Fortigate die wichtigsten Befehle (FortiOS)

Global Config 
show system interfaceZeigt Interface Infos (nicht default Werte)
show full-configuration system interfaceZeigt Interface Infos (inkl. aller default Werte)
show full-configuration | grep –f “name”grep -f mit überliegenden Kontext
set cfg-save revertZeit setzen für automatische revert (z.B. kombination mit “batch end”)
exe batchErst durch “batch end” werden die Änderungen durchgeführt.
treeBaum anzeigen
execute reboot(Shutdown auch möglich)
  
Cluster HA 
execute ha manageHA Member über Sync Port managen (ID über HA Status)
get system ha statusHA Status
diagnose sys ha statusHA Status Prio
diagnose sys ha checksumKonfig im Sync
execute ha synchronize startSynst Start/Stop
  
Get / Show Befehle 
get system statusSystem Infos
get system performance statusSystem Infos Performance
get ipsec tunnel listAuflistung eingerichteter Tunnel
show system interfaceInterface Informationen
get system arpARP Table
get router info routing-table allRouting Table
get system ha statusHA Status
  
Debug 
diag debug enableDebug starten
diag debug resetAlle Debug Parameter zurücksetzen
diag debug disableDebug beenden
diag debug cli 7Ausgabe der Änderungen über die GUI werden in CLI angezeigt
diag debug infoInfos zum Debug
diag debug ratingURL Catergory
Diag debug application ike -63IPSec Debug
diag dsl show 2DSL Informationen
Debug flow 
diag debug flow filter clearFlow Filter löschen
diag debug flow filter port 80Flow Filter auf Port 80
diag debug flow filder addr 10.1.1.1Flow Filter auf IP-adresse
diag debug enableDebug Einschalten
diag debug flow trace start / stopTrace starten bzw stoppen
diagnose debug console timestamp enableZeit anzeigen
diagnose debug flow show console enableTo display trace on console
diagnose debug flow show function-name enableAnzeige der funktion name
diagnose debug flow show iprope enableAnzeige der Policy
  
Sniffer
diagnose sniffer packet any ‘host 10.11.12.13 and host 14.15.152.92 and tcp port 53095’ 4 Beispiel
diag sniffer paket any icmp 4(Bei 4 werden Interface angezeigt)
diag sniffer paket 
Interface <any>Welches interface port1 / any
filtertcpdump format
levelWie viel informationen
countWie viele packets
timestamptMit Zeitstempel
diagnose sniffer packet any ‘tcp[13]&2==2 and port 80’ 4Weiter Infos unter Troubleshooting TCP Flags
  
Interface 
get hardware nic <interface> diag hardware deviceinfo nicInterface Informationen  
get system interface transceiver <port>Transceiver Informationen
show system interfaceInterface Konfiguration
config system interface
edit port<interface-name>
set speed <1000full/1000auto/10000full/auto>
set mtu-override enable
set mtu 1476
Interface Speed “autonego”
diagnose netlink interface listMTU / MAC / TX-RX und Interface infos
diagnose netlink interface list roedlundpartnerMTU / MAC / TX-RX und Interface infos
get system source-ip statusServices (z.B. DNS/NTP) von bestimmter Source IP
  
Network 
get system arpArp Table
execute tracerouteTraceroute
execute ping-optionsPing
<source>Source Ping
<df-bit>Don’t Fragment Bit setzen.
get system session listAlle Sessions anzeigen (auch NAT) mit “grep oder filter” benutzen
diagnose sys session clearLöscht alle Sessions
get router info routing-table allRouting Table
get router info routing-table databaseAuch “inaktive” Routen
  
Identity 
diag firewall auth listZeigt alle auth Users mit IPs
diag firewall auth clearLöscht alle auth Users
diag firewall auth filter user “username”Löscht einen einzelnen auth User
diag test authserver 
  
SSL VPN 
diagnose debug enable 
diagnose vpn ssl –list –info –stat –debug-filterCurrent connections, Statistik etc
diagnose debug application sslvpn -1Detailed Debug
  
IPSEC VPN 
diagnose debug application ike 6363 ist bessere Output (1 zu viele Information) mit Filter nutzen
dignose vpn ike log-filter dst-addr4 <remote_peer_IP>
diagnose debug application ike –1
diagnose debug enable
IKE real-time debug
diagnose vpn tunnel listVPN Tunnel auflisten
diagnose vpn tunnel statdev=8 attached=0 tunnel=0 proxyid=8 sa=7 conc=0 up=7
diagnose vpn ike log-filter listAktuelle filter
show vpn ipsec phase2-interface NAME 
  
Performance (CPU/Mem) 
get system performance status 
diag sys top 1 
diag sys top-summaryTotal Usage
Fortigate die wichtigsten Befehle (FortiOS)
Markiert in:                     

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.