meta data de esta página
  •  

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
hardware:fortigate [2018/01/02 14:10] – [Referencias] lchardware:fortigate [2023/01/18 14:10] (actual) – editor externo 127.0.0.1
Línea 8: Línea 8:
 ====== Comandos  ====== ====== Comandos  ======
 ==== Ver la configuración de red ==== ==== Ver la configuración de red ====
-<code>show system interface </code>+<sxh>show system interface </sxh>
  
 ==== Rutas ==== ==== Rutas ====
-<code>get route info routing+<sxh>get route info routing
 show route static show route static
-</code>+</sxh> 
 +==== Habilitar el overlap ==== 
 +El overlap nos permite poner en distintos interfaces/vlans direcciones  ip del mismo rango 
 +<sxh>config system settings 
 +  set allow-subnet-overlap [enable/disable] 
 +end</sxh>
  
 ==== Rendimiento ==== ==== Rendimiento ====
 Para ver el rendimiento Para ver el rendimiento
-<code>CLI# diagnose sys top </code>+<sxh>CLI# diagnose sys top </sxh>
  
 Si el equipo está usando más del 80% de la memoria puede que el equipo entre en modo conservador. Para comprobarlo ejecutamos  Si el equipo está usando más del 80% de la memoria puede que el equipo entre en modo conservador. Para comprobarlo ejecutamos 
-<code>diag hardware sysinfo shm</code>+<sxh>diag hardware sysinfo shm</sxh>
 <file>SHM counter:     14690663 <file>SHM counter:     14690663
 SHM allocated:  158756864 SHM allocated:  158756864
Línea 36: Línea 41:
 Si conservemode fuera igual a 1 habría que matar algunos proceso o esperar a que terminen. Si conservemode fuera igual a 1 habría que matar algunos proceso o esperar a que terminen.
  
 +El rendimiento varía en función del tipo de procesador que incluya . Listado de procesadores de fortigate y características -> https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-hardware-acceleration-52/acceleration-overview.htm
  
 ==== Ping extendido ==== ==== Ping extendido ====
Línea 44: Línea 50:
 \\ WAN2: 172.15.30.1 \\ WAN2: 172.15.30.1
  
-<code>+<sxh>
 # exec ping-options source 192.168.100.1 # exec ping-options source 192.168.100.1
 (Con este comando elegimos el interface origen desde donde hacemos el ping) (Con este comando elegimos el interface origen desde donde hacemos el ping)
  
 # exec ping 172.15.30.1 # exec ping 172.15.30.1
-</code>+</sxh>
  
 ==== Habilitar o deshabilitar debug ==== ==== Habilitar o deshabilitar debug ====
-<code>+<sxh>
 diagnose debug enable diagnose debug enable
 diagnose debug disable diagnose debug disable
-</code>+</sxh>
  
 ==== Captura de paquetes ==== ==== Captura de paquetes ====
  
 === Uso === === Uso ===
-<code>diag sniffer packet <interface> <'filter'> <verbose> <count></code>+<sxh>diag sniffer packet <interface> <'filter'> <verbose> <count></sxh>
  
 **donde** **donde**
Línea 80: Línea 86:
 === Ejemplos === === Ejemplos ===
   * Ejemplo de captura de paquetes SYN solamente    * Ejemplo de captura de paquetes SYN solamente 
-<code>diag sniffer packet interface1 'tcp[13] == 2'</code>+<sxh>diag sniffer packet interface1 'tcp[13] == 2'</sxh>
  
 <note>Este comando puede ser útil para detectar actividad sospechosa en la red. </note> <note>Este comando puede ser útil para detectar actividad sospechosa en la red. </note>
  
-  * <code>diagnose sniffer packet port1 'TCP AND HOST 192.168.1.4 AND PORT 80' 6</code+  * <sxh>diagnose sniffer packet port1 'TCP AND HOST 192.168.1.4 AND PORT 80' 6</sxh
-  * <code> diagnose sniffer packet internal 'port 25'</code+  * <sxh> diagnose sniffer packet internal 'port 25'</sxh
-  * Captura el tráfico entres dos equipos <code>diag sniffer packet internal 'src host 192.168.2.1 and dst host 192.168.0.1' 1</code+  * Captura el tráfico entres dos equipos <sxh>diag sniffer packet internal 'src host 192.168.2.1 and dst host 192.168.0.1' 1</sxh
-  * Captura todo el trafico tcp(peticiones dns, icmp, etc) entre dos equipos <code>diag sniffer packet internal 'src host 192.168.2.1 and dst host 192.168.0.1 and tcp' 1</code+  * Captura todo el trafico tcp(peticiones dns, icmp, etc) entre dos equipos <sxh>diag sniffer packet internal 'src host 192.168.2.1 and dst host 192.168.0.1 and tcp' 1</sxh
-  * <code>diag sniffer packet internal 'host 192.168.2.1 and (icmp or tcp)' 1</code+  * <sxh>diag sniffer packet internal 'host 192.168.2.1 and (icmp or tcp)' 1</sxh
-  * <code>diag sniffer packet internal 'host 192.168.2.1 or host 192.168.0.1 and tcp port 80' 1</code>+  * <sxh>diag sniffer packet internal 'host 192.168.2.1 or host 192.168.0.1 and tcp port 80' 1</sxh>
  
