728x90

How to set or change the MAC addresses associated with a FortiGate interface

Description
The following instructions can be used to set or change the MAC address associated with a FortiGate interface:
 
Set the MAC Address on the Interface

Execute the commands:

FGT# config sys int
FGT# edit <interface>
FGT# set macaddr <MAC address>
FGT# end

Restart the routing engine on the FortiGate.

FGT# exec router restart

<아래는 설정된 MAC 확인 명령어>


FGT# diagnose hardware deviceinfo nic wan1 | grep HW
Current_HWaddr           90:6c:ac:4c:d4:da
Permanent_HWaddr           90:6c:ac:4c:d4:da

728x90

원문출처 : https://ebt-forti.tistory.com/396

 

VIP에서 Service 설정 (Virtual IP with services)

VIP 설정에서 "Optional Filter"에 "Service" 설정이 있다. 위와 같이 설정한 경우, 외부에서 [192.168.170.55:8000], [192.168.170.55:8008], [192.168.170.55:8080]으로 접속하면 내부의 [192.168.11.110:80]으로 전달한다. 만약

ebt-forti.tistory.com

 

VIP 설정에서 "Optional Filter" "Service" 설정이 있다.

위와 같이 설정한 경우, 외부에서 [192.168.170.55:8000], [192.168.170.55:8008], [192.168.170.55:8080]으로 접속하면 내부의 [192.168.11.110:80]으로 전달한다.

 

만약 아래 처럼 "Port Forwarding" 설정이 없다면 다음과 같이 전달된다. (단. 방화벽 정책에 해당  port에 대한 허용 정책은 필요하다)

[192.168.170.55:8000] → [192.168.11.110:8000]

[192.168.170.55:8008]  [192.168.11.110:8008] 

[192.168.170.55:8080]  [192.168.11.110:8080]

단, "Service" 항목에서 설정한 port외의 다른 port로 접근하면 VIP는 동작하지 않는다. 

728x90

원문출처 : https://ebt-forti.tistory.com/426

 

Static URL Filter를 사용하여 Youtube 차단

WebFIlter 프로파일에서 사용자가 직접 설정할 수 있는 Static URL Filter 기능을 이용하여 Youtube를 차단하는 방법 이다. 브라우저 캐시로 우회하거나 검색 엔진을 통해 YouTube 동영상을 검색하는 것을

ebt-forti.tistory.com

 

WebFIlter 프로파일에서 사용자가 직접 설정할 수 있는 Static URL Filter 기능을 이용하여 Youtube를 차단하는 방법 이다. 

브라우저 캐시로 우회하거나 검색 엔진을 통해 YouTube 동영상을 검색하는 것을 피하기 위해 아래의 두 URL을 regex 방식으로 추가해야 한다.

".*googlevideo.*" 

".*youtube.*"

YouTube 웹사이트는 계속 접속가능하더라도, 동영상이 플레이 되지 않는다.

 

Google 크롬 브라우저의 경우 아래의 링크를 참조하여 QUIC를 차단해야 한다.

https://ebt-forti.tistory.com/57

 

Youtube가 차단되면 webfilter 로그에서 확인 가능하다.

 

728x90

원문출처 : https://ebt-forti.tistory.com/489

 

메일보내는 SMTP 서버를 Gmail로 설정하는 방법

FortiGate가 FortiToken 발급이나 alert email 또는 Automation Stitch 기능을 이용하여 메일을 보낼때 default로는 FortiNet의 "notification.fortinet.net" 메일서버를 이용하여 보낸다. 가끔 "notification.fortinet.net" 메일 서

ebt-forti.tistory.com

 

FortiGate가 FortiToken 발급이나 alert email 또는 Automation Stitch 기능을 이용하여 메일을 보낼때 default로는 FortiNet의 "notification.fortinet.net" 메일서버를 이용하여 보낸다.

가끔 "notification.fortinet.net" 메일 서버를 스팸으로 판단하여 수신하지 못하는 경우가 있다.

이를 경우, 다른 메일서버를 이용하여 메일을 보낼 수 있도록 메일서버를 변경할수 있는데 gmail로 변경하는 방법이다.

 

FortiGate가 메일을 보내기 위해 Gmail에 접속할때 보안이 낮게 설정되어 있어 접속이 불가능 하기 때문에 메일을 보낼수 없다. 

보내고자 하는 Gmail 계정을 '앱 비밀번호'를 사용하도록 수정하여야한다. 이렇게 하기위해서는 먼저 Gmail 계정에 2-factor 인증을 사용해야만 한다.

 

1. 먼저 GMail에 로그인해서, 아래 링크를 통해 "보안 > 앱 비밀번호" 를 접속한다.

    https://myaccount.google.com/security

 

2.  앱은 "메일"을 선택하고, 기기는 아래와 같이 선택한다.

 

3. 앱에서 사용할 16자리 비밀번호를 표시하는데, FortiGate설정에서 사용할것이기 때문에 꼭 기억해 놓아야 한다.

 

4. FortiGate의 System > Setting 메뉴에서 메일서버를 Gmail로 설정한다. 이때 사용자의 비밀번호를 위에서 받은 16자리 앱 비밀번호를 사용한다.

 

 

위와 같이 설정하면 FortiGate가 Gmail을 통해 FortiToken 발급이나 alert email 또는 Automation Stitch  메일을 보낼수 있다.

728x90

원문출처 : https://ebt-forti.tistory.com/491

 

FortiGuard 라이선스가 만료된 경우 FortiGate의 동작

FortiGuard 라이선스가 만료된 경우, FortiGate의 각 기능별 동작 가능 여부이다. Firewall : 라이선스가 만료 되더라도 방화벽 기능은 정상 동작한다. HA : HA 기능도 라이선스와 상관없이 여전히 동작한

ebt-forti.tistory.com

 

FortiGuard 라이선스가 만료된 경우, FortiGate의 각 기능별 동작 가능 여부이다.

