FortiOS Handbook: Deploying Wireless Networks for FortiOS 5.0
FortiOS CLI Reference - صفحه اصلی this guide is organized ... config admin-distance ... CLI...
Transcript of FortiOS CLI Reference - صفحه اصلی this guide is organized ... config admin-distance ... CLI...
-
FortiOS Handbook CLI Reference for FortiOS 4.3
-
FortiOS Handbook CLI Reference for FortiOS 4.3
February 25, 2013
01-430-99686-20130225
Copyright 2013 Fortinet, Inc. All rights reserved. Fortinet, FortiGate, and FortiGuard, are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance metrics contained herein were attained in internal lab tests under ideal conditions, and performance may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinets General Counsel, with a purchaser that expressly warrants that the identified product will perform according to the performance metrics herein. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinets internal lab tests. Fortinet disclaims in full any guarantees. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable.
Technical Documentation docs.fortinet.com
Knowledge Base kb.fortinet.com
Customer Service & Support support.fortinet.com
Training Services training.fortinet.com
FortiGuard fortiguard.com
Document Feedback [email protected]
http://docs.fortinet.comhttp://kb.fortinet.comhttps://support.fortinet.comhttp://training.fortinet.comhttp://www.fortiguard.com/mailto:[email protected]?Subject=Technical%20Documentation%20Feedback
-
F o r t i O S H a n d b o o k
F0h
ContentsIntroduction 19How this guide is organized . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Availability of commands and options . . . . . . . . . . . . . . . . . . . . . . . 19
Document conventions and other information . . . . . . . . . . . . . . . . . . . . . 19
Whats new 21
alertemail 41setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
antivirus 47heuristic. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
mms-checksum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
config {http | https | ftp | ftps | imap | imaps | pop3 | pop3s | smtp | smtps | nntp | im} 51config nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
quarantine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
quarfilepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
application 59list. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
dlp 65compound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
filepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
fp-doc-source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
fp-sensitivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
ortiOS Handbook v3: CLI Reference for FortiOS 4.3 1-430-99686-20130225 3 ttp://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
endpoint-control 83app-detect rule-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
firewall 89address, address6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
addrgrp, addrgrp6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
carrier-endpoint-bwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
carrier-endpoint-ip-filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
central-nat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
dnstranslation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
gtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
ipmacbinding setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
ipmacbinding table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
ippool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
ldb-monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
local-in-policy, local-in-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
mms-profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
config dupe {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126config flood {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127config log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128config notification {alert-dupe-1 | alert-flood-1 | mm1 | mm3 | mm4 | mm7} . . . 129config notif-msisdn. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
multicast-policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
policy, policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
config identity-based-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
profile-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
CLI Reference for FortiOS 4.3 for FortiOS 4.0 MR3 4 01-430-99686-20130225
http://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
F0h
profile-protocol-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
config http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151config https. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152config ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153config ftps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154config imap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155config imaps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155config pop3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156config pop3s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156config smtp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157config smtps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158config nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159config im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159config ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159config mail-signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
schedule onetime. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
schedule recurring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
schedule group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
service custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
service explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
service group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
service group-explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
shaper per-ip-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
shaper traffic-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
sniff-interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
sniff-interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
ssl setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
vip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
vipgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
ftp-proxy 195explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
gui 197console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
icap 199profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
imp2p 203aim-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
ortiOS Handbook v3: CLI Reference for FortiOS 4.3 1-430-99686-20130225 5 ttp://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
icq-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
msn-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
old-version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
yahoo-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
ips 211DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
config limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
decoder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
log 223custom-field . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
{disk | fortianalyzer | fortianalyzer2 | fortianalyzer3 | memory | syslogd | syslogd2 | syslogd3 | webtrends | fortiguard} filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
disk setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
eventfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
{fortianalyzer | syslogd} override-filter . . . . . . . . . . . . . . . . . . . . . . . . . 235
fortianalyzer override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
{fortianalyzer | fortianalyzer2 | fortianalyzer3} setting. . . . . . . . . . . . . . . . . . 237
fortiguard setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
gui . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
memory setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
memory global-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
syslogd override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
{syslogd | syslogd2 | syslogd3} setting . . . . . . . . . . . . . . . . . . . . . . . . . 246
trafficfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
webtrends setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
netscan 251assets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
pbx 255dialplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
CLI Reference for FortiOS 4.3 for FortiOS 4.0 MR3 6 01-430-99686-20130225
http://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
F0h
did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
voice-menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
report 267chart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
dataset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
layout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
style. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
theme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
router 285access-list, access-list6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
aspath-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
auth-path . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
