pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » fortinet
Trace:
informatique:fortinet:start

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Next revisionBoth sides next revision
informatique:fortinet:start [2019/10/29 16:00] – [where used] pteuinformatique:fortinet:start [2020/12/23 11:40] – divers pteu
Line 7: Line 7:
 ======Système====== ======Système======
  
-En sortie d'usine, le compte **admin** a un mot de passe vide.+En sortie d'usine, le compte **admin** a un mot de passe vide. La configuration du port CONsole est "9600/8-N-1 hardware flow control disabled" ; on peut se connecter aussi au port mgmt(1) qui a son DHCPd (192.168.99.O/24) activé par défaut, mais attention à ne pas le brancher sur le réseau de prod sous peine de préempter les attributions d'IP du DHCPd légitime ! 
 + 
 +On peut lister toutes les commandes disponibles avec la commande ''tree'', et filtrer l'affichage en CLI avec '' | grep'' comme sur un terminal Linux.
  
 <code bash> <code bash>
Line 37: Line 39:
 diagnose sys kill 11 <PID> diagnose sys kill 11 <PID>
 </code> </code>
 +
 +=====Redémarrage=====
  
 Pour redémarrer ou éteindre le système : Pour redémarrer ou éteindre le système :
Line 44: Line 48:
 </code> </code>
  
-Ordre de traitement d'un paquet sur un Fortigate :+Il n'est pas possible de planifier un redémarrage automatique ! La seule possibilité est de programmer un reboot quotidien : 
 +<code bash> 
 +config global 
 +  config sys global 
 +    set daily-restart enable 
 +    set restart-time 04:13 
 +  end 
 +</code> 
 +Attention, il redémarrera donc tous les jours à 4h13 ! 
 + 
 +Autre possibilité : configurer une authentification SSH par clé ([[informatique:fortinet:start#sauvegarde_en_scp|comme indiqué ici]]) puis ajouter une tâche at ou cron qui fait : 
 +<code bash> 
 +ssh admin@firewall "config global 
 +> execute reboot 
 +> y" 
 +</code> 
 + 
 + 
 +=====Ordre de traitement des paquets===== 
 <code bash> <code bash>
 Step #1 - Ingress Step #1 - Ingress
Line 138: Line 161:
       set mtu-override enable       set mtu-override enable
       set mtu 9000       set mtu 9000
 +</code>
 +
 +Afficher les caractéristiques des modules GBIC/SFP* connectés et reconnus :
 +<code bash>
 +get sys interface transceiver port13
 +Interface port13 - SFP/SFP+
 +  Vendor Name  :            Intel Corp
 +  Part No.     :            FTLX8571D3BCVIT
 +  Serial No.   :            XYZ
 +  Measurement  Unit         Value        High Alarm   High Warning Low Warning  Low Alarm
 +  ------------ ------------ ------------ ------------ ------------ ------------ ------------
 +  Temperature  (Celsius)     42.6         78.0         73.0         -8.0        -13.0
 +  Voltage      (Volts)       3.32         3.70         3.60         3.00         2.90
 +  Tx Bias      (mA)          8.07        13.20        12.60         3.00         2.00
 +  Tx Power     (dBm)         -2.0          0.0         -1.0         -7.0         -8.0
 +  Rx Power     (dBm)         -1.9          0.0         -1.0        -18.0        -20.0
 +    ++ : high alarm, + : high warning, - : low warning, -- : low alarm, ? : suspect.
 </code> </code>
  
Line 175: Line 215:
 attention les paramètres de l'agrégat doivent concorder avec la configuration de l'équipement d'en face ! attention les paramètres de l'agrégat doivent concorder avec la configuration de l'équipement d'en face !
 </WRAP> </WRAP>
 +
 +===Création d'un switch logique===
 +
 +Pour créer un bridge (un switch logique) entre plusieurs ports d'un Fortigate :
 +<code bash>
 +config system switch-interface
 +   edit mon-switch-soft
 +   set members port1 port2 port3 port4
 +end
 +</code>
 +
 +NB :
 +  * ces interfaces doivent être vierges de toute configuration ;
 +  * certaines fonctionnalités seront limitées sur ces interfaces
 +  * des performances moindres sont également à prévoir
  
