pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » fortinet
Trace:
informatique:fortinet:start

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Next revisionBoth sides next revision
informatique:fortinet:start [2018/12/17 15:08] – [OSPF] pteuinformatique:fortinet:start [2019/09/02 14:36] – [Interfaces] Port d'admin dédié pteu
Line 12: Line 12:
 # afficher les informations du système # afficher les informations du système
 get system status get system status
 +# d'autres informations notamment sur le logging
 +get mgmt-data status
  
-# récupérer la charge du sytème et son uptime+# récupérer la charge du système et son uptime
 get system performance status get system performance status
  
Line 96: Line 98:
 # partitionnement du disque dur (au sens Linux, càd bas niveau) # partitionnement du disque dur (au sens Linux, càd bas niveau)
 diagnose hardware deviceinfo disk diagnose hardware deviceinfo disk
-# lister les partitions au sens Forti (gestion des images de fortiOS)+# lister les partitions (gestion des images de fortiOS)
 diagnose sys flash list diagnose sys flash list
-# ensuite on peut configurer l'image à charger par défaut au prochain reboot : 
-execute set-next-reboot 1/2 
  
 # info sur les CPU (~ /proc/cpuinfo) # info sur les CPU (~ /proc/cpuinfo)
Line 138: Line 138:
       set mtu-override enable       set mtu-override enable
       set mtu 9000       set mtu 9000
 +</code>
 +
 +===Port d'admin dédié===
 +
 +Cette fonctionnalité, qui est pré-configurée pour les firewalls disposant de port nommés ''mgmt*'', permet de dédier une interface au management du Fortigate. Cela a pour effet d'interdire la création de règle de sécurité les incluant, de créer une route "connected" dans la table de routage, et d'ajouter un menu permettant de filtrer les IPs pouvant se connecter dessus (ce qui outrepasse les directives //trusted host// définies dans les comptes utilisateur).
 +
 +Il est conseillé de ne pas router de trafic utilisateur par ces interfaces.
 +<code  bash>
 +config system interface
 +  edit "mgmt2" 
 +    set dedicated-to management
 +  end
 +end
 </code> </code>
  
Line 214: Line 227:
 # lister les utilisateurs connectés # lister les utilisateurs connectés
 get system info admin status get system info admin status
 +# même commande, mais affiche les index
 +execute disconnect-admin-session ?
 +
 +# pour déconnecter un utilisateur, par ex la session de l'utilisateur toto :
 +execute disconnect-admin-session ?
 +INDEX USERNAME        TYPE    VDOM     PROFILE      FROM             TIME
 +    0 admin           ssh                           10.1.1.24        Wed Apr 10 14:09:14 2019
 +    1 toto            ssh              RO_access    10.1.2.201       Mon Apr  8 14:19:59 2019
 +
 +execute disconnect-admin-session 1
 </code> </code>
  
Line 517: Line 540:
 diagnose ip router ospf level info diagnose ip router ospf level info
 diagnose debug enable diagnose debug enable
 +# nettoyage du debug
 +diagnose ip router ospf all disable
  
-clear route+redémarrer le processus OSPF
 execute router clear ospf [process x] execute router clear ospf [process x]
 </code> </code>
Line 868: Line 893:
 ====Interconnecter 2 VDOMs==== ====Interconnecter 2 VDOMs====
  
-On peut relier 2 VDOMs via un équipement externe ou via des vdom-links, des interconnexion interne au Fortigate (qui transitent par le "fond de panier" du châssis). On les créer comme on créer une interface classique, mais pour les supprimer on doit passer par la CLI :+On peut relier 2 VDOMs via un équipement externe ou via des vdom-links, des interconnexions internes au Fortigate (qui transitent par le "fond de panier logiciel" du châssis). On les créer comme on créer une interface classique, mais pour les supprimer on doit passer par la CLI :
 <code bash> <code bash>
 config global config global
Line 875: Line 900:
       end       end
 </code> </code>
-Les vdom-link **npuX-vlink** créés automatiquement quand on active la prise en charge des VDOMs sont offloadés (accélérés matériellement). Le nombre de liens créé est fonction du nombre de Network Processor (NPU) ; par exemple sur les 800c il y en a un (NP4). On ne peut pas les supprimer, même si on ne s'en sert pas.+Les vdom-link **npuX-vlink**créés automatiquement quand on active la prise en charge des VDOMssont offloadés (accélérés matériellement). Le nombre de liens créé est fonction du nombre de Network Processor (NPU) ; par exemple sur les 800c il y en a un (NP4). On ne peut pas les supprimer, même si on ne s'en sert pas.
  
 ====Supprimer un VDOM==== ====Supprimer un VDOM====
Line 978: Line 1003:
  
 En webUI, la configuration se réalise dans "Log & Report > Log Config > Log Settings" (en Global). En webUI, la configuration se réalise dans "Log & Report > Log Config > Log Settings" (en Global).
 +<WRAP center round info 80%>
 +Apparemment depuis les versions FortiOS 5.6, le log sur les disques SSD n'est plus activé/activable pour des raisons d'usure prématurée du SSD. Dans les "Log & Report > Log settings" on n'a donc plus de choix pour l'option "Display Logs From", et il est affiché "Selected log location is currently disabled."
 +</WRAP>
  
 Pour consulter les logs en CLI : Pour consulter les logs en CLI :
Line 1068: Line 1096:
 diagnose debug config-error-log read diagnose debug config-error-log read
 </code> </code>
 +
 +
 +======Mail d'alerte======
 +
 +Le Fortigate peux envoyer des mails d'alerte par rapport à un niveau (Emergency, Alert, Critical, Error, Warning, etc...) ou une catégorie ; cela se configure dans "Log & Report > Alert E-mail".
 +
 +Le serveur de mail à utiliser est personnalisable dans "System > Advanced > Email Service".
 +
 +Pour tester l'envoi de mail, en CLI : ''diagnose log alertmail test''
  
 ======Services réseau====== ======Services réseau======
Line 1218: Line 1255:
 diagnose debug enable diagnose debug enable
 </code> </code>
 +
 +En cas d'ultime recourt il existe une image de firmware (HQIP pour Hardware Quick Inspection Package) pour passer des tests hardware poussés : [[https://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD34745|RMA Note: HQIP - Hardware Quick Inspection Package]].
  
