Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:start [2019/07/24 07:01] – [USB auto-install] pteu
+++ informatique:fortinet:start [2019/10/29 16:00] – [where used] pteu
@@ Line 138: / Line 138: @@
       set mtu-override enable
       set mtu 9000
+</code>
+===Port d'admin dédié===
+Cette fonctionnalité, qui est pré-configurée pour les firewalls disposant de port nommés ''mgmt*'', permet de dédier une interface au management du Fortigate. Cela a pour effet d'interdire la création de règle de sécurité les incluant, de créer une route "connected" dans la table de routage, et d'ajouter un menu permettant de filtrer les IPs pouvant se connecter dessus (ce qui outrepasse les directives //trusted host// définies dans les comptes utilisateur).
+Il est conseillé de ne pas router de trafic utilisateur par ces interfaces.
+<code  bash>
+config system interface
+  edit "mgmt2"
+    set dedicated-to management
+  end
+end
 </code>
@@ Line 1338: / Line 1351: @@
 =====sniffer packet=====
-C'est une implémentation de tcpdump ; la syntaxe basique est : ''diagnose sniffer packet <interface> '<filter>' <verbose> <count> <time-format>'', par exemple pour sniffer TOUT le trafic :
+C'est une implémentation de tcpdump ; la syntaxe basique est : ''diagnose sniffer packet <interface> '<filter>' [ <verbose> <count> <time-format> ]'', par exemple pour sniffer TOUT le trafic :
 <code bash>
 diagnose sniffer packet any '' 4 0 l
@@ Line 1354: / Line 1367: @@
 <WRAP center round info 80%>
-Il est important de noter que les paquets accélérés par les Network Processors (NP1, 2 etc...)  __ne sont pas capturés__ par cette commande. Pour sniffer ces paquets, il faut au préalable [[informatique:fortinet:start#acceleration_hardware_np|désactiver l'accélération matérielle]] sur le flux qu'on veut sniffer.
+Il est important de noter que les paquets accélérés par les Network Processors (NP1, 2 etc...) ne sont pas capturés par cette commande, excepter les ouvertures de sessions. Pour sniffer tous ces paquets, il faut au préalable [[informatique:fortinet:start#acceleration_hardware_np|désactiver l'accélération matérielle]] sur le flux qu'on veut sniffer mais cela aura un impact sur les performances.
 </WRAP>
@@ Line 1393: / Line 1406: @@
 diagnose debug app hatalk 255
+# Afficher les paquets ICMP de type 3 code 4
+# (fragmentation nécessaire mais impossible à cause du drapeau (flag) DF)
+diagnose sniffer packet any 'icmp[0] = 3 and icmp[1] = 4' 4 0 l
+# alternative :
+diagnose sniffer packet any 'icmp[0:2] = 0x0304' 4 0 l
 </code>
@@ Line 1700: / Line 1719: @@
 </code>
+Cela peut également se configurer en webUI dans System > Features Visibility, puis cocher "Allow unnamed policies"
 =====Configuration d'une CRL=====
@@ Line 1721: / Line 1741: @@
 </code>
+=====Where used ?=====
+Pour pouvoir supprimer un objet (adresse, interface, VDOM, etc...) il faut que toutes ses références, dans d'autres objets, soient supprimées.
+Par exemple pour supprimer une interface, il faut au préalable supprimer les routes statiques, les tunnels, les objets addresse, etc... qui en font mention. Cela peut se faire en webUI, dans le menu "Network > Interfaces" en affichant la colonne ''Ref.'' :
+{{ :informatique:fortinet:forti_refs_col.png?600 |}}
+On peut aussi lister les objets utilisés directement en CLI, avec la (nouvelle) commande :
+<code bash>
+fgt600e (global) # diagnose sys cmdb refcnt show system.interface:name ico_extranet
+entry used by table system.interface:name 'VISIO'
+entry used by table system.interface:name 'WIFI'
+</code>
 ======Liens utiles======
   * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]]