設定方法やCLIコマンドについて
設定方法
NTPサーバーのリッスンするインターフェース設定する
NTPサーバーのリッスンするインターフェース設定する
———————————-
# config system ntp
# set interface internal
# end
———————————-
例は、「fortilink」ポートが設定されていたリッスンポートを「internal」に変更
時刻同期の確認方法
時刻同期の確認方法
———————————-
# diagnose sys ntp status
———————————-
synchronized: yes(時刻同期している)
reachable(NTPサーバーに到着可能な状態)
エントリーモデルでインスペクションモードの設定
エントリーモデルの場合、FortiOS7.2.x では、セキュリティープロファイルでインスペクションモード「フローベース」「プロキシベース」の設定が表示されなくなりました。
※基本は、フローベースで設定されています。
CLIで設定することにより設定する事が可能です。
————————————————
config system settings
set gui-proxy-inspection enable
end
————————————————
Eメールアラートの設定(FortiOS6.4~)
アラートメールは、以前はGUIより設定できましたが、
FortiOS v6.4系以降GUIでの設定が無くなり、CLIでの設定のみになりました。
1.侵入防止(IPS)や、アンチウィルス、Webフィルタ等、各UTM機能のログをメール送信させる場合、
アラートメールの設定で、フィルタモードにて、カテゴリ(category)を選択し、各UTM機能のログを有効とします。
■設定例■
# config alertemail setting
(setting) # set username ******@***.*** 送信元メールアドレス
(setting) # set mailto1 ******@***.*** 宛先メールアドレス
(setting) # set email-interval * メールインターバル(分)
(setting) # set filter-mode category フィルタ:カテゴリ
(setting) # set IPS-logs enable
(setting) # set antivirus-logs enable
(setting) # set webfilter-logs enable
(setting) # end 設定を保存
※Eメールフィルタ(アンチスパム)については、設定がございません。
※侵入防止(IPS)ログを有効とすることで、アノマリログもメールが送信されます。
TCP SYMフラッド、ポートスキャン等、DoSポリシーで検知されたDoS攻撃のログ
2.閾値(threshold)を選択し、重大度(severity)ごとに、メール送信させる場合
※重大度ごとの設定の場合、イベントログ、UTMログ、トラフィックログ等、すべてのログが
対象となります。
■設定例■
# config alertemail setting
(setting) # set username ******@***.*** 送信元メールアドレス
(setting) # set mailto1 ******@***.*** 宛先メールアドレス
(setting) # set filter-mode threshold フィルタ:閾値(重大度)
(setting) # set severity [emergency | alert | critical | error | warning | notification]
(setting) # set emergency-interval * “emergency”インターバル(分)
(setting) # set alert-interval * “alert”インターバル(分)
(setting) # set critical-interval * “critical”インターバル(分)
(setting) # set error-interval * “error”インターバル(分)
(setting) # set warning-interval * “warning”インターバル(分)
(setting) # set notification-interval * “notification”インターバル(分)
(setting) # end 設定を保存
3.その他の詳しい設定は、以下を参照してください。
■Fortinet社のDOUMENT LIBRARY(FortiGate / FortiOS 7.2.7 CLI Reference)
https://docs.fortinet.com/document/fortigate/7.2.7/cli-reference/504620/config-alertemail-setting
■Fortinet社のDOUMENT LIBRARY(FortiGate / FortiOS 6.4.12 CLI Reference)
https://docs.fortinet.com/document/fortigate/6.4.12/cli-reference/538620/config-alertemail-setting
VPNの2要素認証でEメールでの認証の上限について
Emailでの二要素認証をする場合、FortiGateのローカルユーザの値が上限になります。
FortiGate 60Eは、500です。
user local 500
https://docs.fortinet.com/max-value-table
インターフェースのSpeed/Duplexを固定にする
CLIで設定が必要です。
# config system interface
# edit port1
# set speed {option}
# end
{option}
auto Automatically adjust speed.
10full 10M full-duplex.
10half 10M half-duplex.
100full 100M full-duplex.
100half 100M half-duplex.
1000full 1000M full-duplex.
1000auto 1000M auto adjust.
10000full 10G full-duplex.
10000auto 10G auto.
■Fortinet社のドキュメントライブラリー
※FortiOS7.4.3
https://docs.fortinet.com/document/fortigate/7.4.3/cli-reference/317104469/config-system-interface
IPv6、IPoEでの接続は可能ですか?
