meta data de esta página
  •  

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
Próxima revisiónAmbos lados, revisión siguiente
hardware:fortigate [2013/11/29 10:15] – [Referencias] lchardware:fortigate [2018/12/14 11:34] – [Guardar la configuración] lc
Línea 7: Línea 7:
  
 ====== Comandos  ====== ====== Comandos  ======
 +==== Ver la configuración de red ====
 +<sxh>show system interface </sxh>
 +
 ==== Rutas ==== ==== Rutas ====
-<code>get route info routing+<sxh>get route info routing
 show route static show route static
-</code>+</sxh> 
 + 
 +==== Rendimiento ==== 
 +Para ver el rendimiento 
 +<sxh>CLI# diagnose sys top </sxh> 
 + 
 +Si el equipo está usando más del 80% de la memoria puede que el equipo entre en modo conservador. Para comprobarlo ejecutamos  
 +<sxh>diag hardware sysinfo shm</sxh> 
 +<file>SHM counter:     14690663 
 +SHM allocated:  158756864 
 +SHM total:     7609556992 
 +conservemode:           0 
 +shm last entered:     n/a 
 +system last entered:  n/a 
 +SHM FS total:  7768129536 
 +SHM FS free:   7602745344 
 +SHM FS avail:  7602745344 
 +SHM FS alloc:   165384192 
 +</file> 
 +Si como es el caso conservemode=0 es que no está en dicho modo.
  
-==== Para ver el rendimiento ====+Si conservemode fuera igual a 1 habría que matar algunos proceso o esperar a que terminen.
  
-<code>CLI# diagnose sys top </code> 
  
 ==== Ping extendido ==== ==== Ping extendido ====
Línea 23: Línea 44:
 \\ WAN2: 172.15.30.1 \\ WAN2: 172.15.30.1
  
-<code>+<sxh>
 # exec ping-options source 192.168.100.1 # exec ping-options source 192.168.100.1
 (Con este comando elegimos el interface origen desde donde hacemos el ping) (Con este comando elegimos el interface origen desde donde hacemos el ping)
  
 # exec ping 172.15.30.1 # exec ping 172.15.30.1
-</code>+</sxh>
  
 ==== Habilitar o deshabilitar debug ==== ==== Habilitar o deshabilitar debug ====
-<code>+<sxh>
 diagnose debug enable diagnose debug enable
 diagnose debug disable diagnose debug disable
-</code>+</sxh>
  
 ==== Captura de paquetes ==== ==== Captura de paquetes ====
  
 === Uso === === Uso ===
-<code>diag sniffer packet <interface> <'filter'> <verbose> <count></code>+<sxh>diag sniffer packet <interface> <'filter'> <verbose> <count></sxh>
  
 **donde** **donde**
Línea 59: Línea 80:
 === Ejemplos === === Ejemplos ===
   * Ejemplo de captura de paquetes SYN solamente    * Ejemplo de captura de paquetes SYN solamente 
-<code>diag sniffer packet interface1 'tcp[13] == 2'</code>+<sxh>diag sniffer packet interface1 'tcp[13] == 2'</sxh>
  
 <note>Este comando puede ser útil para detectar actividad sospechosa en la red. </note> <note>Este comando puede ser útil para detectar actividad sospechosa en la red. </note>
  
-  * <code>diagnose sniffer packet port1 'TCP AND HOST 192.168.1.4 AND PORT 80' 6</code+  * <sxh>diagnose sniffer packet port1 'TCP AND HOST 192.168.1.4 AND PORT 80' 6</sxh
-  * <code> diagnose sniffer packet internal 'port 25'</code+  * <sxh> diagnose sniffer packet internal 'port 25'</sxh
-  * Captura el tráfico entres dos equipos <code>diag sniffer packet internal 'src host 192.168.2.1 and dst host 192.168.0.1' 1</code+  * Captura el tráfico entres dos equipos <sxh>diag sniffer packet internal 'src host 192.168.2.1 and dst host 192.168.0.1' 1</sxh
-  * Captura todo el trafico tcp(peticiones dns, icmp, etc) entre dos equipos <code>diag sniffer packet internal 'src host 192.168.2.1 and dst host 192.168.0.1 and tcp' 1</code+  * Captura todo el trafico tcp(peticiones dns, icmp, etc) entre dos equipos <sxh>diag sniffer packet internal 'src host 192.168.2.1 and dst host 192.168.0.1 and tcp' 1</sxh
-  * <code>diag sniffer packet internal 'host 192.168.2.1 and (icmp or tcp)' 1</code+  * <sxh>diag sniffer packet internal 'host 192.168.2.1 and (icmp or tcp)' 1</sxh
-  * <code>diag sniffer packet internal 'host 192.168.2.1 or host 192.168.0.1 and tcp port 80' 1</code>+  * <sxh>diag sniffer packet internal 'host 192.168.2.1 or host 192.168.0.1 and tcp port 80' 1</sxh>
  
