User Tools

Site Tools


informatique:fortinet:start

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
informatique:fortinet:start [2019/03/06 15:11]
pteu [Mail d'alerte]
informatique:fortinet:start [2019/09/19 10:28] (current)
pteu [sniffer packet] afficher les erreurs de fragmentation
Line 12: Line 12:
 # afficher les informations du système # afficher les informations du système
 get system status get system status
 +# d'​autres informations notamment sur le logging
 +get mgmt-data status
  
-# récupérer la charge du sytème ​et son uptime+# récupérer la charge du système ​et son uptime
 get system performance status get system performance status
  
Line 96: Line 98:
 # partitionnement du disque dur (au sens Linux, càd bas niveau) # partitionnement du disque dur (au sens Linux, càd bas niveau)
 diagnose hardware deviceinfo disk diagnose hardware deviceinfo disk
-# lister les partitions ​au sens Forti (gestion des images de fortiOS)+# lister les partitions (gestion des images de fortiOS)
 diagnose sys flash list diagnose sys flash list
-# ensuite on peut configurer l'​image à charger par défaut au prochain reboot : 
-execute set-next-reboot 1/2 
  
 # info sur les CPU (~ /​proc/​cpuinfo) # info sur les CPU (~ /​proc/​cpuinfo)
Line 138: Line 138:
       set mtu-override enable       set mtu-override enable
       set mtu 9000       set mtu 9000
 +</​code>​
 +
 +===Port d'​admin dédié===
 +
 +Cette fonctionnalité,​ qui est pré-configurée pour les firewalls disposant de port nommés ''​mgmt*'',​ permet de dédier une interface au management du Fortigate. Cela a pour effet d'​interdire la création de règle de sécurité les incluant, de créer une route "​connected"​ dans la table de routage, et d'​ajouter un menu permettant de filtrer les IPs pouvant se connecter dessus (ce qui outrepasse les directives //trusted host// définies dans les comptes utilisateur).
 +
 +Il est conseillé de ne pas router de trafic utilisateur par ces interfaces.
 +<​code ​ bash>
 +config system interface
 +  edit "​mgmt2" ​
 +    set dedicated-to management
 +  end
 +end
 </​code>​ </​code>​
  
Line 214: Line 227:
 # lister les utilisateurs connectés # lister les utilisateurs connectés
 get system info admin status get system info admin status
 +# même commande, mais affiche les index
 +execute disconnect-admin-session ?
 +
 +# pour déconnecter un utilisateur,​ par ex la session de l'​utilisateur toto :
 +execute disconnect-admin-session ?
 +INDEX USERNAME ​       TYPE    VDOM     ​PROFILE ​     FROM             TIME
 +    0 admin           ​ssh ​                          ​10.1.1.24 ​       Wed Apr 10 14:09:14 2019
 +    1 toto            ssh              RO_access ​   10.1.2.201 ​      Mon Apr  8 14:19:59 2019
 +
 +execute disconnect-admin-session 1
 </​code>​ </​code>​
  
Line 517: Line 540:
 diagnose ip router ospf level info diagnose ip router ospf level info
 diagnose debug enable diagnose debug enable
 +# nettoyage du debug
 +diagnose ip router ospf all disable
  
-clear route+redémarrer le processus OSPF
 execute router clear ospf [process x] execute router clear ospf [process x]
 </​code>​ </​code>​
Line 868: Line 893:
 ====Interconnecter 2 VDOMs==== ====Interconnecter 2 VDOMs====
  
-On peut relier 2 VDOMs via un équipement externe ou via des vdom-links, des interconnexion interne ​au Fortigate (qui transitent par le "fond de panier"​ du châssis). On les créer comme on créer une interface classique, mais pour les supprimer on doit passer par la CLI :+On peut relier 2 VDOMs via un équipement externe ou via des vdom-links, des interconnexions internes ​au Fortigate (qui transitent par le "fond de panier ​logiciel" du châssis). On les créer comme on créer une interface classique, mais pour les supprimer on doit passer par la CLI :
 <code bash> <code bash>
 config global config global
Line 875: Line 900:
       end       end
 </​code>​ </​code>​
-Les vdom-link **npuX-vlink** créés automatiquement quand on active la prise en charge des VDOMs sont offloadés (accélérés matériellement). Le nombre de liens créé est fonction du nombre de Network Processor (NPU) ; par exemple sur les 800c il y en a un (NP4). On ne peut pas les supprimer, même si on ne s'en sert pas.+Les vdom-link **npuX-vlink**créés automatiquement quand on active la prise en charge des VDOMssont offloadés (accélérés matériellement). Le nombre de liens créé est fonction du nombre de Network Processor (NPU) ; par exemple sur les 800c il y en a un (NP4). On ne peut pas les supprimer, même si on ne s'en sert pas.
  