FortiOS6.4.2 以上のバージョンでご利用が可能です。
※現時点のバージョンでは、CLIでの設定が必要です。
■参考資料
◎FortiGate IPoE設定ガイド(JPNE(v6プラス) 固定IPサービス編)
◎FortiGate IPoE設定ガイド(NTTコミュニケーションズ株式会社OCN IPoEサービス編)
◎FortiGate IPoE設定ガイド(インターネットマルチフィード(transix)DS-Liteサービス編)
◎FortiGate IPoE設定ガイド(インターネットマルチフィード(transix)固定IPサービス編)
◎FortiGate IPoE設定ガイド(BBIX「OCX光 インターネット」編)
◎FortiGate IPoE設定ガイド(朝日ネット「v6コネクト」IPv4 over IPv6 接続(固定IP)サービス編)
◎FortiGate IPoE設定ガイド(アルテリア・ネットワークス株式会社 クロスパス 固定IPサービス編)
◎FortiGate IPoE設定ガイド(アルテリア・ネットワークス株式会社 クロスパス 可変IPサービス編)
◎IPoE インターフェースを利用したFortiGate SD-WAN 設定ガイド
各プロバイダーによってIPoEの接続方式が異なりますので、上記内容では接続できない場合もございます。
WebフィルタリングのURLフィルタの動作について
■URL
対象のドメインやURLを設定します。
■タイプ
シンプル:URLに指定したドメイン全てを対象とします。
例:「fgshop.jp」とすると「mail.fgshop.jp」や「www.fgshop.jp」は対象になりますが、「www.mailfgshop.jp」など対象になりません。
正規表現:URLに指定するドメインを正規表現で設定します。
ワイルドカード:URLに指定するドメインに「*」をつける事によって設定します。
例:*fgshop.jpとすると後方一致で「www.mailfgshop.jp」なども対象になります。
■アクション
除外(Exempt): URL・タイプで指定した内容の場合、ウェブフィルタやアンチウイルスなどのセキュリティ検査が除外されます。
ブロック:設定した「URL」「タイプ」の内容をブロックします。
許可:ウェブフィルタやアンチウイルスなどのセキュリティ検査を通過したものを対象に設定した「URL」「タイプ」の内容を許可します。
モニタ:許可と同じ動作になりますが、ログが出力されます。
■ステータス
有効:URLフィルタの設定内容が有効
無効:URLフィルタの設定内容が無効
工場出荷時(初期化)に状態に戻す
※FG-50E FortiOSv5.4.3
以下の手順で戻すことができます。
1.FortiGateのCONSOLEポート(RJ-45)とPC(D-Sub9ピン)を接続する
※ケーブルが必要
※Tera Termなどのターミナルソフトが必要
2.FortiGateの電源を入れる
3.Tera Term で接続する
※ System Starting … などのメッセージ表示
4.メンテナンスモードでログインする
login: maintainer
PassWord: bcpb<シリアル番号>(FortiGateの底面に書いてある)
5.ログイン後以下のコマンドを実行する
execute factoryreset
※工場出荷状態に戻ります
ファームウェアのアップデートに失敗した場合の復元方法
1.コンソール接続する
※「コンソール接続方法」を参照しコンソール接続してください。
2.FortiGateの電源を切る
3.FortiGateの電源を立ち上げる
4.コンソール画面に以下のメッセージが出る
————————————————————
Boot up, boot device capacity: 492MB.
Press any key to display configuration menu…
..
[G]: Get firmware image from TFTP server.
[F]: Format boot device.
[B]: Boot with backup firmware and set as default.
[I]: Configuration and information.
[Q]: Quit menu and continue to boot with default firmware.
[H]: Display this list of options.
Enter Selection [G]:B
————————————————————
5.「B]を選択し、バックアップが戻す
※バックアップが復元が出来たら、コンソール画面に「login」の文字が出る
※ご注意・・・こちらは、自己責任でお願いします。
必ず、一度、サポートに連絡し対応方法を確認の事
ファームウェアのアップデート
※事前にサポートサイトより対象のファームウェアをダウンロードしてください。
※注意事項
・アップデート中は、絶対に電源を切らないでください
・サポートサイトの「リリースノート」「アップグレードパス」を必ず確認し適切にアップデートしてください
1.FortiGateの管理画面にログインしてください
2.管理画面の「アップデート」をクリックしてください
3.「ファイルを選択」をクリックしてください
4.ダウンロードしたファイルを選択してください
5.選択したファイルが正しいか確認し、「OK」をクリックしてください
6.アップデートが始まります。数分後ブラウザーをリブートしてください
GUIを日本語に変更する
※FG-50E FortiOSv5.4.3
左メニューの「System」→「Settings」をクリック
「View Settings」の「Language」を「Japanese」を選択し「Apply」をクリックする
NATモードへの変更方法
※FG-50E FortiOSv5.4.3
トランスペアレントモードに変更するには、コンソール接続しCLIよりコマンド入力し変更する必要があります。
「Tera Term」等のターミナルエミュレータソフトウェアを使います。
まず、「Tera Term」を立ち上げて、FortiGateと接続します。
「シリアルポート」を選択し「OK」をクリック
FortiGateのログインIDとパスワードを入力し「Enter」をクリックしてください。
「Welcom!」とメッセージ表示
config system settings
set opmode nat
set ip 192.168.1.99/255.255.255.0
set device lan
set gateway 192.168.1.99
end
※例は、以下となります。実際は、環境に合わせて下さい。
IPアドレス:192.168.1.99
ネットマスク:255.255.255.0
ゲートウェイ:192.168.1.99
再起動します。
「execute reboot」と入力し「Enter」
「Do you want to continue? (y/n)」とメッセージが表示されます。
「y」を入力して、再起動してください。
透過モード(トランスペアレントモード)への変更方法
※FG-50E FortiOSv5.4.3
※FortiOS6.2以降の場合は、先にFortiLinkポートの無効が必要です。
トランスペアレントモードに変更するには、コンソール接続しCLIよりコマンド入力し変更する必要があります。
「Tera Term」等のターミナルエミュレータソフトウェアを使います。
まず、「Tera Term」を立ち上げて、FortiGateと接続します。
「シリアルポート」を選択し「OK」をクリック
FortiGateのログインIDとパスワードを入力し「Enter」をクリックしてください。
「Welcom!」とメッセージ表示
config system settings
set opmode transparent
set manageip 192.168.2.99/255.255.255.0
set gateway 192.168.2.1
end
※例は、以下となります。実際は、環境に合わせて下さい。
IPアドレス:192.168.2.99
