Fortinet Troubleshoting

Par�metros para instalar firmware desde 0

Local IP addres => segmento de red

Local Subnet mask => mascarda de red
Local Gateway => Interfaz firewall
TFTP Server IP => IP de m�quina

0 - Ver versi�n del firmware y serial

# get system status

1- Cambiar nombre del Hostname

# config system global

# set hostname "new-hostname"
# end

2- Mensaje de advertencia

# config system global

(global)# set pre-login-banner enable
(global)# end

3- Configurar modo interfaz a switch

# config system global

set internal-switch-mode switch
exit

4- Configurar de modo switch a interfaz

# config system global

set internal-switch-mode interface
exit

5- Conexi�n Agente FSSO

# execute ping x.x.x.x (Servidor donde est� el agente)

# execute traceroute x.x.x.x (Servidor donde est� el agente)
# diag deb application auth 8256 (Puerto de Conexi�n)
# diag deb enable
# diag deb disable

Nota: Asegurarse que el AntiVirus est� deshabilitado en el servidor

6- Filtro para ver sesiones activas

http://kb.fortinet.com/kb/viewContent.do?externalId=FD30042

# diagnose sys session filter <options>

clear clear session filter

dport dest port
dst dest ip address
duration duration
expire expire
negate inverse filter
policy policy id
proto protocol number
sport source port
src source ip address
vd index of virtual domain. -1 matches all

Ver filtro de sesiones por IP

# diag sys session filter clear

# diag sys session filter src (IP)
# diag sys session list

Ver filtro de sesiones por pol�tica

# diag sys session filter clear

# diag sys session filter policy (ID)
# diag sys session list

6.1- Ver usuarios autenticados a trav�s del agente FSSO por IP

# diag debug auth fsso filter source x.x.x.x

# diag debug auth fsso list

6.2- Ver usuarios autenticados a trav�s del FortiGate

# diag firewall auth filter source x.x.x.x

# diag firewall auth list

6.3- Ver pol�ticas que hacen match

# diag sys session filter src x.x.x.x

# diag sys sessions list | grep policy_id

6.4- Ver sesiones activas por protocolo

# diag sys session list | grep "proto_state"

6.5 - Ver sesiones activas en la interfaz gr�fica

# dia de cli 8 => cambios en el gui

# dia de application (proceso) -1

7- Status de interfaces

# diagnose hardware device nic (interface)

8- Configurar interfaces

# config system interface

 edit port or interface x
set status up or down
set ip x.x.x.x x.x.x.x
set allowaccess ping https ssh
end

8.1 Ver tr�fico que pasa por una interfaz en espec�fica

# fnsysctl ifconfig (nombre de la interfaz)

9- Ver sesiones activas

# get system admin list

10- Status de las sesiones activas

# get system admin status

11- Snnifer Simples

# execute ping-option source (Auto or IP)

# diagnose sniffer packet (any or interface) 'icmp' 4 5
# diagnose sniffer packet (any or interface) none 4 3
# diagnose sniffer packet any "port 89" 4 4
# diagnose sys session filter source x.x.x.x
# diagnose sys session clear (borrar sesiones)
# diagnose sniffer packet any 'src host x.x.x.x and dst host x.x.x.x' 1
# diagnose sniffer packet (port or interface) 'src host x.x.x.x and dst host
x.x.x.x'
# get system arp
# show firewall policy
# diagnose sys session list

12- Snnifer Complejos'

# diagnose debug reset

# diagnose debug flow filter saddr x.x.x.x
# diagnose debug flow filter daddr x.x.x.x
# diagnose debug flow show iprope enable
# diagnose debug flow show console enable
# diagnose debug enable
# diagnose debug flow trace start (0-100)
# diagnose debug flow trace stop
# diagnose debug disable

12. Snnifer directos desde una interfaz

# diagnose sniffer packet (Nombre de la Interfaz) + dst (x.x.x.x)

13- CPU 99%

# get system performance status

# exe tac report
# get system status
# diagnose sys top
# diagnose sys top-summary
# diagnose hardware sysinfo memory
# diagnose hardware sysinfo shm
# diag sys session list
# diagnose netlink device list
# diagnose firewall statics show
# get hardware status
# diagnose autoupdate version
# diagnose debug crashlog read