 ====Supprimer un VDOM==== ====Supprimer un VDOM====
Line 978: Line 1003:
  
 En webUI, la configuration se réalise dans "Log & Report > Log Config > Log Settings"​ (en Global). En webUI, la configuration se réalise dans "Log & Report > Log Config > Log Settings"​ (en Global).
 +<WRAP center round info 80%>
 +Apparemment depuis les versions FortiOS 5.6, le log sur les disques SSD n'est plus activé/​activable pour des raisons d'​usure prématurée du SSD. Dans les "Log & Report > Log settings"​ on n'a donc plus de choix pour l'​option "​Display Logs From", et il est affiché "​Selected log location is currently disabled."​
 +</​WRAP>​
  
 Pour consulter les logs en CLI : Pour consulter les logs en CLI :
Line 1227: Line 1255:
 diagnose debug enable diagnose debug enable
 </​code>​ </​code>​
 +
 +En cas d'​ultime recourt il existe une image de firmware (HQIP pour Hardware Quick Inspection Package) pour passer des tests hardware poussés : [[https://​kb.fortinet.com/​kb/​microsites/​search.do?​cmd=displayKC&​docType=kc&​externalId=FD34745|RMA Note: HQIP - Hardware Quick Inspection Package]].
  
 =====ping et cie===== =====ping et cie=====
Line 1321: Line 1351:
 =====sniffer packet===== =====sniffer packet=====
  
-C'est une implémentation de tcpdump ; la syntaxe basique est : ''​diagnose sniffer packet <​interface>​ '<​filter>'​ <​verbose>​ <​count>​ <​time-format>'',​ par exemple pour sniffer TOUT le trafic :+C'est une implémentation de tcpdump ; la syntaxe basique est : ''​diagnose sniffer packet <​interface>​ '<​filter>' ​<​verbose>​ <​count>​ <​time-format> ​]'',​ par exemple pour sniffer TOUT le trafic :
 <code bash> <code bash>
 diagnose sniffer packet any ''​ 4 0 l diagnose sniffer packet any ''​ 4 0 l
Line 1337: Line 1367:
  
 <WRAP center round info 80%> <WRAP center round info 80%>
-Il est important de noter que les paquets accélérés par les Network Processors (NP1, 2 etc...) ​ ​__ne ​sont pas capturés__ ​par cette commande. Pour sniffer ces paquets, il faut au préalable [[informatique:​fortinet:​start#​acceleration_hardware_np|désactiver l'​accélération matérielle]] sur le flux qu'on veut sniffer.+Il est important de noter que les paquets accélérés par les Network Processors (NP1, 2 etc...) ​ne sont pas capturés ​par cette commande, excepter les ouvertures de sessions. Pour sniffer ​tous ces paquets, il faut au préalable [[informatique:​fortinet:​start#​acceleration_hardware_np|désactiver l'​accélération matérielle]] sur le flux qu'on veut sniffer ​mais cela aura un impact sur les performances.
 </​WRAP>​ </​WRAP>​
  
Line 1376: Line 1406:
  
 diagnose debug app hatalk 255 diagnose debug app hatalk 255
 +
 +# Afficher les paquets ICMP de type 3 code 4
 +# (fragmentation nécessaire mais impossible à cause du drapeau (flag) DF)
 +diagnose sniffer packet any '​icmp[0] = 3 and icmp[1] = 4' 4 0 l
 +# alternative :
 +diagnose sniffer packet any '​icmp[0:​2] = 0x0304'​ 4 0 l
 </​code>​ </​code>​
  
