====== Fortigate CLI Cheatsheet ======
===== Général =====
Obtenir les informations générales sur l'équipement :
get system status
Redémarrer l'équipement :
exec reboot
Afficher la configuration complète de l'équipement :
show full-configuration
===== HA =====
Afficher la conf HA d'un équipement :
show sys ha
Etat actuel et informations sur la HA :
get sys ha status
Configurer/reconfigurer la HA en mode actif-passif (à faire sur les 2 équipements, attention la priorité ne doit pas être la même sur les 2) :
config system ha
set group-id 61
set group-name "HA_CLUSTER"
set mode a-p
set password admin123
set hbdev "ha1" 45 "ha2" 45
set session-pickup enable
set override enable
set priority 130
end
Vérifier le checksum du cluster :
diag sys ha checksum cluster
Recalculer le checksum du cluster sur un équipement :
diag sys ha checksum recalculate
Activer/désactiver la synchro de configuration entre membre d'un cluster :
exec ha synchronize
===== Interfaces ====
Afficher la configuration des interfaces :
show sys interface
Afficher l'état des interfaces physiques :
get sys interface physical
Entrer dans le mode configuration des interfaces :
config sys interface
Configurer une interface physique (avec les accès de mgmt sur cette interface) :
edit "wan1"
set vdom "root"
set ip 10.1.1.1 255.255.255.0
set allowaccess ping https ssh snmp fgfm fabric
set ident-accept enable
set type physical
set description "admin-external"
set alias "z-untrust"
set role wan
set snmp-index 3
next
Désactiver une interface dans sa configuration :
set status down
Sortir de la configuration des interfaces :
end
===== Routage =====
Afficher la configuration des routes statiques :
show router static
Entrer en mode configuration du routage statique :
config router static
Ajouter une route :
edit 1
set dst 10.2.0.0. 255.255.0.0
set device "wan1"
set gateway "10.1.1.254"
next
Sortir de la configuration :
end
===== Objets =====
Afficher les adresses IPv4 enregistrées dans la base de données de l'équipement :
show firewall address
Afficher les adresses IPv6 enregistrées dans la base de données de l'équipement :
show firewall address6
Afficher les groupes d'adresses enregistrées dans la base de données de l'équipement :
show firewall addrgrp
Afficher les wildcard FQDN enregistrées dans la base de données de l'équipement :
show firewall wildcard fqdn
===== Filtrage =====
Afficher les règles de filtrage configurées dans l'ordre :
show firewall policy
Afficher les "local-in policies" configurées dans l'ordre :
show firewall local-in-policy
Entrer en mode configuration du pare-feu :
config firewall policy
Créer une règle de filtrage :
edit 1
set srcintf "any"
set dstintf "any"
set action accept
set srcaddr "all"
set dstaddr "all"
set schedule "always"
set service "ALL"
next
Déplacer une règle après une autre dans l'ordre d'execution (mettre la règle 1 après la 2 par exemple) :
move 1 after 2
Déplacer une règle avant une autre dans l'ordre d'execution (mettre la règle 3 avant la 1 par exemple) :
move 3 before 1
Sortir du mode configuration :
end
===== Débug / troubleshooting =====
Afficher les erreurs générales au démarrage de l'équipement (problèmes d'interprétation de conf par ex) :
diagnose debug config-error-log
Lancer un ping :
exec ping 1.1.1.1
Lancer un traceroute :
exec traceroute 1.1.1.1
==== Prendre des traces / voir le traffic ====
Configurer un filtre pour prendre des traces de flux ("clear" pour remettre à zéro le filtre) :
diagnose debug flow
Afficher l'heure dans les traces :
diagnose debug console timestamp enable
Remettre à zéro les paramètres des traces :
diagnose debug reset
Activer/désactiver l'affichage des traces de flux dans la console :
diagnose