 ====Accélération hardware (NP)==== ====Accélération hardware (NP)====
Line 256: Line 311:
       edit admin       edit admin
          set password <new-password>          set password <new-password>
-         end+      end
 </code> </code>
  
Line 285: Line 340:
 </code> </code>
  
 +Pour lister les IPs/logins bloqués : dans la GUI, "Monitor> Quarantaine Monitor" ; en CLI :
 +<code bash>
 +diagnose user quarantine list
 +</code>
 ======Configuration====== ======Configuration======
  
Line 413: Line 472:
 ======Routage====== ======Routage======
  
-Afficher la table de routage courante : 
 <code bash> <code bash>
 +# lister toutes les adresses IP du firewall
 +diag ip address list
 +IP=192.168.1.99->192.168.1.99/255.255.255.0 index=4 devname=mgmt1
 +[..]
 +
 +# lister les IPs virtuelles : VIPs et NAT-pools
 +diag firewall iplist list
 +
 +# Afficher la table de routage :
 get router info routing-table details get router info routing-table details
  
Line 439: Line 506:
 diagnose ip arp list diagnose ip arp list
  
-# afficher les règle de policy-based routing ("policy routes")+# afficher les règles de policy-based routing ("policy routes" ou PBR)
 diagnose firewall proute list diagnose firewall proute list
 +
 +# afficher le cache de routage
 +diag ip rtcache list
 </code> </code>
  
Line 467: Line 537:
 >the "priority" parameter is used in situation where a static route needs to be present in order to accept incoming traffic and pass the RPF check (anti-spoofing). >the "priority" parameter is used in situation where a static route needs to be present in order to accept incoming traffic and pass the RPF check (anti-spoofing).
 source : [[http://kb.fortinet.com/kb/viewContent.do?externalId=FD32103|Routing behavior depending on distance and priority for static routes, and Policy Based Routes]] chez kb.fortinet.com source : [[http://kb.fortinet.com/kb/viewContent.do?externalId=FD32103|Routing behavior depending on distance and priority for static routes, and Policy Based Routes]] chez kb.fortinet.com
 +
 =====OSPF===== =====OSPF=====
  
Line 1232: Line 1303:
 # ~get tech : diagnostique complet à envoyer au support aussi # ~get tech : diagnostique complet à envoyer au support aussi
 diagnose debug report diagnose debug report
 +execute tac report
  
 # debugguer une fonction (~un process) # debugguer une fonction (~un process)
Line 1427: Line 1499:
 Si l'on tombe sur une "Error 403: Access denied." avec l'astuce précédente, c'est que la fonction n'est pas disponible. Cela arrive si le Fortigate n'a pas de disque dur interne, ou s'il est configuré en mode "WAN Optimization" au lieu  de "Disk logging" (ce mode se configure dans "Global > System > Advanced", puis "Disk settings", et nécessite un reboot du Forti + formatage du disque si on le modifie. Si l'on tombe sur une "Error 403: Access denied." avec l'astuce précédente, c'est que la fonction n'est pas disponible. Cela arrive si le Fortigate n'a pas de disque dur interne, ou s'il est configuré en mode "WAN Optimization" au lieu  de "Disk logging" (ce mode se configure dans "Global > System > Advanced", puis "Disk settings", et nécessite un reboot du Forti + formatage du disque si on le modifie.
 </WRAP> </WRAP>
 +
 +=====iperf=====
 +
 +Les fortigates intègrent l'outil iperf (accessible à partir du mode global), qui permet de réaliser des tests de débit.
 +<code bash>
 +conf global
 +diagnose traffictest port 5201
 +diagnose traffictest run -c 10.0.1.24
 +</code>
 +
  
