですが、有効になるのですか。

268 :買いました。:04/03/04 12:06 ID:???
>>267
ポリシーが
# ID 送信元 宛先
1 1 Internal_All External_All
2 2 External_All Internal_All
3 3 LiveUpdate External_All
という順になりましたが、順番(優先度など)はこれでよいのですか。

269 : ◆.p586Vj8xI :04/03/04 12:19 ID:JqFukwXd
>>267
FortiGateを通過する時点でのアドレスなので、グローバルアドレスでアドレスグループを作成してください。

>>267
それでは3番目のポリシーが有効に働きません。
優先順位は上からです。ポリシーを上から順に見ていって、該当するものがあれば処理されて下には行きません。

270 : ◆.p586Vj8xI :04/03/04 12:21 ID:JqFukwXd
>>268
ポリシーの表示はモデルによって違ったりする部分もあるので、
モデル名等も書いていただけると・・・

271 :買いました。:04/03/04 12:25 ID:???
>>269
そうするとNAT処理されていますので、Internal_Allと同じになってしまうと思います。

>>270
Fortigate-200 2.50,build171,031215です。

よろしくお願いします。

272 : ◆.p586Vj8xI :04/03/04 12:30 ID:JqFukwXd
>>271
そういえばそうか・・・・
じゃぁInternal_Allしか選択できないですね。Internal配下にグローバルアドレスで何かがなければ。
とりあえずポリシーの順番だけ変えればOKだと思います。

273 : ◆.p586Vj8xI :04/03/04 12:31 ID:JqFukwXd
>>271
NAT処理している機器の内側にFortiGate入れるのはどうだろう。と思ってみた。思ってみただけ・・・

274 :買いました。:04/03/04 12:37 ID:???
>>272
了解です。

>>273
こちらですとファイアウォール(内側)とスイッチの間になります。
どこに入れるのが一般的(もしくは効果的)なんですか。

275 :61 ◆FG200xXuLw :04/03/04 13:16 ID:???
>>274
私の所はそんなに規模が大きくないので、FG200のみで
ExternalはPPPoE、DMZはGlobal、InternalはプライベートIPのNAPTで運用しています。

Globalアドレスに余裕があるなら、既存FirewallでLiveUpdateサーバに1対1NATするとかどうですか?
大幅にネットワーク構成変えてもいいのなら、既存FirewallをやめてFG200にやらせるとか

276 :VPNってどお?:04/03/04 14:07 ID:Rl0t97k2
Fortigate-200 導入しようかとおもっているのだが
実際 VPN の安定性とかどおなのでしょうか?
使っている人います?

277 :anonymous@ p1035-ipad74marunouchi.tokyo.ocn.ne.jp:04/03/04 15:09 ID:???
導入検討中なのですが
コンテンツフィルタリングはどういう設定方法になるのでしょうか?
シマンテックのみたいにカテゴリー選択方式ですか?

278 : ◆.p586Vj8xI :04/03/04 15:17 ID:JqFukwXd
>>276
自分とこではVPN使ってますが、いまんとこべつに障害とかは無いですねぇ。
他の方どうでしょ?

>>277
FortiOS2.5では、全て手入力でのコンテンツフィルタリングです。
Cerberianのエンジンはのってるんで、ライセンスあれば可なんですけどねほんとは。
正式対応(?)は2.8からになります。2.8からはカテゴリ選択で可。

279 :買いました。:04/03/04 15:23 ID:???
>>275
構成は変えられないです。

280 : ◆.p586Vj8xI :04/03/04 15:32 ID:JqFukwXd
>>274
そもそも構成がわからないのでなんとも言えないのですが、
FortiGateを入れるのは、「FortiGateで何かしたいトラフィックがある場所」ってことですよね。
プライベートアドレスをNATする箱の外のネットワークにいま付けてると思いますが、
そのNATされて出てくるパケット以外にFortiGateを通す必要なものがなければ、
NATの箱の内側にトランスペアレントモードで入れるのがいいかもしれません。

281 :買いました。:04/03/04 15:51 ID:???
>>280
1番の目的はHTTP、FTPのウィルスチェックです。
2番の目的はSMTPのウィルスチェックです。
これは現在やっているもの(DMZにある)を置き換えを狙っています。

で何かしたいトラフィックですが、
基本は内側で、欲を言うと+DMZです。
それでファイアウォールとルータの間に入れています。

282 :277:04/03/04 17:04 ID:???
>>277
回答ありがとうございます
現状ではURLを指定してブロックするしかないわけですね

283 :277:04/03/04 17:06 ID:???
上のは>>278さんへのレスでした

284 : ◆.p586Vj8xI :04/03/04 17:26 ID:JqFukwXd
>>282
コンテンツフィルタについて補足。
Cerberianのコンテンツフィルタリングのライセンスは別料金になると思います。

285 :VPNってどお?:04/03/04 17:34 ID:Rl0t97k2
回答ありがとうです。
HTTP、FTP、SMTPのウィルスチェックですが、実際すべてスキャン対象
とした場合、Fg200 だとどのくらいのスループットがでるでしょうか?
PC200台くらいなら問題ないですかね、ちなみに接続は、フレッツ100Mです。

286 : ◆.p586Vj8xI :04/03/04 17:57 ID:JqFukwXd
>>285
えぇと、PC200台で設置したことないので想像になってしまいますが、
FG200ではちときびしいのかと。
カタログ値のスループットはFirewallのみだし。
FG300・・・欲を言えばFG400かな。でも高い・・・
VPNも使うのですよね?

ちなみにIDS系ってけっこう処理重いらしいです。

287 :買いました。:04/03/04 19:51 ID:???
>>285
似たような環境ですが、問題ないと思いますよ。
速度測定サイトでは惨敗かもしれませんが、
日常的な業務使用では問題ないと思います。
こちらはVPNなしですのでそのへんは勘弁してください。

288 : ◆JeYFCvvdow :04/03/04 21:46 ID:???
>>276
>>278
うちも特に問題は無いです。IPSecはね。

話はそれますが、以前>>139で話していた、
PPTP clients assigned out of range IP addresses(Bug ID:0004195)
のバグですが、MR7のリリースノートを見たところ、闇に葬られたような気が・・・。
Open Bugsにも載ってない・・・。単なる書き忘れなら良いのですがね。
図研さん、後よろしく。

289 :買いました。:04/03/05 09:05 ID:???
60303alがアップされたので試したところ、
タイムアウトせずすべてダウンロードできました。
いろいろとアドバイスいただきありがとうございました。
ただ、ファイアウォールのNATもいじっていますので、
もしかしたらこちらが真因かもしれません。

290 :VPNってどお?:04/03/05 10:02 ID:oC11OFmr
いろいろと情報頂ありがとうございます。
導入の方向に向け、動いているので助かりました。


291 :61 ◆FG200xXuLw :04/03/05 11:00 ID:???
>>285
実効スループットは判りませんが、FG200を通すと以下のような感じになります。

DL元→FG200(AV対象ファイル取込&チェック)→クライアント

例えば、IEで何かをDLしようとした時、FG無しだとすぐにダイアログが出ますが
FG経由だと、取込&チェックが終わるまで応答してくれないので
大きいファイルをDLした時とかにストレスが溜まったりするかも知れないです。

ところで、AV自体は同時複数セッションで行われるようですが
同時セッション数の制限とかメモリを使い切った時の挙動とか教えてほしいです。

292 :買いました。:04/03/05 11:44 ID:???
ノートン先生の問題が解決して当初狙っていた内容は無事にクリアできました。
みなさまありがとうございました。

