informatique:fortinet:start
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
informatique:fortinet:start [2018/12/11 18:50] – Sessions pteu | informatique:fortinet:start [2019/10/29 16:00] – [where used] pteu | ||
---|---|---|---|
Line 12: | Line 12: | ||
# afficher les informations du système | # afficher les informations du système | ||
get system status | get system status | ||
+ | # d' | ||
+ | get mgmt-data status | ||
- | # récupérer la charge du sytème | + | # récupérer la charge du système |
get system performance status | get system performance status | ||
Line 96: | Line 98: | ||
# partitionnement du disque dur (au sens Linux, càd bas niveau) | # partitionnement du disque dur (au sens Linux, càd bas niveau) | ||
diagnose hardware deviceinfo disk | diagnose hardware deviceinfo disk | ||
- | # lister les partitions | + | # lister les partitions (gestion des images de fortiOS) |
diagnose sys flash list | diagnose sys flash list | ||
- | # ensuite on peut configurer l' | ||
- | execute set-next-reboot 1/2 | ||
# info sur les CPU (~ / | # info sur les CPU (~ / | ||
Line 138: | Line 138: | ||
set mtu-override enable | set mtu-override enable | ||
set mtu 9000 | set mtu 9000 | ||
+ | </ | ||
+ | |||
+ | ===Port d' | ||
+ | |||
+ | Cette fonctionnalité, | ||
+ | |||
+ | Il est conseillé de ne pas router de trafic utilisateur par ces interfaces. | ||
+ | < | ||
+ | config system interface | ||
+ | edit " | ||
+ | set dedicated-to management | ||
+ | end | ||
+ | end | ||
</ | </ | ||
Line 214: | Line 227: | ||
# lister les utilisateurs connectés | # lister les utilisateurs connectés | ||
get system info admin status | get system info admin status | ||
+ | # même commande, mais affiche les index | ||
+ | execute disconnect-admin-session ? | ||
+ | |||
+ | # pour déconnecter un utilisateur, | ||
+ | execute disconnect-admin-session ? | ||
+ | INDEX USERNAME | ||
+ | 0 admin | ||
+ | 1 toto ssh RO_access | ||
+ | |||
+ | execute disconnect-admin-session 1 | ||
</ | </ | ||
Line 488: | Line 511: | ||
Diag : | Diag : | ||
<code bash> | <code bash> | ||
+ | # affiche le status de tous les protocoles de routage dynamiques de ce forti : | ||
get router info protocols | get router info protocols | ||
+ | |||
+ | get router info ospf status | ||
get router info ospf neighbor | get router info ospf neighbor | ||
get router info ospf interface | get router info ospf interface | ||
+ | |||
+ | # afficher le LSDB (LSAs type 1 et 2) : | ||
get router info ospf database brief | get router info ospf database brief | ||
+ | # afficher les détails de chaque LSA | ||
+ | get router info ospf database router lsa | ||
+ | # affiche les LSAs envoyés par ce Fortigate : | ||
+ | get router info ospf database self-originate | ||
get router ospf | get router ospf | ||
show router ospf | show router ospf | ||
+ | # | ||
+ | # Logging (à partir de la version 5.4+) | ||
+ | # | ||
+ | config router ospf | ||
+ | set log-neighbour-changes enable | ||
+ | |||
+ | # | ||
# Debug | # Debug | ||
+ | # | ||
diagnose ip router ospf all enable | diagnose ip router ospf all enable | ||
+ | diagnose ip router ospf level info | ||
diagnose debug enable | diagnose debug enable | ||
+ | # nettoyage du debug | ||
+ | diagnose ip router ospf all disable | ||
- | # clear route | + | # redémarrer le processus OSPF |
- | exec router clear ospf [process x] | + | execute |