config router bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293config admin-distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296config aggregate-address, config aggregate-address6 . . . . . . . . . . . . . . 296config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297config network, config network6 . . . . . . . . . . . . . . . . . . . . . . . . . . 304config redistribute, config redistribute6 . . . . . . . . . . . . . . . . . . . . . . 305
community-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
gwdetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
isis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
config isis-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313config isis-net . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314config redistribute {bgp | connected | ospf | rip | static} . . . . . . . . . . . . . . 314config summary-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
key-chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Sparse mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318Dense mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319config router multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320config interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321config pim-sm-global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
multicast-flow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
ortiOS Handbook v3: CLI Reference for FortiOS 4.3 1-430-99686-20130225 7 ttp://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
config router ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331config area . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339config ospf-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342config summary-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
ospf6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
prefix-list, prefix-list6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
config router rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355config distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357config interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360config offset-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
ripng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
route-map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Using route maps with BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
static6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
spamfilter 379bword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
dnsbl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
emailbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
fortishield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
ipbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
iptrust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
mheader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
config {imap | imaps | pop3 | pop3s | smtp | smtps} . . . . . . . . . . . . . . . . 395config {gmail | msn-hotmail | yahoo-mail} . . . . . . . . . . . . . . . . . . . . . 396
CLI Reference for FortiOS 4.3 for FortiOS 4.0 MR3 8 01-430-99686-20130225
http://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
F0h
system 3973g-modem custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
accprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
alertemail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
amc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
arp-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
auto-install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
autoupdate clientoverride . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
autoupdate override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
autoupdate push-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
autoupdate schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
autoupdate tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
aux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
bug-report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
ddns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
dhcp reserved-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
dhcp server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
dhcp6 server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
dns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
dns-database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
dns-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
elbc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
fips-cc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
fortiguard-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
gi-gk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
gre-tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
ha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
ipv6-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
mac-address-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
ortiOS Handbook v3: CLI Reference for FortiOS 4.3 1-430-99686-20130225 9 ttp://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490
npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
ntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
object-tag. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
password-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
port-pair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
proxy-arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
pstn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
replacemsg admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
replacemsg alertmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
replacemsg auth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
replacemsg ec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
replacemsg fortiguard-wf. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
replacemsg ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
replacemsg http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
replacemsg im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
replacemsg mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
replacemsg mm1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
replacemsg mm3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
replacemsg mm4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
replacemsg mm7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
replacemsg-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
replacemsg nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
replacemsg nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
replacemsg spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
replacemsg sslvpn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
replacemsg traffic-quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
replacemsg webproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540
resource-limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
session-helper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
session-sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
session-ttl. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
CLI Reference for FortiOS 4.3 for FortiOS 4.0 MR3 10 01-430-99686-20130225
http://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
F0h
sit-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
snmp community . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
snmp sysinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
snmp user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
sp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
switch-interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
tos-based-priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565
vdom-dns. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
vdom-link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567
vdom-property . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
vdom-sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
wccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
zone. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
user 575Configuring users for authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 576
Configuring users for password authentication . . . . . . . . . . . . . . . . . . 576Configuring peers for certificate authentication . . . . . . . . . . . . . . . . . . 576
ban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
fsso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581
group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
ldap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583
local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585
peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586
peergrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594
sms-provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
tacacs+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597
voip 599profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600
config sip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602config sccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
ortiOS Handbook v3: CLI Reference for FortiOS 4.3 1-430-99686-20130225 11 ttp://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
vpn 611certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612
certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614
certificate ocsp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
certificate remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
