daily

fnsysctl 명령어를 사용하여 fortigate process 재시작하기

diag sys top 명령어를 입력하면 돌고 있는 process list가 나옵니다.

여기서 하나의 process ID가 여러 개 있는 게 있습니다. ex). miglogd, httpsd

diag sys kill 99 <process name> 명령어를 이용하여 하나씩 재시작 시킬수도 있기는 하지만

fnsysctl killall <process name>을 입력하면 여러 개의 process가 종료되면서 재시작합니다.

ex). fnsysctl killall httpsd 입력 시 httpsd process가 전부 재시작

알아두면 유용하게 쓰이는 명령어입니다^^

fnsysctl 명령어를 사용하여 fortigate process 재시작하기

fortinet support site login 시 security code 입력 나오는 이유

먼저 fortinet support site login page ID/PW 입력하여 로그인하면 됩니다.

fortinet support site는 ticket open, firmware download, device manage, EOS등 fortinet 비즈니스를 한다면 필수로 사용해야 하는 홈페이지입니다.

ID/PW를 입력하였는데 갑자기 security code 입력 화면이 나옵니다.

two-factor 구성을 하지도 않았는데 나와서 갑자기 당황했지만.. 이유는 ID/PW를 잘못 입력하여서 그렇습니다.

뒤로 가기 후 ID/PW를 재입력하면 되고 만약 오랜만에 접속이라 생각이 나지 않는다면 아래 Forgot password?를 클릭하여 PW 찾기를  해주시면 됩니다.

위 내용 관련 링크 참조

fortinet support site login 시 security code 입력 나오는 이유

fortigate syslog 출발지 인터페이스 수동 설정

ex) syslog server는 internal 구간에 있는데 syslog server와의 통신 시도를 wan 인터페이스로 하는 경우 수동으로 internal구간의 인터페이스로 변경하여 문제 해결

해당 설정은 GUI에서는 변경이 불가능하고 CLI에서만 가능합니다.

Fortigate CLI > config log syslogd setting

명령어 진입 후 set 명령어를 입력하면 syslog관련 설정부분이 나옵니다.

server IP, syslog port 변경, format등등

여기서 interface 변경은 interface-select-method 설정입니다.

default는 auto로 설정되어 있습니다.

해당 설정을 specify로 바꿔주면 보이지 않던 interface 부분이 보이게 되는데 syslog server가 연결되어 있는 Interface를 지정해 주면 됩니다.

fortigate syslog 출발지 인터페이스 수동 설정

fortigate maximum values 확인하기

fortigate는 모델 또는 OS 등의 따라 구성 관련된 객체에 제한 사항이 있습니다.

예를 들면 address 객체라던가.. profile 개수라던가 fortigate에 최대 몇 개까지 등록이 가능한지 제한이 있는 거죠

먼저 fortigate maximum value는 위 홈페이지에서 확인이 가능합니다.

위 홈페이지 접근 시 화면

Software Version과 Models을 선택 후 OK 버튼 클릭

FortiOS - 7.2.4

Fortigate 모델 - Fortigate 100F 

선택

빨간색 박스 show를 All로 바꿔주면 모든 1,2,3,4,5 탭이 나눠지지 않고 한 화면에 나오기 때문에 보기 편합니다.

fortigate-100F OS 7.2.4 기준 antivirus.profile은 32개까지 등록이 가능하고

VIP 및 address 객체, static routing, PBR 등 많이 사용하는 설정들을 최대 몇 개까지 설정이 가능한지 확인해 줍니다.

policy 또는 VPN은 datasheet를 통해서도 확인이 가능해서 여기서 첨부하지는 않았습니다.

이 외에도 여러 설정들의 최대 등록값 확인이 가능해서 유용한 홈페이지입니다.

fortigate maximum values 확인하기 끝

fortigate local-in-policy & trusted hosts 설정

먼저 fortigate local-in-policy는 Interface 대상으로 액세스를 제한하는 정책입니다.

local-in-policy는 GUI에서 설정이 불가능하고 CLI에서만 가능합니다.

설정 방법

Fortigate CLI > config firewall local-in-policy > edit <> > set ?

일반 정책설정과 거의 똑같습니다. <* 표시는 필수적으로 설정이 되어야 하는 표시>

intf : 정책을 적용할 Interface

srcaddr : 출발지

dstaddr : 목적지

action : default는 deny

service : 어떠한 service만 액세스해줄건지

schedule : 해당 정책의 적용 시간 / always 또는 특정한 시간만 적용

status : 정책의 활성화, 비활성화

위 조건대로 설정 후 적용시켜주면 됩니다. 기본적으로 local-in-policy에는 아무런 정책도 설정되어 있지 않습니다.

trusted hosts

admin 사용자에게 신뢰할 수 있는 IP 대역을 할당하여 액세스 허용

trusted hosts는 GUI, CLI에서 설정이 가능합니다.

먼저 GUI

Fortigate GUI > System > Administrators > 계정 클릭

아래 Restrict login to trusted hosts를 활성화 후 IP 대역 설정

CLI에서는 config system admin > edit <계정> > set trusthost1 <IP대역 입력>

끝!

fortigate local-in-policy & trusted hosts 설정 알아보기 끝

fortigate debug 시 addr filter에 and, or, not 연산자 사용 방법

fortigate debug addr filter 부분에 and, or, not 연산자를 사용하여 좀 더 세밀하게 debug가 가능합니다.