欲が出てきたというか、NIDSがどんなものか試してみようと思うのですが、
検知−一般−Externalチェック、IP、TCP、UDP、ICMPすべてチェック
検知−シグニチャリスト−有効すべてチェック
防御−防御を有効にするチェック、シグニチャ有効すべてチェック
などという設定でよいものですか。
実際に使われている方アドバイスお願いします。

293 : ◆.p586Vj8xI :04/03/05 11:45 ID:pKZtINQL
>>291
メモリを使い切ったら(一定以上になったら)新たなセッションがはれなくなります。
なので、あまり大きくするのは危険。

294 : ◆.p586Vj8xI :04/03/05 11:49 ID:pKZtINQL
>>292
検知のほうは、あくまで「検知」なので、ログに出すかアラートメールを送るかをしないと意味がありません。
それに、そのログ・アラートを見て自分が対処する必要があります。
ちなみに検知を全チェックすると、pingとかにも反応しますよ。

防御もむやみに全チェックするのはどうかなと。
攻撃じゃないパケットも防御されてしまう可能性もありますし・・・

295 :買いました。:04/03/05 13:25 ID:???
>>294
面倒なので(ダメな理由)
検知は外しました。
防御はデフォルトのシグニチャにしました。

296 :ソフトバンクBBだめぽ:04/03/05 19:55 ID:???
MR7はどんなでつか。
うちはソフトバンクBBなんでさっぱりアナウンスがない。
サポート、情報もひどくて最低でつ。
図研はどうなんだろ?

297 : ◆.p586Vj8xI :04/03/05 22:53 ID:pKZtINQL
>>296
とりあえず自分とこではMR7で運用中。いまんとこ問題はなさそう。

298 :61 ◆FG200xXuLw :04/03/06 09:26 ID:???
>>293
その様な仕様になっているんですね、了解しました。

>>296
うちもMR7で運用中、特に問題は出てません。VPNはやってませんが
Fortinet Technical Discussion ForumにはFG50、FG60に
適用したらPPTPが動かなくなったとか書かれてました。

図研さんからメールでリリースのお知らせとか来たことはないです。
一度設定についてサポートをお願いしましたがすぐに返事もらえましたよ。
◆.p586Vj8xI さんのリリース予告を見て、http://support.fortinet.com/をチェックしてます。
アカウントよこせ〜といっても駄目なんですか?

299 :ソフトバンクBBだめぽ:04/03/06 13:48 ID:???
>>299
図研のサポートもパッとしないんでつか。
きちんとサポートしてくれるとこってあるんでつか。
ttp://support.fortinet.com/
のアカウントはソフトバンクBBもダメでつ。
ふぉーち日本法人は何やっているんだろ?

300 :-_-:04/03/06 15:16 ID:???
>>298
>図研さんからメールでリリースのお知らせとか来たことはないです。
MR6の時にうちは来たよ。
ただし、図研さん内部での検証が終わってからですが。
だからMR7のリリースのアナウンスは、来月ぐらいに来ると思います。
っていうか、基本的に代理店は全て自社の検証が終わらないと
ユーザーには案内を出さないよ。

>>299
ソフトバンクBBは図研からサポートを受けてるとの噂です。
ということは自動的に
図研 > 超えられない壁 > SBB
という図式が成り立つと思われ。

301 :& ◆XEujnOSzoI :04/03/06 21:43 ID:???
フォーティーゲートは無名ですがシマンテックやマカフィーなどの
有名なところのアプライアンスと比べて本当にスキャンスピードが
速いのですか。
新種対応スピード、検出能力、駆除能力のウィルス性能はどうですか。
安定稼働してますか。
サポートは万全ですか。

302 :_:04/03/06 22:49 ID:???
>>301
荒らすつもりではないが、藻前欲張りすぎ。
ウダウダ言うのだったら検証機借りろ。

303 :301:04/03/07 22:37 ID:???
>>302
フォーティゲートを買った皆さんは当然ベンチマークして
その結果何らかの理由でフォーティゲートを選んだんですよね。
結果はともかくその過程で集めたデータがあったら教えて欲しいです。

304 :diagnose:04/03/07 23:15 ID:???
>>303=301
>フォーティゲートを買った皆さんは当然ベンチマークして
正直な話人柱になってくれるお客さんがいたので。ネタじゃなくて、マジな話。
イチイチ他社製品と比較してらんねぇよ。

> 有名なところのアプライアンスと比べて本当にスキャンスピードが
> 速いのですか。
俺達は監査機関じゃねぇんだ。カタログスペックと作った人を信用するしかねぇよ。
つーか、FortiGateの構造を考えたらどっちが早いかわかるだろう。

>新種対応スピード
Fortinetのエンジニアの力量次第だろう。
どこかにも書き込みがあったが、対応スピードは各社それぞれ早い時もあれば、遅い時もある。

>安定稼働
安定するかどうかってのは、使用環境によりけり。
何をもって安定していると言う? どういう環境で使うの?

>サポートは万全ですか。
代理店による。あと保守契約の内容次第。
サポートは金で買うものと思え!

>その過程で集めたデータがあったら教えて欲しいです。
こういう匿名掲示板では教えられん。販売代理店に直接聞け。
これも一種の商売道具だ。簡単には出せんわい。
藻前みたいな香具師は嫌われて教えてくれないことが多いので気おつけろ。

305 :277:04/03/08 10:23 ID:???
再びお伺いいたします

現行OS(2.5)上でのコンテンツフィルタリングに関してですが
特定のURLを指定する以外にも
禁止ワードを指定する方法もあるらしいのですが
これは「指定した単語を含むページの閲覧がブロックされる」
という解釈でいいのでしょうか?

306 : ◆.p586Vj8xI :04/03/08 11:45 ID:Yina/FPC
>>305
その解釈であっています。
ただし、かなーり抜けだらけになります。
キーワードフィルタは、はっきり言って使い物にならないぐらいです。

307 :anonymous:04/03/08 13:05 ID:???
Fortinet200使っているが、NetSkyの亜種が通り抜けた人いない?
VirusListみるとNetSky.Hまで対応してて通り抜けてるから
最新の亜種かな。
どこにVirus情報送ればいいんだろ

308 : ◆.p586Vj8xI :04/03/08 13:14 ID:Yina/FPC
>>307
最新の4.239のパターンにしても通り抜けるんであれば、
リセラーに送ったほうがいいのかと。
Fortinetの送り先をここに書いていいかわからんので・・・・
送るときはzipに圧縮してpassword付きで送るのがベター。
ま、送る前にリセラーに電話して「送りますよー?」って言ったほうがいいと思う。

#むしろ私が欲しいぐらい(w

309 :61 ◆FG200xXuLw :04/03/08 13:16 ID:???
>>307
サンプルはこちらから送れるようです。
http://www.fortinet.com/FortiResponseCenter/submit.html

310 :277=305:04/03/08 13:52 ID:???
>>306
ありがとうございます
URL指定と併用しないとダメですね

ちゃんとしたコンテンツフィルタリングは
OS2.8+Cerberian待ちですね

311 :61 ◆FG200xXuLw :04/03/08 14:00 ID:???
ところで、Cerberianのライセンスってお幾らぐらいなんでしょうか?
大体の目安が判れば予算化しときたいので。

312 :307:04/03/08 14:58 ID:???
>>308,309
ありがとん、送ってみるよ


313 :anonymous:04/03/08 20:12 ID:???
>>307
世の中じゃ W32.Netsky.I@mm まで出てるよ
まだFortiは未対応のようだね

314 :( `∀´)y-~~:04/03/09 11:33 ID:???
W32/Netsky.J-mm,W32/Netsky.K-mm
アンチウイルスパターン 4.241(03/08/2004 16:33)
キタ━━━━━━(゚∀゚)━━━━━━!!!!!


