Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:start [2018/12/10 19:04] – pteu
+++ informatique:fortinet:start [2019/08/26 14:45] – [Policy names] webUI pteu
@@ Line 12: / Line 12: @@
 # afficher les informations du système
 get system status
+# d'autres informations notamment sur le logging
+get mgmt-data status
-# récupérer la charge du sytème et son uptime
+# récupérer la charge du système et son uptime
 get system performance status
@@ Line 96: / Line 98: @@
 # partitionnement du disque dur (au sens Linux, càd bas niveau)
 diagnose hardware deviceinfo disk
-# lister les partitions au sens Forti (gestion des images de fortiOS)
+# lister les partitions (gestion des images de fortiOS)
 diagnose sys flash list
-# ensuite on peut configurer l'image à charger par défaut au prochain reboot :
-execute set-next-reboot 1/2
 # info sur les CPU (~ /proc/cpuinfo)
@@ Line 214: / Line 214: @@
 # lister les utilisateurs connectés
 get system info admin status
+# même commande, mais affiche les index
+execute disconnect-admin-session ?
+# pour déconnecter un utilisateur, par ex la session de l'utilisateur toto :
+execute disconnect-admin-session ?
+INDEX USERNAME        TYPE    VDOM     PROFILE      FROM             TIME
+admin           ssh                           10.1.1.24        Wed Apr 10 14:09:14 2019
+toto            ssh              RO_access    10.1.2.201       Mon Apr  8 14:19:59 2019
+execute disconnect-admin-session 1
 </code>
@@ Line 488: / Line 498: @@
 Diag :
 <code bash>
+# affiche le status de tous les protocoles de routage dynamiques de ce forti :
 get router info protocols
+get router info ospf status
 get router info ospf neighbor
 get router info ospf interface
+# afficher le LSDB (LSAs type 1 et 2) :
 get router info ospf database brief
+# afficher les détails de chaque LSA
+get router info ospf database router lsa
+# affiche les LSAs envoyés par ce Fortigate :
+get router info ospf database self-originate
 get router ospf
 show router ospf
+#
+# Logging (à partir de la version 5.4+)
+#
+config router ospf
+set log-neighbour-changes enable
+#
 # Debug
+#
 diagnose ip router ospf all enable
+diagnose ip router ospf level info
 diagnose debug enable
+# nettoyage du debug
+diagnose ip router ospf all disable
-# clear route
+# redémarrer le processus OSPF
-exec router clear ospf [process x]
+execute router clear ospf [process x]
 </code>
@@ Line 510: / Line 540: @@
 end
 </code>
 ====Agrégation de routes====
@@ Line 672: / Line 701: @@
 external IP range = l'IP (ou les IPs) de substitution
 </code>
-=======Firewall======
+=======Sessions======
+Le terme de session s'applique à chaque connexion traversant ou s'arrêtant au Fortigate, quel que soit le protocole (TCP évidemment mais aussi UDP, ICMP, etc...). Comme c'est un firewall stateful le sens d'ouverture des sessions est important, et les retour sont implicitement permis (à la différence des ACLs en général que l'on doit ouvrir dans les 2 sens).
 <code bash>
-# afficher la politique de sécurité
+# compter les connexions dans le VDOM
-show firewall policy
+get system session status
 # liste concise des sessions (1/ligne) - affiche les DNAT et SNAT
 get system session list
+</code>
-# To examine the firewall session list in the CLI
+Pour afficher plus de détails on utilise ''diagnose sys session'' ; cette commande étant très verbeuse elle s'utilise presque exclusivement en appliquant un filtre pour avoir un résultat lisible.
+<code bash>
+# pour afficher les sessions HTTP ouvertes depuis la machine 10.0.0.2
 diagnose sys session filter src 10.0.0.2
+diagnose sys session filter dport 80
 diagnose sys session list
 # en plus verbeux :
 diagnose sys session full-stat
 diagnose sys session stat
-# To clear all sessions
+# pour afficher les filtres en place
+diagnose sys session filter
+# pour supprimer toutes les sessions **matchant notre filtre**
 diagnose sys session clear
-# To clear all sessions corresponding to a filter
+# ! inutile de préciser qu'on pète tout si on n'utilise pas de filtre !
