Fortigate y su modo «conserve»

Una forma curiosa de funcionar (e inteligente, todo hay que decirlo). Cuando un fortigate detecta que el uso de memoria supera «su limite» (configurable) se pone automáticamente en modo «conserve» y no te deja tocar nada hasta que solucionas el problema de la memoria.

Y, en vez de poner un botón rojo o algo enorme avisándote de que ha entrado en ese modo y se calla cual P****.

Y vas tu a añadir o a tocar algo y en vez de avisarte te deja que lo modifiques y cuando le das al ok te suelta un error: CFG_CMDBAPI_ERR

Muy intuitivo, si señor.

Para ver que proceso se esta comiendo tu memoria:

diagnose sys top 5 20

Miras el proceso y dependiendo de cual sea:

– Lo puedes matar directamente: fnsysctl killall proceso
– Si es el IPS (que, por lo que he leído por ahí suele ser el que falla) lo puedes reiniciar: diag test application ipsmonitor 99
– Puedes pegarle un botonazo al cacharro.
– Puedes actualizarlo (que no se que tiene que ver, pero es lo que te contesta siempre desde el soporte).

En mi caso el proceso que estaba dando por saco era el pyfcgid. Lo reiniciamos y el consumo de memoria bajo a los limites normales, con lo cual es modo conserve se fue a dormir y empezó a dejar tocar.

Muy inteligente ese modo, en cualquier otro cacharro el proceso hubiera seguido comiendo memoria hasta tumbarlo… así que bien por fortigate… ¿pero que les hubiera costado poner algo que lo avisara?.

Por cierto, el ips tiene algunas opciones interesantes:

diag test application ipsmonitor
IPS Engine Test Usage:
1: Display IPS engine information
2: Toggle IPS engine enable/disable status
3: Display restart log
4: Clear restart log
5: Toggle bypass status
6: Submit attack characteristics now
97: Start all IPS engines
98: Stop all IPS engines
99: Restart all IPS engines and monitor

http://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD33103