Comandos básicos debug Fortigate

En esta entrada voy a desglosar un listado de comandos básicos que suelo utilizar en el día a día para realizar revisiones básicas en FWs FortiGate. ¡Espero que os sean de ayuda!

1. Sniffer de Paquetes

Comandos:
diag sniffer packet any ‘host 81.46.211.215’
diag sniffer packet internal ‘dst host 192.168.109.130 or dst host 192.168.0.1 and tcp’ 1
diag sniffer packet internal ‘dst host 192.168.109.130 and dst host 192.168.109.140 and tcp’ 1
Descripción:

Permite capturar y analizar paquetes en la interfaz especificada, filtrando por dirección IP, puerto y protocolo. Más info: https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-Using-the-FortiOS-built-in-packet-sniffer/ta-p/194222

2. Verificación de CPU

Comandos:
diagnose sys top-summary
diagnose sys top
Descripción:

Proporciona una visión general y detallada del uso de CPU en el sistema. Más info https://community.fortinet.com/t5/FortiGate/Technical-Tip-Using-the-diagnose-sys-top-CLI-command/ta-p/190238

3. Matar Proceso

Comando:
diag sys kill 11 <PID>
Descripción:

Permite terminar un proceso específico utilizando su identificador de proceso (PID). Más info https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-restart-kill-all-processes-with-the/ta-p/194434

4. Debug de VPNs

Comandos:
diagnose debug application ike -1
diagnose vpn ike log-filter dst-addr4 1.1.1.1
diagnose debug enable

Descripción:

Habilita la depuración para el protocolo IKE, filtra por dirección IP del gateway y activa la depuración en general. Más info https://community.fortinet.com/t5/FortiGate/Technical-Tip-Handling-VPN-packets-with-local-in-policy/ta-p/197596

5. Lista de VPNs y Operaciones Relacionadas

Comandos:
diag vpn tunnel list
diagnose debug reset
diagnose debug disable
diagnose vpn ike log-filter clear
Descripción:

Muestra la lista de túneles VPN activos y realiza operaciones relacionadas con la depuración.

6. Troubleshooting de Pérdida de Paquetes y MTU

Comandos:
fnsysctl ifconfig <Phase 1 name>
diagnose netlink interface list <Phase 1 name>
Descripción:

Permite verificar la configuración de interfaz y realizar ajustes para resolver problemas de pérdida de paquetes o MTU.

7. Resetear un Túnel VPN

Comandos:
diag vpn tunnel reset vpn1 (NOMBRE DE LA VPN)
diag vpn tunnel flush vpn1

diagnose vpn ike gateway clear name vpn1
Descripción:

Reinicia un túnel VPN específico para solucionar problemas de conexión.

8. Sniffer de Paquetes Específicos

Comandos:
diagnose sniffer packet any ‘host 192.168.100.102 and port 3389’ 4 0 a
Descripción:

Captura y analiza paquetes específicos filtrados por dirección IP y puerto.

9. Debug de Flujo de Paquetes

Comandos:
diagnose debug reset
diagnose debug flow filter saddr 172.16.27.148
diagnose debug flow filter daddr 8.8.8.8
diagnose debug enable
diagnose debug flow trace start 10 ##capturamos 10 paquetes
Descripción:

Configura el debug del flujo de paquetes, filtrando por dirección de origen, destino y habilitando la depuración. Más info https://docs.fortinet.com/document/fortigate/6.2.16/cookbook/54688/debugging-the-packet-flow

10. Habilitar Debug en la Interfaz de Línea de Comandos (CLI)

Comandos:
diagnose debug cli 7

diagnose debug enable
Descripción:

Configura y habilita la depuración en la interfaz de línea de comandos (CLI) con un nivel de detalle específico. Más info https://docs.fortinet.com/document/fortiweb/7.4.2/cli-reference/829090/debug-cli

11. Debug de VPN SSL

Comandos:
diagnose vpn ssl debug-filter src-addr4 217.116.1.71
diagnose debug application sslvpn -1
diagnose debug enable
Descripción:

Habilita la depuración específica para VPN SSL, filtrando por dirección IP de origen. Más info https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-New-CLI-filtering-commands-to-debug-SSL-VPN/ta-p/192243

12. Debug de Envío de Correos Electrónicos

Comandos:
diagnose debug application alertmail -1
diagnose debug enable
Descripción:

Permite depurar el proceso de envío de alertas por correo electrónico.

