Erste Schritte auf einer Fortinet Firewall

Die ersten Schritte auf einer Fortinet Firewall, die ich in GNS3 eingebunden habe.

Ich habe den Port1 der Fortigate mit der “Cloud” verbunden, so bekommt der Port 1 per DHCP eine Adresse aus meinem Netzwerk und daher kann ich dann per Browser auf die Fortigate zugreifen.

Der erste Zugriff erfolgt über die Console in GNS3, der User heisst Admin und das Passwort ist nicht gesetzt.
Nach dem einloggen kommt sofort die Abfrage das man ein neues Passwort für den admin setzen muss.

Für den ersten Überblick über das System gibt es den Befehl –> get system status

Ausgabe

FortiGate-VM64-KVM # get system status
Version: FortiGate-VM64-KVM v6.4.9,build1966,220421 (GA)
Virus-DB: 1.00000(2018-04-09 18:07)
Extended DB: 1.00000(2018-04-09 18:07)
Extreme DB: 1.00000(2018-04-09 18:07)
IPS-DB: 6.00741(2015-12-01 02:30)
IPS-ETDB: 6.00741(2015-12-01 02:30)
APP-DB: 6.00741(2015-12-01 02:30)
INDUSTRIAL-DB: 6.00741(2015-12-01 02:30)
IPS Malicious URL Database: 1.00001(2015-01-01 01:01)
Serial-Number: FGVMEVMM6OAUTBFD
License Status: Valid
Evaluation License Expires: Sun May 29 07:06:29 2022
VM Resources: 1 CPU/1 allowed, 997 MB RAM/2048 MB allowed
Log hard disk: Available
Hostname: FortiGate-VM64-KVM
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 1
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 1966
Release Version Information: GA
FortiOS x86-64: Yes
System time: Sat May 14 07:15:34 2022

Mit der Leertaste wird weiter Seitenweise gescrollt und per Entertaste Zeilenweise
Abbrechen kann man die Ausgabe mit q

Kurzbefehle auf der Konsole

Das Fragezeichen hilft immer weiter, welche Befehle zur Verfügung stehen oder welche Erweiterungen es für einen Befehl gibt.

Beispiele für Befehle und deren Ausgabe

ortiGate-VM64-KVM # show system interface port1
config system interface
edit “port1”
set vdom “root”
set mode dhcp
set allowaccess ping https ssh fgfm
set type physical
set snmp-index 1
next
end

FortiGate-VM64-KVM # show full-configuration system interface port1
config system interface
edit “port1”
set vdom “root”
set vrf 0
set fortilink disable
set mode dhcp
set distance 5
set priority 0
set dhcp-relay-interface-select-method auto
set dhcp-relay-service disable
set allowaccess ping https ssh fgfm
set fail-detect disable
set arpforward enable
set broadcast-forward disable
set bfd global
set l2forward disable
set icmp-send-redirect enable
set icmp-accept-redirect enable
set vlanforward disable
set stpforward disable
set ips-sniffer-mode disable
set ident-accept disable
set ipmac disable
set subst disable
set substitute-dst-mac 00:00:00:00:00:00
set status up
set netbios-forward disable
set wins-ip 0.0.0.0
set type physical
set dedicated-to none
set ring-rx 0
set ring-tx 0
set netflow-sampler disable
set sflow-sampler disable
set src-check enable
set sample-rate 2000
set polling-interval 20
set sample-direction both
set explicit-web-proxy disable
set explicit-ftp-proxy disable
set proxy-captive-portal disable
set tcp-mss 0
set inbandwidth 0
set outbandwidth 0
set egress-shaping-profile ”
set ingress-shaping-profile ”
set disconnect-threshold 0
set spillover-threshold 0
set ingress-spillover-threshold 0
set weight 0
set external disable
set description ”
set alias ”
set security-mode none
set device-identification disable
set lldp-reception vdom
set lldp-transmission vdom
set estimated-upstream-bandwidth 0
set estimated-downstream-bandwidth 0
set measured-upstream-bandwidth 0
set measured-downstream-bandwidth 0
set bandwidth-measure-time 0
set monitor-bandwidth disable
set vrrp-virtual-mac disable
set role undefined
set snmp-index 1
set preserve-session-route disable
set auto-auth-extension-device disable
set ap-discover enable
set switch-controller-mgmt-vlan 4094
set switch-controller-igmp-snooping-proxy disable
set switch-controller-igmp-snooping-fast-leave disable
set swc-first-create 0
config ipv6
set ip6-mode static
set nd-mode basic
set ip6-address ::/0
unset ip6-allowaccess
set icmp6-send-redirect enable
set ra-send-mtu enable
set ip6-reachable-time 0
set ip6-retrans-time 0
set ip6-hop-limit 0
set dhcp6-prefix-delegation disable
set dhcp6-information-request disable
set vrrp-virtual-mac6 disable
set vrip6_link_local ::
set ip6-send-adv disable
set autoconf disable
set dhcp6-relay-service disable
end
set dhcp-relay-request-all-server disable
set dhcp-client-identifier ”
set dhcp-renew-time 0
set defaultgw enable
set dns-server-override enable
set pptp-client disable
set speed auto
set mtu-override disable
set wccp disable
set drop-overlapped-fragment disable
set drop-fragment disable
next
end

Überischt über die Interfaces

FortiGate-VM64-KVM # show system interface ?
name Name.
fortilink static 0.0.0.0 0.0.0.0 169.254.1.1 255.255.255.0 up disable aggregate
port1 dhcp 0.0.0.0 0.0.0.0 192.168.174.203 255.255.255.0 up disable physical
port2 static 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 up disable physical
port3 static 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 up disable physical
port4 static 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 up disable physical
port5 static 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 up disable physical
port6 static 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 up disable physical
port7 static 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 up disable physical
port8 static 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 up disable physical
port9 static 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 up disable physical
port10 static 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 up disable physical
ssl.root static 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 up disable tunnel

man sieht das der Port 1 seine IP Adresse über dhcp bekommen hat.
Will man die IP Adresse setzen, so müssen folgende Befehler abgesetzt werden
Zusätzlich wird der Zugriff per ssh, http und https gesetzt. Auch das der Port auf Ping antwortet

config system interface
edit port1
set mode static
set ip 192.168.174.203 255.255.255.0
set allowaccess http https telnet ssh ping
end

jetztn ist auch der Zugriff per http möglich

Hostnamen ändern

config system global
set hostname FortiGate
end