Session timeout settings auf einer Fortigate
Getestet auf 7.4.4
Dieser Artikel beschreibt, wie man die TTL-Werte von Sitzungen anpasst, wenn Portbereiche und benutzerdefinierte Dienste gleichzeitig konfiguriert sind.
- Die Sitzungs-TTL kann global mit der Variable 'default' des Befehls 'config system session-ttl' eingestellt werden. Der in der Variable „default“ festgelegte Standard-Session-Timeout kann zwischen 300 und 604.800 Sekunden liegen. Standardmäßig beträgt sie 3.600 Sekunden.
- Es ist möglich, diesen Standard-TTL-Wert für bestimmte Ports oder Portbereiche zu überschreiben, indem die 'timeout'-Variable des Befehls 'config port' verwendet wird. Die 'timeout'-Variable kann auf einen Wert zwischen 1 und 604.800 Sekunden gesetzt werden. Standardmäßig ist sie auf 300 Sekunden eingestellt.
- Es ist auch möglich, einen benutzerdefinierten Dienst zu definieren, um entweder einen neuen Dienst zu spezifizieren oder einen bestehenden Dienst zu verfeinern. In diesem Fall ersetzt der Wert, der in der Variable „session-ttl“ des Befehls „config firewall service custom“ festgelegt wird, den unter 2) definierten TTL-Wert der Sitzung.
- Der Befehl 'config firewall service custom' erlaubt auch die Änderung des UDP-Session-Timeouts über die Variable 'udp-idle-timer'. Der Wert, der in dieser Variable gesetzt wird, ersetzt den globalen Wert, der in der Variable 'udp-idle-timer' des Befehls 'config system global' gesetzt wird und standardmäßig 180 Sekunden beträgt.
- Der Sitzungs-TTL-Wert kann auch im Rahmen der Firewall-Richtlinie geändert werden. Dies gilt für jeden Verkehr, der über die Firewall-Richtlinie abgewickelt wird. Nachfolgend eine Illustration:
config firewall policy edit <policy_id> set session-ttl <> next end
Im folgenden Beispiel wird für den Verkehr über TCP-Port 1194 eine Sitzungs-TTL von 310 Sekunden und für den Verkehr über UDP-Port 1194 eine Sitzungs-TTL von 60 Sekunden verwendet.
Wenn VDOMs aktiviert sind, muss der Befehl pro VDOM ausgeführt werden (ohne Global).
config system session-ttl set default 300 config port edit 1194 set protocol 6 set timeout 50 set start-port 1194 set end-port 1194 next end end
Oder SSH. Wobei hier die Sessions 3h aktiv bleiben.
edit 2 set protocol 6 set timeout 10800 set start-port 22 set end-port 22 next
Die Übersetzung der Protokollnummern findet man hier.