ipsec concentrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617
ipsec forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618
ipsec manualkey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
ipsec manualkey-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
ipsec phase1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
ipsec phase1-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
ipsec phase2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
ipsec phase2-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648
l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
pptp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656
ssl settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658
ssl web host-check-software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
ssl web portal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
ssl web virtual-desktop-app-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669
wanopt 671auth-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678
ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679
storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681
webcache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
config cache-exemption-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
web-proxy 685explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686
forward-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 690
webfilter 693content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
CLI Reference for FortiOS 4.3 for FortiOS 4.0 MR3 12 01-430-99686-20130225
http://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
F0h
content-header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696
fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
ftgd-local-cat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
ftgd-local-rating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
ftgd-warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702
override-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704
config ftgd-wf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707config override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708config quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709config web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709
urlfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710
wireless-controller 713ap-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717
timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 718
vap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
vap-group. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722
wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723
wtp-profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
execute 727backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728
batch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
bypass-mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
carrier-license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732
central-mgmt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733
cfg reload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734
cfg save. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735
clear system arp table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736
cli check-template-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737
cli status-msg-only . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
date . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
disk raid. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741
ortiOS Handbook v3: CLI Reference for FortiOS 4.3 1-430-99686-20130225 13 ttp://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
dhcp lease-clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742
dhcp lease-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
disconnect-admin-session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744
enter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745
factoryreset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746
firmware-list update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 747
formatlogdisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748
forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749
fortiguard-log update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750
fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751
fsso refresh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752
ha disconnect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
ha manage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754
ha synchronize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
interface dhcpclient-renew . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 756
interface pppoe-reconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
log client-reputation-report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758
log delete-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759
log delete-rolled . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760
log display . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761
log filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762
log fortianalyzer test-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . 763
log list. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
log rebuild-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765
log recreate-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
log-report reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767
log roll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768
modem dial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769
modem hangup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
modem trigger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771
mrouter clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772
netscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
pbx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776
ping-options, ping6-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777
ping6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
CLI Reference for FortiOS 4.3 for FortiOS 4.0 MR3 14 01-430-99686-20130225
http://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
F0h
reboot. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779
report-config reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
revision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784
router clear bfd session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 785
router clear bgp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786
router clear ospf process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
router restart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788
send-fds-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789
set system session filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 790
set-next-reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
sfp-mode-sgmii. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794
ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
tac report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797
time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
traceroute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799
tracert6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800
update-ase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
update-av. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
update-ips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
update-modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804
update-now. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805
upd-vd-license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806
upload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807
usb-disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 808
vpn certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 809
vpn certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810
vpn certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811
vpn certificate remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
vpn ipsec tunnel down . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815
vpn ipsec tunnel up. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816
vpn sslvpn del-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817
vpn sslvpn del-tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818
vpn sslvpn del-web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819
ortiOS Handbook v3: CLI Reference for FortiOS 4.3 1-430-99686-20130225 15 ttp://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
vpn sslvpn list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820
wireless-controller delete-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . 821
wireless-controller list-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . . . 822
wireless-controller reset-wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823
wireless-controller restart-acd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 824
wireless-controller restart-wtpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825
wireless-controller upload-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . 826
get 827endpoint-control app-detect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828
firewall dnstranslation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 830
firewall iprope appctrl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831
