FortiGateのCLIコマンドについて

CLIへのアクセス方法

FortiGateには以下の方法でCLIへアクセスできます。

• コンソールポート（シリアルケーブル接続）
• SSH接続（PuTTYなどのターミナルソフト）
• GUI内のCLIコンソール（Web画面右上に「CLI Console」アイコンあり）

CLIの基本操作フロー

FortiGateのCLIは階層型で、設定は以下の流れで行います。

config system interface
edit port1
set ip 192.168.1.99/24
set allowaccess ping https ssh
next
end

よく使う基本コマンド

• show … 設定内容を表示（show full-configurationで未設定値も含め全表示）
• get … ステータス情報を取得
• diagnose … 詳細なトラブルシュート用
• execute … システム操作（pingや再起動、ログ閲覧など）

代表的な設定コマンド

インターフェース設定

config system interface
edit port2
set ip 192.168.10.1/24
set allowaccess ping ssh https
next
end

静的ルート

config router static
edit 0
set dst 0.0.0.0/0
set gateway 192.168.1.1
set device port1
next
end

※ edit 0 は新しいIDを自動採番する推奨方法。

ファイアウォールポリシー

config firewall policy
edit 0
set name "LAN-to-WAN"
set srcintf "port2"
set dstintf "port1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
set logtraffic all
next
end

※ ログ要件がある場合は set logtraffic all を忘れずに。

診断・確認コマンド

接続確認

execute ping 8.8.8.8
execute traceroute 8.8.8.8

※ 送信元を指定したい場合

execute traceroute-options reset
execute traceroute-options device port1
execute traceroute-options source 192.168.10.1
execute traceroute 8.8.8.8

セッション確認と削除

diagnose sys session filter reset
diagnose sys session filter src 192.168.10.10
diagnose sys session list
# 対象を確認してから…
diagnose sys session clear

※ フィルタ未設定で clear を打つと全セッションが消え、通信断が起きるため要注意。

CPU/メモリ使用率

get system performance status
diagnose sys top    # P/Mでソート、Qで終了

ログ確認（正しい方法）

基本的な流れ

execute log filter reset
execute log filter device memory         # ログ保存先（memory/disk/fortianalyzer等）
execute log filter category traffic      # ログカテゴリ（traffic/eventなど）
execute log filter field dstintf port1   # 宛先IFで絞る
execute log filter view-lines 200        # 表示行数
execute log display

• device port1 ではなく、device memory のように保存先を指定するのが正しい。
• インターフェースなどの条件絞り込みは field または free-style を使用。

よく使うデバッグ系

パケット経路トレース（ポリシーマッチやルーティング確認）

diagnose debug flow filter addr 192.168.10.10
diagnose debug flow trace start 100
diagnose debug enable
# …出力確認後
diagnose debug disable

パケットキャプチャ

diagnose sniffer packet any "host 8.8.8.8" 4 50

（4は詳細度、50はキャプチャ数）

CLI操作の小技

• Tabキー：コマンド補完
• ?：利用可能なオプション表示
• 上下矢印キー：履歴の呼び出し
• Ctrl+C：処理中断

まとめ

• 基本設定系は紹介したコマンドで問題なし。
• ログ確認は device port1 ではなく device memory 等を指定するのが正しい。
• セッション削除・ID採番は誤爆注意。edit 0 を習慣化し、diag sys session clear はフィルタ確認必須。
• 実運用ではデバッグ系（debug flow/sniffer）も頻用される。

以上、FortiGateのCLIコマンドについてでした。

最後までお読みいただき、ありがとうございました。