 == Referencias == == Referencias ==
Línea 95: Línea 101:
  
 ==== Guardar la configuración ==== ==== Guardar la configuración ====
-<code>exec cfg save</code>+<sxh>exec cfg save</sxh>
  
 +==== Confirmar antes de guardar la configuración ====
 +Por defecto los fortigate guardan los cambios cada vez que hacemos un cambio y pinchamos el botón de **aplicar**, o si es mediante la terminal cuando hacemos los cambios  e introducimos **end**. Esto implica un problema, ya que podríamos aplicar un cambio y quedarnos sin acceso al dispositivo. 
 +Para evitar esto podemos hacer cambios para que tengamos que guardar la configuración manualmente y en caso de que pasado un tiempo no lo hagamos nos restaure la configuración anterior.
 +
 +<sxh>config system global
 +set cfg-save revert
 +set cfg-revert-timeout 600
 +end</sxh>
 +
 +Si por algún motivo queremos volver a poner el comportamiento por defecto 
 +<sxh>config system global
 +set cfg-save automatic
 +end</sxh>
 +<note>Si esta en modo **revert** los cambios que queramos mantener hay que guardarlos manualmente con **execute cfg save**</note>
 ==== Copiar la configuración a otro equipo ==== ==== Copiar la configuración a otro equipo ====
-http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=10063+  * [[hardware:fortigate:migracion|Migración]] 
 +  * http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=10063
 ==== Crear un switch ==== ==== Crear un switch ====
-<code>config system switch-interface+<sxh>config system switch-interface
 edit nombre_switch <- nombre que nosotros queramos poner edit nombre_switch <- nombre que nosotros queramos poner
 set member internal wlan <-puertos a añadir set member internal wlan <-puertos a añadir
 end end
-</code>+</sxh>
 <note tip>Una de las cosas que suelen preguntar en los exámenes son las opciones de las configuraciones por defecto</note>  <note tip>Una de las cosas que suelen preguntar en los exámenes son las opciones de las configuraciones por defecto</note> 
 ===== Aumentar tiempos de sesion ===== ===== Aumentar tiempos de sesion =====
Línea 114: Línea 135:
  
 Por ejemplo para poner por defecto un timeout de 3000sg para todo los servicios excepto para el ssh que vmos a poner 6000 segundos. Por ejemplo para poner por defecto un timeout de 3000sg para todo los servicios excepto para el ssh que vmos a poner 6000 segundos.
-<code>+<sxh>
 config system session-ttl config system session-ttl
 set default 3000 set default 3000
Línea 123: Línea 144:
 end end
 end end
-</code>+</sxh>
  
 ===== Limpiar reglas sin usar ===== ===== Limpiar reglas sin usar =====
Línea 135: Línea 156:
  
 ==== Reiniciar una aplicación ==== ==== Reiniciar una aplicación ====
-<code>diagnose test application <aplicacion> <opciones> </code>+<sxh>diagnose test application <aplicacion> <opciones> </sxh>
  
 <note>Si como opción al final ponemos 99, le decimos al Fortigate que reinicie el proceso</note> <note>Si como opción al final ponemos 99, le decimos al Fortigate que reinicie el proceso</note>
-Por ejemplo para reiniciar el motor IPS <code>diag test application ipsengine 99 </code> +Por ejemplo para reiniciar el motor IPS <sxh>diag test application ipsengine 99 </sxh>
  
 +==== Matar un proceso ====
 +si al hacer un **diag sys top** vemos que hay algún proceso que está consumiendo el 99% de recursos, podemos matarlo con <sxh>diag sys kill <nºproceso></sxh>
 ===== Servidor Correo ===== ===== Servidor Correo =====
 Si tenemos un servidor de correos en nuestra red en vez de crear una ip virtual hay que crear  un ip pool para que haga bien el NAT Si tenemos un servidor de correos en nuestra red en vez de crear una ip virtual hay que crear  un ip pool para que haga bien el NAT
Línea 163: Línea 185:
   * http://www.soportejm.com.sv/kb/index.php/category/fortigates   * http://www.soportejm.com.sv/kb/index.php/category/fortigates
   * http://www.hackplayers.com/2016/01/backdoor-ssh-en-fortigate-4-a-5.0.7.html   * http://www.hackplayers.com/2016/01/backdoor-ssh-en-fortigate-4-a-5.0.7.html
 +  * http://www.infosecmonkey.com/2018/11/14/configuration-confirmation-on-fortigate/