firewall iprope list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832
firewall proute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833
firewall service predefined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834
firewall shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835
grep. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836
gui console status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837
gui topology status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 838
hardware cpu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839
hardware memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 840
hardware nic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 841
hardware npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 842
hardware status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 845
ips decoder status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846
ips rule status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847
ips session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 848
ipsec tunnel list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
log sql status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 850
netscan scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 851
netscan settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 852
get pbx branch-office. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 853
pbx dialplan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 854
pbx did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855
pbx extension. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856
pbx ftgd-voice-pkg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857
pbx global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 858
CLI Reference for FortiOS 4.3 for FortiOS 4.0 MR3 16 01-430-99686-20130225
http://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
F0h
pbx ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
pbx sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 860
pbx voice-menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 861
report database schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 862
router info bfd neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863
router info bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 864
router info gwdetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866
router info isis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867
router info kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868
router info multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869
router info ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870
router info protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872
router info rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 873
router info routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 874
router info vrrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875
router info6 bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 876
router info6 interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
router info6 kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 878
router info6 ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879
router info6 protocols. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
router info6 rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881
router info6 routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 882
system admin list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 883
system admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 884
system arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885
system auto-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886
system central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 887
system checksum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 888
system cmdb status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 889
system dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 890
system fdp-fortianalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 891
system fortianalyzer-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . 892
system fortiguard-log-service status . . . . . . . . . . . . . . . . . . . . . . . . . . 893
system fortiguard-service status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 894
system ha-nonsync-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895
system ha status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
ortiOS Handbook v3: CLI Reference for FortiOS 4.3 1-430-99686-20130225 17 ttp://docs.fortinet.com/
http://docs.fortinet.com/
-
Contents
system info admin ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 898
system info admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899
system interface physical. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 900
system mgmt-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
system performance firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 902
system performance status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 903
system performance top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904
system session list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 905
system session status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 906
system session-helper-info list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 907
system session-info . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 908
system source-ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 909
system startup-error-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 910
system status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 911
test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 912
user adgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 914
vpn ike gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 915
vpn ipsec tunnel details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 916
vpn ipsec tunnel name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 917
vpn ipsec stats crypto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 918
vpn ipsec stats tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 919
vpn ssl monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 920
vpn status l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 921
vpn status pptp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 922
vpn status ssl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 923
webfilter ftgd-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 924
webfilter status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 926
wireless-controller scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927
tree 929
Appendix 931
CLI Reference for FortiOS 4.3 for FortiOS 4.0 MR3 18 01-430-99686-20130225
http://docs.fortinet.com/
http://docs.fortinet.com/
-
F o r t i O S H a n d b o o k
F0h
IntroductionThis document describes FortiOS Handbook v3 CLI commands used to configure and manage a FortiGate unit from the command line interface (CLI).
How this guide is organized
How this guide is organizedMost of the chapters in this document describe the commands for each configuration branch of the FortiOS Handbook CLI. The command branches and commands are in alphabetical order.This document also contains the following sections:Whats new describes changes to the v3 CLI.execute describes execute commands.get describes get commands.tree describes the tree command.
Availability of commands and optionsSome FortiOS Handbook CLI commands and options are not available on all FortiGate units. The CLI displays an error message if you attempt to enter a command or option that is not available. You can use the question mark ? to verify the commands and options that are available.Commands and options may not be available for the following reasons:
FortiGate model. All commands are not available on all FortiGate models. For example, low end FortiGate models do not support the aggregate option of the config system interface command.
Hardware configuration. For example, some AMC module commands are only available when an AMC module is installed.
FortiOS Carrier, FortiGate Voice, FortiWiFi etc. Commands for extended functionality are not available on all FortiGate models. The CLI Reference includes commands only available for FortiWiFi units, FortiOS Carrier, and FortiGate Voice units
Document conventions and other informationSee Appendix on page 931.
ortiOS Handbook v3: CLI Reference for FortiOS 4.3 1-430-99686-20130225 19 ttp://docs.fortinet.com/
http://docs.fortinet.com/
-
Document conventions and other information Introduction
CLI Reference for FortiOS 4.3 for FortiOS 4.0 MR3 20 01-430-99686-20130225
http://docs.fortinet.com/
http://docs.fortinet.com/
-
F o r t i O S H a n d b o o k
F0h
Whats newAs the FortiOS Handbook is being developed, the FortiGate CLI Reference for FortiOS 4.3 is becoming a dictionary of FortiOS CLI commands. Examples have been removed from this CLI Reference and command explanations are being more sharply focused on defining the command and its options, ranges, defaults and dependencies. The CLI Reference now includes FortiOS Carrier commands and future versions will include FortiGate Voice commands. Also command histories have been removed.The table below lists CLI commands and options that have been added to FortiOS v3.
