fortios cli reference - isp-tools gmbh this guide is organized ... config admin-distance ... fortios...
TRANSCRIPT
-
FortiOS CLI Reference
FortiOS 4.0 MR3
Visit http://support.fortinet.com to register your FortiOS product. By registering you canreceive product updates, technical support, and FortiGuard services.
http://support.fortinet.com
-
FortiOS CLI ReferenceFortiOS 4.0 MR3August 25 201101-432-99686-20110825
Copyright 2011 Fortinet, Inc. All rights reserved. No part of this publication including text, examples, diagrams or illustrations may be reproduced, transmitted, or translated in any form or by any means, electronic, mechanical, manual, optical or otherwise, for any purpose, without prior written permission of Fortinet, Inc.
TrademarksThe symbols and denote respectively federally registered trademarks and unregistered trademarks of Fortinet, Inc., its subsidiaries and affiliates including, but not limited to, the following names: Fortinet, FortiGate, FortiOS, FortiASIC, FortiAnalyser, FortiSwitch, FortiBIOS, FortiLog, FortiVoIP, FortiResponse, FortiManager, FortiWiFi, FortiGuard, FortiReporter, FortiClient, FortiLog, APSecure, ABACAS. Other trademarks belong to their respective owners.
-
F0h
Contents
Introduction 21How this guide is organized . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Availability of commands and options . . . . . . . . . . . . . . . . . . . . . . . 21
Document conventions and other information . . . . . . . . . . . . . . . . . . . . . 21
Whats new 23Changes for FortiOS 4.3 Patch 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
alertemail 43setting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
antivirus 47heuristic. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
mms-checksum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51config {http | https | ftp | ftps | imap | imaps | pop3 | pop3s | smtp | smtps | nntp | im} . 51config nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
quarantine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
quarfilepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
application 59list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
dlp 65compound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
filepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 3ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
fp-doc-source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
fp-sensitivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
endpoint-control 83app-detect rule-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
firewall 89address, address6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
addrgrp, addrgrp6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
carrier-endpoint-bwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
carrier-endpoint-ip-filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
central-nat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
dnstranslation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
gtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
ipmacbinding setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
ipmacbinding table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
ippool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
ldb-monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
local-in-policy, local-in-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
mms-profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114config dupe {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119config flood {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120config log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121config notification {alert-dupe-1 | alert-flood-1 | mm1 | mm3 | mm4 | mm7} . . . . 122config notif-msisdn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
multicast-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
policy, policy6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127config identity-based-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
profile-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
FortiOS 4.0 MR3 CLI Reference4 01-432-99686-20110825
http://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
F0h
profile-protocol-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140config http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142config https . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143config ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144config ftps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145config imap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146config imaps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146config pop3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147config pop3s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147config smtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148config smtps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149config nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149config im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150config ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150config mail-signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
schedule onetime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
schedule recurring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
schedule group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
service custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
service explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
service group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
service group-explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
shaper per-ip-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
shaper traffic-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
sniff-interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
sniff-interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
ssl setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
vip. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
vipgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
ftp-proxy 183explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
gui 185console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
icap 187profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 5ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
imp2p 191aim-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
icq-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
msn-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
old-version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
yahoo-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
ips 199DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
config limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
decoder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
setting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
log 211custom-field. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
{disk | fortianalyzer | fortianalyzer2 | fortianalyzer3 | memory | syslogd | syslogd2 | syslogd3 | webtrends | fortiguard} filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
disk setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
eventfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
{fortianalyzer | syslogd} override-filter . . . . . . . . . . . . . . . . . . . . . . . . . 224
fortianalyzer override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
{fortianalyzer | fortianalyzer2 | fortianalyzer3} setting. . . . . . . . . . . . . . . . . . 226
fortiguard setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
gui . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
memory setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
memory global-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
syslogd override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
{syslogd | syslogd2 | syslogd3} setting . . . . . . . . . . . . . . . . . . . . . . . . . 233
trafficfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
FortiOS 4.0 MR3 CLI Reference6 01-432-99686-20110825
http://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
F0h
webtrends setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
netscan 237assets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
pbx 241dialplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
voice-menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
report 253chart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
dataset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
layout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
style. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
theme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
router 271access-list, access-list6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
aspath-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
auth-path . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276config router bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279config admin-distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282config aggregate-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283config aggregate-address6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283config neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289config network6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290config redistribute6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 7ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
community-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
gwdetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