 

  • Firewall : 라이선스가 만료 되더라도 방화벽 기능은 정상 동작한다.
  • HA : HA 기능도 라이선스와 상관없이 여전히 동작한다.
  • AntiVirus(AV) : 바이러스 탐지 기능은 여전히 동작하지만, 라이선스가 만료되면 신규 바이러스에 대한 대응 시그니처의 업데이트가 불가능하다.
  • Anti-Malware :  Anti-Malware 엔진은 정상 동작하지만, 새로운 시그니처의 업데이트는 불가능하다.
  • IPS : 침입 탐지 기능은 정상적으로 동작하지만, 새로운 시그니처 업데이트는 불가능하다.
  • Application Control : Application Control 기능은 정상적으로 동작하지만, 새로운 Application 및 새로운 버전의 Application에 대한 시그니처 업데이트는 불가능하다.
  • VPN : IPsec VPN, SSLVPN 기능 모두 정상 동작한다.
  • Web Filtering : Web Filtering 엔진은 여전히 동작하지만, FortiGuard로부터 Query에 대한 응답을 받지 못하기 때문에 raiting 에러 web 접속이 불가능할 수 있다. FortiGuard로 Query 하지 않는 Static URL Filter 같은 기능은 라이런스가 만료되어도 여전히 사용 가능하다.
  • DNS Filtering : Web Filter와 동일하게 FortiGuard로 query가 불가능하다. 사용자 지정 기능은 사용 가능하다.
  • SD-WAN : 라이선스와 상관없이 정상 동작한다.
  • Advanced Routing : 라이선스와 상관없이 정상 동작한다.
  • QoS & Traffic Shaping : 라이선스와 상관없이 정상 동작한다.
  • Explicit proxy & WAN Optimization : 라이선스와 상관없이 정상 동작한다.
728x90

원문출처 : https://ebt-forti.tistory.com/490

 

방화벽 모든 policy, address, vip 삭제 방법

Troubleshoooting 등 필요에 의해 모든 방화벽 정책(policy)과 address, VIP를 CLI 명령어를 이용하여 한꺼번에 삭제하는 방법이다. 삭제할시 다른곳에서 참조(사용)되고 있는 경우 해당 object 를 삭제할 수

ebt-forti.tistory.com

 

Troubleshoooting 등 필요에 의해 모든 방화벽 정책(policy)과 address, VIP를 CLI 명령어를 이용하여 한꺼번에 삭제하는 방법이다.

삭제할시 다른곳에서 참조(사용)되고 있는 경우 해당 object 를 삭제할 수 없다.

따라서 policy를 먼저 삭제하고, 이후 address 나 vip를 삭제한다.

 

◼  방화벽 policy 삭제

    삭제하면 아래와 같이 'Implicit Deny' 정책을 제외한 모든 정책이 삭제 된다. 

 

◼  방화벽 address 삭제 : 다른곳(route 등)에서 참조(사용)되는 address를 제외하고, 사용자가 생성한 모든 address는 삭제된다.

     FortiGate가 Facrory default 상태의 주소는 여전히 존재 한다.

 

◼  방화벽 VIP 삭제 

 

728x90

원문출처 : https://ebt-forti.tistory.com/520

 

SSLVPN 연결과 장비 접속을 위한 https port를 동일하게 사용하는 경우

SSLVPN 접속용 port와 장비를 관리하기위한 https port를 동일하게 사용하게 되면, 해당 port로 접속할 경우 SSLVPN으로 만 접속하게 된다. 예를 들어 SSLVPN과 관리용 https port를 동일하게 443으로 설정한 경

ebt-forti.tistory.com

 

SSLVPN 접속용 port와 장비를 관리하기위한 https port를 동일하게 사용하게 되면, 해당 port로 접속할 경우 SSLVPN으로 만 접속하게 된다.

예를 들어 SSLVPN과 관리용 https port를 동일하게 443으로 설정한 경우, 해당 인터페이스로 443 접속하면 SSLVPN 연결을 위한 페이지가 표시된다.

 

이는 default로 아래의 설정이 enable 되어 있기 때문이다. 만약 disable로 설정하게 되면 관리자 https 연결이 된다.

 

이를 이용해서 해당 인터페이스에 secondary IP두고, Primary IP로 접속하면 SSLVPN으로 접속되고, Secondary IP로 접속하면 장비 관리용 https로 접속하도록 설정 가능하다. 

먼저, 위 설정을 disable 한다.

Secondary IP를 설정하고, 관리자 접속을 원하는 IP는 Administrative Access 에서 HTTPS를 체크하고, SSLVPN 접속을 원하는 IP는 HTTPS 체크를 하지 않는다.

 

위의 경우....

  • https://192.168.1.55 : SSLVPN 연결
  • https://192.168.1.66 : 관리자 연결

Administrative Access 조정하여 반대의 연결도 가능하다.

728x90

원문출처 : https://ebt-forti.tistory.com/573

 

FortiGate에서 설정된 DNS를 사용하지 않는 경우

FortiGate의 Interface가 DHCP 또는 PPPoE로 IP를 할당 받은 경우, FortiGate에 설정된 DNS를 사용하지 않고 DHCP 또는 PPPoE에서 할당 받은 DNS 서버를 사용하는 경우가 있다. 이는 Interface 설정의 "Override internal DN

ebt-forti.tistory.com

 

FortiGate의 Interface가 DHCP 또는 PPPoE로 IP를 할당 받은 경우, FortiGate에 설정된 DNS를 사용하지 않고 DHCP 또는 PPPoE에서 할당 받은 DNS 서버를 사용하는 경우가 있다.

이는 Interface 설정의 "Override internal DNS" 옵션 영향이다.

 Interface는 위와 같이  "Override internal DNS" 가 enable 설정되어 있는 상황에서, System > DNS 설정에서 FortiGuard DNS를 사용하도록 설정 되어 있다.

 

 

FortiGate의 DHCP 서버의 DNS Server 설정이 "Same as System DNS" 라고 설정되어 있지만, FortiGate로 부터 IP를 할당받는  DHCP Client의 DNS는 "Override internal DNS" 옵션에 의해 '168.126.63.1'과 '168.126.63.2'가 할당 된다.

FortiGate DHCP Server 설정

DHCP Client의 DNS Server 확인

 

하지만 FortiGate가 직접 사용하는 DNS는 DNS Protocols 옵션에 따라 조금 다르게 동작한다.

FortiGate에서 출발하는 DNS query를 암호화 해서 보내는 TLS, HTTPS 방식이 있고, 일반적인 Clear text로 보내는 UDP 방식이 있다. 암호화 해서 보내는 TLS, HTTPS 방식을 사용하려면 서버도 이를 지원해야 한다.

 

위 예에서 '168.126.63.1'과 '168.126.63.2'의 경우 TLS 방식을 지원하지 않는다.

DNS Protocols 옵션을 TLS로 설정하게 되면 서버가 지원하지 않는 방식이기 때문에, FortiGate에서 출발(사용)하는 DNS query는 FortiGate에 설정된 FortiGuard DNS를 사용하게 된다.

하지만 DNS Protocols 옵션을 UDP로 설정하게 되면 168.126.6.1(2) 서버가 지원방식이기 때문에, FortiGate에서 출발(사용)하는 DNS query는 "Override internal DNS" 옵션에 의해 '168.126.63.1'과 '168.126.63.2'가 사용된다.

