daily

fnsysctl 명령어를 사용하여 fortigate process 재시작하기

diag sys top 명령어를 입력하면 돌고 있는 process list가 나옵니다.

여기서 하나의 process ID가 여러 개 있는 게 있습니다. ex). miglogd, httpsd

diag sys kill 99 <process name> 명령어를 이용하여 하나씩 재시작 시킬수도 있기는 하지만

fnsysctl killall <process name>을 입력하면 여러 개의 process가 종료되면서 재시작합니다.

ex). fnsysctl killall httpsd 입력 시 httpsd process가 전부 재시작

알아두면 유용하게 쓰이는 명령어입니다^^

fnsysctl 명령어를 사용하여 fortigate process 재시작하기

fortinet support site login 시 security code 입력 나오는 이유

먼저 fortinet support site login page ID/PW 입력하여 로그인하면 됩니다.

fortinet support site는 ticket open, firmware download, device manage, EOS등 fortinet 비즈니스를 한다면 필수로 사용해야 하는 홈페이지입니다.

ID/PW를 입력하였는데 갑자기 security code 입력 화면이 나옵니다.

two-factor 구성을 하지도 않았는데 나와서 갑자기 당황했지만.. 이유는 ID/PW를 잘못 입력하여서 그렇습니다.

뒤로 가기 후 ID/PW를 재입력하면 되고 만약 오랜만에 접속이라 생각이 나지 않는다면 아래 Forgot password?를 클릭하여 PW 찾기를  해주시면 됩니다.

위 내용 관련 링크 참조

fortinet support site login 시 security code 입력 나오는 이유

fortigate syslog 출발지 인터페이스 수동 설정

ex) syslog server는 internal 구간에 있는데 syslog server와의 통신 시도를 wan 인터페이스로 하는 경우 수동으로 internal구간의 인터페이스로 변경하여 문제 해결

해당 설정은 GUI에서는 변경이 불가능하고 CLI에서만 가능합니다.

Fortigate CLI > config log syslogd setting

명령어 진입 후 set 명령어를 입력하면 syslog관련 설정부분이 나옵니다.

server IP, syslog port 변경, format등등

여기서 interface 변경은 interface-select-method 설정입니다.

default는 auto로 설정되어 있습니다.

해당 설정을 specify로 바꿔주면 보이지 않던 interface 부분이 보이게 되는데 syslog server가 연결되어 있는 Interface를 지정해 주면 됩니다.

fortigate syslog 출발지 인터페이스 수동 설정

명령어로 fortigate ipsec vpn tunnel up, down 하는 방법

ipsec vpn tunnel up, down은 GUI뿐만아니라 CLI로도 가능합니다.

up, down 명령어는

fortigate CLI > diagnose vpn tunnel <up or down> <tunnel name> 입력

처음 괄호에는 up과 down 그 다음에는 vpn의 tunnel name을 입력해 주시면 됩니다.

예를 들어 ipsec vpn tunnel down 시키려면

diangnose vpn tunnel down test-vpn 이런 형식으로 명령어를 입력해 주시면 됩니다. 

-

GUI에서 ipsec vpn tunnel up, down은 FortiOS 7.0 이상 기준

fortigate GUI > Dashboard > Network > IPsec 진입

ipsec vpn tunnel 우클릭 후 up, down 해주시면 됩니다.

추가로 CLI에서 ipsec vpn 관련 명령어

fortigate CLI > get vpn ipsec tunnel summary 입력 / fortigate의 ipsec vpn tunnel list 정보를 요약하여 보여줍니다.

fortigate CLI > diagnose vpn ike gateway list name <ipsec vpn tunnel name> 입력 / vpn 연결 interface, vpn 상태 등 여러 정보를 보여줍니다.

명령어로 fortigate ipsec vpn tunnel up, down 하는 방법 끝

fortigate maximum values 확인하기

fortigate는 모델 또는 OS 등의 따라 구성 관련된 객체에 제한 사항이 있습니다.

예를 들면 address 객체라던가.. profile 개수라던가 fortigate에 최대 몇 개까지 등록이 가능한지 제한이 있는 거죠

먼저 fortigate maximum value는 위 홈페이지에서 확인이 가능합니다.

위 홈페이지 접근 시 화면

Software Version과 Models을 선택 후 OK 버튼 클릭

FortiOS - 7.2.4

Fortigate 모델 - Fortigate 100F 

선택

빨간색 박스 show를 All로 바꿔주면 모든 1,2,3,4,5 탭이 나눠지지 않고 한 화면에 나오기 때문에 보기 편합니다.

fortigate-100F OS 7.2.4 기준 antivirus.profile은 32개까지 등록이 가능하고

VIP 및 address 객체, static routing, PBR 등 많이 사용하는 설정들을 최대 몇 개까지 설정이 가능한지 확인해 줍니다.

policy 또는 VPN은 datasheet를 통해서도 확인이 가능해서 여기서 첨부하지는 않았습니다.