ネットマスク:255.255.255.0
ゲートウェイ:192.168.2.1
再起動します。
「execute reboot」と入力し「Enter」
「Do you want to continue? (y/n)」とメッセージが表示されます。
「y」を入力して、再起動してください。
コンソール接続方法
※コンソール接続ケーブルを準備してください。
コンソールケーブル(RJ45-DB9)
トランスペアレントモードに変更するには、コンソール接続しCLIよりコマンド入力し変更する必要があります。
「Tera Term」等のターミナルエミュレータソフトウェアを使います。
※「Tera Term」はこちらのサイトからダウンロードが可能です。
https://ja.osdn.net/projects/ttssh2/
まず、「Tera Term」を立ち上げて、FortiGateと接続します。
「シリアルポート」を選択し「OK」をクリック
FortiGateのログインIDとパスワードを入力し「Enter」をクリックしてください。
「Welcom!」とメッセージ表示
PPPoEの設定方法
※FG-50E FortiOSv5.4.3
左メニューの「ネットワーク」→「インターフェース」をクリック
設定したWANインターフェースをダブルクリック
「PPPoE」をクリックし、プロバイダーの設定情報を入力し「適用」をクリックしてください。
CLIコマンド
コマンドの入力補助
長いコマンドを入力する際に「Tab」Keyを使う事によりコマンドの残りを入力してくれます。
例:「show system in」まで入力し[Tab] keyを押すことによって「show system interface」と残りの入力を補助してくれます。
———————————-
# show system in [TAB]
———————————-
[TAB]
残りが表示される
コマンドリストの表示ー2
コマンドリストの表示
例:「show」コマンド以降のコマンドが思い出せない場合に「show ?」とすることで、「show」以降のコマンドリストが表示されます。
———————————-
# show ?
———————————-
———————————-
# show firewall ?
———————————-
コマンドリストの表示ー1
コマンドリストを表示させる
———————————-
# ? クエスチョンを押下
———————————-
Memoryの空き容量を確認
Memoryの空き容量を確認する
———————————-
# diagnose hardware sysinfo memory
———————————-
CPUの負荷率を確認
CPUの負荷率を確認する
———————————-
# get system performance status
———————————-
FortiGateのRAMのサイズを確認
FortiGateのRAMのサイズを確認する
———————————-
# diagnose hardware sysinfo conserve
———————————-
ファームウェアの自動更新を「有効 / 無効」にする
FortiOS7.2.0 / 7.4.0 からファームウェアの自動更新機能が追加されております。
自動更新を有効とした場合、毎日新しいバージョンが無いかチェックし新しいバージョンがあると
設定された日数後にアップグレードを実施します。
注意:エントリーモデル(FortiGate-100未満のモデル)のみ
FortiOS7.2.6 / 7.4.1 からデフォルトでは、自動更新が有効になっています。
予期しないアップグレードを実施するのを防ぐため、自動更新無効をお勧めします。
———————————-
# config system fortiguard
# set auto-firmware-upgrade [disable|enable]
# end
———————————-
NTPサーバーのリッスンするインターフェース設定する
NTPサーバーのリッスンするインターフェース設定する
———————————-
# config system ntp
# set interface internal
# end
———————————-
例は、「fortilink」ポートが設定されていたリッスンポートを「internal」に変更
時刻同期の確認方法
時刻同期の確認方法
———————————-
# diagnose sys ntp status
———————————-
synchronized: yes(時刻同期している)
reachable(NTPサーバーに到着可能な状態)
エントリーモデルでインスペクションモードの設定
エントリーモデルの場合、FortiOS7.2.x では、セキュリティープロファイルでインスペクションモード「フローベース」「プロキシベース」の設定が表示されなくなりました。
※基本は、フローベースで設定されています。
CLIで設定することにより設定する事が可能です。
————————————————
config system settings
set gui-proxy-inspection enable
end
————————————————
Eメールアラートの設定(FortiOS6.4~)
アラートメールは、以前はGUIより設定できましたが、
FortiOS v6.4系以降GUIでの設定が無くなり、CLIでの設定のみになりました。
1.侵入防止(IPS)や、アンチウィルス、Webフィルタ等、各UTM機能のログをメール送信させる場合、
アラートメールの設定で、フィルタモードにて、カテゴリ(category)を選択し、各UTM機能のログを有効とします。
■設定例■
# config alertemail setting
(setting) # set username ******@***.*** 送信元メールアドレス
(setting) # set mailto1 ******@***.*** 宛先メールアドレス
(setting) # set email-interval * メールインターバル(分)
(setting) # set filter-mode category フィルタ:カテゴリ
(setting) # set IPS-logs enable
(setting) # set antivirus-logs enable
(setting) # set webfilter-logs enable
(setting) # end 設定を保存
※Eメールフィルタ(アンチスパム)については、設定がございません。
※侵入防止(IPS)ログを有効とすることで、アノマリログもメールが送信されます。
TCP SYMフラッド、ポートスキャン等、DoSポリシーで検知されたDoS攻撃のログ
2.閾値(threshold)を選択し、重大度(severity)ごとに、メール送信させる場合
※重大度ごとの設定の場合、イベントログ、UTMログ、トラフィックログ等、すべてのログが
対象となります。
■設定例■
# config alertemail setting
(setting) # set username ******@***.*** 送信元メールアドレス
(setting) # set mailto1 ******@***.*** 宛先メールアドレス
(setting) # set filter-mode threshold フィルタ:閾値(重大度)
(setting) # set severity [emergency | alert | critical | error | warning | notification]
(setting) # set emergency-interval * “emergency”インターバル(分)
(setting) # set alert-interval * “alert”インターバル(分)
(setting) # set critical-interval * “critical”インターバル(分)
(setting) # set error-interval * “error”インターバル(分)
