fortigate

FortigateのCLIコマンド

はじめに

 たま~にしか触らないせいで、毎回調べることになるFortigateのCLIコマンドを記載。
 以下、本投稿をするにあたっての状況。

  ・今回利用したFortigateは"Fortigate 200D"。
  ・基本、GUI画面で設定するので大したことは記載しない。

各階層について

 Fortigateは、"config"階層、"edite"階層、"set"階層の3階層あり、
 "config"→"edite"→"set"と下って行って各設定を実施することになる。
 (いろいろ例外あり。)

各種コマンド等

とりあえず困ったときのhelpコマンド

Fortiagte-01 # ?
※"?"最強。とりあえず"?"打ってみたら道は開ける、はず。

config      Configure object.
get         Get dynamic and system information.
show        Show configuration.
diagnose    Diagnose facility.
execute     Execute static commands.
exit        Exit the CLI.

↑こんな感じにいま打てるコマンドが表示される。

すべての設定内容を確認する

どこの階層に設定が入っているか分からなくなったときなど、とりあえず設定内容を全表示。そんなときのコマンドがこれ。
 
Fortiagte-01 # show full-configuration

※表示結果はあまりに長くなり過ぎるので省略。
※"grep"コマンドが使えるので、キーワードが分かっているときは
 "show full-configuration | grep -f (キーワード)"とすると良いかも。

pingコマンド

WindowsやLinuxのように"ping"といきなり入力しても打てない。
頭に「実行」を意味する"execute"コマンドを付ける。
Fortiagte-01 # execute ping "IPアドレス"

Fortiagte-01 # execute ping 10.250.0.100
PING 10.250.0.100 (10.250.0.100): 56 data bytes
64 bytes from 10.250.0.100: icmp_seq=0 ttl=64 time=0.3 ms
64 bytes from 10.250.0.100: icmp_seq=1 ttl=64 time=0.3 ms
64 bytes from 10.250.0.100: icmp_seq=2 ttl=64 time=0.2 ms
64 bytes from 10.250.0.100: icmp_seq=3 ttl=64 time=0.3 ms
64 bytes from 10.250.0.100: icmp_seq=4 ttl=64 time=0.3 ms

--- 10.250.0.100 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.3 ms

各インターフェースに設定されているIPアドレス等を確認する(論理含む、たぶん)

Fortiagte-01 # config system interface ←"system interface"階層に移動。
Fortiagte-01 (interface) # show ←設定内容確認。

Fortiagte-01 # config system interface

Fortiagte-01 (interface) # show

config system interface
    edit "mgmt"
        set vdom "root"
        set ip 192.168.21.200 255.255.255.0
        set allowaccess ping https ssh snmp
        set type physical
        set dedicated-to management
        set role lan
        set snmp-index 1
    next
    edit "wan1"
        set vdom "root"
        set mode dhcp
        set allowaccess ping fgfm
        set status down
        set type physical
        set role wan
        set snmp-index 2
    next
  (省略)
    edit "test-lag"
        set vdom "root"
        set ip 172.20.11.254 255.255.255.0
        set allowaccess ping https
        set type aggregate
        set member "port5" "port6" "port7" "port8"
        set role lan
        set snmp-index 23
    next
  (省略)
end

すべてのインターフェースのリンクアップ状況を確認する(物理のみ、たぶん)

Fortiagte-01 # get system interface physical

Fortiagte-01 # get system interface physical
== [onboard]
        ==[dmz1]
                mode: static
                ip: 10.10.10.1 255.255.255.0
                ipv6: ::/0
                status: down
                speed: n/a
        ==[dmz2]
                mode: static
                ip: 0.0.0.0 0.0.0.0
                ipv6: ::/0
                status: down
                speed: n/a
        ==[mgmt]
                mode: static
                ip: 192.168.21.200 255.255.255.0
                ipv6: ::/0
                status: up
                speed: 1000Mbps (Duplex: full)
(省略)

BIOSバージョンやファームウェアバージョンを確認する

Fortiagte-01 # get system status

FIS-FWL-01 # get system status
Version: FortiGate-200D v5.4.4,build1117,170209 (GA)
Virus-DB: 1.00123(2015-12-11 13:18)
Extended DB: 1.00000(2012-10-17 15:46)
IPS-DB: 6.00741(2015-12-01 02:30)
IPS-ETDB: 0.00000(2001-01-01 00:00)
Serial-Number: FG200D4Q16816747
IPS Malicious URL Database: 1.00638(2017-05-08 05:31)
Botnet DB: 3.00373(2017-05-08 10:08)
BIOS version: 05000004
System Part-Number: P11545-07
Log hard disk: Available
Hostname: Fortiagte-01
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 1117
Release Version Information: GA
FortiOS x86-64: Yes
System time: Fri Jul 14 11:46:43 2017

