Cheatsheet de CLI Fortinet

Comparto un listado de comandos más utilizados en plataformas Fortinet para operación o troubleshooting. Espero actualizar esta lista constantemente.

FORTIGATE

Estado y Operaciones de HA

1
2
3
4
5
6
7
8
9
10
11
12
13
14
//Administrar nodo pasivo en cluster
execute ha manage <# nodo> <usuario> //El usuario es obligatorio a partir de la versión 6.4

//Ver estado del HA
get sys ha status

//Validar el checksum por vdom o configuracion específica
diagnose sys ha checksum show [global|root]

//Forzar la sincronización HA o detenerla
execute ha sync start|stop

//Forzar el recalculo del checksum de la configuracion
diag sys ha checksum recalculate global|root

Networking y Control de Sesiones

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
//Aplicar un filtro para comando sys session, caso contrario aplicarán todas las sesiones
diagnose sys session filter ? //usa ? para ver las distintas operaciones de filtro

//cierra las sesiones definidas por el filtro
diagnose sys session clear //si no hay un filtro definido aplicará a todas las sesiones

//Ver la tabla ARP
get system arp

//Hacer una captura de paquetes
diag sniffer packet <intf|any> <filtro> 4 a //En el filtro puedes usuar src, dst, net, host y booleanos and y or

//Hacer un debug de sesiones
diag debug reset //Limpiar debugs activos previamente
diag debug flow filter ? //Filtro: Usa el ? para ver las opciones disponibles
diag debug flow show function-name //Esto para mostrar los nombres de funcion en el debug
diag debug flow trace start //Iniciar la traza
diag debug enable //Mostrar los logs de debug

//Limpiar los filtros y desactivar el debug
diag debug dis
diag debug flow trace stop
diag debug flow filter clear
diag debug reset //Limpiar debug

Sistema y Procesos

1
2
3
4
5
6
7
8
9
10
11
12
13
14
//Mostrar TOP de procesos
diag sys top //presiona m para ordenar por memoria, c para CPU

//Mata el proceso indicado
diag sys kill 11 <pid> //El pid lo puedes encontrar al verificar diag sys top

//Ver el log de crashes de procesos
diagnose debug crashlog read

//Ver errores de lectura del archivo de configuración
diagnose debug config-error-log read //Util luego de un upgrade para validar que no haya pérdida de configuración

//Verificar estado de conexion a FORTIGUARD
diag debug rating

VPN SSL e IPSec

1
2
3
4
5
6
7
8
9
10
11
12
//Hacer un debug de VPN IPSec
diag debug reset //Limpiar debugs activos previamente
diagnose vpn ike log-filter dst-addr4 <IP de peer remoto>
diagnose debug app ike 255
diag debug en

//Desactivar debug
diag debug dis
diag debug reset //Limpiar debug

//Mostrar el listado de conexiones VPN SSL
get vpn ssl monitor