7.02.2025

Fortigate Firewall CLI

Fortigate güvenlik duvarı üzerinde bazı CLI işlemleri.

Firewall kullanıcısı için 2FA amaçlı eposta adresi eklemek için

config user local

    edit metin
    show
    set two-factor email
    set email-to metin@ozmener.net

end

Kullanıcılarda belli sayıda yanlış parola sonrası lockout uygulamak için (5 yanlış denemeden sonra 2 saat (120dk, 7200 sn lockout) uygulamak için:

config user setting

    set auth-lockout-threshold 5
    set auth-lockout-duration 7200
end

VPN bağlantılarında lockout devreye almak için (3 yanlış şifre ve 3600 sn süreyle - geçmiş 600 saniye içinde yapılan yanlışları sayarak)

config vpn ssl setting

    set login-attempt-limit 3
    set login-block-time 3600
    set login-attempt-timeout 600

end

VPN üzerinden yapılan 3 yanlış giriş sonrası engellenen IP adreslerinin listesini görmek için

diagnose vpn ssl blocklist list
|id|addr|status|first-attempt|last-attempt/fail-count|vfid|
|1|10.1.1.2|locked|2024-08-09 08:32:46|2024-08-09 08:33:16|5|0|

Bu liseden bir IP adresini kaldırmak için

diagnose vpn ssl blocklist del 10.1.1.2

Hepsini silmek için IP adresi all yerine all kullanılabiir. Veya en sondaki vfid de IP adresi yerine kullanılabilir. Toplam engellenen sayıyı görmek için:

diagnose vpn ssl blocklist count

Engellenen kullanıcı listesini almak için

diag user banned-ip list

list List banned IPs.
add Add banned IP address.
delete Delete banned IP address.
clear Clear all banned IP addresses.
stat stat

Bilgilendirme mesajları ile ilgili ayarlamalar için

config alertemail setting

show

    set username DoNotReply@notification.fortinet.net
    set mailto1 alici@firma.com
    set firewall-authentication enable

end

Deneme mesajı göndermek için

diagnose log alertmail test

Bütün bağlantıların listesini almak için

get system session list

Belli bir IP adresine/adresinden yapılan bağlantı ile ilgileniyorsak

get system session list | grep 10.1.1.2

Bir IP adresinin coğrafi konumunu sorgulamak için

diagnose geoip geoip-query 195.175.39.39
diagnose geoip ip2country 195.175.39.39
     diagnose firewall ipgeo ip2country 195.175.39.39
diagnose geoip iprange TR
     diagnose firewall ipgeo ip-list TR

Bir IP adresine ait konum bilgisinin üzerine yazmak için

config system geoip-override

   edit India
      config ip-range
         edit 1
            set start-ip 208.91.112.52
            set end-ip 208.91.112.52
        next
      end
   next

end

Yerel geoIP veritabanını güncellemek için

execute update-geo-ip
Yayın tarihi
Labels:

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)