 ======MAJ du firmware====== ======MAJ du firmware======
Line 1457: Line 1539:
 </code> </code>
  
-NB : il n'est (à priori) pas/plus possible, dans les dernières versions de firmware (5.x et +), d'uploader une image sur le Fortigate sans l'activer : le coup le firewall reboot systématiquement à chaque upload de firmware.+NB : il n'est (à priori) pas/plus possible, dans les dernières versions de firmware (5.x et +), d'uploader une image sur le Fortigate sans l'activer : le firewall reboot systématiquement à chaque upload de firmware.
  
  
Line 1542: Line 1624:
 .1.3.6.1.4.1.12356.101.4.4.2.1.2.3 % CPU (Core #) 5 min .1.3.6.1.4.1.12356.101.4.4.2.1.2.3 % CPU (Core #) 5 min
 .1.3.6.1.4.1.12356.101.4.1.4.0 memoire (%) ? .1.3.6.1.4.1.12356.101.4.1.4.0 memoire (%) ?
 +.1.3.6.1.2.1.1.1 Description SNMP
 .1.3.6.1.2.1.1.3 uptime .1.3.6.1.2.1.1.3 uptime
 +.1.3.6.1.2.1.1.4 Contact SNMP
 +.1.3.6.1.2.1.1.5 hostname + local domain name
 +.1.3.6.1.2.1.1.6 Location SNMP
 # sensors # sensors
 .1.3.6.1.4.1.12356.101.4.3.1.0 Hardware Sensor count .1.3.6.1.4.1.12356.101.4.3.1.0 Hardware Sensor count
Line 1754: Line 1840:
 entry used by table system.interface:name 'WIFI' entry used by table system.interface:name 'WIFI'
 </code> </code>
 +
 +Si tout semble propre mais que l'objet ne peut pas être supprimé (la webUI affiche ''Entry is used''), essayer de le supprimer en CLI : le message d'erreur sera plus verbeux. Par exemple, une interface sans référence ne pouvait pas être supprimée ; en CLI il est affiché :
 +<code bash>
 +fgt600e (interface) # delete LAN-centre
 +Error: IP address 10.41.1.1 is configured as source-ip for communications to NTP server
 +command_cli_delete:5774 delete table entry LAN-centre unset oper error ret=-23
 +Command fail. Return code -23
 +</code>
 +=====VPN protocols relaying=====
 +
 +Pour mettre en place un concentrateur VPN on créer une interface virtuelle "dialup", en attente de connexion IKE/IPSec entrante. Une fois le VPN établit, pour laisser passer les requêtes broadcastées à travers le routage de l'interface, il faut les transférer en unicast vers les serveurs spécifiés avec les commandes suivantes :
 +<code bash>
 +config system interface
 +   edit dialup
 +      # pour le DHCP (dans ce cas, DHCP over IPSec)
 +      set dhcp-relay-service enable
 +      set dhcp-relay-ip "10.1.1.24"
 +      set dhcp-relay-type ipsec
 +      # pour le NetBIOS
 +      set netbios-forward enable
 +      set wins-ip 10.1.16.253
 +   next
 +</code>
 +
 +Pour rappel le DHCP permet la découverte et l'attribution des paramètres réseau pour le client VPN (son IP, masque réseau, passerelle, DNS, NTP et serveurs WINs) et le NetBIOS permet de faire passer les flux vers les serveurs WINS. Cela permet par exemple un ersatzt de DNS dynamique car les clients Windows s'annoncent auprès des WINS quand ils se connectent en VPN, ou, dans certains cas, de débloquer le changement de mot de passe sur un domaine.
 ======Liens utiles====== ======Liens utiles======
  
   * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]]   * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]]
informatique/fortinet/start.txt · Last modified: 2024/02/28 14:55 by pteu