Network×Network目次

スポンサードリンク

Fortigate FortiOS Upgrade Paths

Fortigate社のファームウェアアップグレードパスを
教えてくれるツールなんて今ではあるんですね。

Current Product : 対象製品
Current FortiOS Version : 現在のOSバージョン
Upgrade to FortiOS Version : アップグレードしたOSバージョン
GO

WS000133.JPG

こりゃ便利ですね。
-------------------------------------------------------------
Fortigateのファームウェアアップデートパスとなります。
ちゃんとベンダーが推奨してる方法を実施してFortiOSの
アップグレードを行いましょう!!
Fortigate FortiOS Upgrade Paths

古いファームウェアほど多くのFortiOSファームウェア
アップデートパスを踏む必要があるのでちゃんと
Fortinetクックブックで確認しましょう!

Supported Upgrade Paths – FortiOS

Supported Upgrade Paths – FortiOS Upgrading to 5.4



TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate DNS server gui

FortigateってデフォルトでDNSサーバ機能は無効になってるんですよね。
そしてバージョンが変わって有効にする方法が変わってる。
FortiOS4.0のDNSサーバGUI設定方法

ここからはFortiOS5.0, FortiOS6.0でのDNSサーバ機能を
有効にする方法を記載します。

1.DNSサーバ機能が無効になっていることを確認
左ペインの[ネットワーク]に[DNS]しかないことを確認
WS0000800.jpg

2.DNSサーバ機能を有効にしていきます
システム>FeatureVisibility>その他のフィーチャー>DNSデータベース
チェックを入れてOKを選択
WS000086.JPG

右側の+を選択すると詳細な内容が確認できます
WS000089.JPG

3.DNSサーバ機能が有効になったことを確認
左ペインの[ネットワーク]に[DNSサーバ]が表示されたことを確認
WS000090.JPG

-------------------------------------------------------
それ以外の[FeatureVisibility]設定項目
緑色になってるのは有効、グレーは無効。
FeatureVisibility1.JPG

FeatureVisibility2.JPG

FeatureVisibility3.JPG

FeatureVisibility4.JPG

FeatureVisibility5.JPG

FeatureVisibility6.JPG

FeatureVisibility7.JPG

FeatureVisibility8.JPG

FeatureVisibility9.JPG

FeatureVisibility10.JPG

FeatureVisibility11.JPG

FeatureVisibility12.JPG

FeatureVisibility13.JPG

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate dhcp server

Fortigate60Fをゲットしたので久しぶりに触ってみた。
OSはFortiOS6.0.6。

とりあえずDHCPサーバとして動作させたかったので設定。

インターフェース>ポートを選択(ここではinternal2)
Fortigate60F_01.jpg

インターフェースの編集でDHCPサーバを有効にして
アドレス範囲を入力します。
元々以下のDHCP範囲が有効時には入力されてます。
最初のIPアドレス:192.168.2.1
最後のIPアドレス:192.168.2.254

DHCPの範囲を絞ってみます。
最初のIPアドレス:192.168.2.10
最後のIPアドレス:192.168.2.20

デフォルトゲートウェイ:インターフェースIPと同じ
DNSサーバ:インターフェースIPと同じ
下のほうの[OK]を選択
Fortigate60F_02.JPG

これでPC側で確認してDHCP範囲のIPアドレスが
割り振られていれば完了です。

PC側でIPアドレスが更新されない場合は以下を試してみましょう。
コマンドプロンプト起動
C:\>ipconfig /release
C:\>ipconfig /renew

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
間違えてインターフェース自体のアドレスを
DHCPに変更しないよう注意しましょう!!
Fortigate60F_03.JPG

ここはクライアントから接続するときのゲートウェイアドレスと
なります。アドレッシングモードはマニュアルを選択です。
Fortigate60F_04.JPG
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate EOL EOS

FORTINET社が販売する売れすじファイアウォールFortigate!
EOS(End of Support)やEOL(End of Life)製品も結構増えてきましたね。