315 :anonymous@ EATcf-320p47.ppp15.odn.ne.jp:04/03/10 01:53 ID:nE1M4f40
Zまでいったら、次は何になるんだろうねw


316 : :04/03/10 09:35 ID:???
Z→ZZ→ν→V→V2→∀

317 :age:04/03/10 10:19 ID:li5WX85m
age

318 :買いました。:04/03/10 10:43 ID:???
ウィルスパターンの更新記録をログに残したいのですが、できないのですか。
イベントログの更新失敗、更新成功はチェックしてあります。
レベルはInformationです。

319 :anonymous@ ntibrk007066.ibrk.nt.adsl.ppp.infoweb.ne.jp:04/03/11 18:49 ID:j6JHtCbc
LAN内にあるマシンAから別のマシンBの
MACアドレスあるいはipアドレスを指定して
特定のポートを閉じ、Bから別のマシンCへのパケットを
遮断するwindowsのフリーソフトはありますか?


320 :anonymous@ ntibrk007066.ibrk.nt.adsl.ppp.infoweb.ne.jp:04/03/11 18:57 ID:j6JHtCbc
まちがいm(_ _)m

321 : ◆.p586Vj8xI :04/03/17 15:42 ID:Ew8eROHL
2.8なかなか出てこないですな・・・・

322 :61 ◆FG200xXuLw :04/03/17 16:08 ID:???
>>321
2.8そろそろ出る予定なんですか?

ところで、MRTGとかRRDtoolでFGの状態を可視化している方っています?
とりあえず、MRTGでTrafficグラフは作ってみたんですが、CPUとかMem使用状況等は
Private MIB内にあるようなんですよね、、、図研さんにMIBちょうだいってお願いはしましたが。

RRDtoolを素で使うのはちょっと骨が折れそうなんで、フロントエンドを物色中なんですが
漏れはこれだ!とかお勧めってありますでしょうか?

323 : ◆.p586Vj8xI :04/03/17 16:28 ID:Ew8eROHL
>>322
fortinetのftpサイト内(ファームウェアあるとこ)にMIB置いてあったと思ったのですが。
2.50のフォルダの中にMIBというフォルダがあるので、中のぞいてみてください。
それがご希望のものかはわからないですが・・・

自分もMRTGでトラフィックの状況だけは見ています。

324 :ななし :04/03/17 21:05 ID:???
>322
Nagios, BigBrother, 手抜きならWebminかな


325 :61 ◆FG200xXuLw :04/03/18 13:10 ID:???
>>323
あ、ftpサイトにMIBありました、見落としていたようです。
図研さんからも同じ物を頂けました。
とりあえず、手持ちのSNMPマネージャに食わせてCPU/MEM使用状況とか確認できました。

>>324
ありがとうございます、ご提示下さった物調べてみます。

326 :fushianasan:04/03/24 11:24 ID:???
なんか閑散としてる気がしたら、人大杉でieとかから見られなくなってるんですね。

327 :FGユザ:04/03/24 21:39 ID:???
Fromを詐称するタイプのワームメールを受け取っても警告メールを
送る仕様みたいだけどOFFに出来ないのかな?
黙って捨ててくれるだけでいいんだけど。

328 : ◆.p586Vj8xI :04/03/24 22:34 ID:Ga5G8YT5
>>327
FortiGateはFromの人に警告メールを送ったりしませんよ。
そもそも送る機能は無いし。

329 :FGユザ:04/03/24 22:52 ID:???
>>328
FGはメールを送っていませんでした。
私の早トチリでした。失礼しました。


330 : :04/03/25 10:02 ID:???
トランスペアレントモードだとワイヤーの一部という感じで
余計な構成変更しなくて済むからお手軽に導入できるね

331 :導入しました:04/03/26 07:56 ID:???
システムのステータスのモニターで「合計セッション数」は
スペック表のファイアーウォールの「最大同時セッション」に
あたるんでしょうか。他に「同時セッション/秒」というのが
るんですが違いがわからないでいます。
FORTIGATE-100で同時セッション/秒は4,000となっていて
モニターでみてみると合計セッション数がピーク時3,500にな
ります。


332 : ◆.p586Vj8xI :04/03/26 08:14 ID:ErpdzGez
>>331
同時セッション/秒 は、1秒に張れる最大セッションです。
なので、たとえばFG200は最大20万、秒4000セッションですが、
1つめのセッションをはりはじめて1秒で20万セッションは不可です。
1秒で4000セッションまではれて、そのペースで毎秒4000セッションはっていけば、
5000秒で最大の20万セッションまではれるという意味です。

・・・って、カタログ値は単機能使用時の理想値であって、
普通に使ってればまず無理な数字です。
アンチウィルス有効にしていたら、そんなにはれるわけがない。
そのへんは使用環境依存で。

ちなみにFG100で3500って表示がでてるのであれば、ちと多いのかもしれません。
メモリの状況とか大丈夫ですか?
85%になったら新規セッションをはれなくなったりするので、
監視してヤバそうだったら上位機種を検討したほうがいいと思います。

333 :導入しました:04/03/26 09:08 ID:???
>>332
さっそくアドバイスありがとうございます。
イメージがわいてきました。
メモリ使用量はピーク32%です。
メモリはそれほど増えないのですがCPU使用率が100%に
なることが多いみたいです。レスポンスが体感的に低下
するといったことは現在のところありません。


334 : ◆.p586Vj8xI :04/03/26 12:46 ID:ErpdzGez
>>332
訂正。
FG200は最大20万・・・と書きましたが、FG100のことでした。すいません。

335 :FG100ユーザーです:04/03/27 10:09 ID:???
>>328
fromじゃなければ、どこに送っているの?
テストで送ってみたら帰ってきたけど。

336 :FGユザ:04/03/27 20:46 ID:???
>>335
私が確認したときはForiGateの背後にある自社のメールサーバに配送を試みた
プロバイダのメールサーバから配送失敗のエラーメールが送られてきました。
従ってFortiGate自身がエラーメールを送っているわけではありませんでした。
なおFROMを詐称していた場合はエラーメールがそこ向かって送られるようです。

配送失敗になるのはFortiGateがメール中にウィルスを発見するとステータス554で
異常終了?にしてしまうからのようです。
素人考えですがウィルス付きでも配送完了として扱ってくれればエラーメールが
発生しないで済むような気がします。ただFortiGateはメールを正式にリレーしている
わけではないのでそのような実装が難しいのかなと勝手に想像しています。

できればウィルスメールに対して完全にブラックホールになってほしいのですが。


337 : ◆.p586Vj8xI :04/03/28 14:46 ID:j2lb3KBB
>>335
FortiGateからはどこにも送ってません。
返ってきたのであれば、メールとして送り返したのはメールサーバーだと思います。

>>336
Fromを詐称してた場合に詐称してるFromに送られるのはメールサーバーがそうしてるだけであって、
FortiGateが送ってるわけじゃないです。
SMTPセッション内でエラーを返すのがデフォルトになっているだけで、
エラーを返さず正常に終了させることも可能です。cliから下記コマンドを入力してください。
set antivirus service smtp splice disable