ASICバージョンを確認する

Fortiagte-01 # get hardware status

Model name: FortiGate-200D
ASIC version: CP8
ASIC SRAM: 64M
CPU: Intel(R) Celeron(R) CPU G540 @ 2.50GHz
Number of CPUs: 2
RAM: 3951 MB
Compact Flash: 15331 MB /dev/sda
Hard disk: 61057 MB /dev/sdb
USB Flash: not available
Network Card chipset: Intel(R) PRO/1000 Network Connection (rev.0000)

階層を抜けるコマンド

設定を保存して抜ける場合

Fortiagte-01 # end

設定を保存せずに抜ける場合

Fortiagte-01 # abort

シャットダウンコマンド

Fortiagte-01 # execute shutdown

ルーティングの設定内容を見たいとき

Fortiagte-01 # config router static ←"router static"階層に移動。
Fortiagte-01 (static) # show ←設定内容確認。

Fortiagte-01 # config router static

Fortiagte-01 (static) # show
config router static
    edit 1
        set gateway 172.20.11.1
        set device "lag"
    next
    edit 2
        set dst 10.252.21.32 255.255.255.224
        set gateway 10.252.21.62
        set device "sagasc"
    next
    edit 4
        set status disable
        set dst 192.168.0.0 255.255.255.0
        set gateway 172.20.11.1
        set device "lag"
    next

  (省略)

    edit 16
        set dst 61.7.103.10 255.255.255.255
        set gateway 10.252.21.62
        set device "sagasc"
        set comment "SagaSecurityCloudRoute20170624add"
    next
end

ファイアーウォールの設定見たいとき

Fortiagte-01 # config firewall policy ←"firewall policy"階層に移動。
Fortiagte-01 (policy) # show ←ファイアーウォール確認

Fortiagte-01 # config firewall policy

Fortiagte-01 (policy) # show
config firewall policy
 config firewall policy
    edit 3
        set name "CyberMail Harmless relay"       ←名前
        set uuid 256e6adc-3eda-51e7-5351-4d7e1e97b8d2 ←UUID
        set srcintf "lan"                 ←入力インターフェース
        set dstintf "lag"                 ←出力インターフェース
        set srcaddr "HOST-CYM-01"            ←送信元
        set dstaddr "sagaNML"              ←宛先アドレス
        set action accept                ←アクション
        set schedule "always"              ←スケジュール
        set service "SMTP"                ←サービス
        set logtraffic disable              ←ログ取得
    edit 7
        set name "sagasc to lag"
        set uuid 90b4c09e-2e08-51e7-dba7-7025031171ca
        set srcintf "sagasc"
        set dstintf "lag"
        set srcaddr "all"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
        set logtraffic disable
    next
        edit 4
        set name "lag to lan"
        set uuid 99d97760-39f6-51e7-fbea-0974e6b9db5e
        set srcintf "lag"
        set dstintf "lan"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic disable

    next

  (省略)

    edit 4
        set name "lag to lan"
        set uuid 99d97760-39f6-51e7-fbea-0974e6b9db5e
        set srcintf "lag"
        set dstintf "lan"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
end

設定追加例

・"mgmt"ポートの管理者アクセス方法に"http"を追加する手順を例にCLIでの設定追加手順を記載。

Fortiagte-01 # config system interface ←"system interface"階層に移動。

Fortiagte-01 (interface) # edit mgmt ←"mgmt"階層に移動。

Fortiagte-01 (mgmt) # show ←現在の設定を確認。

Fortiagte-01 (mgmt) # set allowaccess ping https ssh snmp http ←"http"を追加。
※"http"だけ記載してしまうと、元から設定されていた他の分が消えてしまう。

Fortiagte-01 (mgmt) # show ←正常に追加されているか確認。
config system interface
    edit "mgmt"
        set vdom "root"
        set ip 192.168.21.200 255.255.255.0
        set allowaccess ping https ssh snmp http
        set type physical
        set dedicated-to management
        set role lan
        set snmp-index 1
    next
end

Fortiagte-01 (mgmt) #

※今後も設定追加例などは随時追記予定。