(setting) # set warning-interval * “warning”インターバル(分)
(setting) # set notification-interval * “notification”インターバル(分)
(setting) # end 設定を保存
3.その他の詳しい設定は、以下を参照してください。
■Fortinet社のDOUMENT LIBRARY(FortiGate / FortiOS 7.2.7 CLI Reference)
https://docs.fortinet.com/document/fortigate/7.2.7/cli-reference/504620/config-alertemail-setting
■Fortinet社のDOUMENT LIBRARY(FortiGate / FortiOS 6.4.12 CLI Reference)
https://docs.fortinet.com/document/fortigate/6.4.12/cli-reference/538620/config-alertemail-setting
設定時刻を確認する
設定時刻を確認する
———————————-
# execute time
———————————-
設定日付を確認する
設定日付を確認する
———————————-
# execute date
———————————-
NTPサーバーをFortiGuard以外を指定する
FortiGateのNTPサーバーはデフォルトでは、FortiGuardとなっていますが、
FortiGuard以外を指定する場合は、CLIで設定する必要があります。
——————–
# config system ntp
# set type custom
# config ntpserver
# edit 1
# set server ntp.nict.jp
# end
# end
——————–
カスタム設定を戻す場合
——————–
# config system ntp
# set type fortiguard
# end
——————–
フレッツのプランで固定IPアドレス(固定IP)8個や16個割り当ての場合のFortiGateへのIPの割り当て
フレッツのプランで固定IPアドレス(固定IP)8個や16個割り当ての場合のFortiGateへのIPの割り当て
FortiGateに割り当てられるIPは通常先頭のIPが通常割り当てれるますが、その他のIPを割り当てたい場合の設定方法
例)プロバイダ―より、「1.1.1.1-1.1.1.8」を割り当てられFortiGateに「1.1.1.5」を割り当てたい場合
——————–
# config system interface
# edit wan ←★ここはご利用FortiGateに合わせてください
# set mode pppoe
# set ipunnumbered 1.1.1.5 ←★割り当てたいIP
# set pppoe-unnumbered-negotiate disable
# end
——————–
管理者アクセス「信頼するホスト」の設定
FortiGateのWEB管理画面に接続するPCやネットワークを設定する
——————–
# config system admin
# edit admin
# set trusthost1 192.168.1.0/255.255.255.0 ←★信頼するホストorネットワーク
# end
——————–
trusthost[#]:#の番号は信頼するホストを複数設定する事が出来る。現在の設定を確認方法で確認し、変更や追加ができます。
■確認方法
——————–
# show system admin
——————–
SSD搭載機種のログ保存期間の変更
SSD搭載機種のログ保存期間の変更
※デフォルト設定は、7日です。
——————–
# config log disk setting
# set maximum-log-age 7 ←★ [0-3650]日
# end
——————–
■変更前
■変更後
Syslog サーバーの設定を解除する
Syslog サーバーの設定を解除する
——————–
# config log syslogd setting
# set status disable
# end
——————–
Syslog サーバーの設定内容を確認する
Syslog サーバーの設定内容を確認する
——————–
# show log syslogd setting
——————–
Syslog サーバーを設定する
Syslog サーバーを設定する
——————–
# config log syslogd setting
# set status enable
# set server “192.168.2.100”
# set mode udp
# set port 514
# end
——————–
VPNの2要素認証でEメールでの認証の上限について
Emailでの二要素認証をする場合、FortiGateのローカルユーザの値が上限になります。
FortiGate 60Eは、500です。
user local 500
https://docs.fortinet.com/max-value-table
UTMライセンスを更新したがFortiGateに反映しない(2)
UTMライセンスを更新したがFortiGateに反映しない(1) を実行したが、更新が出来ない場合
更新用のプロセスの状態を確認する
CLIにて「diagnose sys top」と入力
# diagnose sys top
プロセスを確認し、「updated」の3列目が「S」や「D」となっている場合
1.FortiGateを再起動する
2.再度、CLIにて「diagnose sys top」と入力
3.「updated」をkillする
# diagnose sys kill 11 プロセス番号
4.更新コマンドを実行する
# execute update-now
こちらの対応内容についての詳細は、「CPU使用率が異常に高い」を確認してください。
UTMライセンスを更新したがFortiGateに反映しない(1)
1.CLIコンソール画面よりコマンドを実行する
FortiGate管理画面にログイン頂き、画面左上の「>_」をクリック頂き、
CLIコンソールを呼び出してください。
CLIコンソールに次のコマンドを入力しエンターを押してください
# execute update-now
上記コマンド実施後、以下のコマンドで更新状況が確認できます。
# get system fortiguard-service status
こちらを実行しても更新しない場合は、「UTMライセンスを更新したがFortiGateに反映しない(2)」を確認してください。
スタティックルートを確認する
スタティックルートを確認する
———————————-
# show router static
———————————-
DNSサーバの設定状況を確認する
DNSサーバの設定状況を確認する
———————————-
# show system dns-server
———————————-
DNSサーバとして稼働させる設定
DNSサーバとして稼働させる設定
———————————-
# config system dns-server
# edit “lan”
# set mode forward-only ※フォワーダモード
# next
# end
———————————-
※lan は機器によって違います。
「show system dns-server」で現在の状況の確認が出来ます。
DNSサーバの設定
DNSサーバの設定
———————————-
# config system dns
# set primary 8.8.8.8
# set secondary 8.8.4.4
# end
———————————-
例は「Googleの無料パブリック DNSサービス」に設定
手動で時刻を変更する
手動で時刻を変更する
———————————-
# execute time hh:mm:ss
hh: 時
mm: 分
ss: 秒.
