Fortigate CLI Cheatsheet

Obtenir les informations générales sur l'équipement :

get system status

Redémarrer l'équipement :

exec reboot

Afficher la configuration complète de l'équipement :

show full-configuration

Afficher la conf HA d'un équipement :

show sys ha

Etat actuel et informations sur la HA :

get sys ha status

Configurer/reconfigurer la HA en mode actif-passif (à faire sur les 2 équipements, attention la priorité ne doit pas être la même sur les 2) :

config system ha
    set group-id 61
    set group-name "HA_CLUSTER"
    set mode a-p
    set password admin123
    set hbdev "ha1" 45 "ha2" 45
    set session-pickup enable
    set override enable
    set priority 130
end

Vérifier le checksum du cluster :

diag sys ha checksum cluster

Recalculer le checksum du cluster sur un équipement :

diag sys ha checksum recalculate

Activer/désactiver la synchro de configuration entre membre d'un cluster :

exec ha synchronize <start|stop>

Afficher la configuration des interfaces :

show sys interface

Afficher l'état des interfaces physiques :

get sys interface physical

Entrer dans le mode configuration des interfaces :

config sys interface

Configurer une interface physique (avec les accès de mgmt sur cette interface) :

        edit "wan1"
        set vdom "root"
        set ip 10.1.1.1 255.255.255.0
        set allowaccess ping https ssh snmp fgfm fabric
        set ident-accept enable
        set type physical
        set description "admin-external"
        set alias "z-untrust"
        set role wan
        set snmp-index 3
    next

Désactiver une interface dans sa configuration :

set status down

Sortir de la configuration des interfaces :

end

Afficher la configuration des routes statiques :

show router static

Entrer en mode configuration du routage statique :

config router static

Ajouter une route :

    edit 1
        set dst 10.2.0.0. 255.255.0.0
        set device "wan1"
        set gateway "10.1.1.254"
    next 

Sortir de la configuration :

end

Afficher les adresses IPv4 enregistrées dans la base de données de l'équipement :

show firewall address

Afficher les adresses IPv6 enregistrées dans la base de données de l'équipement :

show firewall address6

Afficher les groupes d'adresses enregistrées dans la base de données de l'équipement :

show firewall addrgrp

Afficher les wildcard FQDN enregistrées dans la base de données de l'équipement :

show firewall wildcard fqdn <custom|group>

Afficher les règles de filtrage configurées dans l'ordre :

show firewall policy

Afficher les “local-in policies” configurées dans l'ordre :

show firewall local-in-policy

Entrer en mode configuration du pare-feu :

config firewall policy

Créer une règle de filtrage :

    edit 1
        set srcintf "any"
        set dstintf "any"
        set action accept
        set srcaddr "all"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
    next

Déplacer une règle après une autre dans l'ordre d'execution (mettre la règle 1 après la 2 par exemple) :

move 1 after 2

Déplacer une règle avant une autre dans l'ordre d'execution (mettre la règle 3 avant la 1 par exemple) :

move 3 before 1

Sortir du mode configuration :

end

Afficher les erreurs générales au démarrage de l'équipement (problèmes d'interprétation de conf par ex) :

diagnose debug config-error-log

Lancer un ping :

exec ping 1.1.1.1

Lancer un traceroute :

exec traceroute 1.1.1.1

Configurer un filtre pour prendre des traces de flux (“clear” pour remettre à zéro le filtre) :

diagnose debug flow <filter|filter6> <port|sport|dport|addr|saddr|daddr|proto|clear> <valeur>

Afficher l'heure dans les traces :

diagnose debug console timestamp enable

Remettre à zéro les paramètres des traces :

diagnose debug reset

Activer/désactiver l'affichage des traces de flux dans la console :

diagnose <debug enable|disable>