Salut, J’ai eu un soucis similaire suite à un upgrade de forti. En 7.2 tu as une nouvelle features qui vient checker la validité des certificats distants même quand tu es en défaut. *Event-Sub-Type : certificate-probe-failed »*
Ça se désactive en cli via la création d’un nouveau template… https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-How-to-allow-HTTPS-port-443-traffic-when/ta-p/200844 Baptiste Le mer. 15 mai 2024 à 15:36, Florian VANNIER <REDACTED> a écrit : > Pour répondre à Richard KLEIN, non, nous n'en avons plus ... > Aller si, juste un "certificate inpection" ... > [image: image.png] > > Le mer. 15 mai 2024 à 15:22, Nicolas VUILLERMET <[email protected]> > a écrit : > >> On avait dit que le vendredi… >> >> Should I block ICMP? <http://shouldiblockicmp.com/> >> shouldiblockicmp.com >> <http://shouldiblockicmp.com/> <http://shouldiblockicmp.com/> >> >> Je dirai que l’icmp se filtre et se rate-limit. >> Ça fait parti des sujets sensibles avec le NAT, palliatif d’une pénurie >> d’IPv4, qui est devenu un moyen de sécurité car « l’extérieur peut pas >> joindre l’intérieur sans règle ». >> >> Évidemment combo avec l’ipv6… j’ai un gros client pour les JO, on a fait >> tout propre dualstack bah… pour des raisons de « sécurité » faut virer >> l’ipv6, en plus de faire un double nat. Ça va, le client est sympa du coup >> on lui propose quand même un setup aux oignons! Mais j’ai mal à ma ftto >> quoi… >> >> C’est pénible, mais bon en général les experts réseaux touchent pas aux >> pare-feux et inversement, so… >> >> My vendredi cents, >> Nicolas >> >> >> Le 15 mai 2024 à 15:11, Xavier Beaudouin via frnog <[email protected]> a >> écrit : >> >> Hello, >> >> A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a >> >> enlevé ce paramètre. >> >> >> On est pas expert réseau FortiNet/M365/Active Directory, on se débrouille >> >> sur pas mal de sujets/problématiques mais on fait appel aux supports quand >> >> on en a besoin ... >> >> >> Mais quelle excellente idée de changer la MTU de l’interface sans changer >> >> la MSS, c’est un super moyen de s’assurer d’avoir des problèmes :-) >> >> >> >> Dans le même genre j'ai eu des soucis avec des gens qui sont restés dans >> les années >> 2000, qui filtraient TOUT l'icmp... donc pMTUd : dtc... etc... >> >> Un moment il vas falloir que ça rentre : l'ICMP se rate limite, mais ne se >> filtre pas.... >> >> Xavier >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> >> > > -- > *Florian VANNIER* > Administrateur systèmes et réseaux > Tel : REDACTED > E-mail : REDACTED >