———————————-
時:0-23
分:0-59
秒:0-59
手動で日付を変更する
手動で日付を変更する
———————————-
# execute date yyyy-mm-dd
yyyy: 西暦年
mm: 月
dd: 日
———————————-
西暦:2001-2037
月:1-12
日:1-31
パスワード変更方法
パスワード変更方法
———————————-
# config system admin
# edit admin
# set password パスワード
# next
# end
———————————-
言語を設定する
言語を設定する
———————————-
# config system global
# set language japanese ←言語
# end
———————————-
アイドルタイムアウトを設定する
アイドルタイムアウトを設定する
———————————-
# config system global
# set admintimeout 60 ←アイドルタイムアウト
# end
———————————-
タイムゾーンを設定する
タイムゾーンを設定する
———————————-
# config system global
# set timezone 60 ←タイムゾーン
# end
———————————-
ホスト名を設定する
ホスト名を設定する
———————————-
# config system global
# set hostname ******* ←ホスト名
# end
———————————-
特定のプロセスを終了する
FortiGateのCPUが100%になった場合に特定のプロセスを終了する
———————————-
# diagnose sys top (プロセスを確認する)
# diagnose sys
———————————-
プロセスID「6060」を終了させる場合
diagnose sys kill 11 6060
※FortiOS上で必要なデーモンプロセスは終了させても再起動します。
■CPU使用率が異常に高いで詳細の説明がございます。
CPU使用率が高いプロセスを確認する
CPUが高い場合にどのプロセスが占有率が高いのかを確認する事ができます。
———————————-
# diagnose sys top
or
# diagnose sys top 1 20
———————————-
上記の例)
1:取得間隔
20:取得するプロセス数
ストップする場合は、「q」を押下
NICのMACアドレスの確認方法
NICのMACアドレスの確認をする
———————————-
# get hardware nic インターフェース名
or
# diagnose hardware deviceinfo nic インターフェース名
———————————-
管理画面のタイムアウト時間を設定する
FortiGateの管理画面のデフォルトのタイムアウト時間は「5分」です。
タイムアウト時間は、「1~480分」の範囲で設定が可能です。
タイムアウト時間を30分に設定する場合
—————————–
# config system global
(global) # set admintimeout 30
(global) # end
—————————–
FortiGateを停止する
FortiGateを停止する
——————–
# execute shutdown
——————–
※上記コマンド入力後、「y」を入力すると確認などなく、直ぐに停止処理が始まります。
停止には時間が掛かります。「y」入力後直ぐに電源を切らないでください。
FortiGateを再起動する
FortiGateを再起動する
——————–
# execute reboot
——————–
※上記コマンド入力後、「y」を入力すると確認などなく、直ぐにリブートします。
ネットワークの経路を調査する
ネットワークの経路を調査する
——————–
# execute traceroute XXX.XXX.XXX.XXX
——————–
※www.fgshop.jp までの経路を調査
全ての設定情報を確認する
現在の階層のコンフィグの内容を確認する
———————————-
# show full-configuration
———————————-
インターフェースを表示する
インターフェースの内容を確認する
———————————-
# show system interface
———————————-
コンフィグの内容を確認する-特定キーワードを含む情報を表示
grep にて特定のキーワードの文字列を抽出する
———————————-
# show | grep キーワード
———————————-
キーワード「lan」を含む行を抽出した結果
現在の階層のコンフィグの内容を確認する
現在の階層のコンフィグの内容を確認する
———————————-
# show
———————————-
arp情報を表示する
IPアドレスとMACアドレスの紐づけ状態を表示する
———————————-
# get system arp
———————————-
インターフェースの状態とパケットなどの統計情報の確認が出来る
インターフェースの状態とパケットなどの統計情報の確認が出来る
———————————-
# get hardware nic インターフェース名
———————————-
インターフェース名が分からない場合は、「get hardware nic」でインターフェース名が表示される
———————————-
# get hardware nic
———————————-
インターフェースの状態を確認する
各インターフェースのステータスの状態などを確認する事が出来ます。
———————————-
# get system interface physical
———————————-
特定のセッション情報の確認
—————————————
# get system session list | grep tcp
—————————————
# get system session list | grep tcp
tcp 3309 192.168.2.110:62049 192.168.5.99:62049 82.202.185.205:443 –
tcp 3 127.0.0.1:10224 – 127.0.0.1:80 –
tcp 2671 192.168.2.110:62063 192.168.5.99:62063 20.198.162.78:443 –
tcp 3506 192.168.2.112:45372 192.168.5.99:45372 157.240.13.32:443 –
tcp 3588 192.168.2.123:53872 192.168.5.99:53872 17.248.166.147:443 –
tcp 3569 192.168.2.110:58049 192.168.5.99:58049 202.218.224.22:443 –
tcp 3482 192.168.2.112:48580 192.168.5.99:48580 216.239.36.135:443 –
セッション情報の確認
———————————-
# get system session list
———————————-
# get system session list
PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT
tcp 3448 192.168.1.110:62049 192.168.5.99:62049 82.202.185.205:443 –
tcp 2811 192.168.1.110:62063 192.168.5.99:62063 20.198.162.78:443 –
tcp 2594 192.168.1.112:45372 192.168.5.99:45372 157.240.13.32:443 –
tcp 3568 192.168.1.110:58049 192.168.5.99:58049 202.218.224.22:443 –
udp 157 192.168.1.119:54853 192.168.5.99:54853 208.91.112.53:53 –
udp 37 192.168.1.119:49389 192.168.5.99:49389 208.91.112.53:53 –
tcp 3412 192.168.1.112:48580 192.168.5.99:48580 216.239.36.135:443 –
udp 66 192.168.1.112:55213 192.168.5.99:55213 208.91.112.53:53 –
udp 157 192.168.1.119:59901 192.168.5.99:59901 208.91.112.53:53 –