-diagnose sys session filter dst 192.168.2.10
+</code>
-diagnose sys session filter dport 80
-diagnose sys session clear
+Les flags :
-# -> va clearer uniquement les sessions matchant le filtre !
+  * ''may_dirty'' indique qu'une session a ouverte car acceptée par la politique de sécurité ; si cette dernière vient à être modifiée, toutes les sessions ''may_dirty'' sont également flagguées ''dirty'' ce qui signifit qu'elles doivent être revalidées par la nouvelle politique. C'est ce que fera le firewall lorsqu'il recevra le prochain paquet de la session :
+    * si celle-ci est toujours valide, il supprime le flag ''dirty''
+    * sinon il la flag ''block'', ce qui provoque le drop de tous les prochains paquets. Les sessions ''block'' restent dans la table de sessions jusqu'à leur expiration (leur timeout est diminué).
+=======Firewall======
+<code bash>
+# afficher la politique de sécurité
+show firewall policy
 # stats sur le filtrage de paquets
@@ Line 830: / Line 880: @@
 ====Interconnecter 2 VDOMs====
-On peut relier 2 VDOMs via un équipement externe ou via des vdom-links, des interconnexion interne au Fortigate (qui transitent par le "fond de panier" du châssis). On les créer comme on créer une interface classique, mais pour les supprimer on doit passer par la CLI :
+On peut relier 2 VDOMs via un équipement externe ou via des vdom-links, des interconnexions internes au Fortigate (qui transitent par le "fond de panier logiciel" du châssis). On les créer comme on créer une interface classique, mais pour les supprimer on doit passer par la CLI :
 <code bash>
 config global
@@ Line 837: / Line 887: @@
       end
 </code>
-Les vdom-link **npuX-vlink** créés automatiquement quand on active la prise en charge des VDOMs sont offloadés (accélérés matériellement). Le nombre de liens créé est fonction du nombre de Network Processor (NPU) ; par exemple sur les 800c il y en a un (NP4). On ne peut pas les supprimer, même si on ne s'en sert pas.
+Les vdom-link **npuX-vlink**, créés automatiquement quand on active la prise en charge des VDOMs, sont offloadés (accélérés matériellement). Le nombre de liens créé est fonction du nombre de Network Processor (NPU) ; par exemple sur les 800c il y en a un (NP4). On ne peut pas les supprimer, même si on ne s'en sert pas.
 ====Supprimer un VDOM====
@@ Line 940: / Line 990: @@
 En webUI, la configuration se réalise dans "Log & Report > Log Config > Log Settings" (en Global).
+<WRAP center round info 80%>
+Apparemment depuis les versions FortiOS 5.6, le log sur les disques SSD n'est plus activé/activable pour des raisons d'usure prématurée du SSD. Dans les "Log & Report > Log settings" on n'a donc plus de choix pour l'option "Display Logs From", et il est affiché "Selected log location is currently disabled."
+</WRAP>
 Pour consulter les logs en CLI :
@@ Line 1030: / Line 1083: @@
 diagnose debug config-error-log read
 </code>
+======Mail d'alerte======
+Le Fortigate peux envoyer des mails d'alerte par rapport à un niveau (Emergency, Alert, Critical, Error, Warning, etc...) ou une catégorie ; cela se configure dans "Log & Report > Alert E-mail".
+Le serveur de mail à utiliser est personnalisable dans "System > Advanced > Email Service".
+Pour tester l'envoi de mail, en CLI : ''diagnose log alertmail test''
 ======Services réseau======
@@ Line 1180: / Line 1242: @@
 diagnose debug enable
 </code>
+En cas d'ultime recourt il existe une image de firmware (HQIP pour Hardware Quick Inspection Package) pour passer des tests hardware poussés : [[https://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD34745|RMA Note: HQIP - Hardware Quick Inspection Package]].