#diag autoupdate versions | grep "IPS Attack" -A 6

13.1- Limpieza de procesos

# diagnose sys top

# diagnose sys top 10 90
# diagnose sys kill 9 + el n�mero de proceso
# diagnose test application (proceso que est� produciendo alto cons�mo)

13.2 Disminuir procesos

# config system global

# set tcp-halfclose-timer 60
# set tcp-halfopen-timer 30
# set tcp-timewait-timer 60
# set udp-idle-timer 90
# end

13.3 Disminuir algor�tmo de IPS

# config ips global

# set algorithm low
# set socket-size 1
# end

13.4 Disminu�r algor�tmo de Antivirus

# config antivirus settings

# set default-db normal
# end

14- Cambiar velocidad de la interfaz

# config system interface

edit
set speed 100 full
# end

15 - Configuraci�n de traffic-shapper

#config firewall shaper traffic-shaper

edit "nombre del traffic shaper"
#show
(nombre de traffic-shaper) # set per-policy enable
(nombre de traffic-shaper) # end
16 - Procedimiento HQIP (Diagnostico de Hardware)

a) Se instala el firmware tal como se instala un OS

b) diagnose hqip start

17 - Verificar particiones de disco duro

# diagnose disktest device

# selecciona el n�mero de partici�n
# diagnose disketest run

18 - Health Status Check v�a cli

# config system link-monitor

# edit interface x
# set srcintf interface x
# set server 8.8.8.8
# next

mismo procedimiento

luego show

19 - Configuraci�n Hora Feliz

#set schedule-timeout enable

config firewall policy

edit# de_policy
set schedule-timeout enable
end

20 - Configuraci�n de pol�ticas

config firewall policy

edit "x"

# config firewall policy

21 - Configuraci�n de Objetos de Red

# config firewall address

# edit "nombre del objeto"
# next
# end
# show

22 - Configurar Applicaciones

# config application list

# edit "nombre del perfil"
# end o next

23 - Configurar Web Filter

# config webfilter profile
# edit "nombre del perfil"
# end o next

24 - Configurar pol�ticas por horario

# config firewall schedule recurring

# edit "nombre del perfil"
# end o next

25- Configurar sensor IPS

# config ips sensor

# edit "x.x.x"
# end o next

26 - Configurar usuarios VPN locales

# config user local

27- Ver problemas de sistemas

# diag debug crashlog read

28- Registro unavailable

# diag debug app update -1

# diag debug enable
# exec update-now

29- Verificar evento conserve mode

# di de crash read

30 - Configuraci�n OSPF

#config router ospf

#set router-id (x.x.x.x)
#config area
edit 0.0.0.0
next
end
#config network
#edit 1
#set prefix 10.11.0.0/255.255.255.0
next
end
#config ospf-interface
#edit "Router1-Internal"
#set interface "port1"
#set priority 255
next

#edit "Router1-External"

#set interface "port2"

next
end

31 - Ping extendido

exec ping-options repeat-count (cantidad de repeticiones)

exec ping

32 - Comandos Cl�ster

# get system ha status

# diag sys ha cluster-csum (ver estado de sincronizaci�n)
# diag sys ha checksum recalculate (si los equipos no est�n sincronizados)

32.1 Balanceo de cargas, Cl�ster

# conf sys ha
# (ha) # show full
# (ha) # diag load-balance-all enable (de ser as� no est�n balanceando)

32.2- Ingresar al equipo esclavo en ambiente cl�ster

FSB-1 $ execute ha manage (Id del Cl�ster)

FSB-2 login: segurinet
Password: **************sho
Welcome !

33 - Balanceo de cargas por default

# show full-configuration
# set v4-ecmp-mode

opciones
source-ip-based (la trae por default)
weight-based
usage-based
source-dest-ip-based

36 - Configurar TTL

# config system session-ttl

(session-ttl) # show full-configuration

37 - Distancias y prioridades en las rutas est�ticas

http://kb.fortinet.com/kb/viewContent.do?externalId=FD32103

38- Degradaci�n VPN

M�todo de Encriptaci�n

DES MD5

Llave de Encriptaci�n

Diffie-Gellman Groups 2 (1024 Bits)

38.1 Deshabilitacitar aceleraci�n en pol�ticas IPv4

# config firewall policy
# edit x
# set auto-asic-offload disable
# end

38.2 Deshabilitar en fase1 de VPN

# config vpn ipsec phase1-interface

# set npu-offload disa
# end