</ | </ | ||
Line 510: | Line 553: | ||
end | end | ||
</ | </ | ||
- | |||
====Agrégation de routes==== | ====Agrégation de routes==== | ||
Line 851: | Line 893: | ||
====Interconnecter 2 VDOMs==== | ====Interconnecter 2 VDOMs==== | ||
- | On peut relier 2 VDOMs via un équipement externe ou via des vdom-links, des interconnexion interne | + | On peut relier 2 VDOMs via un équipement externe ou via des vdom-links, des interconnexions internes |
<code bash> | <code bash> | ||
config global | config global | ||
Line 858: | Line 900: | ||
end | end | ||
</ | </ | ||
- | Les vdom-link **npuX-vlink** créés automatiquement quand on active la prise en charge des VDOMs sont offloadés (accélérés matériellement). Le nombre de liens créé est fonction du nombre de Network Processor (NPU) ; par exemple sur les 800c il y en a un (NP4). On ne peut pas les supprimer, même si on ne s'en sert pas. | + | Les vdom-link **npuX-vlink**, créés automatiquement quand on active la prise en charge des VDOMs, sont offloadés (accélérés matériellement). Le nombre de liens créé est fonction du nombre de Network Processor (NPU) ; par exemple sur les 800c il y en a un (NP4). On ne peut pas les supprimer, même si on ne s'en sert pas. |
====Supprimer un VDOM==== | ====Supprimer un VDOM==== | ||
Line 961: | Line 1003: | ||
En webUI, la configuration se réalise dans "Log & Report > Log Config > Log Settings" | En webUI, la configuration se réalise dans "Log & Report > Log Config > Log Settings" | ||
+ | <WRAP center round info 80%> | ||
+ | Apparemment depuis les versions FortiOS 5.6, le log sur les disques SSD n'est plus activé/ | ||
+ | </ | ||
Pour consulter les logs en CLI : | Pour consulter les logs en CLI : | ||
Line 1051: | Line 1096: | ||
diagnose debug config-error-log read | diagnose debug config-error-log read | ||
</ | </ | ||
+ | |||
+ | |||
+ | ======Mail d' | ||
+ | |||
+ | Le Fortigate peux envoyer des mails d' | ||
+ | |||
+ | Le serveur de mail à utiliser est personnalisable dans " | ||
+ | |||
+ | Pour tester l' | ||
======Services réseau====== | ======Services réseau====== | ||
Line 1201: | Line 1255: | ||
diagnose debug enable | diagnose debug enable | ||
</ | </ | ||
+ | |||
+ | En cas d' | ||
=====ping et cie===== | =====ping et cie===== | ||
Line 1295: | Line 1351: | ||
=====sniffer packet===== | =====sniffer packet===== | ||
- | C'est une implémentation de tcpdump ; la syntaxe basique est : '' | + | C'est une implémentation de tcpdump ; la syntaxe basique est : '' |
<code bash> | <code bash> | ||
diagnose sniffer packet any '' | diagnose sniffer packet any '' | ||
Line 1311: | Line 1367: | ||
<WRAP center round info 80%> | <WRAP center round info 80%> | ||
- | Il est important de noter que les paquets accélérés par les Network Processors (NP1, 2 etc...) | + | Il est important de noter que les paquets accélérés par les Network Processors (NP1, 2 etc...) |
</ | </ | ||
Line 1350: | Line 1406: | ||
diagnose debug app hatalk 255 | diagnose debug app hatalk 255 | ||
+ | |||
+ | # Afficher les paquets ICMP de type 3 code 4 | ||
+ | # (fragmentation nécessaire mais impossible à cause du drapeau (flag) DF) | ||
+ | diagnose sniffer packet any ' | ||
+ | # alternative : | ||
+ | diagnose sniffer packet any ' | ||
</ | </ | ||
Line 1394: | Line 1456: | ||
execute backup config ftp < | execute backup config ftp < | ||
</ | </ | ||
+ | |||