udp 97 192.168.1.119:60397 192.168.5.99:60397 208.91.112.53:53 –
udp 37 192.168.1.119:47253 192.168.5.99:47253 208.91.112.53:53 –
tcp 3563 192.168.1.123:50113 192.168.5.99:50113 35.201.97.85:443 –
icmp 55 192.168.1.5:234 – 192.168.2.99:8 –
tcp 3524 192.168.1.123:53819 192.168.5.99:53819 17.57.145.132:5223 –
CLIコマンド「show」などの表示時に「–More–」を表示させる
—————————–
# config system console
(console) # set output more
(console) # end
—————————–
=========================================
edit “wan2”
set vdom “root”
set mode dhcp
set distance 10
set allowaccess ping fgfm
set type physical
set role wan
set snmp-index 2
–More– config ipv6
↑↑「–More–」を表示る
=========================================
「n」で次ページを表示する
CLIコマンド「show」などの表示時に「–More–」を表示させない
————————————-
# config system console
(console) # set output standard
(console) # end
————————————-
====================================================
edit “wan2”
set vdom “root”
set mode dhcp
set distance 10
set allowaccess ping fgfm
set type physical
set role wan
set snmp-index 2
–More– config ipv6
↑↑「–More–」を表示させない
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
====================================================
edit “wan2”
set vdom “root”
set mode dhcp
set distance 10
set allowaccess ping fgfm
set type physical
set role wan
set snmp-index 2
config ipv6
set ip6-mode dhcp
NTPサーバーの設定情報を確認
———————–
# get system ntp
———————–
# get system ntp
ntpsync : enable
type : fortiguard
syncinterval : 60
source-ip : 0.0.0.0
source-ip6 : ::
server-mode : disable
システム時刻とNTPサーバーの最終同期時刻を表示
——————–
# execute time
——————–
# execute time
current time is: 10:53:29
last ntp sync:Thu Aug 12 10:35:12 2021
ハードウェア情報を確認
————————-
# get hardware status
————————-
# get hardware status
Model name: FortiGate-50E
ASIC version: not available
CPU: ARMv7
Number of CPUs: 2
RAM: 2024 MB
MTD Flash: 128 MB /dev/mtd
Hard disk: not available
USB Flash: not available
Network Card chipset: Marvell NETA Gigabit Ethernet driver 00000010 (rev.)
現在のリソースやパフォーマンス情報を確認
——————————–
get system performance status
——————————–
# get system performance status
CPU states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq
CPU0 states: 0% user 0% system 0% nice 99% idle 0% iowait 0% irq 1% softirq
CPU1 states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq
Memory: 2072580k total, 804284k used (38.8%), 1233176k free (59.5%), 35120k freeable (1.7%)
Average network usage: 2058 / 1909 kbps in 1 minute, 2093 / 1899 kbps in 10 minutes, 1506 / 1321 kbps in 30 minutes
Average sessions: 246 sessions in 1 minute, 241 sessions in 10 minutes, 190 sessions in 30 minutes
Average session setup rate: 3 sessions per second in last 1 minute, 2 sessions per second in last 10 minutes, 1 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 3 days, 21 hours, 14 minutes
システムステータスを表示する(FortiOSのバージョンなど確認出来る)
———————-
# get system status
———————-
# get system status
Version: FortiGate-50E v6.2.8,build1232,210426 (GA)
Virus-DB: 88.00299(2021-08-11 16:20)
Extended DB: 88.00299(2021-08-11 16:19)
IPS-DB: 6.00741(2015-12-01 02:30)
IPS-ETDB: 18.00138(2021-08-11 21:27)
APP-DB: 18.00138(2021-08-11 21:27)
INDUSTRIAL-DB: 18.00136(2021-08-09 23:58)
Serial-Number: FGT50EXXXXXXXX
Botnet DB: 4.00704(2021-07-27 19:07)
BIOS version: 05000013
System Part-Number: P17464-04
Log hard disk: Not available
Hostname: FortiGate-50E-5-99
Private Encryption: Disable
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 5
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 1232
Release Version Information: GA
System time: Thu Aug 12 10:41:42 2021
インターフェースに割り当てられているIPアドレスを確認
1.interfaceの階層に移動
config system interface
2.interfaceの設定内容を表示する
(interface) # show
PINGコマンド
PINGコマンド
———————
# execute ping IPアドレス
———————
FortiGateのシャットダウン方法は?
■GUI画面から再起動する
1.管理画面の右上「ログイン」ユーザー名をクリック
2.メニューが表示されるので、「システム」→「シャットダウン」を選択
■CLIコマンドで再起動する
———————
# execute shutdown
———————
FortiGateの再起動方法は?