13. Prueba de Velocidad con iPerf

Comandos:
execute ping bouygues.iperf.fr
diag traffictest client-intf port1

diag traffictest port 5209
diag traffictest run -c 89.84.1.186
Descripción:

Realiza pruebas de velocidad utilizando iPerf y diagnósticos de tráfico. Más info: https://community.fortinet.com/t5/FortiGate/Technical-Tip-Use-cases-for-the-diagnose-traffictest-command/ta-p/197784
Servidores IPERF: https://iperf.fr/iperf-servers.php

14. Debug de Alta Disponibilidad (HA)

Comandos:
diagnose sys ha checksum recalculate
execute ha manage ?
execute ha manage 1 admin
Descripción:

Recalcula la suma de comprobación de HA y realiza operaciones relacionadas con la administración de nodos de HA. Más info https://community.fortinet.com/t5/FortiGate/Technical-Tip-Troubleshooting-a-checksum-mismatch-in-a-FortiGate/ta-p/197551

15. Desconectar Usuario Admin Conectado

Comandos:
get system info admin status
execute disconnect-admin-session <index_id>
Descripción:

Verifica el estado de los usuarios administrativos y desconecta a un usuario específico.

16. Forzar Cambio en un Cluster de HA

Comandos:
execute ha failover set 1

execute ha failover status
execute ha failover unset 1
Descripción:

Ejecuta operaciones relacionadas con el failover en un cluster de HA. Más info: https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-force-HA-failover/ta-p/196696

17. Ver Contadores de Interfaces y Configuración de Velocidad

Comandos:
diag hardware deviceinfo nic port1/port2
Descripción:

Muestra información detallada sobre las interfaces, incluyendo errores, velocidad configurada y más.

18. Forzar Velocidad de Interfaz

Comandos:
conf sys int
edit <interface-name>
set speed <1000full/10000half/100full/100half/10full/10half/auto>
end
Descripción:

Configura y fuerza la velocidad de una interfaz específica.

19. Solucionar Lentitud en VPN SSL

Comandos:
config system global

set sslvpn-cipher-hardware-acceleration dis
set sslvpn-kxp-hardware-acceleration dis
end
Descripción:

Desactiva la aceleración de hardware para mejorar el rendimiento de VPN SSL. Más info https://community.fortinet.com/t5/FortiGate/Technical-Tip-Status-of-SSL-VPN-acceleration/ta-p/230215

20. Configuración de Cipher Suites en VPN SSL

Comandos:
config firewall policy
edit 44 ##(EN EL EJEMPLO LA POLICY 44 ES LA DE VPNSSL)
set auto-asic-offload disable
end
config vpn ssl settings
set algorithm <cipher_suite>
end
Descripción:

Configura las suites de cifrado para VPN SSL, permitiendo ajustes de seguridad.

21. Reañadir Cuenta a FortiCloud

Comandos:
exec fortiguard-log login «[email protected]» «UCQ4hh_fOz»
diagnose test application forticldd 1

Descripción:

Permite volver a autenticar una cuenta en FortiCloud y verificar el usuario actual.

22. Debug de Subida de Archivos y Usuario/Configuración

Comandos:
diagnose debug application urlfilter -1
diagnose debug application forticldd 1
Descripción:

Habilita la depuración para la subida de archivos y realiza un seguimiento del usuario y la configuración. Más info https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-Verify-the-webfilter-cache-content/ta-p/196830

23. Habilitar Doble Factor de Autenticación por Correo Electrónico

Comandos:
config user local
edit «user»
set two-factor email
end
Descripción:

Configura la autenticación de doble factor utilizando el correo electrónico.

24. Activar Session Helper para Protocolos Específicos

Comandos:
config system session-helper
edit 1

set name pptp
set port 1723
set protocol 6
next
end
Descripción:

Activa el Session Helper para protocolos específicos como FTP, PPTP o TFTP. Más info https://community.fortinet.com/t5/FortiGate/Technical-Tip-Enable-and-disable-FortiGate-system-session/ta-p/191762

25. Cambiar IP de Origen en SNMP o Syslogd

Comandos:
config system snmp community
edit 1
config hosts
edit 1
set ip 10.160.0.171
set source-ip 10.160.10.1
next
end
set name «community_name»
next
end

config log syslogd setting
set status enable
set server «10.160.0.171»
set source-ip 10.160.10.1
end
Descripción:

Cambia la dirección IP de origen en SNMP o Syslogd para conexiones desde una IPSEC. Más info https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-control-change-the-FortiGate-source-IP-for/ta-p/198426

26. Actualizar Firmas FortiGuard

Comandos:
diag autoupdate versions
exec update-now
Descripción:

Muestra las versiones disponibles para actualizar las firmas de FortiGuard y realiza una actualización inmediata.