Fortigate製品サポートサイト Hitachi Solutions HP参照

Fortigate製品サポートサイト Softbank C&S HP参照

最近はみんな家に引きこもってるせいか攻撃件数も
めちゃくちゃ増えてるみたいですね。
人間時間があるとロクなことをしませんね。

Fortigateにはこれからも攻撃からいっぱい守ってもらいましょう!
ただ機器が保守切れとかだとメーカーサポートが受けれなくなるので
しっかりとEOSを確認してリプレースを行いましょう。



TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate ハードウェアスイッチ 削除

Fortigateでハードウェアスイッチを削除しようとしても
エラーで失敗する場合が多いです。
ここではcliで一つずつ確認して削除します。

GUIでログイン後、ハードウェアスイッチ(HUB)で
動作しているポートを確認します。
ハードウェアスイッチ1.jpg

ここではinternal5のポートが紐づいています。
ハードウェアスイッチ2.jpg

複数ポートが紐づいているとGUIから×で簡単に削除することが
可能なのですが、最後のポートは必須フィールドです。
とエラーとなってしまいます。
ハードウェアスイッチ3.jpg

この場合はCLIで削除しないと消えません。
コンソールで確認すると
"internal"というバーチャルスイッチが存在して、
"internal5"のポートが紐づいているのがわかります。
当たり前ですが、GUIと同じです。
---------------------------------------------------
FGT-test # show system virtual-switch internal
config system virtual-switch
edit "internal"
set physical-switch "sw0"
config port
edit "internal5"
next
end
next
end
FGT-test #
---------------------------------------------------

削除するためには以下の準備手順が必要になります。
1.DHCPサーバの削除
2.ポリシーの削除

DHCPサーバ確認
---------------------------------------------------
FGT-test # show system dhcp server
config system dhcp server
edit 1
set dns-service default
set default-gateway 192.168.1.99
set netmask 255.255.255.0
set interface "internal"
config ip-range
edit 1
set start-ip 192.168.1.110
set end-ip 192.168.1.210
next
end
set timezone-option default
next
end
FGT-test #
---------------------------------------------------

"internal"バーチャルスイッチにDHCPが設定されてるので削除します。
---------------------------------------------------
FGT-test # config system dhcp server
FGT-test (server) # delete 1
FGT-test (server) # end
FGT-test #
---------------------------------------------------

次はポリシーの確認します。
---------------------------------------------------
FGT-test # show firewall policy
config firewall policy
edit 1
set name "1"
set uuid
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set fsso disable
set nat enable
next
end
FGT-test #
---------------------------------------------------

ポリシーで"internal"バーチャルスイッチを使用してるので削除します。
---------------------------------------------------
FGT-test # config firwall policy
FGT-test (policy) # delete 1
FGT-test (policy) # end
FGT-test #
---------------------------------------------------

これで準備完了です。
最後に"internal"のバーチャルスイッチを削除します。
---------------------------------------------------
FGT-test # config system virtual-switch
FGT-test (virtual-switch) # delete internal
FGT-test (virtual-switch) # end
FGT-test #
---------------------------------------------------

これでバーチャルスイッチを削除することができました。
GUIでログインして確認してみましょう。
ハードウェアスイッチ4.jpg

以上です。。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate ntp source ip

Fortigateをntpクライアントとして設定したのはいいが、
ntpサーバを見に行くセグメントを指定したい。
そんな時には以下の設定で接続先セグメントを指定することができます。
ちなみにcliでしか設定できないのでteratermなどのターミナルエミュレータ
を使って接続してください。

[NTP接続先ポート指定設定]
Fortigate#config system ntp
Fortigate(ntp)#set ntpsync enable
Fortigate(ntp)#set type custom
Fortigate(ntp)#unset server-mode
Fortigate(ntp)#config ntpserver
Fortigate(ntpserver)#edit 1
Fortigate(1)#set server "131.107.1.10"
Fortigate(1)#end
Fortigate(ntp)#set source-ip 192.168.1.254
Fortigate(ntp)#end
Fortigate#

以上

上記のset source-ip [セグメント指定]で設定することができます。
※昔はset interface [ポート指定]というコマンドがあった気がするのですが、
そんなコマンド見当たりません。なくなったのかな・・・・
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate Demo