■GUI画面から再起動する
1.管理画面の右上「ログイン」ユーザー名をクリック
2.メニューが表示されるので、「システム」→「再起動」を選択
■CLIコマンドで再起動する
———————
# execute reboot
———————
インターフェースのSpeed/Duplexを固定にする
CLIで設定が必要です。
# config system interface
# edit port1
# set speed {option}
# end
{option}
auto Automatically adjust speed.
10full 10M full-duplex.
10half 10M half-duplex.
100full 100M full-duplex.
100half 100M half-duplex.
1000full 1000M full-duplex.
1000auto 1000M auto adjust.
10000full 10G full-duplex.
10000auto 10G auto.
■Fortinet社のドキュメントライブラリー
※FortiOS7.4.3
https://docs.fortinet.com/document/fortigate/7.4.3/cli-reference/317104469/config-system-interface
IPv6、IPoEでの接続は可能ですか?
FortiOS6.4.2 以上のバージョンでご利用が可能です。
※現時点のバージョンでは、CLIでの設定が必要です。
■参考資料
◎FortiGate IPoE設定ガイド(JPNE(v6プラス) 固定IPサービス編)
◎FortiGate IPoE設定ガイド(NTTコミュニケーションズ株式会社OCN IPoEサービス編)
◎FortiGate IPoE設定ガイド(インターネットマルチフィード(transix)DS-Liteサービス編)
◎FortiGate IPoE設定ガイド(インターネットマルチフィード(transix)固定IPサービス編)
◎FortiGate IPoE設定ガイド(BBIX「OCX光 インターネット」編)
◎FortiGate IPoE設定ガイド(朝日ネット「v6コネクト」IPv4 over IPv6 接続(固定IP)サービス編)
◎FortiGate IPoE設定ガイド(アルテリア・ネットワークス株式会社 クロスパス 固定IPサービス編)
◎FortiGate IPoE設定ガイド(アルテリア・ネットワークス株式会社 クロスパス 可変IPサービス編)
◎IPoE インターフェースを利用したFortiGate SD-WAN 設定ガイド
各プロバイダーによってIPoEの接続方式が異なりますので、上記内容では接続できない場合もございます。
CPU使用率が異常に高い
CLIにて「diagnose sys top」と入力
※FortiGateで動作しているプロセスを表示
1列目:プロセス名
2列目:PID(プロセス ID)
3列目現在のState
R: Running (動作中)
S: Sleep (停止中)
Z: Zombie (ゾンビ状態)
D: Disk Sleep (割り込み不可能なディスクスリープの待機状態)
4列目:CPU使用率(%)
5列目:メモリの使用率(%)
■diagnose sys top実行中の操作
このコマンドを実行中に以下のキーを入力することができます
q: このコマンドを終了します
c: CPUの使用率順にソートします
m: メモリの使用率順にソートします
■プロセスを終了させる方法
以下のコマンドで、特定のプロセスを終了させることが出来ます。
diagnose sys kill
例えば、PIDが903であるプロセスを終了させる時には、以下のように実行してください。
diagnose sys kill 11 903
※FortiOS上で常に動作する必要があるデーモンプロセスは、終了されても自動的に再起動されます。
UTMのライセンスが切れたためWebサイトの閲覧が出来なくなった場合
ライセンスが切れるとFortigate が Fortiguard への問い合わせを行っている(UDP53・UDP8888)通信が行えなくなります。
FortiGuardへの問い合わせが出来なくなると FortiGate は HTTP の通信を遮断します。
■対応方法
「レーティングエラー発生時にWebサイトを許可」を有効にしてください。
■設定箇所
FortiGate管理画面→セキュリティープロファイル→Webフィルター
※FortiOS6.2の場合
WebフィルタリングのURLフィルタの動作について
■URL
対象のドメインやURLを設定します。
■タイプ
シンプル:URLに指定したドメイン全てを対象とします。
例:「fgshop.jp」とすると「mail.fgshop.jp」や「www.fgshop.jp」は対象になりますが、「www.mailfgshop.jp」など対象になりません。
正規表現:URLに指定するドメインを正規表現で設定します。
ワイルドカード:URLに指定するドメインに「*」をつける事によって設定します。
例:*fgshop.jpとすると後方一致で「www.mailfgshop.jp」なども対象になります。
■アクション
除外(Exempt): URL・タイプで指定した内容の場合、ウェブフィルタやアンチウイルスなどのセキュリティ検査が除外されます。
ブロック:設定した「URL」「タイプ」の内容をブロックします。
許可:ウェブフィルタやアンチウイルスなどのセキュリティ検査を通過したものを対象に設定した「URL」「タイプ」の内容を許可します。
モニタ:許可と同じ動作になりますが、ログが出力されます。
■ステータス
有効:URLフィルタの設定内容が有効
無効:URLフィルタの設定内容が無効
工場出荷時(初期化)に状態に戻す
※FG-50E FortiOSv5.4.3
以下の手順で戻すことができます。
1.FortiGateのCONSOLEポート(RJ-45)とPC(D-Sub9ピン)を接続する
※ケーブルが必要
※Tera Termなどのターミナルソフトが必要
2.FortiGateの電源を入れる
3.Tera Term で接続する
※ System Starting … などのメッセージ表示
4.メンテナンスモードでログインする
login: maintainer
PassWord: bcpb<シリアル番号>(FortiGateの底面に書いてある)
5.ログイン後以下のコマンドを実行する
execute factoryreset
※工場出荷状態に戻ります
ファームウェアのアップデートに失敗した場合の復元方法
1.コンソール接続する
※「コンソール接続方法」を参照しコンソール接続してください。
2.FortiGateの電源を切る
3.FortiGateの電源を立ち上げる
4.コンソール画面に以下のメッセージが出る
————————————————————
Boot up, boot device capacity: 492MB.