Command Change
config antivirus profile
edit
set filepattable Removed. Use config dlp sensor.
set options file-filter Option removed. Use config dlp sensor.
set options strict-file Option removed. Use config dlp sensor.
config ftps New fields to configure antivirus for FTPS.
config {http https ftp ftps smtp smtps pop3 pop3s imap imaps im nntp}
set archive-block New field. Selects archive types to block.
set archive-log New field. Selects archive types to block.
config antivirus quarantine
set drop-blocked ftps Changed. ftps option added.
set heuristic ftps Changed. ftps option added.
set drop-infected ftps Changed. ftps option added.
config antivirus service ftps New command.
config application list
edit
set p2p-black-list New field. Blacklists Bittorrent, eDonkey, or Skype.
config entries
edit
set action reset New option. Resets network connection.
set application This field now accepts multiple options.
set block-video New. Blocks or allows MSN video chats.
set chart Removed.
set category This field now accepts multiple options.
config dlp filepattern New command. Configures file patterns used for DLP file blocking.
config dlp fp-doc-source New command. Adds fingerprinting document sources.
config dlp fp-sensitivity New command. Adds fingerprinting sensitivity labels.
ortiOS Handbook v3 CLI Reference for FortiOS 4.3 1-430-99686-20130225 21 ttp://docs.fortinet.com/
http://docs.fortinet.com/
-
Whats new
config dlp rule
edit
set field file-size New option. Searches for files of specified size.
set field file-type New option. Searches for files of specified type.
set field fingerprint New option. Searches for fingerprinted files.
set field regexp New option. Searches for a match using a regular expression string.
set field file-bytes New attribute. Searches for specific data at a specific location in the file.
set file-bytes New field, Specifies data for file-bytes search.
set file-byte-hex New field, Enables use of hexadecimal in file-bytes.
set file-byte-offset New field. Location in file to find file-bytes data.
set protocol session-control Option removed.
config dlp sensor
edit
set flow-based New field. Enables flow-based DLP.
set options strict-file Field moved from config antivirus profile.
config compound-ruleconfig rule
Subcommands removed. Use config filter.
config filter New subcommand. Configures DLP sensors, formerly configured in config compound-rule and config rule.
config endpoint-control profile
edit
set require-av warnset require-av warnset require-av-uptodate warnset require-firewall warnset require-license warnset require-webfilter warn
New warn option, Warns user about non-compliance, but allows access.
config firewall address, address6
edit
set color New field. Sets icon color.
set country New field. Set country code for geography type address.
set tags New field. Applies object tags.
set type geography New option for Geography-based filtering.
config firewall addrgrp, addrgrp6
edit
set color New field. Sets icon color.
config firewall local-in-policy, local-in-policy6
New command. Creates firewall policies for traffic destined for the FortiGate unit itself.
Command Change
FortiOS Handbook v3 CLI Reference for FortiOS 4.3 22 01-430-99686-20130225
http://docs.fortinet.com/
http://docs.fortinet.com/
-
Whats new
F0h
config firewall multicast-policy
edit
set auto-asic-offload New field. Enables session offload to NP or SP processors.
set logtraffic New field. Enables logging of multicast traffic.
config firewall policy, policy6
edit
set application New field. Enables tracking of application usage in auto profiling.
set auth-method form New option. Form-based authentication in explicit web-proxy.
set auto-asic-offload New field. Enables session offload to NP or SP processors.
set bandwidth New field. Enables tracking of bandwidth usage in auto profiling.
set client-reputation New field. Enables client reputation feature.
set client-reputation-mode New field. Select learning or monitoring mode for client reputation.
set dynamic-profile New field. Enables dynamic profile.
set dynamic-profile-access Enable dynamic profiles by protocol. Functionality moved from system dynamic profile.
set dynamic-profile-group New field. Selects the dynamic profile group.
set endpoint-keepalive-interface New field. Specifies keepalive interface for endpoint-check.
set failed-connection New field. Enables tracking of failed connection attempts in auto profiling.