이 외에도 여러 설정들의 최대 등록값 확인이 가능해서 유용한 홈페이지입니다.

fortigate maximum values 확인하기 끝

fortigate local-in-policy & trusted hosts 설정

먼저 fortigate local-in-policy는 Interface 대상으로 액세스를 제한하는 정책입니다.

local-in-policy는 GUI에서 설정이 불가능하고 CLI에서만 가능합니다.

설정 방법

Fortigate CLI > config firewall local-in-policy > edit <> > set ?

일반 정책설정과 거의 똑같습니다. <* 표시는 필수적으로 설정이 되어야 하는 표시>

intf : 정책을 적용할 Interface

srcaddr : 출발지

dstaddr : 목적지

action : default는 deny

service : 어떠한 service만 액세스해줄건지

schedule : 해당 정책의 적용 시간 / always 또는 특정한 시간만 적용

status : 정책의 활성화, 비활성화

위 조건대로 설정 후 적용시켜주면 됩니다. 기본적으로 local-in-policy에는 아무런 정책도 설정되어 있지 않습니다.

trusted hosts

admin 사용자에게 신뢰할 수 있는 IP 대역을 할당하여 액세스 허용

trusted hosts는 GUI, CLI에서 설정이 가능합니다.

먼저 GUI

Fortigate GUI > System > Administrators > 계정 클릭

아래 Restrict login to trusted hosts를 활성화 후 IP 대역 설정

CLI에서는 config system admin > edit <계정> > set trusthost1 <IP대역 입력>

끝!

fortigate local-in-policy & trusted hosts 설정 알아보기 끝

fortigate syslog 설정 방법

fortigate GUI, CLI에서 syslog 설정이 가능합니다

먼저 fortigate GUI > Log & Report 탭 > Log Settings > Send logs to syslog 활성화

syslog 서버의 IP 주소 또는 FQDN을 입력해줍니다.

설정이 아주 간단하죠?

여기서 IP를 입력해주시고 꼭! 아래 Apply 버튼을 눌러주셔야 저장이 됩니다.

다음은 fortigate CLI에서 syslog 설정 방법

먼저 fortigate CLI > config log syslogd ? 입력 시 화면

fortigate는 syslog를 동시에 최대 4개의 syslog 서버로 전송이 가능합니다.

다음 setting

fortigate CLI > config log syslogd setting > set status enable 후

set server < syslog server IP 및 FQDN 입력만 해주면 syslog는 전송이 됩니다.

추가적으로 CLI에선 syslog 보내는 port 변경이나 UDP > TCP 변경, Log format등도 변경이 가능합니다.

fortigate syslog 설정 방법 끝

fortigate ssl-vpn user login 및 logout 정보 CLI에서 확인하는 방법

ssl-vpn login 및 logout정보는 GUI에서도 확인이 가능하기는 합니다.

Fortigate CLI > 아래 명령어를 순서대로 입력합니다

# execute log filter category 1

# execute log filter cield user <user name>

# excute log filter view-lines 10

# execute log display

위에 예시를 바탕으로 jyjy라는 user 확인

CLI에서 user = jyjy의 login 및 logout 확인뿐만 아니라 몇 시에 login 및 logout했는지도 알 수 있습니다.

fortigate ssl-vpn user login 및 logout 정보 CLI에서 확인하는 방법

fortigate debug 시 addr filter에 and, or, not 연산자 사용 방법

fortigate debug addr filter 부분에 and, or, not 연산자를 사용하여 좀 더 세밀하게 debug가 가능합니다.

먼저

1. and 연산자

fortigate CLI > diagnose debug flow filter addr <> and

IP 입력 후 마지막에 and를 넣어주고 설정한 filter를 확인해봅니다.

2. or 연산자

and 연산자와 동일하게

fortigate CLI > diagnose debug flow filter addr <> or만 적어주시면 됩니다.

3.  not 연산자

not 연산자의 경우  fortigate CLI > diagnose debug flow filter addr <> IP 부분의 숫자를 내림차순으로 적는 경우 not이 적용됩니다

오름차순으로 적는 경우에는 범위로 적용됩니다.

fortigate debug 시 addr filter에 and, or, not 연산자 사용 방법 끝

windows11에서 forticlient 설치

windows11에서는 forticlient가 특정 버전이상에서만 지원합니다.

그러므로 user가 windows 11을 사용하는 경우

forticlient 버전 6.4.x대에서는 6.4.7이상의 forticlient 버전을 설치해서 사용해야 합니다.

아래는 forticlient 6.4.7에서 지원한다는 링크이고 Release notes에서 버전을 6.4.6으로 변경해서 보시면 windows11이 support OS 부분에서 빠져있습니다.

forticlient 버전 7.0.x대에서는 7.0.2이상의 forticlient 버전을 설치해서 사용해야 합니다.

아래 링크도 마찬가지로 forticlient 버전 7.0.2부터 windows 11 support 확인 가능

현재 forticlient는 7.2.0까지 나와있고 해당 버전에서는 windows11을 지원합니다.

추가로 forticlient download 공식 홈페이지에서는 최신 버전의 forticlient가 다운되기 때문에 6.4.x, 7.0.x 버전의 forticlient는 fortinet support site에서 다운로드해야 합니다.

windows11에서 forticlient 설치 알아보기 끝