2022年9月16日 星期五

Fortigate發送訊息到Line

 Fortigate如何訊息(比如管理員登出登入、VPN登出登入)透過LINE發送?

基本上就是兩項事情

1.IFTTT

2.Webhook

首先先到IFTTT註冊帳號,並關聯Line服務以及webhook

底下是參考截圖


Line Notify 提供三個 Vaule: Value1、Value2 、 Value3
Recipient 下拉選單可以看到自己的 Line 群組清單,所以可以指定發送訊息到什麼群組內

網址後馬賽克的內容就是金鑰,請不要外流,外流的話就可以透過你的 LINE Notify 發訊息給你(好像也還好XD)




底下是Fortigate的設定部分

Security Fabric > Automation >


URL就是Webhook給你的那一串網址


上圖就是結果~~~



還有注意一點,如果有設定alertmail的,請記得拿掉告警等級,這個會影響Automation
這個也是跟原廠Support找好久才找到原因.....

config alertemail setting
set username "XXX@twca.com.tw"
set mailto1 "XX@twca.com.tw"
set filter-mode threshold
set severity critical
end

Fortianalyzer沒有像Fortigate這種設定方式....希望未來可以支援~



2021年11月11日 星期四

Fortigate 有連線到208.91.112.55的阻擋紀錄

 最近檢查Fortigate的IPS log,發現到有主機連線到208.91.112.55的阻擋紀錄。


查詢208.91.112.55,發現是屬於Fortinet的。


實際瀏覽器連,結果跳出Fortigate的Block頁面(非Fortigate設備上的,而是Fortinet架設在Internet上)。

Goolge得知,原來這個是Fortigate DNS filter 的功能,有問題的就Redirect Portal。

回來檢查DNS filter的Log,的確有看到redirect的紀錄。

其實在DNS filter的設定就可以看到208.91.112.55這個IP了。


最後總結,當用戶端想被植入可疑檔案後,想要連線到特定域名,需要問詢問DNS取得IP。
這個時候,如果有啟用DNS filter就會被Fortigate redirect到208.91.112.55。
可疑檔案取得解析後IP,就會連線到208.91.112.55,而這個連線行為,就被Fortigate的IPS偵測到有問題,最後被阻擋。
才會有連線到Fortinet的IP,結果被自己家的IPS阻擋的狀況.....。

為什麼DNS filter不是阻擋而是用redirect的做法改天來問問廠商......







2019年3月22日 星期五

Cisco WLC Client Exclusion Policies

最近在配置Cisco WLC的MAC Filtering遇到個問題。

user網卡在SSID-1有在白名單內,而SSID-2沒有。

如果user先連到SSID-2,會無法連線,這是正常行為。

然後user在連線到SSID-1,會發生無法連線狀況。

要請user等一段時間再連SSID-1,或是管理者在WLC GUI的client,

把該網卡後給remove,這邊會看到網卡號連到SSID為SSID-2,IP為0.0.0.0。


目前找到的解法是,到Security→Wireless Protection Policies→Client Exclusion Policies
Excessive 802.11 Association Failures
Excessive 802.11 Authentication Failures
Excessive 802.1X Authentication Failures
把這三個取消



F5 BIGIP I2000開機

紀錄一下
F5 BIGIP I2000開機不像之前機型插電就好。
還要到LCD,System>Power on,才會開機正常。

2018年9月25日 星期二

F5 LTM 內部設備要存取Virtual Server

目的:
內部設備要存取Virtual Server
比如
172.16.2.1要存取10.2.2.222到172.16.2.200與172.16.2.100,
172.16.1.1要存取10.1.1.111到172.16.1.200與172.16.1.100。

如果不設定會不通,因為是去回不同路,過去會帶F5或virtual server的ip,但回來會回到原本的IP。

設定方式:
Virtual Server的source address translation選擇Auto Map、source port 選Preserve

如果選擇automap,那會帶outgoing floating IP (只有單台就是 outgoing interface IP)出去

LAB架構:


設定截圖:

參考:
pool members can't connect to their own Virtual Server

F5 LTM 路由問題(內對外)

一般來說,F5的LTM主要是服務外對內做附載平衡。
外面的人連F5的一個Virtual server IP,F5往Pool Member丟,Pool Member裡面有很多個Node Server,使用Round Robin或其他方式來達到附載平衡。

如果是內對外呢?可能Node Server或其他不是Node的設備要出去做其他服務。
這邊就要設定"IP forwarding virtual servers"。
官方KB→https://support.f5.com/csp/article/K7595

Creating an IP forwarding virtual server
  1. Log in to the Configuration utility.
  2. Navigate to Local Traffic > Virtual Servers.
  3. Click Create.
  4. Enter a Name for the virtual server.
  5. From the Type menu, select Forwarding (IP). Enter the ip address in CIDR format (example: 192.168.0.100/24 or 192.168.0.100/255.255.255.0) in the Destination Address text box.

    Note: For BIG-IP versions prior to 11.6.0., if the destination is a single host, select Host, or if the destination is a network, select Network. Enter the IP address for the virtual server (enter a Netmask if the destination is a network.  
  6. Enter a Service Port number, or Select a service from the adjacent menu (type an asterisk character to match all ports).
  7. Clear the Notify Status to Virtual Address check box.
  8. Click Finished.
LAB:

目的:172.16.1.0/24與172.16.2.0/24要互通

設定截圖:



2018年9月12日 星期三

Fortigate 登出自動備份

參考原廠KB
http://kb.fortinet.com/kb/viewContent.do?externalId=FD38725&sliceId=1


# config system global
# set revision-backup-on-logout enable
# end

 可以登出自動本機備份設定,設定比對

不懂為什麼預設是關閉的~"~