差異處

這裏顯示兩個版本的差異處。

--- tech:fortigate_tips [2019/10/24 09:31] – jonathan_tsai
+++ tech:fortigate_tips [2024/06/22 00:18] (目前版本) – [防止暴力登入 SSL VPN 方式] jonathan
@@ 行 81: / 行 81: @@
 </note>
+===== 防止暴力登入 SSL VPN 方式 =====
+  * 參考 - https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-limit-SSL-VPN-login-attempts-and-block/ta-p/194229?externalID=FD48714
+  * 當 Log & Report 的 VPN Events 出現大量 ssl-login-fail , sslvpn_login_unknown_user 狀況
+  * 設定當 SSL VPN 登入失敗超過 x 次就鎖定 n 秒, 來降低嘗試暴力登入的狀況 Exp. 失敗超過 3 次, 就鎖 3600 秒<cli>
+config vpn ssl settings
+    set login-attempt-limit 3
+    set login-block-time 3600
+end
+</cli>
 ===== IPSec - L2TP 用戶撥入 VPN 設定 =====
   * 參考 - http://kb.fortinet.com/kb/viewContent.do?externalId=FD36253
@@ 行 95: / 行 104: @@
 </code>
   * 可以在外部 192.168.1.140 的 Windows 10 PC 執行 ping 與 tracert , 只要有經過 Fortigate 就會顯示流量訊息
-    * ping 範例 ++PC 端 |<xtermrtf>
+    * ping 範例 ++PC 端 |<cli>
 C:\Users\jonathan>ping 192.168.0.250
@@ 行 102: / 行 111: @@
 回覆自 192.168.0.250: 位元組=32 時間=41ms TTL=62
-</xtermrtf> ++ ++Fortigate 端 |<xtermrtf>
+</cli> ++ ++Fortigate 端 |<cli>
 TPFortiGate40C-1 # diag debug reset
@@ 行 122: / 行 131: @@
 packets dropped by kernel
-</xtermrtf>++
+</cli>++
-    * tracert 範例 ++PC 端 |<xtermrtf>
+    * tracert 範例 ++PC 端 |<cli>
 C:\Users\jonathan>tracert 192.168.0.250
@@ 行 133: / 行 142: @@
 追蹤完成。
-</xtermrtf>++  ++Fortigate 端 |<xtermrtf>
+</cli>++  ++Fortigate 端 |<cli>
 TPFortiGate40C-1 # diagnose sniffer packet any "host 192.168.0.250 and icmp" 4
 interfaces=[any]
@@ 行 167: / 行 176: @@
 packets received by filter
 packets dropped by kernel
-</xtermrtf>++
+</cli>++
 ===== FortiGate 60D 特別設定 =====
 ==== 端對端 VPN 使用 traceroute 非預期出現 DMZ IP ====
-  * 參考 - http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD36799&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=116930985&stateId=0%200%20116932943 <xtermrtf>
+  * 參考 - http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD36799&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=116930985&stateId=0%200%20116932943 <cli>
 traceroute 192.168.1.5
@@ 行 178: / 行 187: @@
   60-248-245-172.HINET-IP.hinet.net (60.248.245.172)  14.593 ms  14.556 ms  14.483 ms
   192.168.1.5 (192.168.1.5)  20.283 ms  20.285 ms  20.261 ms
-</xtermrtf>
+</cli>
-  * 只要設定 VPN 虛擬介面的 IP 即可解決 Exp. 192.168.101.254 ++看畫面|{{:tech:2018082301.png}}++ <xtermrtf>
+  * 只要設定 VPN 虛擬介面的 IP 即可解決 Exp. 192.168.101.254 ++看畫面|{{:tech:2018082301.png}}++ <cli>
 traceroute 192.168.1.5
 traceroute to 192.168.1.5 (192.168.1.5), 30 hops max, 60 byte packets
@@ 行 185: / 行 194: @@
   192.168.101.254 (192.168.101.254)  15.170 ms  15.092 ms  13.887 ms
   192.168.1.5 (192.168.1.5)  16.199 ms  16.203 ms  16.184 ms
-</xtermrtf>
+</cli>
 ===== FortiGate 40C 特別設定 =====
@@ 行 193: / 行 202: @@
 ==== 建立 VLAN ====
   * http://kb.fortinet.com/kb/viewContent.do?externalId=FD33738
+  * https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-create-a-VLAN-tagged-interface-802-1q-on-a/ta-p/193893
 ==== 設定 HA ====