もちろん正常に配送完了になっても、ウィルスであればちゃんと削除されて届きます。

338 :FGユザ:04/03/28 19:28 ID:???
>>337
>Fromを詐称してた場合に詐称してるFromに送られるのはメールサーバーが
>そうしてるだけであって、FortiGateが送ってるわけじゃないです。
私の書き方がまずかったようです。FortiGateがどのような場合も
メールを送らないことは最初に指摘して頂いた時に理解しました。

早速 antivirus service smtp splice disable を設定してみたところ、
プロバイダのメールサーバはエラーメールを(FROMに向けて)
送らなくなりました。素晴らしい! これで安心して眠れます。
ご教授ありがとうございました。

339 : ◆.p586Vj8xI :04/03/29 10:00 ID:???
>>338
あ、すいません、ちゃんとそう書いてありましたよね・・・
読み間違いしたようです。。。

smtp splice disableの設定はsmtpのセッション全てに有効になってしまうので、
FortiGateより内側のPCから送信した時も、止めずに送信完了してしまいます。
たとえば企業とかで、内部PCがウィルスに感染し、そこから外に向かってウィルスメールをばらまいてしまった場合、
デフォルトの設定だとsmtpセッションのエラーとして止められますが、
smtp splice disableにしてしまうと、駆除されるものの感染してウィルスを送信したメールが
ばらまかれてしまうのがネックかもしれません。
Ext->のセッションだけsmtp splice disableが有効にできればいいのですが、現状はできないようです。

340 :fushianasan:04/03/29 16:09 ID:???
FG200にtelnetでログインするには何か設定など必要でしょうか?

現状は無応答です。

341 :61 ◆FG200xXuLw :04/03/29 17:02 ID:???
>>340
システム>ネットワーク>インタフェースから対象となるインタフェースを修正
管理権限アクセスのTELNETにチェックでどうでしょうか。

342 : ◆.p586Vj8xI :04/03/29 17:03 ID:R3t71uH/
>>340
ログインしたいInterfaceの設定で、telnetを許可する必要があります。
InterfaceのIPアドレスを設定するところにあります。

中だけならいいですが、外(internet)から入る必要がある場合は、できるだけsshで。。。。

343 :FGユザ:04/03/29 17:54 ID:???
>>339
深い考察恐れ入ります。内部にウィルスを持ち込まないように
注意するしかないですよね。そのためのForiGateですし。

(ここから小声)
現在かなりの数のNetSky."Q"がスルーしています。がんばって、FortiNet!

344 : ◆.p586Vj8xI :04/03/29 17:56 ID:???
>>343
(同じく小声)
Netsky.Q多いですよね、届きすぎ。
しかしウィルスバスター2004もまだ未対応・・・ちと怖いのでどっちでもいいから早く対応してほしい。

345 :anonymous:04/03/29 18:31 ID:???
(同じく小声)
しかたないので拡張子PIF、ZIP、SCR、EXE止めました
シマンテックは対応完了したようですね
トレンドマイクロはまだみたいですが

346 : ◆.p586Vj8xI :04/03/29 18:54 ID:???
>>345
(こそこそ会話)
ウィルスバスター2004はNetsky.Qに対応しましたね。(パターン842)

347 :anonymous:04/03/29 21:02 ID:???
こそこそ

348 : ◆.p586Vj8xI :04/03/29 23:27 ID:R3t71uH/
とっくにFortinetにはNetsky.Qのファイルは送ってるんですけどね。
これが技術力の差ということですかな。
やる気の無さとも言うが。

349 :-:04/03/30 01:27 ID:???
関係ないけど、今日の朝NortonのLiveUpdateをしたらRev8で
帰る前に再度Updateしたら、Rev50だった。
そろそろ、Symantecの開発者が倒れるだろうな・・・。

350 : ◆.p586Vj8xI :04/03/30 03:26 ID:kevbCxZb
ようやくNetsky.Q対応のパターン(4.274)が出ていましたね。
さて寝るか・・・・。

351 :fushianasan:04/03/30 11:43 ID:???
>>341&>>342さん ありがとうございました。 telnetの件、解決しました!

Definitions versin 4.275ですが、なにげに 3/29/13:08 なんですね。
もちっと早くアップしてほしかったところですね。

352 : ◆.p586Vj8xI :04/03/30 11:53 ID:kevbCxZb
>>351
バージョンの横にある日時がパターン作成日なのかはわからないですが、
3/29 13:08 がUSAだとしたら、日本時間では9時間後なので3/29 22:08となりますね。
でも遅いですね(笑)

353 :fushianasan:04/03/30 11:56 ID:???
>>353 さん

西海岸時間なら17時間時差があるのではないでしょうか?(勘違いかな。)

354 :anonymous@ p5046-ipbffx02souka.saitama.ocn.ne.jp:04/03/30 11:59 ID:d6kRStlo
>>352でしたね。間違い。

と考えると、米国西海岸時間29日13:08+17時間=本日6:07に再アップされたのかもしれませんね。

355 : ◆.p586Vj8xI :04/03/30 12:56 ID:kevbCxZb
うは、無知さらけだしでした・・・
9時間はGMTとの差ですよね。。。。(鬱

356 :login:Penguin:04/03/30 18:49 ID:???
>>349
どこかの記事であったけど、今のVirus検知は99%は自動化されていて
残り1%が人間が見ないとわからないそうですね。

#その自動化のソフト売ればいいのに・・・


357 :FG:04/03/30 21:55 ID:???
>>356
それこそがノウハウでしょ。
上を行く技術が作られたら売られるかもね。
FPCの日本語化はまだなんだろうか…

358 : ◆JeYFCvvdow :04/03/31 01:23 ID:???
>>357
FPCって何ですか?

359 :0.00:04/03/31 07:17 ID:???
FortiProtect Centerのことじゃないかな?

360 :fushianasan:04/03/31 10:41 ID:???
Anti Virus Definition 4.276(3/31 7:17) で Qの亜種がスルーしまくっているような
気がするのですが、皆様いかがですか?


www.free-av.com の製品では Netsky.Q.2 と検出されます。

361 : ◆.p586Vj8xI :04/03/31 10:56 ID:L0s3YV6z
いまのところスルーしてるのは無いです。
たぶんうちには届いてないだけだと思いますが・・・

362 :fushianasan:04/03/31 13:13 ID:???
スルーしたものをノートンさんに検出させてみたところ
Netsky.Q@mmではなく スルーしたのはNetsky.Q@mm.enc というモノのようです。

363 : ◆.p586Vj8xI :04/03/31 14:48 ID:L0s3YV6z
FortiGateでスルーしたmessage.scrをウィルスバスターでもノートンでも検知できないのがありました。
そもそもウィルスじゃないって可能性もあるんですが、さすがにこのファイル名は・・・。
さてどうしたものか、何かで調べる方法ないかなぁ。

364 :fushianasan:04/03/31 15:21 ID:???

ttp://www.free-av.com あたりでしらべてみてはいかがでしょうか。

これで出なければシロということで(w



先ほどの件ですが、ピータノートンさんの所に聞いて見たところ、

 .encが付くのは暗号化されているか破損しているウィルスだそうです。
enc=暗号化そのままですね。

謎は深まるばかり。

365 : ◆.p586Vj8xI :04/03/31 15:25 ID:L0s3YV6z
>>364
見てみたんですが、英語ダメダメ人間なのでわかりませんでした・・・(鬱

366 :fushianasan:04/03/31 15:48 ID:???
>>365

言葉足らずでした。

http://www.avup.de/personal/en/avwinsfx.exe  

ドイツ製のアンチウィルスソフト(商用利用以外無料)でスキャンしてみては
いかがですか?の意でした。

私の経験では ノートンさんで非検出だったものが、これとトレンドマイクロ、マカフィー

では検出された経験があります。

まあ、ウィルス以外にも仕事は山ほどあると思いますので、気にしないほうがよいかもしれません :-)

367 : ◆.p586Vj8xI :04/03/31 16:04 ID:L0s3YV6z
>>366
ありがとうございます。
早速インストールしてテストしてみたところ、Netsky.Qとして検知されました。
ノートンやウィルスバスターで検知できないのは不明ですが、とりあえずウィルスとわかって一安心です(?