728x90

원문출처 : https://ebt-forti.tistory.com/598

 

v7.2.4 : maintainer 계정 기능 삭제

FortiGate에서 관리자 password를 잊어버릴 경우 maintainer 계정을 이용하여 복구 할 수 있었다. FortiOS v7.2.4 부터는 보안상의 이유로 maintainer 계정이 삭제되어, 위의 방법으로 password 복구는 불가능하다.

ebt-forti.tistory.com

 

FortiGate에서 관리자 password를 잊어버릴 경우 maintainer 계정을 이용하여 복구 할 수 있었다. 

FortiOS v7.2.4 부터는 보안상의 이유로  maintainer 계정이 삭제되어, 위의 방법으로 password 복구는 불가능하다. 콘솔을 연결하고, TFTP를 통하여 펌웨어를 다시 업로드하는 방식으로 바뀌었다.

 

1) 장비에 콘솔을 연결하고 TFTP를 이용하여 펌웨어를 업로드한다.

 

2) 펌웨어를 다시 로드하면 설정이 공장 기본값으로 변경된다. (admin 계정에 password없이 접근 가능)

 

3) config backup 파일에서 관리자 계정의 password를 변경하여 restore 한다.

    backup 파일에서 " config system admin"에서 "super_admin" 프로파일이 적용된 계정의 password를 변경한다.

   기존에 암호화(ENC)된 방식이지만, 일반 text로 password 설정이 가능하다.

password 변경 전

password 변경 후

4) 변경한 config file을 장비 restore한다.

 

주의) config restore는 동일한 펌웨어 버전이어야 한다. config file 맨 위쪽에서 확인 가능하다.

 

만약 backup 받은 config가 없다면 처음부터 다시 설정해야 한다.

728x90

원문출처 : https://ebt-forti.tistory.com/610

 

v7.2.4 : policy 설정 화면에서 flow/proxy inspection 설정 없음

v7.2.4이상의 Lower-end 모델(40F, 60E, 61E, 60F, 61F, 80E, 81E)등 모델에서는 메모리 문제(2 GB 이하)로 Proxy를 포함한 일부 기능을 default로 disable 해 놓았다. 이전 버전에서는 Policy 설정 화면에서 Flow inspection

ebt-forti.tistory.com

 

v7.2.4이상의  Lower-end 모델(40F, 60E, 61E, 60F, 61F, 80E, 81E)등 모델에서는 메모리 문제(2 GB 이하)로 Proxy를 포함한 일부 기능을 default로 disable 해 놓았다.

"System > Feature Visibility" 메뉴에서 확인한 disable 메뉴

 

이전 버전에서는 Policy 설정 화면에서 Flow inspection과 Proxy Inspection을 선택할 수 있었지만, v7.2.4에서는 아래와 같이 설정 화면이 사라졌다.

 

다시 보이게 할려면 아래의 CLI 명령을 입력한 후, 관리자가 GUI를 재접속하면 표시된다.

 

 

728x90

원문출처 : https://ebt-forti.tistory.com/614

 

FortiCare 계정과 FortiCloud 계정 다른게 설정하는 방법

FortiGate를 FortiCare에 등록하면 일반적으로 동일한 계정으로 FortiCloud를 사용하여 로그를 저장하거나, FortiCloud를 통해 관리를 받을 수 있다. FortiCloud를 다른 계정으로 하기위해 FortiCloud를 logout 하더

ebt-forti.tistory.com

 

FortiGate를 FortiCare에 등록하면 일반적으로 동일한 계정으로 FortiCloud를 사용하여 로그를 저장하거나, FortiCloud를 통해 관리를 받을 수 있다.

FortiCloud를 다른 계정으로 하기위해 FortiCloud를 logout 하더라도, GUI에서는 이전에 등록된 계정을 수정할 수 없게 되어 있다.

 

CLI에서 다음의 명령어를 통해, 기존 등록된 계정을 삭제하고 새로운 계정으로 등록할 수 있다.

다음의 CLI명령어는 'tap'이나 '?' 등으로 자동으로 완성되지 않는 숨겨진 명령어이다.

수동으로 모든 명령어를 입력해야 한다.

위 CLI 명령어를 입력하면 "Request sent.' 메세지가 표시되고, 몇 분후 GUI에서 확인하면 바뀐 계정으로 로그인 되어 있다. 

 

728x90

원문출처 : https://ebt-forti.tistory.com/618

 

Wildcard FQDN의 DNS resolve 방식

FortiGate에서는 " *.etevers.com " 처럼 wildcard FQDN을 이용하여 방화벽 정책이나, SSL inspection의 예외처리등에 사용 할 수 있다. 일반적인 FQDN(예 : www.eteversebt.com)과 wildcard FQDN의 IP를 DNS query를 통해 확인

ebt-forti.tistory.com

 

FortiGate에서는 " *.etevers.com " 처럼 wildcard FQDN을 이용하여 방화벽 정책이나, SSL inspection의 예외처리등에 사용 할 수 있다.

일반적인 FQDN(예 : www.eteversebt.com) wildcard FQDN의 IP를 DNS query를 통해 확인하게 되는데, 그 방식이 서로 다르다. 

일반적인 FQDN의 경우 FortiGate에 설정된 DNS를 이용하여 FortiGate에서 출발하는 DNS query방식이고, wildcard FQDN의 경우 FortiGate를 통과하는 트래픽에서 IP를 획득한다. 즉 사용자 트래픽의 DNS query에서 IP를 획득하는 방식이다.

 

내부에서 외부로의 허용되는 방화벽 정책이 disable 된 예이다.

내부에서 외부로 방화벽 정책 disable

이 상황에서 일반적인 FQDN은 FortiGate가 스스로 IP를 resolve 하지만, FortiGate를 통과하는 트래픽이 없는 상태라서 wildcard FQDN은 IP를 획득하지 못한다.

 

외부로의 트래픽을 허용하고, 내부에서 wildcard FQDN에 대해서 DNS query가 발생하면 할수록 IP를 계속해서 획득하게 된다. 

FortiGate를 통과하는 DNS query에서 IP resolve

 

위에서와 같이 Wildcard FQDN은 FortiGate를 통과하는 DNS query에 대해 session helper를 처리하면서 IP를 획득하게 된다. 

따라서 DNS에 대해 Session Helper가 삭제 되어 있다면 Wildcard FQDN은 IP를 얻지 못한다.

728x90

원문출처 : https://ebt-forti.tistory.com/249

 

FQDN Wildcard address가 제대로 동작하지 않을 경우

Wildcard address object를 이용하여 방화벽 정책에 적용하였지만 제대로 작동하지 않는 경우, Session helper 기능에서 DNS가 disable 되어 있는지 확인해야 한다. DNS에 대한 Session helper 기능은 default로 enable

ebt-forti.tistory.com

 

Wildcard address object를 이용하여 방화벽 정책에 적용하였지만 제대로 작동하지 않는 경우, Session helper 기능에서 DNS가 disable 되어 있는지 확인해야 한다.

