0

Comment faire un Rollback automatique de configuration sur un FortiGate ?

Il n’y a rien de pire que de configurer à distance un pare-feu et de perdre l’accès une fois que vous avez fait vos modifications.
Avoir un mécanisme de sécurité en place pour revenir automatiquement à une configuration précédente vous aidera à minimiser les problèmes potentiels et à vous épargner beaucoup de stress ! Heureusement, FortiOS vous donne quelques options sur la façon de sauvegarder votre configuration en cours d’exécution dont nous parlerons plus bas.

Nous passerons en revue chacune des trois options disponibles. Chacune est configurée en CLI :
• Automatic
• Manual
• Revert
1. Automatic
Il s’agit du mode par défaut. Le FortiGate enregistrera automatiquement sa configuration en cours d’exécution (running config) dans la configuration de démarrage (start-up config) chaque fois que vous effectuez un changement en tapant ‘end’ en CLI ou en cliquant sur “Ok/Apply” dans l’interface graphique.

config system global
set cfg-save automatic
end
2. Manual
En mode Manuel, vos changements prendront effet immédiatement (sauvegardés dans la configuration en cours d’exécution) mais seront perdus lors d’un redémarrage à moins qu’une commande spéciale de sauvegarde ne soit donnée (la configuration en cours d’exécution sera alors sauvegardée dans la configuration de démarrage).

config system global
set cfg-save manual
end

Pour enregistrer les modifications apportées à la configuration de démarrage, utilisez la commande suivante :

execute cfg save
3. Revert
Le mode Revert démarre un compte à rebours dès que vous avez effectué un changement. Si vous n’enregistrez pas la configuration avant la fin du compte à rebours, le FortiGate redémarrera automatiquement et chargera la configuration de démarrage (c’est-à-dire que tous vos changements seront perdus).

C’est parfait si vous faites de l’administration à distance. Si vous faites un changement qui vous bloque, attendez que le timeout se termine puis le pare-feu redémarrera avec votre configuration précédente.

config system global
set cfg-save revert
set cfg-revert-timeout 300
end

La variable cfg-revert-timeout est le compte à rebours en secondes. La valeur par défaut est 600 secondes (10 minutes).

Pour enregistrer les modifications apportées à la configuration de démarrage, utilisez la commande suivante :

execute cfg save

Attention : Vous ne verrez aucun compte à rebours via SSH/Telnet ou WebUI. Vous ne pouvez voir le timeout que si vous vous êtes connecté en console. Le compte à rebours commence à vous avertir à partir de 10 secondes, vous devez donc être rapide !

FortiPadawan

Leave a Reply

Your email address will not be published. Required fields are marked *