set fsae Renamed to fsso.
set fsae-agent-for-ntlm Renamed to fsso-agent-for-ntlm.
set fsso Renamed from fsae.
set fsso-agent-for-ntlm Renamed from fsae-agent-for-ntlm.
set geo-location New field. Enables tracking countries of destination IP addresses in auto profiling.
set global-label New field. Places policy in the named subsection in the web-based manager policy list.
set icap-profile New field. Select an Internet Content Adaptation Protocol (ICAP) profile.
set identity-based This field is invisible if dynamic-profile is enabled.
set logtraffic-app New field. Enables traffic logging when application list logging is enabled, regardless of logtraffic setting.
set ntlm-enabled-browsers New field. Defines HTTP-User-Agent strings of supported browsers.
set ntlm-guest New field. Enables NTLM guest user access.
set schedule-timeout New field. Enables forced timeout of session when policy schedule ends.
Command Change
ortiOS Handbook v3 CLI Reference for FortiOS 4.3 1-430-99686-20130225 23 ttp://docs.fortinet.com/
http://docs.fortinet.com/
-
Whats new
config firewall policy, policy6 (contd)
set sessions New field. Enables taking a snapshot of the number of sessions every five minutes in auto profiling.
set srcintf ftp-proxy New option. Use FTP proxy as source interface.
set tags New field. Applies object tags.
set traffic-shaper-reverse Field can now be set without setting traffic-shaper.
set web-auth-cookie New field. Enables cookies for explicit proxy sessions.
set webcache New: Apply web caching in a firewall policy.
set webproxy-forward-server New field. Sets name of web proxy forwarding server.
config firewall profile-group
edit
set icap-profile New field. Sets an Internet Content Adaptation Protocol (ICAP) profile.
config firewall profile-protocol-options
edit
config ftp
set post-lang Removed. Post-lang does not apply to FTP.
config ftps New subcommand. Configures FTPS protocol options.
set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.
config https
set options ssl-ca-list New option. Verifies SSL session server certificate against stored CA certificate list.
set client-cert-request New field. Selects action to take if the client certificate request fails during the SSL handshake.
set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.
config imaps
set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.
config pop3s
set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.
config smtps
set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.
config ssl-server New subcommand. Configures SSL server settings for use with the secure protocols (HTTPS, FTPS, POP3S, SMTPS).
config firewall schedule group
edit
set color New field. Sets icon color.
Command Change
FortiOS Handbook v3 CLI Reference for FortiOS 4.3 24 01-430-99686-20130225
http://docs.fortinet.com/
http://docs.fortinet.com/
-
Whats new
F0h
config firewall schedule onetime
edit
set color New field. Sets icon color.
config firewall schedule recurring
edit
set color New field. Sets icon color.
config firewall service custom
edit
set color New field. Sets icon color.
set protocol TCP/UDP/SCTPset tcp-halfopen-timerset tcp-halfclose-timerset tcp-timewait-timerset udp-idle-timerset check-reset-rangeset session-ttl
New session control options for custom services.
config firewall service explicit-web New command. Configures explicit web proxy services.
config firewall service group
edit
set color New field. Sets icon color.
config firewall service group-explicit-web New command. Configures explicit web proxy service groups.
config firewall shaper per-ip-shaper
edit
set diffserv-forward set diffservcode-forward set diffserv-reverse set diffservcode-rev
New fields. Manage differentiated services code point (DSCP) values.
config firewall shaper traffic-shaper
edit
set diffservset diffservcode
New fields. Starts differentiated services for network traffic.
config firewall sniff-interface-policy
edit
set logtraffic New field. Enable traffic logging on one-arm policy.
config firewall vip
set extip Changed. Now also accepts address range.
set http-cookie-domain-from-host New field. Sets handling of SetCookie.
set ldb-method http-host Changed. New method http-host added.
set ssl-algorithm New field. Sets the permitted encryption algorithms for SSL sessions according to encryption strength.
set ssl-client-renegotiation secure New option. Requires secure renegotiation.
Command Change
ortiOS Handbook v3 CLI Reference fo