 

DNS에 대한 Session helper 기능은 default로 enable이지만, 만약 disable되어 있으면 Wildcard Address에 대해 DNS lookup이 제대로 되지않아 방화벽 정책이 동작하지 않는다.

 

아래와 같이 Wildcard address를 생성하고, DNS에 대한 Session helper가 enable 되어 있다면 정상적으로 IP address가 확인 되어 방화벽 정책이 정상적으로 동작한다. (실제로 dns query가 있어야 IP address를 확인)

 

만약 DNS에 대한 Session helper가 disalbe 이라면 아래처럼 IP address가 확인 되지 않아, Wildcard Object를 이용한 방화벽 정책이 정상적으로 동작하지 않는다.

 

728x90

원문출처 : https://ebt-forti.tistory.com/646

 

FQDN Object의 IP를 얻는 방법

FortiGate각 FQDN 객체에 대해 IP를 얻는 방법은 2가지이다. FortiGate에 설정된 DNS에 직접 Query를 하여 IP를 확인하거나, FortiGate를 통과하는 DNS query에서 IP를 얻기도 한다. 예를들어 아래의 Topology에서 For

ebt-forti.tistory.com

 

FortiGate각 FQDN 객체에 대해 IP를 얻는 방법은 2가지이다.

FortiGate에 설정된 DNS에 직접 Query를 하여 IP를 확인하거나, FortiGate를 통과하는 DNS query에서 IP를 얻기도 한다.

 

예를들어 아래의 Topology에서 FortiGate는 외부의 공용 DNS Server가 설정되어 있으며, 내부 사용자들은 FortiGate를 통과하는 Local DNS 서버가 설정되어 있다. 

 

FortiGate에 "www.example.com" 에 대해 FQDN Object를 설정할 경우, FortiGate는 자신에게 설정된 DNS Server에 Query를 보내 IP를 확인한다.

 

내부 사용자가 Local DNS Server에 DNS query를 하는 트래픽에서 FortiGate는 "www.example.com" 에 대한 IP를 추가적으로 얻는다.

 

만약 사용자의 Query에 의한 IP 확인을 해지하려면 아래의 2가지 방법이 있다. 

첫번째는 Session-helper 에서 DNS 항목을 삭제하는 것이고, 다른 방법은 아래의 명령어를 이용하는 것이다.

    config system network-visibility 

          set destination-visibility disable

    end

 

위 2가지 방법 모두 주의할 점은 WildCard FQDN값을 확인 할수  없다는 것이다.

 

주의) 위 설정을 바꿀경우 FortiGate에서는 아래의 명령어(DNS 데몬 재시작)를 사용해서 DNS로 획득한 값을 모두 삭제 해야 한다.

 

 

참고적으로 사용자 PC에 캐시되어 있는 DNS를 삭제하는 방법은 아래와 같다.

 

728x90

원문출처 : https://ebt-forti.tistory.com/659

 

google 같은 검색엔진에서 특정 단어 검색 차단하는 방법

WebFIlter 기능을 이용하여 검색엔진에서 검색하는 특정 단어를 차단하는 방법이다. 예를 들어 "game"이라는 검색어를 차단하는 방법은 다음과 같다. 1. Web FIlter Profle에서 Static URL FIlter를 Wildcard 형식

ebt-forti.tistory.com

 

WebFIlter 기능을 이용하여 검색엔진에서 검색하는 특정 단어를 차단하는 방법이다.

 

예를 들어 "game"이라는 검색어를 차단하는 방법은 다음과 같다.

1. Web FIlter Profle에서 Static URL FIlter를 Wildcard 형식으로 설정 한다.

      * www.google.com/search*game*

      * www.google.co.kr/search*game*

 

2. 방화벽 정책에 해당 profile을 적용한다. 단 SSL Inspection은 Deep Inspection을 설정한다.

 

Google에서 "game"을 검색하면 아래와 같이 차단되며, "디아블로 GAME" 이라고 검색해도 차단된다. (대•소문자 구분 안함)

 

 

다른 검색엔진도 마찬가지 이다.

예를 들어 네이버에서 "game"이라고 검색하여 URL주소를 확인하면 다음과 같다.

https://search.naver.com/search.naver?where=nexearch&sm=top_hty&fbm=0&ie=utf8&query=game

 

위 주소를 가지고 wildcard 형식으로 등록한다.

Naver 검색 차단 화면

 

 

이런 형식으로 다양한 검색엔진에서 검색하는 키워드를 이용하여 Web Filter가 가능하다.

728x90

원문출처 : https://www.linkedin.com/pulse/configuring-igmp-proxy-fortiwifi-30e-fortios-version-625-denys

 

Configuring IGMP proxy on FortiWiFi 30E FortiOS version 6.2.7

The figure below shows a simplified connection diagram of the FortiWiFi 30E and the MAG255 IPTV set-top box to it. Initial data: - the WAN interface (port1) is connected with a cable to the provider and receives a class A IP address via DHCP from it.

www.linkedin.com

728x90

원문출처 : https://ebt-forti.tistory.com/79

 

FortiGate의 관리자 비밀번호를 분실하였을 때의 대처방법

Product : FortiGate Detail : FortiGate의 관리자 비밀번호를 분실 하였을 때의 대처방법 1. FortiGate Maintainer 계정에 대해서 2. 복구 방법 3. FortiOS v7.2.4부터 Maintainer 계정 삭제 Solution : -1. FortiGate Maintainer 계

ebt-forti.tistory.com

 

Product : FortiGate

 

Detail : FortiGate의 관리자 비밀번호를 분실 하였을 때의 대처방법

    1. FortiGate Maintainer 계정에 대해서 

    2. 복구 방법

    3. FortiOS v7.2.4부터 Maintainer 계정 삭제

 


 

Solution :

    -1. FortiGate Maintainer 계정에 대해서

        FortiGate에서는 Admin권한 유저의 패스워드 분실을 해결하기 위해

        Maintainer라는 복구 전용 ID가 존재함.

        이는 제한된 권한만을 가진 특수계정으로 GUI 및 CLI상에서 유저로 표시되지 않음.

        Maintainer 계정의 특징은 다음과 같음.

 

          -FortiGate의 물리적인 전원제거 후에만 접속 가능 (execute reboot 등으로는 접속 불가)

          -제한된 명령어만 사용가능 (Show 등의 명령어 사용 불가)

          -접속 비밀번호는 bcpb+각 장비의 Serial Number임. 대소문자 구분. (ex. bcpbFG80E4Q12345678)

          -모델별로 상이하지만, 재부팅 후, 약 60초 안에 로그인 완료하여야만 접속 가능

          -VM버전 등에서는 미지원. 스냅샷이냐 re-provisioning 사용할 것

 

    

    -2. 복구 방법

        1) 메모장 등의 택스트 편집기에 ID 및 비밀번호를 입력하여, 복사/붙여넣기 할 준비를 한다.

           (영문 타이핑이 느리거나, 오타로 인한 접속실패 가능성을 최소화)

        2) FortiGate에 물리적으로 콘솔 연결

        3) FortiGate 장비를 물리적으로 전원 제거 및, 10초 후 부팅 실시

        4) 이후 로그인 창이 뜨면, 메모장에 복사해둔 ID/PW를 입력

        5) 접속 후, 아래의 명령어를 참고하여, 비밀번호를 초기화 한다.

           (만일 VDOM이 설정된 장비일 경우, global로 이동하여 초기화를 진행)

        6) maintainer 접속 종료 후, 바뀐 패스워드로 정상 로그인 되는지 확인.

 

    추가적인 내용 및 주의사항은 Limit 항목 참조.

 

 

 

Link : kb.fortinet.com/kb/documentLink.do?externalID=FD34757

 

Limit :

    -이러한 maintainer 계정이 보안상 이슈가 된다면, 옵션을 통해 이를 disable도 가능.

    하지만 해당 기능 disable시, 관리자가 비밀번호 분실시 더이상 복구할 수 있는 방법이 없음.

    아래의 명령어 참조.



    -ID분실의 경우...

    관리자가 PW뿐만이 아니라, ID 또한 기억이 안날 경우에도 복구 방법이 없음.

    # config system admin 위치에서 [Show] 명령어를 통한, ID 확인 불가능. (보안상의 이유로 인해)

    반드시 ID는 기억하고 있어야, 비밀번호 복구 가능.

    (FortiGate의 default 계정의 ID는  'admin'임)

728x90

원문출처 : https://m.blog.naver.com/lastime1650/222637133133

 

Fortigate IPsec 구성하기

포티게이트 방화벽을 통해 IPsec 을 구성하여 전혀 다른 인터넷을 건너 특정 네트워크 영역에 존재하는 ...

blog.naver.com

 

포티게이트 방화벽을 통해 IPsec 을 구성하여 전혀 다른 인터넷을 건너 특정 네트워크 영역에 존재하는 내부 네트워크에 접속할 수 있습니다.

전에 구성한 SSL VPN과는 다르게, 이는 IPsec을 지원하는 장비가 최소 2대 있어야 합니다.

일반 사용자가 이용하기에는 부담이 있으며, 기업 과 기업간에 이용하는 것이 대표적이라고 생각됩니다.

IPsec 을 위한 흐름도

115.23.91.x 아이피를 할당받은 포티게이트 본사( 본사라고 칭함 )의 내부 네트워크 영역 192.168.10.0/24에서 121.148.205.x 아이피를 할당받은 포티게이트 지점 ( 지점이라고 창함 )의 내부 네트워크 영역 192.168.20.0/24 간 Site to Site 통신을 하는 것을 목표로 두었습니다.

알아야 할 점

각 두 개의 포티게이트는 NAT을 적용받지 않았습니다.

그래서 다이렉트로 ISP의 공인 아이피를 할당 받은 상태입니다.

1. IPsec 마법사를 통해 초기 구성

VPN => IPsec Wizard 에 위치해 있으며 마법사를 통해 간단하게 구성을 할 수 있습니다.

1-1 본사( 115.23.91.x )에서 IPsec 구성

본사에서 먼저 지점을 향한 IPsec의 구성을 하겠습니다.

Site to Site 가 기본적이며, NAT 구성에서 No NAT between sites 인 경우에는 IPsec을 구성하는 포티게이트가 라우터등에 의해서 NAT의 적용을 받지 않는 경우여야 합니다.

저는 이에 해당하므로 이대로 Next 하겠습니다.

그 다음 포티게이트가 향하는 목적지의 아이피 ( remote iP )를 집어넣습니다.

Pre-shared KEY는 최소 6자리 이상의 값을 받습니다.

그 다음은 서로 다른 내부 네트워크 영역을 연결하기 위해 설정하는 부분입니다.

Local subnets은 현재 설정 중인 포티게이트의 LAN 내부 네트워크 영역 서브넷을 넣으면 되며,

Remote 는 연결의 대상이 되는 내부 네트워크 서브넷을 입력하면 됩니다.

 

Create 를 누르면 생성을 하고 완료합니다.

1-2 지점( 121.148.205.x )에서 IPsec 구성

본사 => 지점 방향으로 구성하였으니,

이제는

지점 => 본사를 방향으로 구성하면됩니다.

전과 같이 Site to Site 그리고 No NAT between sites 로

상황이 맞으니 NEXT

이젠 Remote IP 에서 본사쪽으로 아이피를 입력합니다.

Pre shared KEY는 서로 같게 합니다.

전과 같이 내부 네트워크 영역을 서로 연결하기 위해 알맞게 구성합니다.

이제 모두 생성하였습니다.

2. IPsec 터널링 활성화 ( Bring up )

VPN => IPsec Tunnels 이동

각 포티게이트에서 접속하여 확인하였습니다.

이제 생성한 2개의 터널을 활성화 시켜주어야 합니다.

 

원래는 좌측 메뉴 맨 아래에 Monitor 가 있었는데,

6.x.x 몇? 버전 이후에는 통합되었다고 저는 들었습니다.

그래서 따로 Dashboard => + 버튼을 통해 IPsec Monitor를 찾아야 합니다.

+를 누르고 위 사진과 같이 IPsec을 선택합니다.

그럼 바로 구성된 터널이 보입니다. ( 지점 포티게이트에서 보았을 때, 어느 한쪽이어도 상관X )

그럼 저 부분을 우클릭하여 Bring up 버튼을 누르면 위 사진과 같이 초록색 업로드 같은 아이콘이 생기면 활성화가 잘 된 것입니다. 안되는 경우는 구성이 잘못된 것입니다.

3. IPsec 망을 이용할 때 모니터링 상황

IPSec Monitor

IPsec Monitor 에서는 IPsec을 사용하면서 주고 받은 패킷 데이터들의 총량을 보여주며, 더 자세히는

Incoming, Outgoing 오고 가는 인터페이스마다 패킷의 크기들을 보여주었습니다.

Events

Log & Report => Events

또한 이벤트를 통해, IPsec 연결이 되는 위한 협상 ( negotiate )에 관한 정보를 알 수 있었습니다.

Firewall Policy

방화벽 정책을 통해

IPsec에 사용되는 인터페이스를 선택하여 추가적인 모니터링을 수행할 수 있습니다.

security 적용, 패킷캡처 기능 추가, 등등..

저는 지점을 향하는 본사의 IPsec 인터페이스 를 Edit 하고, 모든 세션을 기록하고, 패킷 캡처를 수행하도록 설정하였습니다.

그러고 나니, Forward Traffic에서 본사 네트워크 ( 192.168.10.10 )에서 지점 네트워크 (192.168.20.20 )로 SSH 요청 한 트래픽이 로그에 남기게 되었습니다.

더블 클릭하여 세부적인 정보를 볼 수 있습니다.

서비스 SSH, 목적지 아이피 포트는 22 등등

그 옆 Archived Data 를 통하여 패킷을 pcap 형식으로 다운받아 자세히 볼 수 있습니다.

대표적인 스니퍼 프로그램 와이어샤크를 통해서 보면 분석하는데에 좋은 도움이 됩니다.

 

728x90

원문출처 : https://dyjj.tistory.com/173

 

Fortigate Virtual IP (VIP) & DNAT

Fortigate Virtual IP EX. 외부 IP 주소를 내부 IP주소로 NAT하는데 사용됨 일반적으로 DNAT라고 부르고 Fortigate에서는 Virtual IP라고 함 Fortigate Virtual IP 설정화면 GUI > Policy & Objects > Virtual IPs에서 설정이 가

dyjj.tistory.com

 

Fortigate Virtual IP

EX. 외부 IP 주소를 내부 IP주소로 NAT하는데 사용됨

일반적으로 DNAT라고 부르고 Fortigate에서는 Virtual IP라고 함

Fortigate Virtual IP

설정화면

GUI > Policy & Objects > Virtual IPs에서 설정이 가능

Name부분에는 Virtual IP 객체 이름

Interface 선택은 해당 인터페이스로 들어오는 트래픽 DNAT 적용

any로도 설정해서 사용이 가능하지만

예를 들어, wan1 wan2 두개의 interface에 VIP가 정상 작동하지 않을 수 있으니

Interface를 지정해서 설정해주는게 좋다.

Fortigate Virtual IP 설정 예시

wan1 interface의 IP는 192.168.1.100으로 설정되어 있다고 가정하여 설정

목적지 IP(192.168.1.100)로 들어오는 모든 traffic은 NAT되어 10.10.10.1로 전달된다.

Fortigate Virtual IP Port Forwarding 예시

특정 Port에 대해서만 NAT 처리

목적지 IP 192.168.1.100 그리고 Port 10443으로 들어오는 traffic만 NAT처리

이 외 다른 traffic은 NAT처리하지 않음

Virtual IP에서 만들어주고 마지막으로 정책에 적용시켜 주어야 한다.

Incoming Interface - wan1(192.168.1.100)으로 적용되어야 하는게 맞음 / 현재 Test 장비가 SD-WAN 기능으로 wan1,2가 묶여있음

Outgoing Interface - 10.10.10.1이 포함된 internal interface

Source - All / 외부 어떤 사용자가 들어올지 모르기 때문

Destination - 만들었던 VIP 객체 선택

Service - Port Forwarding 했다면 해당 Port만 설정해놓으면 된다.

NAT - 비활성화 / NAT활성화 시 Source IP를 확인할 수 없음

 

이상 일반적인 Virtual IP 설정 알아보기 끝

728x90

https://docs.fortinet.com/document/fortigate/6.2.0/new-features/569561/disable-all-cloud-communication

 

클라우드 통신 비활성화


하나의 명령으로 가능한 FortiGate에서 클라우드 통신을 모두 비활성화하고 싶을때 사용.

config system global
    set cloud-communication disable
end

 

 

Disable all cloud communication

All cloud communication can be disabled with the following CLI command:

config system global
    set cloud-communication disable
end

The forticldd and updated daemons are shutdown, and multiple settings are disabled.

The following settings are automatically changed:

config system global
    set endpoint-control-fds-access disable
    set fds-statistics disable
    unset fgd-alert-subscription
    set security-rating-result-submission disable
end
config system central-management
    set type none
    set include-default-servers disable
end
config system fortiguard
    set service-account-id ''
    set auto-join-forticloud disable
    set sandbox-region ''
    set antispam-force-off enable
    set outbreak-prevention-force-off enable
    set webfilter-force-off enable
end
config system email-server
    set server ''
end
config system ntp
    set ntpsync disable
end
config system autoupdate push-update
    set status disable
end
config system autoupdate schedule
    set status disable
end
config system autoupdate tunneling
    set status disable
end
config log fortiguard setting
    set status disable
end
config vpn ocvpn
    set status disable
end
config log fortiguard override-setting
    set override disable
end

To reenable cloud communications, each individual setting must be changed after running the following CLI command:

config system global
    set cloud-communication enable
end

For example, to reenable automatically connecting and logging in to FortiCloud:

config system global
    set cloud-communication enable
end
config system fortiguard
    set auto-join-forticloud enable
end

 

<아래것 CLI에 입력>

 

config system fortiguard
    set auto-join-forticloud disable
end
728x90

원문출처 : https://www.2cpu.co.kr/network/15105

 

Fortigate에서 수동으로 NTP 서버 지정하기 :: 2cpu, 지름이 시작되는 곳!

sfl 제목 내용 제목+내용 회원아이디 회원아이디(코) 이름 이름(코) stx sop and or 검색

www.2cpu.co.kr

 

주의: CLI 명령어는 펌웨어 버전에 따라 자주 달라지므로, 입력 전에 해당 명령어가 올바른지 확인하는 것이 좋습니다.

 

Fortigate는 GUI에서 FortiGuard 외의 NTP 서버를 지정하는 인터페이스를 제공하지 않습니다.
만약 내부 NTP 서버와 방화벽을 연동해야 한다면, CLI를 통해 설정을 적용해야 합니다.

 

Step 1. NTP 구성 진입

config system ntp

 

Step 2. NTP 설정 변경

set type custom

 

Step 3. ntpserver 구성 진입

config ntpserver

 

Step 4. 서버 입력

edit 1

set server <IP_Addr>

end

end

 

설정 완료 후 구성 정보의 예시

 

NTP Status

 

 

 

번외

set ntpv3: NTPv4가 아닌 NTPv3를 이용해 서버와 통신합니다.

set interface-select-method: specify로 변경한 뒤 NTP 연결을 위해 사용할 인터페이스를 지정할 수 있습니다

set source-ip: NTP 패킷의 Source Address로 사용할 IP 주소를 지정할 수 있습니다.

728x90

원문출처 : https://realforce111.tistory.com/70

 

FortiGate 방화벽 Firmware 설치

FortiGate 방화벽 초기 상태에서 Firmware 설치 방법을 알아보겠습니다. 운영 중인 방화벽은 Firmware Upgrade Path에 따라 firmware 버전을 업그레이드하면 되며, 아래에서 설명하는 방법은 설치된 Firmware를 F

realforce111.tistory.com

 

FortiGate 방화벽 초기 상태에서 Firmware 설치 방법을 알아보겠습니다.