368 :anonymous:04/03/31 19:39 ID:???
Netsky.Qたくさん検出しますが、Source IPのところが感染しているのか、それともそこから宛先不明で戻ってきただけなのかって判断できますか?
メールヘッダーなどが読めれば、どちらか判断つくのでしょうが。
お客さんから来たメールからNetsky.Qを検出した場合に、感染してるよ!って教えてあげたいのですが、今はどっちかわからないので困ってます。

369 : ◆.p586Vj8xI :04/03/31 20:23 ID:L0s3YV6z
>>368
Netsky.Qがどのタイプかは調べてませんが、
ウィルス自体がMXを調べてToのMXに直接送るタイプであれば、表示されてるIPアドレスが
感染してるIPアドレスでしょう。もちろんマスカレードしてたら別ですが。
それか、PCのSMTPサーバーの設定(Outlookの?)を調べてそれを使うタイプであれば、
メールからわかるIPアドレスはメールサーバーのでしょう。

もちろん他の動作をするものや、例外等もあるでしょうけど・・・

370 : ◆.p586Vj8xI :04/03/31 20:32 ID:L0s3YV6z
調べたら、Netsky.Qは自身のSMTP機能でMXを調べて送るタイプのようです。
北大から大量に届く・・・(w

371 :anonymous:04/03/31 20:51 ID:???
ごめんなさい
そうじゃなくて、Netskyってわざと(?)存在しないメールアドレス(@xx.xx.xxドメインは存在する)宛てに、
メールだしません?
そうすると、エラーメールが送信元アドレス(これは偽装されている)帰ってくるわけですが、Fortigate
で検出されているのが、このエラーメールなのか、本当にNetsky感染しているPCがメール送ってきて
いるのか知りたいのです。
これって見分けがつきますでしょうか?

私、勘違いしてます??
エラーメールも感染してると思ってるわけですが.....

372 :anonymous:04/03/31 21:10 ID:???
Netsky.R-mmっていうのが現れましたね
これがNetsky.Q@mm.encのことなのでしょうかね

373 : ◆.p586Vj8xI :04/03/31 22:53 ID:L0s3YV6z
>>371
たぶんそれは無理だと思います。たぶん。
FortiGateから見たら、どちらもただのメールですから。

374 :fushianasan:04/04/01 07:49 ID:???
ノートンさんで検出される
NetskyQ@mm.encですが、結局以下のとおりらしいです。

ttp://www.symantec.com/region/jp/sarcj/data/e/enc.detection.html

> ご使用の電子メールプログラムで以前に感染していたメッセージを選択するたびに、
> NAVはそのヘッダーを関連があるウイルス/ワーム/トロイの木馬の検出名に.encが付いた
> 脅威として検出するようになります。


なにやらよくわかりませんが、fortiをすり抜け、NetskyQとして感染活動を行うのは事実です。

ご注意を。

375 :-:04/04/01 22:29 ID:???
今更なお話ですが、FortiGateのアンチウィルスは
Outlook(Exchange)を使うとウィルスはスルーですか?

376 :-:04/04/01 23:33 ID:???
>>375
Outlookは関係ありません。
Signatureが対応していればFortigate通過時に対応します。

377 : ◆.p586Vj8xI :04/04/01 23:42 ID:iiYUSfva
>>375
すいません、Exchangeの仕様をよくしらないのですが、
FortiGateでチェックできるのは、http・ftp・smtp・pop3・imap4の各プロトコルになります。
ftp以外はチェック対象ポート番号の追加もできるので、ポートが違っても各プロトコルの手順を踏んだやりとりであれば
ウィルスチェック可能です。
Exchangeはどうなんだっけ・・・・

378 :376:04/04/01 23:56 ID:???
>>377
Exchangeはややこしいのですよ。
キャプチャしても理解できねぇ〜(汗

>>376
Outlookと言っても、ExchangeServerのクライアントとして使い、
pop,smtp,imapを使わないんですよ。

379 :375:04/04/02 00:47 ID:???
>>378
意味汲み取れずすんまそん。
話の流れを見ると、POP/SMTPと独自プロトコルを変換する
リレーサーバのようなものが物理的に存在してないと難しそうですね。
DMZ上にSendmailのような物を立てて回避したりしてます。

380 : ◆.p586Vj8xI :04/04/02 03:59 ID:sm5lg8GN
なるほど、ややこしいのですね。
とりあえず外部から届くメールはSMTPだと思うので、そこに入れるぐらいしか無いんですかね・・・。

381 :fushianasan:04/04/02 11:04 ID:???
すみません、Email Filterについて教えてください。

Email Filter - "Content Block"にキーワード(例: nudity)を追加したところ、
nudityが含まれるメールの件名に Email Filter - "Config"で指定された警告が
付記されるようにはなったのですが、これが正しい動作なのでしょうか?

正直言うと、キーワード(件名、本文、mailアドレス)の含まれたメールを
reject などしてくれると思っていたのですが。

あと、Email Filter - "Block List"は何を入れ、どのような動作を期待して
よいのでしょうか。

呉呉すみません。


2.50-build212

382 : ◆.p586Vj8xI :04/04/02 11:14 ID:sm5lg8GN
>>381
Content Blockについては、その動作で正しいです。
あくまでSubjectにタグを付けるだけで、止めたりはしません。

Block Listは、メールのFromにあたる部分を入れるものです。
この機能に関してはメール自体を止めることになります。
たとえば"fortinet.com"と入れれば、fortinetからのメールは一切こなくなります。
xxx@xxx.com と入れれば特定のメールアドレス単体の拒否になります。

ただ、"com"とだけ入れると、comが最後についている全てのドメインからのメールを拒否することになります。

383 : ◆.p586Vj8xI :04/04/06 12:13 ID:h7cA6YNU
>>374
私の手元にある、すりぬけてたNetsky.Qは4.283では全てひっかかるようになりました。
そちらのはどんな感じですか?まだすりぬけてるのあります?