+ | NB : il n'est (à priori) pas/plus possible, dans les dernières versions de firmware (5.x et +), d' | ||
+ | |||
+ | |||
+ | =====Rollback===== | ||
+ | |||
+ | Si une version de firmware ne fonctionne pas comme prévu, on peut faire un rollback c' | ||
+ | <code bash> | ||
+ | # lister les partitions (gestion des images de fortiOS) | ||
+ | diagnose sys flash list | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | Image build at Aug 1 2014 02:49:11 for b0689 | ||
+ | |||
+ | # ensuite on peut configurer l' | ||
+ | execute set-next-reboot secondary | ||
+ | | ||
+ | |||
+ | # rebooter | ||
+ | execute reboot | ||
+ | This operation will reboot the system ! | ||
+ | Do you want to continue? (y/n)y | ||
+ | </ | ||
+ | |||
=====USB auto-install===== | =====USB auto-install===== | ||
Une fonctionnalité intéressante des Fortigate est d' | Une fonctionnalité intéressante des Fortigate est d' | ||
- | * un ficheir | + | * un fichier |
* une image **image.out** il chargera ce firmware au boot | * une image **image.out** il chargera ce firmware au boot | ||
- | Ces noms de fichiers sont configurables en webUI dans " | + | Ces noms de fichiers sont configurables en webUI dans " |
+ | <code bash> | ||
+ | config global | ||
+ | config system auto-install | ||
+ | set auto-install-config enable | ||
+ | set auto-install-image enable | ||
+ | set default-config-file " | ||
+ | set default-image-file " | ||
+ | end | ||
+ | end | ||
+ | </ | ||
+ | La clé doit être formatée en FAT pour être lisible par le Fortigate ; pour le vérifier : | ||
+ | <code bash> | ||
+ | diagnose hardware deviceinfo disk | ||
+ | [..] | ||
+ | Disk USB-7(user-usb) ref: 32 28.8GiB | ||
+ | partition ref: 33 28.8GiB, | ||
+ | execute usb-disk list | ||
+ | | ||
+ | </ | ||
======Métrologie/ | ======Métrologie/ | ||
Line 1453: | Line 1560: | ||
.1.3.6.1.2.1.31.1.1.1.6 IF-MIB:: | .1.3.6.1.2.1.31.1.1.1.6 IF-MIB:: | ||
.1.3.6.1.2.1.31.1.1.1.10 IF-MIB:: | .1.3.6.1.2.1.31.1.1.1.10 IF-MIB:: | ||
+ | # table ARP/ | ||
+ | .1.3.6.1.2.1.4.22.1.2 | ||
+ | # | ||
+ | # | ||
# policy | # policy | ||
.1.3.6.1.4.1.12356.101.5.1.2.1.1.1.1 fgFwPolID (index des # des règles) | .1.3.6.1.4.1.12356.101.5.1.2.1.1.1.1 fgFwPolID (index des # des règles) | ||
Line 1608: | Line 1719: | ||
</ | </ | ||
+ | Cela peut également se configurer en webUI dans System > Features Visibility, puis cocher "Allow unnamed policies" | ||
=====Configuration d'une CRL===== | =====Configuration d'une CRL===== | ||
Line 1629: | Line 1741: | ||
</ | </ | ||
+ | =====Where used ?===== | ||
+ | |||
+ | Pour pouvoir supprimer un objet (adresse, interface, VDOM, etc...) il faut que toutes ses références, | ||
+ | |||
+ | Par exemple pour supprimer une interface, il faut au préalable supprimer les routes statiques, les tunnels, les objets addresse, etc... qui en font mention. Cela peut se faire en webUI, dans le menu " | ||
+ | {{ : | ||
+ | |||
+ | On peut aussi lister les objets utilisés directement en CLI, avec la (nouvelle) commande : | ||
+ | <code bash> | ||
+ | fgt600e (global) # diagnose sys cmdb refcnt show system.interface: | ||
+ | entry used by table system.interface: | ||
+ | entry used by table system.interface: | ||
+ | </ | ||
======Liens utiles====== | ======Liens utiles====== | ||
* [[http:// | * [[http:// |
informatique/fortinet/start.txt · Last modified: 2024/02/28 14:55 by pteu