Fortinet社の製品デモセンターがあります。

FortiADC Demo
FortiAnalyzer Demo
Forti AP Demo
FortiAuthenticator Demo
FortiCache Demo
FortiClient EMS Demo
FortiCloud Demo
FortiDDos Demo
FortiGate-CGN Demo
FortiGate Next-Generation Firewall Demo
FortiGate Ruggedized Demo
FortiGate SD-WAN Demo
FortiGate Secure Web Gateway Demo
FortiGate-VM Demo
FortiMail Demo
FortiManager Demo
FortiPortal Demo
FortiRecoder Demo
FortiSandbox Demo
FortiSIEM Demo
FortiSwitch Demo
FortiVoice Demo
FortiWAN Demo
FortiWeb Demo
FortiWLC Demo
FortiWLM Demo

やっぱりデモ環境は必要ですよね〜
ってかFortinet社の製品ってこんなにもあるんだ。
いつもFortiGateとFortiAnalyzerしか提案していない(笑)
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate バグ情報

作業でうまくいかないときなんでだろと悩むことは多々あります。
そんなとき環境や設定ではなくバグの可能性もあります。
バグ情報は暇な時間を使ってチェックしておくとあわてて
調べる必要はなくなります!事前チェックなんてまずできないけど・・・

以下がバグ情報が掲載されているサイトとなります。
けど基本的には登録が登録が必要となっています。

[Fortigateバグ情報]
*株式会社ネットワークバリューコンポーネンツ

*SoftBank C&S

*CTC

*FortinetGURU

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate Cookbook

COOKBOOK(クックブック)直訳すると料理本。
調理方法が記載されている本。
FortigateのCOOKBOOKといえば要はマニュアル本。

■Fortinet COOKBOOK
*THE FORTINET COOKBOOK
http://cookbook.fortinet.com/

*Fortinet Document Library
https://docs.fortinet.com/fortigate/cookbook

■Fortinet COOKBOOK 日本語
*FORTINET各種ダウンロードセンター
https://www.fortinet.co.jp/resource_center/
※英語版と違いクックブックというよりカタログが多い。

*Networld Fortinet ヘルプデスク
日本語版だと圧倒的にネットワールド様の
ページがおすすめですね。

それにしてもFortigate売れてますね〜
美味しく調理してあげましょう!!
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate パケットキャプチャCLI

FortigateでパケットキャプチャCLI編です。
今回は最初からASIC(NP)設定を無効にした状態
からパケットキャプチャを行いましょう!

FortigateのASICとは?

[Fortigate パケットキャプチャ手順 CLI編]
1.ASIC無効設定 ※詳細なパケットキャプチャを行うため
teratermで接続
Fortigate# config firewall policy
Fortigate(policy)# edit [ポリシー番号]
Fortigate(ポリシー番号)# unset auto-asic-offload
Fortigate(ポリシー番号)# end

2.パケットキャプチャ取得
Fortigate# diagnose sniffer packet "<interface>" "<filter>" "<verbose>" "<count>" "<tsformat>"

<interface>:キャプチャを行うポートを指定
<filter>: ホスト、ポート、VLAN、プロトコルを指定
すべてキャプチャする場合は"none"
<verbose>:ログ出力表示内容
1: print header of packets
2: print header and data from ip of packets
3: print header and data from ethernet of packets (if available)
4: print header of packets with interface name
5: print header and data from ip of packets with interface name
6: print header and data from ethernet of packets (if available) with intf name
<count>:パケット取得数
<tsformat>:タイムスタンプ表示
a: absolute UTC time, yyyy-mm-dd hh:mm:ss.ms
l: absolute LOCAL time, yyyy-mm-dd hh:mm:ss.ms
otherwise: relative to the start of sniffing, ss.ms

■実行例
※注意※
Enterで実行するとGUIと違い即時実行となります。
Fortigate# diagnose sniffer packet port1 none 4 10000 a

GUIにせよCLIにせよミラーポートを必要としないのは魅力的ですね。
いかんせんミラーポートを作るには無駄なポートが1つ必要となります。
以上

*Fortigate パケットキャプチャ GUI
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする