Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:start [2019/08/26 14:45] – [Policy names] webUI pteu
+++ informatique:fortinet:start [2020/05/14 08:04] – [Where used ?] entry is used pteu
@@ Line 138: / Line 138: @@
       set mtu-override enable
       set mtu 9000
+</code>
+Afficher les caractéristiques des modules GBIC/SFP* connectés et reconnus :
+<code bash>
+get sys interface transceiver port13
+Interface port13 - SFP/SFP+
+  Vendor Name  :            Intel Corp
+  Part No.     :            FTLX8571D3BCVIT
+  Serial No.   :            XYZ
+  Measurement  Unit         Value        High Alarm   High Warning Low Warning  Low Alarm
+  ------------ ------------ ------------ ------------ ------------ ------------ ------------
+  Temperature  (Celsius)     42.6         78.0         73.0         -8.0        -13.0
+  Voltage      (Volts)       3.32         3.70         3.60         3.00         2.90
+  Tx Bias      (mA)          8.07        13.20        12.60         3.00         2.00
+  Tx Power     (dBm)         -2.0          0.0         -1.0         -7.0         -8.0
+  Rx Power     (dBm)         -1.9          0.0         -1.0        -18.0        -20.0
+    ++ : high alarm, + : high warning, - : low warning, -- : low alarm, ? : suspect.
+</code>
+===Port d'admin dédié===
+Cette fonctionnalité, qui est pré-configurée pour les firewalls disposant de port nommés ''mgmt*'', permet de dédier une interface au management du Fortigate. Cela a pour effet d'interdire la création de règle de sécurité les incluant, de créer une route "connected" dans la table de routage, et d'ajouter un menu permettant de filtrer les IPs pouvant se connecter dessus (ce qui outrepasse les directives //trusted host// définies dans les comptes utilisateur).
+Il est conseillé de ne pas router de trafic utilisateur par ces interfaces.
+<code  bash>
+config system interface
+  edit "mgmt2"
+    set dedicated-to management
+  end
+end
 </code>
@@ Line 162: / Line 192: @@
 attention les paramètres de l'agrégat doivent concorder avec la configuration de l'équipement d'en face !
 </WRAP>
+===Création d'un switch logique===
+Pour créer un bridge (un switch logique) entre plusieurs ports d'un Fortigate :
+<code bash>
+config system switch-interface
+   edit mon-switch-soft
+   set members port1 port2 port3 port4
+end
+</code>
+NB :
+  * ces interfaces doivent être vierges de toute configuration ;
+  * certaines fonctionnalités seront limitées sur ces interfaces
+  * des performances moindres sont également à prévoir
 ====Accélération hardware (NP)====
@@ Line 1338: / Line 1383: @@
 =====sniffer packet=====
-C'est une implémentation de tcpdump ; la syntaxe basique est : ''diagnose sniffer packet <interface> '<filter>' <verbose> <count> <time-format>'', par exemple pour sniffer TOUT le trafic :
+C'est une implémentation de tcpdump ; la syntaxe basique est : ''diagnose sniffer packet <interface> '<filter>' [ <verbose> <count> <time-format> ]'', par exemple pour sniffer TOUT le trafic :
 <code bash>
 diagnose sniffer packet any '' 4 0 l
@@ Line 1354: / Line 1399: @@
 <WRAP center round info 80%>
-Il est important de noter que les paquets accélérés par les Network Processors (NP1, 2 etc...)  __ne sont pas capturés__ par cette commande. Pour sniffer ces paquets, il faut au préalable [[informatique:fortinet:start#acceleration_hardware_np|désactiver l'accélération matérielle]] sur le flux qu'on veut sniffer.
+Il est important de noter que les paquets accélérés par les Network Processors (NP1, 2 etc...) ne sont pas capturés par cette commande, excepter les ouvertures de sessions. Pour sniffer tous ces paquets, il faut au préalable [[informatique:fortinet:start#acceleration_hardware_np|désactiver l'accélération matérielle]] sur le flux qu'on veut sniffer mais cela aura un impact sur les performances.
 </WRAP>
@@ Line 1393: / Line 1438: @@
 diagnose debug app hatalk 255
+# Afficher les paquets ICMP de type 3 code 4
+# (fragmentation nécessaire mais impossible à cause du drapeau (flag) DF)
+diagnose sniffer packet any 'icmp[0] = 3 and icmp[1] = 4' 4 0 l
+# alternative :
+diagnose sniffer packet any 'icmp[0:2] = 0x0304' 4 0 l
 </code>
@@ Line 1438: / Line 1489: @@
 </code>
-NB : il n'est (à priori) pas/plus possible, dans les dernières versions de firmware (5.x et +), d'uploader une image sur le Fortigate sans l'activer : le coup le firewall reboot systématiquement à chaque upload de firmware.
+NB : il n'est (à priori) pas/plus possible, dans les dernières versions de firmware (5.x et +), d'uploader une image sur le Fortigate sans l'activer : le firewall reboot systématiquement à chaque upload de firmware.
@@ Line 1722: / Line 1773: @@
 </code>
+=====Where used ?=====
+Pour pouvoir supprimer un objet (adresse, interface, VDOM, etc...) il faut que toutes ses références, dans d'autres objets, soient supprimées.
+Par exemple pour supprimer une interface, il faut au préalable supprimer les routes statiques, les tunnels, les objets addresse, etc... qui en font mention. Cela peut se faire en webUI, dans le menu "Network > Interfaces" en affichant la colonne ''Ref.'' :
+{{ :informatique:fortinet:forti_refs_col.png?600 |}}
+On peut aussi lister les objets utilisés directement en CLI, avec la (nouvelle) commande :
+<code bash>
+fgt600e (global) # diagnose sys cmdb refcnt show system.interface:name ico_extranet
+entry used by table system.interface:name 'VISIO'
+entry used by table system.interface:name 'WIFI'
+</code>
+Si tout semble propre mais que l'objet ne peut pas être supprimé (la webUI affiche ''Entry is used''), essayer de le supprimer en CLI : le message d'erreur sera plus verbeux. Par exemple, une interface sans référence ne pouvait pas être supprimée ; en CLI il est affiché :
+<code bash>
+fgt600e (interface) # delete LAN-centre
+Error: IP address 10.41.1.1 is configured as source-ip for communications to NTP server
+command_cli_delete:5774 delete table entry LAN-centre unset oper error ret=-23
+Command fail. Return code -23
+</code>
+=====VPN protocols relaying=====
+Pour mettre en place un concentrateur VPN on créer une interface virtuelle "dialup", en attente de connexion IKE/IPSec entrante. Une fois le VPN établit, pour laisser passer les requêtes broadcastées à travers le routage de l'interface, il faut les transférer en unicast vers les serveurs spécifiés avec les commandes suivantes :
+<code bash>
+config system interface
+   edit dialup
+      # pour le DHCP (dans ce cas, DHCP over IPSec)
+      set dhcp-relay-service enable
+      set dhcp-relay-ip "10.1.1.24"
+      set dhcp-relay-type ipsec
+      # pour le BetBIOS
+      set netbios-forward enable
+      set wins-ip 10.1.16.253
+   next
+</code>
+Pour rappel le DHCP permet la découverte et l'attribution des paramètres réseau pour le client VPN (son IP, masque réseau, passerelle, DNS, NTP et serveurs WINs) et le NetBIOS permet de faire passer les flux vers les serveurs WINS. Cela permet par exemple un ersatzt de DNS dynamique car les clients Windows s'annoncent auprès des WINS quand ils se connectent en VPN.
 ======Liens utiles======
   * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]]