isis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295config isis-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298config isis-net. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299config redistribute {bgp | connected | ospf | rip | static} . . . . . . . . . . . . . . 299config summary-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
key-chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303Sparse mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303Dense mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304config router multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305config interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307config pim-sm-global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
multicast-flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313config router ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315config area . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321config neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322config ospf-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325config summary-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
ospf6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
prefix-list, prefix-list6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337config router rip. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338config distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340config interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341config neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343config offset-list. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
ripng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
route-map. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350Using route maps with BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
setting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
FortiOS 4.0 MR3 CLI Reference8 01-432-99686-20110825
http://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
F0h
static6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
spamfilter 361bword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
dnsbl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
emailbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
fortishield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
ipbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
iptrust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
mheader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376config {imap | imaps | pop3 | pop3s | smtp | smtps} . . . . . . . . . . . . . . . . 377config {gmail | msn-hotmail | yahoo-mail} . . . . . . . . . . . . . . . . . . . . . 378
system 3793g-modem custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
accprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
alertemail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
amc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
arp-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
auto-install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
autoupdate clientoverride. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
autoupdate override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
autoupdate push-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
autoupdate schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
autoupdate tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
aux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
bug-report. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
ddns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
dhcp reserved-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
dhcp server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
dhcp6 server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 9ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
dns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
dns-database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
dns-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
elbc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
fips-cc. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
fortiguard-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
gi-gk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
gre-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
ha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
ipv6-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
mac-address-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
ntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
object-tag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
password-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
port-pair. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
proxy-arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
pstn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
replacemsg admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
replacemsg alertmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
replacemsg auth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
replacemsg ec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
replacemsg fortiguard-wf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484
replacemsg ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
replacemsg http. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
replacemsg im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490
replacemsg mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
replacemsg mm1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
replacemsg mm3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
replacemsg mm4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
replacemsg mm7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
FortiOS 4.0 MR3 CLI Reference10 01-432-99686-20110825
http://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
F0h
replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502
replacemsg-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
replacemsg nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
replacemsg nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
replacemsg spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
replacemsg sslvpn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510
replacemsg traffic-quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
replacemsg webproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
resource-limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
session-helper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
session-sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517
session-ttl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
sit-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
snmp community . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
snmp sysinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
snmp user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
sp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
switch-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
tos-based-priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
vdom-dns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
vdom-link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
vdom-property . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
vdom-sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
wccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
user 545Configuring users for authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 546
Configuring users for password authentication. . . . . . . . . . . . . . . . . . . 546Configuring peers for certificate authentication . . . . . . . . . . . . . . . . . . 546
ban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 11ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
fsso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
ldap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
peergrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
setting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
sms-provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
tacacs+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
voip 571profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
config sip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574config sccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
vpn 581certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583
certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585
certificate ocsp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
certificate remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
ipsec concentrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
ipsec forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
ipsec manualkey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
ipsec manualkey-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594
ipsec phase1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
ipsec phase1-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
ipsec phase2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
ipsec phase2-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618
l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
pptp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
ssl settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
ssl web host-check-software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
ssl web portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
ssl web virtual-desktop-app-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638
FortiOS 4.0 MR3 CLI Reference12 01-432-99686-20110825