27. Ver Sesiones Actuales

Comandos:
diagnose sys session list
Descripción:

Muestra una lista de sesiones actuales, con opciones de filtrado.

28. Filtrar Sesiones

Comandos:

diagnose sys session filter <options>
Descripción:

Filtra y muestra sesiones según criterios específicos como dirección IP, puertos, etc.

29. Añadir IP a Cuarentena

Comandos:
diagnose user quarantine add src4 ‘ip_cuarentena’ 86400 ips
Descripción:

Agrega una dirección IP a la lista de cuarentena durante un período específico.

30. Grep para Búsqueda en Configuración de VPNs

Comando:
show vpn ipsec phase2-interface | grep -n «LOQUESEA»
Descripción:

Realiza una búsqueda específica en la configuración de interfaces de fase 2 de VPN.

31. Información del Sistema y Rendimiento

Comandos:
get system status
get system performance status
Descripción:

Proporciona información detallada sobre el estado del sistema y su rendimiento.

32. Debug de Aplicaciones en Tiempo Real

Comandos:
diagnose debug application <Application> <Debug Level>
Descripción:

Habilita la depuración en tiempo real para una aplicación específica con un nivel de detalle definido.

33. Activar Firmas Industriales / Modbus Forti

Comandos:
config ips global
set exclude-signatures {none | industrial}
set exclude-signatures none
Descripción:

Configura y activa firmas específicas para la protección contra ataques industriales o Modbus.

34. Comandos de Enrutamiento

Comandos:
diagnose firewall proute list
diagnose ip rtcache list
get router info routing-table all
get router info routing-table database
get router info kernel
get router info routing-table all

Descripción:

Muestra información sobre rutas, tablas de enrutamiento y el estado del enrutamiento.

35. Actualización de Firmware por Consola y RJ45

Referencias Externas:

Instalación de Firmware desde Reinicio del Sistema
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Manual-firmware-upgrade-by-referring-upgrade-path/ta-p/193305

Descripción:

Proporciona información sobre cómo instalar y actualizar el firmware desde la consola.

36. Limpieza de Sesiones

Comandos:
diagnose sys session clear
session filter:
vd: any
proto: any
source ip: 10.160.0.1-10.160.0.1
dest ip: any
source port: any
dest port: 80-80
policy id: any
expire: any

duration: any
Borrar filtro: dia sys session filter clear
Descripción:

Limpia todas las sesiones activas en el firewall.

37. Ver la tabla ARP

Comandos:
diagnose ip arp list
Descripción:

Permite observar las entradas en la tabla ARP.

38. Comprobar conexiones a LDAP

Comandos:
diagnose test authserver ldap LDAP_SERVER user1 password
diagnose debug enable
diagnose debug application fnbamd 255
#Para parar el debug:
diagnose debug application fnbamd 0
Descripción:

Permite comprobar las conexiones a un servidor LDAP, y en caso de que falle, activar el debug para ver la causa, más info: https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-FortiGate-LDAP/ta-p/196280

39. Configurar alerta por correo en caso de alto consumo de CPU

Comandos:
conf system global
set cpu-use-threshold 50 ## Con eso ponemos el Treshold para que considere pico de CPU y genere log:
Después, accedemos a Security Fabric / Automation -> New -> Trigger -> FortiOS Event Log -> CPU Usage Statistics -> Configurar email
Descripción:

Permite automatizar el envío de correos al detectar un alto consumo de CPU, ideal para revisar problemas repetitivos en FWs o en caso de necesidad del cliente.

40. Analizar carga/rendimiento del FW

Comandos:
get system performance firewall statistics
get system performance status
get system performance top
Descripción:

Permite revisar el renidmiento del FW y poder detectar si existe un problema, más info: https://community.fortinet.com/t5/FortiGate/Technical-Tip-Explaining-the-get-system-performance-status/ta-p/228275

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Comandos básicos debug Fortigate

Publicado por Daniel en 04/03/202404/03/2024

0 comentarios

Deja una respuesta Cancelar la respuesta

Configurar un servicio para que arranque tras montar un NFS

Habilitar envío de email como 2FA a usuario de Fortigate

Diferentes formatos de certificado y comandos para convertir entre ellos (OpenSSL)

Comandos básicos debug Fortigate

Publicado por Daniel en 04/03/202404/03/2024

0 comentarios

Deja una respuesta Cancelar la respuesta

Entradas relacionadas

Configurar un servicio para que arranque tras montar un NFS

Habilitar envío de email como 2FA a usuario de Fortigate

Diferentes formatos de certificado y comandos para convertir entre ellos (OpenSSL)