Press any key to display configuration menu…
..
[G]: Get firmware image from TFTP server.
[F]: Format boot device.
[B]: Boot with backup firmware and set as default.
[I]: Configuration and information.
[Q]: Quit menu and continue to boot with default firmware.
[H]: Display this list of options.
Enter Selection [G]:B
————————————————————
5.「B]を選択し、バックアップが戻す
※バックアップが復元が出来たら、コンソール画面に「login」の文字が出る
※ご注意・・・こちらは、自己責任でお願いします。
必ず、一度、サポートに連絡し対応方法を確認の事
ファームウェアのアップデート
※事前にサポートサイトより対象のファームウェアをダウンロードしてください。
※注意事項
・アップデート中は、絶対に電源を切らないでください
・サポートサイトの「リリースノート」「アップグレードパス」を必ず確認し適切にアップデートしてください
1.FortiGateの管理画面にログインしてください
2.管理画面の「アップデート」をクリックしてください
3.「ファイルを選択」をクリックしてください
4.ダウンロードしたファイルを選択してください
5.選択したファイルが正しいか確認し、「OK」をクリックしてください
6.アップデートが始まります。数分後ブラウザーをリブートしてください
GUIを日本語に変更する
※FG-50E FortiOSv5.4.3
左メニューの「System」→「Settings」をクリック
「View Settings」の「Language」を「Japanese」を選択し「Apply」をクリックする
NATモードへの変更方法
※FG-50E FortiOSv5.4.3
トランスペアレントモードに変更するには、コンソール接続しCLIよりコマンド入力し変更する必要があります。
「Tera Term」等のターミナルエミュレータソフトウェアを使います。
まず、「Tera Term」を立ち上げて、FortiGateと接続します。
「シリアルポート」を選択し「OK」をクリック
FortiGateのログインIDとパスワードを入力し「Enter」をクリックしてください。
「Welcom!」とメッセージ表示
config system settings
set opmode nat
set ip 192.168.1.99/255.255.255.0
set device lan
set gateway 192.168.1.99
end
※例は、以下となります。実際は、環境に合わせて下さい。
IPアドレス:192.168.1.99
ネットマスク:255.255.255.0
ゲートウェイ:192.168.1.99
再起動します。
「execute reboot」と入力し「Enter」
「Do you want to continue? (y/n)」とメッセージが表示されます。
「y」を入力して、再起動してください。
透過モード(トランスペアレントモード)への変更方法
※FG-50E FortiOSv5.4.3
※FortiOS6.2以降の場合は、先にFortiLinkポートの無効が必要です。
トランスペアレントモードに変更するには、コンソール接続しCLIよりコマンド入力し変更する必要があります。
「Tera Term」等のターミナルエミュレータソフトウェアを使います。
まず、「Tera Term」を立ち上げて、FortiGateと接続します。
「シリアルポート」を選択し「OK」をクリック
FortiGateのログインIDとパスワードを入力し「Enter」をクリックしてください。
「Welcom!」とメッセージ表示
config system settings
set opmode transparent
set manageip 192.168.2.99/255.255.255.0
set gateway 192.168.2.1
end
※例は、以下となります。実際は、環境に合わせて下さい。
IPアドレス:192.168.2.99
ネットマスク:255.255.255.0
ゲートウェイ:192.168.2.1
再起動します。
「execute reboot」と入力し「Enter」
「Do you want to continue? (y/n)」とメッセージが表示されます。
「y」を入力して、再起動してください。
コンソール接続方法
※コンソール接続ケーブルを準備してください。
コンソールケーブル(RJ45-DB9)
トランスペアレントモードに変更するには、コンソール接続しCLIよりコマンド入力し変更する必要があります。
「Tera Term」等のターミナルエミュレータソフトウェアを使います。
※「Tera Term」はこちらのサイトからダウンロードが可能です。
https://ja.osdn.net/projects/ttssh2/
まず、「Tera Term」を立ち上げて、FortiGateと接続します。
「シリアルポート」を選択し「OK」をクリック
FortiGateのログインIDとパスワードを入力し「Enter」をクリックしてください。
「Welcom!」とメッセージ表示
PPPoEの設定方法
※FG-50E FortiOSv5.4.3
左メニューの「ネットワーク」→「インターフェース」をクリック
設定したWANインターフェースをダブルクリック
「PPPoE」をクリックし、プロバイダーの設定情報を入力し「適用」をクリックしてください。
CLIのリファレンスはございますか?
Fortinet社の「Fortinet Document Library」よりダウンロードが可能です。
■ドキュメントライブラリー
https://docs.fortinet.com/
■CLIリファレンス FortiOS6.4.5
https://docs.fortinet.com/document/fortigate/6.4.5/cli-reference/84566/fortios-cli-reference
全国設置代行いたします。お気軽にお問い合わせください。
オンサイトでのハードウェア障害対応です。障害のコールを受け、ハードウェア障害と確定後、オンサイトでのハードウェア交換作業・設定復元・基本動作確認作業を行います。