http://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
F0h
wanopt 639auth-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647
storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
webcache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650config cache-exemption-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652
web-proxy 653explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
forward-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658
webfilter 659content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660
content-header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662
fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
ftgd-local-cat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664
ftgd-local-rating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665
ftgd-warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666
override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
override-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669config ftgd-wf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672config override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673config quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673config web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
urlfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
wireless-controller 677ap-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679
setting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 13ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
vap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683
vap-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686
wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687
wtp-profile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689
execute 691backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
batch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696
carrier-license. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
central-mgmt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
cfg reload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
cfg save. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
clear system arp table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
cli check-template-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702
cli status-msg-only . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703
date . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704
disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
disk raid. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706
dhcp lease-clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707
dhcp lease-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708
disconnect-admin-session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709
enter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710
factoryreset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711
firmware-list update. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
formatlogdisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
fortiguard-log update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716
fsso refresh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717
ha disconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 718
ha manage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
ha synchronize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
interface dhcpclient-renew . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
interface pppoe-reconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722
log client-reputation-report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723
FortiOS 4.0 MR3 CLI Reference14 01-432-99686-20110825
http://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
F0h
log delete-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 724
log delete-rolled. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
log display . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 726
log filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727
log fortianalyzer test-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728
log list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729
log rebuild-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
log recreate-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
log-report reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732
log roll. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733
modem dial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734
modem hangup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735
modem trigger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736
mrouter clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737
netscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
pbx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741
ping-options, ping6-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742
ping6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744
report-config reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745
restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746
revision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749
router clear bfd session. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750
router clear bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751
router clear ospf process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752
router restart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
send-fds-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754
set system session filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
set-next-reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
sfp-mode-sgmii . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758
shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759
ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760
tac report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761
telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762
time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 15ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
traceroute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
tracert6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765
update-ase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
update-av . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767
update-ips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768
update-modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769
update-now . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
upd-vd-license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771
upload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772
usb-disk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
vpn certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
vpn certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775
vpn certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776
vpn certificate remote. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
vpn ipsec tunnel down . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779
vpn ipsec tunnel up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
vpn sslvpn del-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
vpn sslvpn del-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782
vpn sslvpn del-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783
vpn sslvpn list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784
wireless-controller delete-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . . 785
wireless-controller list-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786
wireless-controller reset-wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
wireless-controller restart-acd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788
wireless-controller restart-wtpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789
wireless-controller upload-wtp-image. . . . . . . . . . . . . . . . . . . . . . . . . . 790
get 791endpoint-control app-detect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
firewall dnstranslation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794
firewall iprope appctrl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
firewall iprope list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
firewall proute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797
firewall service predefined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
firewall shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799
grep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800
FortiOS 4.0 MR3 CLI Reference16 01-432-99686-20110825
http://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
F0h
gui console status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
gui topology status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
hardware cpu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
hardware memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804
hardware nic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805
hardware npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806
hardware status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 809
ips decoder status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810
ips rule status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811
ips session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 812
ipsec tunnel list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 813
log sql status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
netscan scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815