 =====ping et cie===== =====ping et cie=====
Line 1411: Line 1450:
 execute backup config ftp <FILENAME> <ftp server> execute backup config ftp <FILENAME> <ftp server>
 </code> </code>
 +
 +NB : il n'est (à priori) pas/plus possible, dans les dernières versions de firmware (5.x et +), d'uploader une image sur le Fortigate sans l'activer : le coup le firewall reboot systématiquement à chaque upload de firmware.
 +
 +
 +=====Rollback=====
 +
 +Si une version de firmware ne fonctionne pas comme prévu, on peut faire un rollback c'est-à-dire un retour sur la précédente version :
 +<code bash>
 +# lister les partitions (gestion des images de fortiOS)
 +diagnose sys flash list
 + FGT800xxxxxxxxxx # diagnose sys flash list
 + Partition  Image                                     TotalSize(KB)  Used(KB)  Use%  Active
 +          FGT800-4.00-FW-build694-161108                    27541     22537   82%  Yes
 +          FGT800-4.00-FW-build689-140731                    27541     22537   82%  No
 + Image build at Aug  1 2014 02:49:11 for b0689
 +
 +# ensuite on peut configurer l'image (1 ou 2, primary ou secondary) à charger par défaut au prochain reboot :
 +execute set-next-reboot secondary
 + Default image is changed to image# 2.
 +
 +# rebooter
 +execute reboot
 + This operation will reboot the system !
 + Do you want to continue? (y/n)y
 +</code>
 +
  
 =====USB auto-install===== =====USB auto-install=====
  
 Une fonctionnalité intéressante des Fortigate est d'utiliser une clé USB pour faire booter le firewall dessus. Si ce dernier trouve : Une fonctionnalité intéressante des Fortigate est d'utiliser une clé USB pour faire booter le firewall dessus. Si ce dernier trouve :
-  * un ficheir **fgt_system.conf**, il chargera ce fichier de configuration au boot+  * un fichier **fgt_system.conf**, il chargera ce fichier de configuration au boot
   * une image **image.out** il chargera ce firmware au boot   * une image **image.out** il chargera ce firmware au boot
  
-Ces noms de fichiers sont configurables en webUI dans "System > Config > Advanced".+Ces noms de fichiers sont configurables en webUI dans "System > Config > Advanced" ou en CLI : 
 +<code bash> 
 +config global 
 +  config system auto-install 
 +    set auto-install-config enable 
 +    set auto-install-image enable 
 +    set default-config-file "fgt_system.conf" 
 +    set default-image-file "image.out" 
 +  end 
 +end 
 +</code>
  
 +La clé doit être formatée en FAT pour être lisible par le Fortigate ; pour le vérifier :
 +<code bash>
 +diagnose hardware deviceinfo disk
 + [..]
 + Disk USB-7(user-usb) ref:  32  28.8GiB    type: USB [Kingston DataTraveler 3.0] dev: /dev/sdc
 +  partition ref:  33  28.8GiB,  28.8GiB free  mounted: Y  label:  dev: /dev/sdc1 start: 0
  
 +execute usb-disk list
 + 2019-07-23 16:07:14   43664535 image.out
 +</code>
 ======Métrologie/supervision====== ======Métrologie/supervision======
  
Line 1470: Line 1554:
 .1.3.6.1.2.1.31.1.1.1.6 IF-MIB::ifHCInOctets (Counter64) .1.3.6.1.2.1.31.1.1.1.6 IF-MIB::ifHCInOctets (Counter64)
 .1.3.6.1.2.1.31.1.1.1.10 IF-MIB::ifHCOutOctets (Counter64) .1.3.6.1.2.1.31.1.1.1.10 IF-MIB::ifHCOutOctets (Counter64)
 +# table ARP/correspondance adresse IP -> MAC
 +.1.3.6.1.2.1.4.22.1.2                   IP-MIB::ipNetToMediaPhysAddress
 +#(utilisation : <OID>.<ID_ITF>.<adresse IP>, par ex :
 +#IP-MIB::ipNetToMediaPhysAddress.3.10.0.0.1 pour obtenir la MAC de l'IP 10.0.0.1 sur le port3 du Fortigate)
 # policy # policy
 .1.3.6.1.4.1.12356.101.5.1.2.1.1.1.1 fgFwPolID (index des # des règles) .1.3.6.1.4.1.12356.101.5.1.2.1.1.1.1 fgFwPolID (index des # des règles)
Line 1625: Line 1713:
 </code> </code>
  
 +Cela peut également se configurer en webUI dans System > Features Visibility, puis cocher "Allow unnamed policies"
 =====Configuration d'une CRL===== =====Configuration d'une CRL=====
  
informatique/fortinet/start.txt · Last modified: 2024/02/28 14:55 by pteu