 =====ping et cie=====
@@ Line 1373: / Line 1437: @@
 execute backup config ftp <FILENAME> <ftp server>
 </code>
+NB : il n'est (à priori) pas/plus possible, dans les dernières versions de firmware (5.x et +), d'uploader une image sur le Fortigate sans l'activer : le coup le firewall reboot systématiquement à chaque upload de firmware.
+=====Rollback=====
+Si une version de firmware ne fonctionne pas comme prévu, on peut faire un rollback c'est-à-dire un retour sur la précédente version :
+<code bash>
+# lister les partitions (gestion des images de fortiOS)
+diagnose sys flash list
+ FGT800xxxxxxxxxx # diagnose sys flash list
+ Partition  Image                                     TotalSize(KB)  Used(KB)  Use%  Active
+          FGT800-4.00-FW-build694-161108                    27541     22537   82%  Yes
+          FGT800-4.00-FW-build689-140731                    27541     22537   82%  No
+ Image build at Aug  1 2014 02:49:11 for b0689
+# ensuite on peut configurer l'image (1 ou 2, primary ou secondary) à charger par défaut au prochain reboot :
+execute set-next-reboot secondary
+ Default image is changed to image# 2.
+# rebooter
+execute reboot
+ This operation will reboot the system !
+ Do you want to continue? (y/n)y
+</code>
 =====USB auto-install=====
 Une fonctionnalité intéressante des Fortigate est d'utiliser une clé USB pour faire booter le firewall dessus. Si ce dernier trouve :
-  * un ficheir **fgt_system.conf**, il chargera ce fichier de configuration au boot
+  * un fichier **fgt_system.conf**, il chargera ce fichier de configuration au boot
   * une image **image.out** il chargera ce firmware au boot
-Ces noms de fichiers sont configurables en webUI dans "System > Config > Advanced".
+Ces noms de fichiers sont configurables en webUI dans "System > Config > Advanced" ou en CLI :
+<code bash>
+config global
+  config system auto-install
+    set auto-install-config enable
+    set auto-install-image enable
+    set default-config-file "fgt_system.conf"
+    set default-image-file "image.out"
+  end
+end
+</code>
+La clé doit être formatée en FAT pour être lisible par le Fortigate ; pour le vérifier :
+<code bash>
+diagnose hardware deviceinfo disk
+ [..]
+ Disk USB-7(user-usb) ref:  32  28.8GiB    type: USB [Kingston DataTraveler 3.0] dev: /dev/sdc
+  partition ref:  33  28.8GiB,  28.8GiB free  mounted: Y  label:  dev: /dev/sdc1 start: 0
+execute usb-disk list
+-07-23 16:07:14	  43664535	image.out
+</code>
 ======Métrologie/supervision======
@@ Line 1432: / Line 1541: @@
 .1.3.6.1.2.1.31.1.1.1.6			IF-MIB::ifHCInOctets (Counter64)
 .1.3.6.1.2.1.31.1.1.1.10		IF-MIB::ifHCOutOctets (Counter64)
+# table ARP/correspondance adresse IP -> MAC
+.1.3.6.1.2.1.4.22.1.2                   IP-MIB::ipNetToMediaPhysAddress
+#(utilisation : <OID>.<ID_ITF>.<adresse IP>, par ex :
+#IP-MIB::ipNetToMediaPhysAddress.3.10.0.0.1 pour obtenir la MAC de l'IP 10.0.0.1 sur le port3 du Fortigate)
 # policy
 .1.3.6.1.4.1.12356.101.5.1.2.1.1.1.1	fgFwPolID (index des # des règles)
@@ Line 1587: / Line 1700: @@
 </code>
+Cela peut également se configurer en webUI dans System > Features Visibility, puis cocher "Allow unnamed policies"
 =====Configuration d'une CRL=====