netscan settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816
get pbx branch-office . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817
pbx dialplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818
pbx did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819
pbx extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820
pbx ftgd-voice-pkg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821
pbx global. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 822
pbx ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823
pbx sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 824
pbx voice-menu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825
report database schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
router info bfd neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 827
router info bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828
router info gwdetect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 830
router info isis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831
router info kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832
router info multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833
router info ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834
router info protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836
router info rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837
router info routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 838
router info vrrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839
router info6 bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 840
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 17ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
router info6 interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 841
router info6 kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 842
router info6 ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 843
router info6 protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 844
router info6 rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 845
router info6 routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846
system admin list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847
system admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 848
system arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
system auto-update. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 850
system central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 851
system checksum. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 852
system cmdb status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 853
system dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 854
system fdp-fortianalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855
system fortianalyzer-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856
system fortiguard-log-service status . . . . . . . . . . . . . . . . . . . . . . . . . . 857
system fortiguard-service status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 858
system ha-nonsync-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
system ha status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 860
system info admin ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 862
system info admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863
system interface physical . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 864
system mgmt-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 865
system performance firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866
system performance status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867
system performance top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868
system session list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869
system startup-error-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870
system session status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871
system session-helper-info list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872
system session-info. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 873
system source-ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 874
system status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875
test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 876
user adgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 878
FortiOS 4.0 MR3 CLI Reference18 01-432-99686-20110825
http://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
F0h
vpn ike gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879
vpn ipsec tunnel details. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
vpn ipsec tunnel name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881
vpn ipsec stats crypto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 882
vpn ipsec stats tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 883
vpn ssl monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 884
vpn status l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885
vpn status pptp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886
vpn status ssl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 887
webfilter ftgd-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 888
webfilter status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 890
wireless-controller scan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 891
tree 893
Appendix 896Document conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
IP addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896Example Network configuration . . . . . . . . . . . . . . . . . . . . . . . . . . 898Cautions, Notes and Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899Typographical conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 900CLI command syntax conventions . . . . . . . . . . . . . . . . . . . . . . . . . 900
Entering FortiOS configuration data . . . . . . . . . . . . . . . . . . . . . . . . . . 902Entering text strings (names). . . . . . . . . . . . . . . . . . . . . . . . . . . . 902Entering numeric values . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 903Selecting options from a list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 903Enabling or disabling options. . . . . . . . . . . . . . . . . . . . . . . . . . . . 903
Registering your Fortinet product. . . . . . . . . . . . . . . . . . . . . . . . . . . . 903
Fortinet products End User License Agreement . . . . . . . . . . . . . . . . . . . . 903
Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904
Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904Fortinet Tools and Documentation CD . . . . . . . . . . . . . . . . . . . . . . . 904Fortinet Knowledge Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904Comments on Fortinet technical documentation . . . . . . . . . . . . . . . . . 904
Customer service and technical support . . . . . . . . . . . . . . . . . . . . . . . . 904
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 19ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Contents
FortiOS 4.0 MR3 CLI Reference20 01-432-99686-20110825
http://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
F0h
IntroductionThis document describes FortiOS 4.0 MR3 CLI commands used to configure and manage a FortiGate unit from the command line interface (CLI). How this guide is organized
How this guide is organizedMost of the chapters in this document describe the commands for each configuration branch of the FortiOS CLI. The command branches and commands are in alphabetical order.This document also contains the following sections:Whats new describes changes to the 4.0 MR3 CLI.execute describes execute commands.get describes get commands.tree describes the tree command.
Availability of commands and optionsSome FortiOS CLI commands and options are not available on all FortiGate units. The CLI displays an error message if you attempt to enter a command or option that is not available. You can use the question mark ? to verify the commands and options that are available.Commands and options may not be available for the following reasons: FortiGate model. All commands are not available on all FortiGate models. For
example, low end FortiGate models do not support the aggregate option of the config system interface command.
Hardware configuration. For example, some AMC module commands are only available when an AMC module is installed.
FortiOS Carrier, FortiGate Voice, FortiWiFi etc. Commands for extended functionality are not available on all FortiGate models. The CLI Reference includes commands only available for FortiWiFi units, FortiOS Carrier, and FortiGate Voice units
Document conventions and other informationSee Appendix on page 896.
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 21ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Document conventions and other information Introduction
FortiOS 4.0 MR3 CLI Reference22 01-432-99686-20110825
http://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
F0h
Whats newAs the FortiOS Handbook is being developed, the FortiGate CLI Reference is becoming a dictionary of FortiOS CLI commands. Examples have been removed from this CLI Reference and command explanations are being more sharply focused on defining the command and its options, ranges, defaults and dependencies. The CLI Reference now includes FortiOS Carrier commands and future versions will include FortiGate Voice commands. Also command histories have been removed.These changes are in progress and will be completed in future versions of this document.The table below lists CLI commands and options that have been added to FortiOS 4.0 MR3.
