Le 25/06/2013 11:26, Mathieu Bouchonnet a écrit :
Hello,
J'en ai une petite 10 aine (FG200/FG110) pour des raccordements de
filiales, effectivement la Gui Web est plutôt pas mal mais assez
changeante suivant les versions ce qui est vite pénible pour
retrouver
ses petits...
Oui enfin la v4.0 est relativement stable depuis la MR2. C'est la 5.0
qui est pourrie (assert dans la CLI, undefined index à répétition dans
le GUI) ....
La CLI est effectivement assez mal foutue et les montées en version
assez aléatoires (il est fortement conseillé de rebalancer la config
via la CLI après l'upgrade pour vérifier ce qui fait hurler le
bouzin).
diagnose debug config-error-log read
Ceci dit le matos est bon j'en ai pas eu avec un pb en à peu près 6
ans.
Le web support en inde est à chier techniquement et ne comprend pas
grand-chose mais les techs français qui rappellent sont très bons par
contre, faut faire gaffe au type de support qu'on prend du coup.
Attention aussi aux délais d'appros, compter ~un mois en France.
@++
Mathieu
Sinon, satisfait également des perfs des FG en mode firewall, la seule
chose qui peut poser problème sur les perfs, c'est si il y a du NAT et
des sessions-helpers (FTP, TNS Oracle ...) qui peuvent vite foutre la
merde sur les performances des ASICs NP (le trafic firewall dans ce cas
n'est plus offloadé).
Autre problème con lié aux ASICs sur FG, c'est que toute session
offloadée n'apparait plus dans aucun log, ce qui fait qu'il est
impossible d'avoir une visibilité correct de la volumétrie d'une règle
pure firewall, même avec les pas glop FortiAnalyser.
Attention également, si tu veux faire de l'IPv6, il faut l'ASIC SP, le
NP/CP ne supportant à priori que de l'offload de sessions IPv4 .... Et
le SP est disponible que sur des gros boitiers.
---
-----------------------
Fabien VINCENT
Twitter : @beufanet
La GUI web est bien foutue, et quand le numéro de révision de l'OS
est élevé
ça marche bien.
À côté de ça, la CLI est abominable (et on n'y coupe pas pour les
fonctions
"avancées" comme le routage dynamique), et quand l'OS est trop
récent,
c'est trop buggé (mais ce n'est pas une exclusivité).
Le 24 juin 2013 à 22:17, Mattieu Baptiste <mattie...@gmail.com> a
écrit :
> Perso, aucune idée pour Fortinet, mais tant que tu te limites à du
filtrage
> L4, ils ont pas mauvaise réputation.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
