Automatischer Config Rollback auf FortiGate Firewalls

Wird eine Änderung auf einer FortiGate Firewall durchgeführt, so wird diese in aller Regel sofort ausgeführt und auch in die Konfiguration übernommen. Eine fehlerhafte Konfiguration auf einem weit entfernten Standort kann daher schnell zu einem Problem werden, wenn beispielsweise dem Administrator jede weitere Fernverwaltung nicht mehr möglich ist.

FortiOS bietet dem Administrator eine Funktion, um im Problemfall eine frühere Konfiguration zu laden, dies geschieht allerdings durch einen Neustart der Firewall!
Der Administrator muss hierzu definieren, wie FortiOS mit Konfigurationsänderungen gehen soll.

FortiOS kennt folgende Varianten für den Umgang mit Konfigurationsänderungen:

  1. Änderungen werden direkt in die Konfiguration auf der Festplatte bzw. dem Flashspeicher geschrieben. Diese Variante ist der Standard.

  2. Änderungen werden erst nach einem „save“ Befehl auf das Speichermedium geschrieben, die Konfigurationsänderungen sind jedoch in der „Running Config“ schon aktiv.

Das Verhalten lässt sich auf der Kommandozeile unter „config system global“ einstellen.
Die Standardkonfiguration sieht wie folgt aus:

config system global
set cfg-save automatic
end

Möchten man nun das Verhalten umstellen, so muss der Verhalten auf „revert“ geändert werden und ein Zeitwert in Sekunden für den automatisch initiierten Neustart eingetragen werden:

config system global
set cfg-save revert 
set cfg-revert-timeout 600
end

Sobald der Timeout abgelaufen ist, wird ein automatischer Reboot durchgeführt.
Sofern die Konfigurationsänderungen keine negativen Einflüsse vor dem Ablauf des Timeouts aufweisen und die Konfigurationsänderung fest gespeichert werden soll, muss folgender Befehl auf der Kommandozeile ausgeführt werden:

execute cfg save

Eine Anzeige des aktuellen Timeouts gibt es leider weder in der WebGUI noch in Kommandozeile per SSH oder der Web-CLI.
Lediglich auf der seriellen Schnittstelle wird ein Countdown angezeigt, sobald der Timeout bei 10 Sekunden steht.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.