384 :378:04/04/07 01:30 ID:???
1台検証機がまわってきたので試してみたのですが、
メールサーバ → FortiGate → Outlook
と、いう組み合わせではダメでした。
やっぱり素直に
FortiGate → メールサーバ → Outlook
と言う組み合わせが一番のようですね。

385 :fushianasan:04/04/07 08:45 ID:???
◆.p586Vj8xI さん

>>382
どの辺が"Content Block "なんでしょうか、とふと思ってしまいますね。
とりあえずtagをつけるからユーザー側のメーラールールで自動処理しやすくなりますよ、
といった感じですかね。


>>383

うちも同じです。>Q変種


ありがとうございました。



386 : ◆.p586Vj8xI :04/04/07 10:03 ID:V3TRIJLJ
>>384
やっぱりダメでしたか。
Exchangeぐらいは対応してほしいものですが、開発リソース的に無理なんでしょうかね。。。

>>385
名称と実際の動作が異なる(?)のは、けっこう困りますよね。
名称と一致してれば設定画面さわってれば動きがわかりますが、
FortiGateでは実際にテストしてみないと動作がわかんない部分が多い気がします。
昔はもっとちぐはぐでしたが。。。(笑)

387 :61 ◆FG200xXuLw :04/04/08 08:47 ID:???
Fortinet Technical Discussion Forumに、FortiOS 2.8の情報がありました。
リリースは4月中旬ぐらいみたいです。

<その1>

Over 50 new features and enhancements, including:

・IPv6 Support
・Virtual Domains (Fortigate-3000 and 3600)
・Enhanced Email Filtering (AntiSpam)
・Dynamic Attack Prevention System

Dynamic Attack Prevention System
Fortinet’s Dynamic Attack Response Combines the Best of AV, NIDS and IDP. [From what I hear it allows you to prevent all of the current detection signatures. So, the 2.80 boxes should be able to prevent 1400+ intrusions. - jbult]


388 :61 ◆FG200xXuLw :04/04/08 08:49 ID:???
<その2>

Additional Features in FortiOS 2.8

・AV Enhancements
・Improved performance
・Heuristic Detection
・HTTPS scanning
・HTML link for Virus detection
・AV for PPTP and L2TP VPNs
・Quarantined AV samples for Fortinet response analysis
・Append customized text to email messages
・Management Enhancements
・Role based administration
・Improved Tech-support
・Support extended characters in name/password
・WebUI improvements
・Backup improvements
・CLI interface via WebUI
・SNMP enhancements
・Firewall Enhancements
・Policy based NAT
・Multiple IP Pool
・More pre-defined services
・SIP
・Diffserv setting via Policy
・User Authentication via SecurID
・Non-standard port numbers for pre-defined services
・Address book support for IP address range
・Multiple Secondary IPs
・New GUI Provides Integrated Security "Dashboard" [See the picture at the bottom. It looks great. The picture is a pre-beta screenshot, so it could look radically different once released - jbult]

389 :61 ◆FG200xXuLw :04/04/08 08:50 ID:???
<その3>

VPN Enhancements

・Support Dynamic DNS host names for VPN tunnels
・IPSec in Transparent mode
・WebUI Display
・Central site Internet access for Remote VPN tunnel
・DHCP over IPSec [I've been waiting for this - jbult]
・Overlapping address for VPN branch office

FortiOS 2.8 Provides First Phase of IPv6 Rollout
Fortinet IPv6 Phase 1(FortiOS 2.8): Coexistence
- IPv6 addresses and routing between interfaces
- IPv6 addressing server functionality
Fortinet IPv6 Phase 2: Tunneling
- Connect IPv6 “islands” together using existing IPv4 networks
Fortinet IPv6 Phase 3: Application Aware
- Advanced applications (example: Antivirus scanning) for IPv6


390 :Q:04/04/08 08:52 ID:???
キタ━━━(゚∀゚≡(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)≡゚∀゚)━━━!!!!!!!!!!

391 :61 ◆FG200xXuLw :04/04/08 08:55 ID:???
<その4>

Virtual Domains for Managed Services

・Supported on the FortiGate 3000 and FortiGate 3600
・Up to 250 Virtual Domains (VDOMs) per system
・Service providers can offer different services (antivirus, content filtering, etc.) for different customers on the same FortiGate unit

Email Content Filtering (Antispam) Enhancements

・Check & Mark Messages with Signs of SPAM:
・Keywords & phrases in message body and subject line
・Blacklist of known bad spam senders
・Invalid return email address (DNS check))
・Spoofing (MIME header check)
・IP address Black/White list
・IP-based checks against the Real-time Blackhole list (RBL) and the Open Relay
・Database (ORDB)
・Reverse DNS lookups

新WebUIのpre-betaスクリーンショット
http://v.isp.2ch.net/up/289b0b9c4dc9.jpg

392 :anony:04/04/08 17:43 ID:???
>>388
HTTPS scanning っていうので、SoftEther止められるかしらん?

393 : ◆.p586Vj8xI :04/04/09 13:49 ID:fHAclGHK
Bagle.XってのがトレンドマイクロはすりぬけるけどFortiGateで止められた。
FortiGateが先ってのは初めて体験した(w

394 : ◆.p586Vj8xI :04/04/09 15:36 ID:fHAclGHK
FortiOS 2.5を入れたFortiGateの全モデルでパターンファイルのアップデートができない現象が発生しています。
ほっといたら永遠に更新されないので、手動で作業する必要があります。
作業の方法は・・・各パートナーに問い合わせてください。(てきとう

395 :61 ◆FG200xXuLw :04/04/09 16:03 ID:???
>>392
多分HTTPSでのアンチウイルスチェックの事じゃないかと思います。
きっと一旦FGに取り込んで復号してからチェックするんでしょうね。

SoftEtherを止めようとするならIDSの方でじゃないでしょうか
今でもカスタムシグネチャを書いてあげれば止められるのかも知れません。

>>394
ほんとだ、なんかFortiResponse Distribution Networkが使用不能になってました。
とりあえず、Virus Definition4.287をDLして手動で適用しました。
今は、FortiResponse Distribution Networkが使用可能になって
4.288にアップデートされてました。


396 :anonymous:04/04/09 18:21 ID:???
>>394
有益な情報ありがとうございます
この手の情報はPush配信してくれないものですかねぇ...
してくれるベンダーさんありますか?

397 : ◆.p586Vj8xI :04/04/09 18:38 ID:fHAclGHK
>>396
うちは各販社には配信しましたが、
そこから先のエンドユーザーまでは知らないところが多いので、
販社からエンドユーザーに連絡するようお願いしています。
急を要するものだから、エンドまで把握しておくべきなのかなぁ・・・

398 : ◆JeYFCvvdow :04/04/09 23:26 ID:???
うちは図研さんから13:40頃に第一報のメールが来ました。
第ニ報の対処法のアナウンスは16:00です。
事前に心の準備が出来たので助かりました。

>>397
>急を要するものだから、エンドまで把握しておくべきなのかなぁ・・・
いくら操作が簡単だからと言っても、個人的にエンドユーザーにそういうことを
やらせるのはちょっと酷かと思います。
なんて言うのかな、エンドにとってはこういうことは一大イベントのようです。

399 :anonymous@ v096066.ap.plala.or.jp:04/04/12 22:40 ID:PrKAWoJh
やっとVirus Definition4.288への手動アップデートが終わったと思ったら、4.289へのアップデートが失敗しまくってる。
またバグかよ。。。。いい加減にしてくれ。。

400 : ◆.p586Vj8xI :04/04/12 23:16 ID:WxGKjoFW
>>399
build133の人は失敗することがあるらしい

401 : ◆JeYFCvvdow :04/04/13 01:14 ID:???
>>399-400
うちはbuild171ですが、そのような現象は出ていないです。

402 :399:04/04/13 06:55 ID:pNUzF8Iw
確かにbuild133です。アップしてみます。。。。

403 :61 ◆FG200xXuLw :04/04/13 10:24 ID:???
MRTGでメモリ使用状況・コネクション数・CPU使用状況を取得するのに使うOID