 

운영 중인 방화벽은 Firmware Upgrade Path에 따라 firmware 버전을 업그레이드하면 되며, 아래에서 설명하는 방법은 설치된 Firmware를 Format 하여 삭제하고 새로운 Firmware 파일을 설치하는 방법입니다.

 

설정 내용이 초기화될 수 있으므로 Config Backup 후 Restore 하시거나, 신규로 설치하는 경우에 아래 방법을 사용하시기 바랍니다.

 

FortiGate-100E 인터페이스

방화벽의 Console Port와 MGMT 포트를 확인하고 PC와 연결합니다.

 

PC에서 방화벽 MGMT 포트와 연결한 네트워크 인터페이스에 IP를 임의로 설정합니다. ex) 192.168.1.100/24

 

TFTP를 실행하고 Directory는 방화벽 Firmware 파일이 저장된 경로를 선택합니다.

 

콘솔창(console port speed is 9600 bits per second)을 연결한 뒤 방화벽 전원을 on 합니다.

 

이후에는 아래 절차에 따라 Firmware 포맷 및 설치 진행하시면 됩니다.

 

1) 부팅 과정에서 "Press any key to display configuration menu..." 부분에서 아무 키나 입력

 

2) 부팅 선택 메뉴에서 F 키 입력

 

3) It will erase data in boot device. Continue? [yes/no]: -> yes 입력

 

4) 포맷 완료 후 다시 부팅 선택 메뉴에서 G 키 입력

 

5) Enter TFTP server address [192.168.1.168]: -> TFTP를 실행하는 PC의 IP 입력, ex) 192.168.1.100

 

6) Enter Local Address [192.168.1.188]: -> 방화벽 IP를 임의로 입력, ex) 192.168.1.99

 

7) Enter File Name [image.out]: -> 방화벽 Firmware 파일 이름 입력(확장자 포함)

 

8) Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]? -> D 입력

 

방화벽 Firmware 설치 완료 후 버전 확인(get system status)

728x90

728x90

728x90

location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://$server:$port$request_uri;
client_max_body_size 0;
proxy_read_timeout 1200;
}

 

또다른 세팅

location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass_header Authorization;
proxy_pass_header Server;
proxy_buffering off;
proxy_redirect off;
proxy_pass http://$server:$port$request_uri;
client_max_body_size 0;
proxy_read_timeout 36000s;
}

 

아래것 사용하세요.

location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass_header Authorization;
proxy_pass_header Server;
proxy_buffering off;
proxy_redirect off;
proxy_pass http://$server:$port$request_uri;
proxy_max_temp_file_size 0;
client_max_body_size 0;
proxy_read_timeout 1800;
proxy_connect_timeout 1800;
proxy_send_timeout 1800;
proxy_request_buffering off;
}
728x90

원문출처 : https://www.youtube.com/watch?v=BbDnBxlBTdY&t=351s 

 

728x90

DNS over HTTPS(DoH)용 테스트 사이트 - https://1.1.1.1/help

 

 

 

728x90

개요

이 문서에서는 OPNsense에서 LAN 브리지를 활성화하는 방법을 다룹니다. LAN 브리지는 Vault의 선택적 포트를 사용하여 스위치 역할을 합니다. 별도의 물리적 스위치를 사용하는 것에 비해 최적은 아니지만 필요한 경우 작동합니다.

참고: 웹 인터페이스에 액세스하는 데 사용되는 포트가 브리지에 추가된 경우 볼트에 대한 물리적 액세스가 필요합니다.

OPNsense에서 LAN 브리지를 만드는 방법

이 예에서는 Vaults 추가 포트 OPT1  OPT2 를 포함하는 브리지 에 LAN 인터페이스를 할당합니다 . 이 예의 아이디어는 약간의 변형으로 모든 Vault 모델에서 사용할 수 있습니다.

  • 웹 인터페이스에 액세스합니다. 기본 IP 주소: 192.168.1.1 , 사용자 이름: root , 암호: opnsense
  • 볼트 옵션 인터페이스( OPT1 , OPT2 등)가 기본 설정으로 할당되었는지 확인합니다. ' + '를 클릭한 다음 저장 을 클릭하여 할당할 수 있습니다.

OPNsense 인터페이스 할당 메뉴(FW4A)

  • 인터페이스 트리에서 OPT1 메뉴 를 엽니다.
  • 인터페이스 활성화 를 확인 하십시오 . 모든 설정을 기본값으로 두십시오.
  • 저장 을 클릭 한 다음 적용 을 클릭 하면 상단이 변경됩니다.
  • 브리지에 포함될 추가 인터페이스에서 반복

OPNsense 인터페이스 메뉴

  • 인터페이스 트리에서 기타 유형 을 선택한 다음 브리지 를 선택 합니다.
  • 추가 를 클릭 하고 OPT1, OPT2 등을 선택한 다음 저장 을 클릭합니다.

OPNsense 브리지 메뉴

  • 인터페이스 트리에서 할당 을 선택 합니다.
  • LAN 인터페이스를 bridge0 으로 변경하고 저장 을 클릭 합니다.

참고: 이 시점에서 웹 인터페이스에 대한 액세스가 손실됩니다. 다시 액세스하려면 OPT1 또는 OPT2 포트에 연결하십시오.

OPNsense 할당 메뉴

  • Assignments 메뉴에서 이전에 LAN 에 할당된 포트( em1 )를 추가 합니다 . 저장 클릭
  • 이제 OPT3 이 할당 되었는지 확인
  • 기본 설정으로 OPT3 를 활성화 합니다. 변경 사항 저장 및 적용
  • Bridge 메뉴로 돌아가서 bridge0 을 편집하십시오 . OPT3 추가 및 저장

  • 이제 LAN 포트에 웹 인터페이스 액세스 권한이 있는지 확인하십시오.
  • 시스템 > 설정 > 조정 가능 항목 으로 이동합니다.
  • net.link.bridge.pfil_member 찾아 해당 설정을 Default 에서 0 으로 변경합니다 . 변경 사항 저장 및 적용
  • 이전 설정 바로 아래에 있는 net.link.bridge.pfil_bridge 를 찾아 설정을 Default 에서 1 로 변경합니다 . 변경 사항 저장 및 적용

시스템 튜너블 메뉴

  • 재부팅
  • 브리지된 포트가 작동하는지 확인
728x90

원문출처 : https://ja-gamma.tistory.com/entry/%EC%9C%A0%EB%B9%84%EC%BF%BC%EC%8A%A4-%EC%8A%A4%EC%9C%84%EC%B9%98-Config-%EB%AA%85%EB%A0%B9%EC%96%B4-%EB%AA%A8%EC%9D%8C

 

유비쿼스 스위치 - Config 명령어 모음

최근 국내 저가 스위치로 많이 사용하던 다산 스위치가 하락하면서 동급 국내 벤더인 유비쿼스 스위치의 사용률이 높아지고 있습니다. 그래서 이번 시간에는 유비쿼스 스위치의 기본 Config 명령

ja-gamma.tistory.com

 

최근 국내 저가 스위치로 많이 사용하던 다산 스위치가 하락하면서 동급 국내 벤더인 유비쿼스 스위치의 사용률이 높아지고 있습니다. 그래서 이번 시간에는 유비쿼스 스위치의 기본 Config 명령어와 장비들에 대해서 간단히 알아보도록 하겠습니다.