먼저

1. and 연산자

fortigate CLI > diagnose debug flow filter addr <> and

IP 입력 후 마지막에 and를 넣어주고 설정한 filter를 확인해봅니다.

2. or 연산자

and 연산자와 동일하게

fortigate CLI > diagnose debug flow filter addr <> or만 적어주시면 됩니다.

3.  not 연산자

not 연산자의 경우  fortigate CLI > diagnose debug flow filter addr <> IP 부분의 숫자를 내림차순으로 적는 경우 not이 적용됩니다

오름차순으로 적는 경우에는 범위로 적용됩니다.

fortigate debug 시 addr filter에 and, or, not 연산자 사용 방법 끝

windows11에서 forticlient 설치

windows11에서는 forticlient가 특정 버전이상에서만 지원합니다.

그러므로 user가 windows 11을 사용하는 경우

forticlient 버전 6.4.x대에서는 6.4.7이상의 forticlient 버전을 설치해서 사용해야 합니다.

아래는 forticlient 6.4.7에서 지원한다는 링크이고 Release notes에서 버전을 6.4.6으로 변경해서 보시면 windows11이 support OS 부분에서 빠져있습니다.

forticlient 버전 7.0.x대에서는 7.0.2이상의 forticlient 버전을 설치해서 사용해야 합니다.

아래 링크도 마찬가지로 forticlient 버전 7.0.2부터 windows 11 support 확인 가능

현재 forticlient는 7.2.0까지 나와있고 해당 버전에서는 windows11을 지원합니다.

추가로 forticlient download 공식 홈페이지에서는 최신 버전의 forticlient가 다운되기 때문에 6.4.x, 7.0.x 버전의 forticlient는 fortinet support site에서 다운로드해야 합니다.

windows11에서 forticlient 설치 알아보기 끝

fortigate execute ping-options source 사용법

fortigate에서 source를 지정하여 ping 시도 여러 가지 활용 방법이 있겠지만 일반적으로 ipsec-vpn에서 client가 없을 시 local interface IP로 상대방과 통신 체크를 합니다.

설정방법

fortigate CLI > execute ping-options source <IP 입력>

source IP를 지정하고 설정이 잘 되었는지는 execute ping-options view-settings 명령어 입력

source IP만 10.10.10.1 지정해놓은 상태에서 ping 시도를 할 경우 fortigate는 10.10.10.1로 목적지 IP와 통신 시도를 합니다.

주의하셔야 할점은 source ping의 경우 nat가 적용되지 않아 외부(인터넷구간) 등에는 사용이 어렵습니다.

source IP 외 상세 설정도 변경이 가능합니다. execute ping-option ? 하면 아래 이미지에 있는 옵션값들의 설정 변경이 가능합니다.

fortigate execute ping-options source 사용법 끝

fortigate VRF(Virtual Routing and Forwarding) 설정

VRF는 하나의 라우터에 여러개의 routing table을 생성하여 분리시키는 기술입니다.

fortigate VRF는 Interface 별로 routing table을 분리시킵니다.

fortigate VRF 설정방법은

CLI > config system interface > edit <Interface Name> 진입 후

set vrf <>

fortigate VRF default 값은 0 입니다.

위에는 Test 설정이므로 inactive는 신경쓰지 않으셔도 됩니다.

wan1 Interface에 VRF를 10으로 설정하여 fortigate에서 routing table을 확인

default로 있는 VRF 0과 wan1 Interface에 설정한 VRF 10으로 분리되어 있는걸 확인할 수 있습니다. / VRF설정은 0~31 사이 숫자로만 가능하여 총 32개 생성이 가능합니다. 

트래픽 흐름은 동일한 VRF가 있는 인터페이스 간에만 전달합니다.

추가로 동적 라우팅 프로토콜은 BGP와 OSPF만 지원하며 VLAN 및 IPsec Interface에도 VRF 설정이 가능합니다.!

fortigate VRF(Virtual Routing and Forwarding) 설정 알아보기 끝

fortigate ECMP(Equal Cost Multi-path) 동작

ECMP에 앞서 fortigate에 목적지로 경로가 둘 이상인 경우 사용할 routing을 선택하는 프로세스는

1, 가장 작은 서브넷

2. distance가 낮은것

3. priority가 낮은것

4. 마지막은 위 세가지 조건이 모두 동일할 경우 ECMP로 동작합니다.

위 내용은 이전 routing table관련 포스팅에도 쓴 적이 있습니다.

ECMP는 static routing뿐만 아니라 dynamic routing에도 동일하게 적용되며 fortigate ECMP 설정은 CLI에서만 가능합니다.

fortigate CLI > config system settings > set v4-ecmp-mode <> / default 설정은 source-ip-based 입니다.

source-ip-based : source IP 균등 분할

weight-based : session을 백분율로 계산하여 분산

usage-based : 인터페이스에 임계값을 설정하여 설정한 임계값을 초과할 때까지 사용한 다음 인퍼테이스로 전송

source-dest-ip-based : source-ip-based처럼 균등 분할하지만 destination IP에 대해 전달되는 동일한 경로로 전송

fortigate ECMP(Equal Cost Multi-path) 동작 알아보기 끝