メモリ使用状況:
.1.3.6.1.4.1.12356.1.1.6.4.0

コネクション数:
.1.3.6.1.4.1.12356.1.1.6.6.0

CPU使用状況:
.1.3.6.1.4.1.12356.1.1.6.1.0

CPU空き状況:
.1.3.6.1.4.1.12356.1.1.6.2.0

2.5ではAV・IDSの情報は取れない(SNMPトラップは受信できる)2.8に期待



404 :61 ◆FG200xXuLw :04/04/13 10:45 ID:???
Fortinet Technical Discussion Forumによると
2.8は一部のIMとP2Pをブロックできるらしい

IM:  MSN IM、Emule、Yahoo
P2P: Kazaa、Gnutella、Edonkey、Morpheus

これに、Winny、WinMX、Softetherブロックが加われば最強かも

405 :_:04/04/16 00:47 ID:???
>>403
たしかにアンチウイルスの情報はほしい。
2.8のMIBはやく見たいな

406 :寺町通り ◆6KVcpBNXy. :04/04/16 02:07 ID:5CiBxTXo
>>404
うちはAOLのメッセンジャー使ってる奴が多いんだよなぁ

407 :61 ◆FG200xXuLw :04/04/16 08:51 ID:???
Webフィルタで嵌っています。

まず、http://www.staff.uiuc.edu/~ehowes/resource.htmにあるブロックリスト(広告業者とか海外エロサイトとか8000件強)と
google検索で上位に来るエロサイトとかをURLブロックリストに追加しました。

続いて、コンテンツブロックリストにエロ関係の禁止キーワードを30件ほど追加しました。
これで、それなりにブロックはされているのですがひとつ問題がありました。

検索サイトで適当に検索した時に、検索結果に禁止キーワードが含まれている場合、検索自体がブロックされてしまう事です。

とりあえず、YahooやMSNなどの著名どころの検索サイトURLを対象外URLリストに追加し
検索だけは出来るようにしたのですが、googleで困ってしまいました。

禁止キーワードがあっても検索はさせる、でもキャッシュは見せたくないが、やりたいことです。

googleの検索クエリーにはいくつかパターンがあって、それを対象外URLリストに登録しようと思ったのですが、うまくいきません。
具体的には下の2.のパターンを除外できれば可能だと思うのですが、現状では正規表現とか使えないようです。

1.www.google.co.jp/search?q=検索文字列及びパラメータ
2.www.google.co.jp/search?q=cache:キャッシュ用パラメータ

何か妙案とかありませんでしょうか?それとも2.8なら可能とか?

408 :61 ◆FG200xXuLw :04/04/17 09:32 ID:???
2.50MR8、キタ━━━━━━(゚∀゚)━━━━━━!!!!!
リリースノートは来てないんで詳細不明。とりあえず入れてみます

409 :61 ◆FG200xXuLw :04/04/17 11:42 ID:???
MR8入れました。

・AVの最大サイズが100MB→25MBに変更された。
・ログフォーマットが変わってた。(追加情報あり)
・セッション情報画面のリフレッシュ/上/下ボタンのaltテキストが表示されるようになった。

以上とりあえず気が付いた点だけです。

410 :FG100@:04/04/17 16:24 ID:sVpQjvRk
> AVの最大サイズが100MB→25MBに変更された。

減りましたかw

411 : ◆.p586Vj8xI :04/04/18 23:15 ID:OWmJI2EZ
>>410
減ったというか、もともと100MBって設定しても動かないし。

412 : :04/04/19 09:22 ID:???
2.8マダー?
Cerberianマダー?

413 :61 ◆FG200xXuLw :04/04/19 11:01 ID:???
>>407
URL Exemptリストに正規表現(書式自信なし)で書いてみた。

www.google.co.jp\/search\?[^(cache:)]?

やっぱり駄目らしい、、、マニュアルには正規表現使えないとは書かれていないんだか(使えるとも書いてないけど)

MR8でも直っていない目で見える所

日本語WebUIの時、AVの隔離リストで日本語ファイル名が化けている(英語WebUIではOK)
H×H.zip ってのが隔離されているが、H$B!_(BH.zip になっている。
隔離ファイルをダウンロードする時も文字化けする(英日とも)

中の人見ていたらよろしくです。

414 :61 ◆FG200xXuLw :04/04/19 13:01 ID:???
MR8に変更してから、ウイルス名の無い警告メールが届くようになりました。

警告メール
Virus/Worm detected:
Protocol: smtp
Source IP: *.*.*.*
Destination IP: *.*.*.*
Email Address From: *
Email Address To: *

ログ
日時 log_id=* type=virus subtype=infected pri=warning src=*.*.*.* dst=*.*.*.* src_int=external dst_int=dmz service=smtp status=blocked from="*" to="*" msg="The file your_product.pif is infected with ."

これって誤報でしょうか?

415 : ◆.p586Vj8xI :04/04/19 15:22 ID:ZxPXd25v
MR8はリリースノートが無いので正式リリースではないと思います。

416 :61 ◆FG200xXuLw :04/04/19 15:53 ID:???
>>415
MR7の時もファーム公開後、しばらくしてリリースノートが公開されたんで
もうそろそろ来るんじゃないかと思っているんですが、、、

FG5000なんていう知らない機種用のファームもあるようですし。

417 :61 ◆FG200xXuLw :04/04/20 09:05 ID:???
リリースノートが着てないかとftpをチェックしたらMR8が消えていた。
誰かさん用の暫定リリースだったんですかね。

AVの動作が怪しいのでMR7に戻します。

418 :fushianasan:04/04/20 10:58 ID:???
Email Filterについて教えてください。

Content Block に設定した語句の含まれないメールの一部に対しても
banned words ということで件名が書き換えられてしまう事があります。

現バージョンの不具合という認識でよろしいのでしょうか?


FG200 2.50,build212,040224

419 :anonymous@ IMZfa-01p1-132.ppp11.odn.ad.jp:04/04/21 10:36 ID:???
FG60の導入を考えているのですが、
トランスペアレントモードで2本のADSLを挿して、
冗長構成ではなく同時に処理させる事は可能なのでしょうか。



420 : :04/04/21 13:13 ID:???
>>419
トランスペアレントモードってことは
別にルータ2台用意してそいつにPPPoE張らせるんだから
問題ないでしょ

421 :FG100:04/04/21 20:00 ID:UG+a6Fkd
v2.36から2.50 MR6へのファームウェアのバージョンアップ方法
のマニュアルが代理店のページにあるのですが、TFTPで取得
する方法でバージョンアップ後も初期設定に戻ってしまう
みたいなのですが、「システム」の「ステータス」の
「ファームウェアバージョン」でローカルディスクの
ファイルを指定してアップグレードできるみたいですが
TFTPで取得する方法と違いはあるのでしょうか。
みなさんはどちらのパターンでおこなってるんでしょうか。



422 : ◆.p586Vj8xI :04/04/21 21:22 ID:D0qOO55h
>>421
TFTPでファームウェアを入れた場合は、設定ファイルを初期化します。
ブラウザからファームウェアを入れる場合、
バージョンアップは設定が引き継がれますが、
バージョンダウンは設定が初期化されます。
ただ、設定を引き継ぐ場合は飛びバージョンアップは危険らしいです。
リリースノートでは、1つづつバージョンをあげていくことと、
その都度設定のどっかを修正しなければいけなかったと。

自分がやるときは、ブラウザからバージョンアップしていったん初期化してから
再度設定を作ってます。もちろんこんなめんどくさいことはやりたかないのですが、
「設定を引き継ぐ」という行為があまり好きではないので。
Win95からWin98をアップグレードインストールするのが嫌いなのと一緒。(ぉぃ

423 :anonymous:04/04/22 07:55 ID:???
やっとパターンの自動うぷできるようになった…

メモ:
パターンファイルをダウングレードするには、
今入っているのと同じバージョンのファームウェアを入れ直す
(もしくはアップグレード)。

424 :61 ◆FG200xXuLw :04/04/22 09:12 ID:???
>>419
同時に処理させる事っていうのは負荷分散させたいと言う意味でしょうか?
>>420が言うようにADSL用ルータは2台あるんですよね?