 

 

1. 유비쿼스 스위치 기본

 

: 유비쿼스를 처음하시는 분들도 많겠지만 , 편하게 시스코 스위치랑 비슷하다?라고 생각하시면 됩니다. 콘솔 접속도 9600이고 명령어도 비슷한 부분이 많기 때문에 시스코를 다뤄보신 분들은 크게 어려움이 없을거라고 생각됩니다.

 

유비쿼스 스위치는 최초 접속 시 " login : admin " , Password : frontier " 패스워드 생성 규칙은 '9자 이상 16자 이하의 길이 , 영문 대문자/소문자 , 특수문자 , 숫자 중 3가지 조합이상'의 조건을 만족하시면 됩니다.

 

 

 

 

 

 

 

 

2. 유비쿼스 스위치 기본 명령어

 

- Hostname 설정

Switch# conf t

Switch(config)# hostname XXXXX (한글 , 영문 , 기호 설정 가능 , 최대 63자)

Switch(config)# no hostname

 

 

- 로그인 계정 설정

Switch(config)# username admin privilege 15 password

New password : admin123

retype new password : admin123

Switch(config)# enable password

New password : admin123

retype new password : admin123

 

 

- VLAN 생성

Switch(config)# vlan database

Switch(config-vlan)# vlan 10

Switch(config-vlan)# vlan 20

Switch# show vlan

 

 

- VLAN 적용 (access)

Switch(config)# interface gi0/1

Switch(config-if-giga0/1)# switchport mode access

Switch(config-if-giga0/1)# switchport access vlan 10

 

 

- VLAN 적용 (trunk)

Switch(config)# interface gi0/1

Switch(config-if-giga0/1)# switchport mode trunk

Switch(config-if-giga0/1)# switchport trunk allowed vlan add 10

Switch(config-if-giga0/1)# switchport trunk allowed vlan add 20

 

 

- IP Address 설정

Switch(config)# interface vlan10

Switch(config-if-vlan10)# ip address 10.1.1.1/24

Switch(config-if-vlan10)# ip address 10.2.1.1/24 secondary

 

 

- 라우팅 테이블 설정

Switch(config)# ip route 0.0.0.0/0 10.1.1.254

 

 

- 배너 설정

Switch(config)# banner login ^C

!!!!!!!!!!!!!! WARNING !!!!!!!!!

배너 내용

 

 

- SNMP 설정

Switch(config)# snmp-server community ro

New password : public

retype new password : public

Switch(config)# snmp-server enable traps

Switch(config)# snmp-server host 1.1.1.1 version 2c

 

 

 

 

 

3. 유비쿼스 명령어 모음 2 (상위 명령어)

 

- session logout 설정

Switch(config)# line vty 0 7

Switch(config-line)# exec-timeout 5 0

Switch(config)# line console 0

Switch(config-line)# exec-timeout 5 0

 

 

- 허용된 IP만 접속되는 ACL 설정

Switch(config)# access-list 23 permit 1.1.1.1 0.0.0.0

Switch(config)# access-list 23 deny any

Switch(config)# ip option telnet-acl access-group 23

 

 

- ACL 설정

Switch(config)# access-list 102 deny tcpany anyeq445

Switch(config)# access-list 102 deny udpany anyeq3702

Switch(config)# access-list 102 deny ip10.4.11.246 0.0.0.0 any

Switch(config)# interface range GigabitEthernet1/1/1-1/1/12

Switch(config-if-range)# ipaccess-group 102 in

 

 

- STP 설정

Switch(config)# spanning-tree mode stp

Switch(config)# spanning-tree priority 4096

Switch(config)# spanning-tree enable

Switch(config)# interface range gi0/1-0/24

Switch(config-if-range)# spanning-tree portfast

Switch(config)# interface gi0/25

Switch(config-if-Giga0/25)# spanning-tree path-cost 20000

 

→ RSTP 설정시

Switch(config)# spanning-tree mode rstp

Switch(config)# spanning-tree priority 4096

Switch(config)# spanning-tree enable

Switch(config)# interface range gi0/1-0/24

Switch(config-if-range)# spanning-tree portfast

Switch(config)# interface gi0/25

Switch(config-if-Giga0/25)# spanning-tree path-cost 20000

 

 

- VRRP 설정 (이중화)

→ MASTER설정

Switch(config)# router vrrp10 vlan10

Switch(config-router)# virtual-ip10.1.1.254 backup

Switch(config-router)# circuit-failover gi0/25 60

Switch(config-router)# priority 105

Switch(config-router)# preempt-mode true

Switch(config-router)# enable

 

→ BACKUP설정

Switch(config)# router vrrp10 vlan10

Switch(config-router)# virtual-ip10.1.1.254 backup

Switch(config-router)# enable

 

 

- Voice VLAN 설정

Switch(config)# interface gi0/1

Switch(config-if-Giga0/1)# switchportaccess vlan100

Switch(config-if-Giga0/1)# switchportvoice vlan200

Switch(config-if-Giga0/1)# mlsqostrust dscp

 

 

- DHCP 설정

→ dhcprelay 모드설정

Switch(config)# service dhcprelay

Switch(config)# ipdhcp-server 20.1.1.1

 

→ dhcpserver 모드설정

Switch(config)# service dhcp

Switch(config)# ipdhcppool TEST

Switch(dhcp-config)# network 10.1.1.0/24

Switch(dhcp-config)# default-router 10.1.1.1

Switch(dhcp-config)# range 10.1.1.2 10.1.1.100

Switch(dhcp-config)# dns-server 168.126.63.1

Switch(dhcp-config)# lease 0 0 60

Switch(dhcp-config)# domain-name Ubiquoss

 

 

- 서비스 활성화

Switch(config)# service ssh

Switch(config)#ipsshport 5000

Switch(config)# no service telnet

728x90

+ Recent posts