Line 1420: Line 1456:
 execute backup config ftp <​FILENAME>​ <ftp server> execute backup config ftp <​FILENAME>​ <ftp server>
 </​code>​ </​code>​
 +
 +NB : il n'est (à priori) pas/plus possible, dans les dernières versions de firmware (5.x et +), d'​uploader une image sur le Fortigate sans l'​activer : le coup le firewall reboot systématiquement à chaque upload de firmware.
 +
 +
 +=====Rollback=====
 +
 +Si une version de firmware ne fonctionne pas comme prévu, on peut faire un rollback c'​est-à-dire un retour sur la précédente version :
 +<code bash>
 +# lister les partitions (gestion des images de fortiOS)
 +diagnose sys flash list
 + ​FGT800xxxxxxxxxx # diagnose sys flash list
 + ​Partition ​ Image                                     ​TotalSize(KB) ​ Used(KB) ​ Use%  Active
 + ​1 ​         FGT800-4.00-FW-build694-161108 ​                   27541     ​22537 ​  ​82% ​ Yes
 + ​2 ​         FGT800-4.00-FW-build689-140731 ​                   27541     ​22537 ​  ​82% ​ No
 + Image build at Aug  1 2014 02:49:11 for b0689
 +
 +# ensuite on peut configurer l'​image (1 ou 2, primary ou secondary) à charger par défaut au prochain reboot :
 +execute set-next-reboot secondary
 + ​Default image is changed to image# 2.
 +
 +# rebooter
 +execute reboot
 + This operation will reboot the system !
 + Do you want to continue? (y/n)y
 +</​code>​
 +
  
 =====USB auto-install===== =====USB auto-install=====
  
 Une fonctionnalité intéressante des Fortigate est d'​utiliser une clé USB pour faire booter le firewall dessus. Si ce dernier trouve : Une fonctionnalité intéressante des Fortigate est d'​utiliser une clé USB pour faire booter le firewall dessus. Si ce dernier trouve :
-  * un ficheir ​**fgt_system.conf**,​ il chargera ce fichier de configuration au boot+  * un fichier ​**fgt_system.conf**,​ il chargera ce fichier de configuration au boot
   * une image **image.out** il chargera ce firmware au boot   * une image **image.out** il chargera ce firmware au boot
  
-Ces noms de fichiers sont configurables en webUI dans "​System > Config > Advanced"​.+Ces noms de fichiers sont configurables en webUI dans "​System > Config > Advanced" ​ou en CLI : 
 +<code bash> 
 +config global 
 +  config system auto-install 
 +    set auto-install-config enable 
 +    set auto-install-image enable 
 +    set default-config-file "​fgt_system.conf"​ 
 +    set default-image-file "​image.out"​ 
 +  end 
 +end 
 +</​code>​
  
 +La clé doit être formatée en FAT pour être lisible par le Fortigate ; pour le vérifier :
 +<code bash>
 +diagnose hardware deviceinfo disk
 + [..]
 + Disk USB-7(user-usb) ref:  32  28.8GiB ​   type: USB [Kingston DataTraveler 3.0] dev: /dev/sdc
 +  partition ref:  33  28.8GiB, ​ 28.8GiB free  mounted: Y  label: ​ dev: /dev/sdc1 start: 0
  
 +execute usb-disk list
 + ​2019-07-23 16:​07:​14  ​ 43664535 image.out
 +</​code>​
 ======Métrologie/​supervision====== ======Métrologie/​supervision======
  
Line 1479: Line 1560:
 .1.3.6.1.2.1.31.1.1.1.6 IF-MIB::​ifHCInOctets (Counter64) .1.3.6.1.2.1.31.1.1.1.6 IF-MIB::​ifHCInOctets (Counter64)
 .1.3.6.1.2.1.31.1.1.1.10 IF-MIB::​ifHCOutOctets (Counter64) .1.3.6.1.2.1.31.1.1.1.10 IF-MIB::​ifHCOutOctets (Counter64)
 +# table ARP/​correspondance adresse IP -> MAC
 +.1.3.6.1.2.1.4.22.1.2 ​                  ​IP-MIB::​ipNetToMediaPhysAddress
 +#​(utilisation : <​OID>​.<​ID_ITF>​.<​adresse IP>, par ex :
 +#​IP-MIB::​ipNetToMediaPhysAddress.3.10.0.0.1 pour obtenir la MAC de l'IP 10.0.0.1 sur le port3 du Fortigate)
 # policy # policy
 .1.3.6.1.4.1.12356.101.5.1.2.1.1.1.1 fgFwPolID (index des # des règles) .1.3.6.1.4.1.12356.101.5.1.2.1.1.1.1 fgFwPolID (index des # des règles)
Line 1634: Line 1719:
 </​code>​ </​code>​
  
 +Cela peut également se configurer en webUI dans System > Features Visibility, puis cocher "Allow unnamed policies"​
 =====Configuration d'une CRL===== =====Configuration d'une CRL=====
  
informatique/fortinet/start.1551881462.txt.gz · Last modified: 2019/03/06 15:11 by pteu