当方のFG200のヘルプからルーティングの箇所を抜粋すると次の事が可能なようです。

・static/policyルーティングが可能
・ルーティングテーブル毎に2つのGatewayを指定できる。そして冗長及び負荷分散が可能

噂では5月末にリリースされるらしい2.8ではインタフェースに2つのアドレスが指定できるように
なるようですね。マルチリンクPPPoEもサポートされていると嬉しいな。

425 :419:04/04/22 09:53 ID:???
>>420
>>424
ありがとうございます。
「2本のADSL」と書いてしまいましたが、実際にはCATVとADSLでして、
CATVは固定IPを取って自鯖のホスティング用に、ADSLは
内部→外部のインターネットアクセス・VPN・VoIPに使用しています。
当然それぞれにルータはありますが、CATVの方は非PPPoEです。

要はこの2本にFORTIGATEを導入したいのですが、予算上2台は
厳しく、色々な絡みでルータはそのまま使いたい為、各モデムと
ルータの間にFG60をトランスペアレントモードで挟んで、1台で
処理させたいのです
出来そうな気はするのですが、カタログでもWebでも冗長構成には
触れているものの、同時処理については曖昧だったものですから。

426 :61 ◆FG200xXuLw :04/04/22 10:03 ID:???
>>425
http://www.znw.co.jp/support/index.html
上記から、図研さんに評価機の貸し出しを依頼してみたらいかがでしょうか?

借りれて評価出来ましたらレポートしてくれると嬉しいです。

427 :名無し:04/04/22 10:35 ID:9QYc6TGU
>407
リストへの登録は力業ですか? 
一気に取り込む方法なんかがあれば教えていただきたいのですが。

428 :61 ◆FG200xXuLw :04/04/22 10:56 ID:???
>>427
テキストファイルから一気に登録できますよ。
WebUIのWeb URL Block登録画面右上の赤上矢印のボタンからアップロードできます。

urlblock1.com
urlblock2.com
初期登録時は上のように羅列すればブロック有効で登録されます。

urlblock1.com 0 ←ブロック無効
urlblock2.com 1 ←ブロック有効
ダウンロードするとブロックリストは上のようになります。

429 :anonymous@ noma.sherry.jp:04/04/23 01:40 ID:Rm7QeDmc
FortiGate,検証機を借りて使用してみているのですが,
VirtualIPの設定した際に,内側同士の通信でVIPの
アドレスでアクセスが出来ません.

グローバルアドレス 1.2.3.4 を,Intゾーンの
192.168.0.123 に VirtualIP 設定した場合に,
1.Ext側から1.2.3.4へアクセス ○
2.Int側から1.2.3.4へアクセス ×
3.Int側から192.168.0.123へアクセス ○
となってしまうのですが,2を可能にする方法は
無いのでしょうか.

問い合わせたところ,最初は出来るという回答を
貰ったのですが,後からやっぱり出来ませんという
回答に変わり,本当に製品として不可能なのかどうか
知りたいのです.

みなさんもVIPを使う時は2の通信は諦めているのでしょうか?


430 : ◆.p586Vj8xI :04/04/23 09:23 ID:2wsQ/XYm
>>429
前のバージョンで試した限りは×でした。
自分がさわったFirewallではダメなのしか見たこと無いんですが、できるのもあるんでしょうか。

うちはもともと内部用DNSがあるので特に気にしてませんが。。。

431 :名無し:04/04/23 13:26 ID:???
>430
FW-1でNAT table編集は、要件違い?

最近導入しだした*BSD/*Linux系 FireWallでは可能だったよ。


432 :名無し:04/04/23 13:38 ID:L2nVhODR
>428
>urlblock1.com
>urlblock2.com
上記の形式になっているリストなんかは、ネット上にあるのでしょうか?
レジストリの形式になっているものから、加工して利用するしかないですか?

433 :61 ◆FG200xXuLw :04/04/23 14:01 ID:???
>>432
>>407で書いたサイトからダウンロードできる物の中にテキスト形式のリストがあります
AGNIS-OP.ZIP、AGNIS-AS.ZIPがそうです

ダウンロードしたブロックリストは多少加工が必要かも知れません
正規表現などFGで処理してくれない形式が含まれています
私が使った限りでは、無加工でFGに取り込んでもブロックしてくれないだけで特に問題は起きていません

434 :anonymous@ noma.sherry.jp:04/04/23 22:16 ID:Rm7QeDmc
>>430
やはりダメですか.
いまはNetScreenを使用しているのですが,これは可能です.
一端NetScreenに繋がった後,折り返して接続されます.
内部用DNSを立てるしかないのでしょうかね...

435 :-:04/04/24 01:59 ID:???
内部からVIPのアドレスにアクセス出来ないのってヤバくないか?
特にDNSサーバ。
詳しいことは忘れたけど、自分自身のNSレコードを確認するために
VIPにパケットを投げなければいけなかったと思います。

>>434
基本的には内部の通信はFWを経由しないのが常識だと思われ。
内部DNSを立てるまでの間、hostsファイルにでも書いておくべき。

436 :FG100:04/04/27 18:35 ID:???
>>339
便乗質問なのですが
set antivirus service smtp splice disable
にてエラーをかえさないようにできるようですが
ウイルスが削除されたメール自体も届かないように
できるのでしょうか。
ウイルスメールが外から来た場合、エラーも返さず、
メール自体もFortigateで捨ててしまうようにでき
ないかなと・・


437 : ◆.p586Vj8xI :04/04/27 19:33 ID:2kVrABEl
>>436
それはできません。
ってゆか、消えてしまうのは怖すぎ・・・

438 :anonymous@ gwl.saiyo-tec.jp:04/04/28 15:14 ID:NElK1hj/
FG-60のユーザーですが、困っています。
InfoSphere Bフレッツ8個IPで、PPPoEが繋がりません。

set system interface wan1 mode pppoe connection enable ipunnumbered enable username <> password <> borrow xxx.xxx.xxx.xxx

xxx.xxx.xxx.xxx のところはプロバイダから割り当てられた番号を振っています。
username <> ,password <> の部分は当然プロバイダから指定されているものを記述しています。
何か設定が抜けているのでしょうか?




439 : ◆.p586Vj8xI :04/04/28 15:43 ID:7ugpmAg8
>>438
まず確認なのですが、フレッツスクエアには繋がりますか?
あと、アンナンバードの設定をしない状態で接続は可能ですか?

440 : ◆.p586Vj8xI :04/05/06 02:06 ID:zNtUiMRb
2.50 duild251 MR8がリリースノート付きでサイトに置いてありました。
正式リリースなのかな?

441 :61 ◆FG200xXuLw :04/05/06 10:41 ID:???
>>440
正式リリースらしいMR8入れました。

アップデートしたらコレクションしていた隔離ウイルスが全て消えてました。
あと、ウイルス隔離をしてくれてないようです。


157 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)