E aew meu povo, fiiiiirme???? Tô muito Goiano, oxe rsrsrsrsrrsr
Hoje vamos falar sobre um tema bem legal, Session-ttl.
Estava dando uma força a um amigo que estava com problema nas suas sessões SSH e RDP entre duas redes que estavam em VLANs diferentes, cuja a comunicação entre as VLANs era gerenciada pelo Fortigate dele. Basicamente a sessão dele se encerrava após 15min de ociosidade na comunicação.
A configuração do Session-ttl no Fortigate pode se dar em três níveis, sistema, firewall policy e serviço, no caso da primeira opção é necessário verificar se no seu fortigate existem VDOMs configuradas, pois será necessário realizar a configuração na VDOM especifica.
Uma boa pratica para realizar esse troubleshoot é primeiramente checar a configuração de session-ttl e em seguida ir alterando o session-ttl em cada uma dessas camadas e ir testando, até conseguir validar onde o problema tá ocorrendo e até se o problema é realmente na configuração do session-ttl do seu Fortigate.
Sem mais delongas vamos ver agora como realizar essa alteração a nível de sistema, firewall policy e serviço.
Antes disso vamos ver como estão as configurações do session-ttl em nosso Fortigate a nível de sistema.
Acessa lá o CLI e executa o comando a baixo:
No nosso Fortigate temos apenas a configuração padrão do sistema, que é de 3600 segundos, conhecido também como 1h rsrsrsrsr.
Para sobrepor essa configuração a nível de sistema, podemos alterar o valor padrão ou usar o parâmetro timeout em serviços específicos.
Vamos verificar como ficaram as configurações.
Com a alteração realizada o timeout configurado ira se sobrepor ao valor default do sistema.
Agora sim, vamos alterar o session-ttl dos serviços SSH e RDP, essa alteração ira se sobrepor as que realizamos.
Aqui alteramos o session-ttl para 1800 segundos, também conhecido mundialmente como 30min.
Lembrando que essa alteração pode ser realiza em serviços existentes ou novos.
Vamos realizar a configuração do session-ttl para uma firewall policy, esse configuração só ira afetar o trafego que der match com a regra que estamos alterando, essa configuração também ira sobrepor a configuração do sistema.
Pronto, todo trafego que der match com essa regra terá 5min de session-ttl.
É isso ai pessoal, tem mais algumas alterações que podem ser realizadas referente a UDP, mas vou deixar para vocês pesquisarem e não ficarem mal acostumados rsrsrsrsrs
Pei Buf!!!!
Contato para projetos, serviços e parceiras, click AQUI.