 == Referencias == == Referencias ==
Línea 74: Línea 95:
  
 ==== Guardar la configuración ==== ==== Guardar la configuración ====
-<code>exec cfg save</code>+<sxh>exec cfg save</sxh> 
 + 
 +==== Confirmar antes de guardar la configuración ==== 
 +Por defecto los fortigate guardan los cambios cada vez que hacemos un cambio y pnchamos el botón de **aplicar** o si es mediante la terminal cuando hacemos los cambios  e introducimos **end**. Esto implica un problema, ya que podríamos aplicar un cambio y quedarnos sin acceso al dispositivo.  
 +Para evitar esto podemos hacer cambios para que tengamos que guardar la configuración manualmente y en caso de que pasado un tiempo no lo hagamos nos restaure la configuración anterior. 
 + 
 +<sxh>config system global 
 +set cfg-save revert 
 +set cfg-revert-timeout 600 
 +end</sxh> 
 + 
 +Si por algún motivo queremos volver a poner el comportamiento por defecto  
 +<sxh>config system global 
 +set cfg-save automatic 
 +end</sxh>
  
 ==== Copiar la configuración a otro equipo ==== ==== Copiar la configuración a otro equipo ====
 http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=10063 http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=10063
 ==== Crear un switch ==== ==== Crear un switch ====
-<code>config system switch-interface+<sxh>config system switch-interface
 edit nombre_switch <- nombre que nosotros queramos poner edit nombre_switch <- nombre que nosotros queramos poner
 set member internal wlan <-puertos a añadir set member internal wlan <-puertos a añadir
 end end
-</code>+</sxh>
 <note tip>Una de las cosas que suelen preguntar en los exámenes son las opciones de las configuraciones por defecto</note>  <note tip>Una de las cosas que suelen preguntar en los exámenes son las opciones de las configuraciones por defecto</note> 
 ===== Aumentar tiempos de sesion ===== ===== Aumentar tiempos de sesion =====
Línea 93: Línea 128:
  
 Por ejemplo para poner por defecto un timeout de 3000sg para todo los servicios excepto para el ssh que vmos a poner 6000 segundos. Por ejemplo para poner por defecto un timeout de 3000sg para todo los servicios excepto para el ssh que vmos a poner 6000 segundos.
-<code>+<sxh>
 config system session-ttl config system session-ttl
 set default 3000 set default 3000
Línea 102: Línea 137:
 end end
 end end
-</code>+</sxh>
  
 ===== Limpiar reglas sin usar ===== ===== Limpiar reglas sin usar =====
Línea 112: Línea 147:
  
 Ahora basta con mirar las reglas con el contador 0/0 para comprobar si son necesarias. Ahora basta con mirar las reglas con el contador 0/0 para comprobar si son necesarias.
 +
 +==== Reiniciar una aplicación ====
 +<sxh>diagnose test application <aplicacion> <opciones> </sxh>
 +
 +<note>Si como opción al final ponemos 99, le decimos al Fortigate que reinicie el proceso</note>
 +Por ejemplo para reiniciar el motor IPS <sxh>diag test application ipsengine 99 </sxh>
 +
  
 ===== Servidor Correo ===== ===== Servidor Correo =====
Línea 132: Línea 174:
   * http://www.lebleuet.net/how-to-run-a-debug-on-a-fortinet-firewall?lang=en   * http://www.lebleuet.net/how-to-run-a-debug-on-a-fortinet-firewall?lang=en
   * http://www.ipspace.eu/fortinet/fortigate-tutorial-logging-and-alerts/   * http://www.ipspace.eu/fortinet/fortigate-tutorial-logging-and-alerts/
 +  * http://www.ipspace.eu/fortinet/fortigate/fortigate-conserve-mode-how-to-stop-it-and-what-it-means/
 +  * http://www.soportejm.com.sv/kb/index.php/category/fortigates
 +  * http://www.hackplayers.com/2016/01/backdoor-ssh-en-fortigate-4-a-5.0.7.html