Cuando estamos mirando los logs de un fortigate, en las columnas aparece denominado Acción (Action), que indica que acción ha tomado el cortafuegos. Las acciones pueden ser :

• DENY . El firewall ha bloqueado este tráfico por una política de seguridad
• START Si hemos activado la opción de registrar todas las sesiones en la política de seguridad se generará un log en el inicio de su procesamiento, que implica además que el trafico está permitido.

• ACCEPT Conexión establecida correctamente.
• DNS Host desconocido.
• IP-CONN El host remoto no es alcanzable o no responde.
• TIMEOUT La conexión ha finalizado de forma anómala, porque ha sido reseteada o ha llegado al timeout.
• CLOSE Conexión finalizada

• https://docs.fortinet.com/uploaded/files/2050/FortiOS_LogReference_v5.2.1.pdf
• https://fortixpert.blogspot.com/2015/09/campo-action-de-los-logs-de-fortigate.html

<sxh>show</sxh>

Abrimos la consola CLI <sxh> config system interface edit ? </sxh>

<sxh>execute reboot</sxh>

Si queremos buscar algo en la configuración usuaríamos show | grep f texto_a_buscar. Por ejemplo <sxh>show | grep -f interface</sxh>

En caso de que necesitemos poner una nueva contraseña en nuestro fortigate:

• Accedemos físicamente desde la consola del propio aparato
• Nada más salir el login poner user: maintainer y password: bcpb<nºde serie>
• Ya estaremos en modo admin FORTIGATE#

https://cookbook.fortinet.com/resetting-a-lost-admin-password/

Para saber a que velocidad está trabajando un interfaz <sxh>get system interface physical</sxh> Para forzar una velocidad <sxh>config system interface edit “WAN1” set speed 1000full end </sxh>

Muchas veces queremos ver que tráfico pasa por una regla determinada para ello hacemos lo siguiente:

1. Vamoas a Policy y editamos la regla que queremos tracear y habilitamos la opción log all sessions y guardamos los cambios.
2. Pinchamos con el botón derecho del ratón sobre la fila de descripción de cada columna
3. En column Settings seleccionamos ID para saber el id de esa política
4. Una vez habilitada dicha opción para esa regla vamos a Log&Report→ Traffic Log→ Forward Traffic
5. Pinchamos con el botón derecho del ratón sobre la fila de descripción de cada columna
6. En column Settings seleccionamos Policy ID
7. Ahora al pinchar sobre la columna Policy Id ponemos como valor el número de la política que queremos tracear

Entrar en la vdom correcta antes de efecturar algún cambio <sxh>config global config vdom edit <nombre_vdom></sxh>

Comandos para mostrar las conexiones de VPN <sxh> get vpn ike gateway <name> get vpn ipsec tunnel name <name> get vpn ipsec tunnel details diagnose vpn tunnel list diagnose vpn ipsec status get router info routing-table all </sxh> Para resetear una conexión <sxh>diag vpn tunnel reset <nombre fase1></sxh>

Comandos de debug para VPN <sxh> diagnose debug reset diagnose vpn ike log-filter clear diagnose vpn ike log-filter ? diagnose vpn ike log-filter dst-addr4 xxx.xxx.xxx.xxx diagnose debug app ike 255 #muestra la salida de la fase1 y fase2 diagnose debug enable </sxh> Para deshabilitar el debug <sxh>diagnose debug disable</sxh>

http://www.soportejm.com.sv/kb/index.php/article/como-configurar-sflow-en-un-fortigate

http://docs.fortinet.com/uploaded/files/1023/provision-certificates-to-ios-devices-technical-note.pdf

<sxh>exec factoryreset </sxh>

• https://kb.fortinet.com/kb/documentLink.do?externalID=FD37052

Desde la versión 6.0 tenemos un nuevo comando factoryreset2

Resetea la configuración a los valores por defecto exceptuando los valores de VDOM, interfaces, y las rutas estáticas <sxh>execute factoryreset2 </sxh>

En los nuevos modelos de fortigate que no tienen el disco duro, no se puede ver ciertos logs relaciones con denegaciones de políticas. Esto es debido a que por defecto el nivel mínimo de aviso está configurado como warning. Si queremos ver en el propio fortigate esos logs de avisos sobre accesos denegados debemos de cambiar el nivel de log a information para ello: <sxh>config log memory filter set severity information end </sxh> <sxh> execute log filter reset execute log filter category event execute log filter field #presionar enter para ver opciones execute log filter field dstport 8001 execute log filter view-lines 1000 execute log filter start-line 1 execute log display </sxh>

• https://blog.webernetz.net/cli-commands-for-troubleshooting-fortigate-firewalls/