Command Changeconfig antivirus profile
edit
set filepattable Removed. Use config dlp sensor.
set options file-filter Option removed. Use config dlp sensor.
set options strict-file Option removed. Use config dlp sensor.
config ftps New fields to configure antivirus for FTPS.
config {http https ftp ftps smtp smtps pop3 pop3s imap imaps im nntp}
set archive-block New field. Selects archive types to block.
set archive-log New field. Selects archive types to block.
config antivirus quarantine
set drop-blocked ftps Changed. ftps option added.
set heuristic ftps Changed. ftps option added.
set drop-infected ftps Changed. ftps option added.
config antivirus service ftps New command.
config application list
edit
set p2p-black-list New field. Blacklists Bittorrent, eDonkey, or Skype.
config entries
edit
set action reset New option. Resets network connection.
set block-video New. Blocks or allows MSN video chats.
set chart Removed.
config dlp filepattern New command. Configures file patterns used for DLP file blocking.
config dlp fp-doc-source New command. Adds fingerprinting document sources.config dlp fp-sensitivity New command. Adds fingerprinting sensitivity labels.
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 23ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Whats new
config dlp rule
edit
set field file-size New option. Searches for files of specified size.
set field file-type New option. Searches for files of specified type.
set field fingerprint New option. Searches for fingerprinted files.
set field regexp New option. Searches for a match using a regular expression string.
set field file-bytes New attribute. Searches for specific data at a specific location in the file.
set file-bytes New field, Specifies data for file-bytes search.
set file-byte-hex New field, Enables use of hexadecimal in file-bytes.
set file-byte-offset New field. Location in file to find file-bytes data.
set protocol session-control Option removed.
config dlp sensor
edit
set flow-based New field. Enables flow-based DLP.
set options strict-file Field moved from config antivirus profile.
config compound-ruleconfig rule
Subcommands removed. Use config filter.
config filter New subcommand. Configures DLP sensors, formerly configured in config compound-rule and config rule.
config endpoint-control profile
edit
set require-av warnset require-av warnset require-av-uptodate warnset require-firewall warnset require-license warnset require-webfilter warn
New warn option, Warns user about non-compliance, but allows access.
config firewall address, address6
edit
set color New field. Sets icon color.
set country New field. Set country code for geography type address.
set tags New field. Applies object tags.
set type geography New option for Geography-based filtering.
config firewall addrgrp, addrgrp6
edit
set color New field. Sets icon color.
config firewall local-in-policy, local-in-policy6
New command. Creates firewall policies for traffic destined for the FortiGate unit itself.
config firewall multicast-policy
edit
set auto-asic-offload New field. Enables session offload to NP or SP processors.
set logtraffic New field. Enables logging of multicast traffic.
Command Change
FortiOS 4.0 MR3 CLI Reference24 01-432-99686-20110825
http://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Whats new
F0h
config firewall policy, policy6
edit
set application New field. Enables tracking of application usage in auto profiling.
set auth-method form New option. Form-based authentication in explicit web-proxy.
set auto-asic-offload New field. Enables session offload to NP or SP processors.
set bandwidth New field. Enables tracking of bandwidth usage in auto profiling.
set client-reputation New field. Enables client reputation feature.
set client-reputation-mode New field. Select learning or monitoring mode for client reputation.
set dynamic-profile New field. Enables dynamic profile.
set dynamic-profile-access Enable dynamic profiles by protocol. Functionality moved from system dynamic profile.
set dynamic-profile-group New field. Selects the dynamic profile group.
set failed-connection New field. Enables tracking of failed connection attempts in auto profiling.
set fsae Renamed to fsso.
set fsae-agent-for-ntlm Renamed to fsso-agent-for-ntlm.
set fsso Renamed from fsae.
set fsso-agent-for-ntlm Renamed from fsae-agent-for-ntlm.
set geo-location New field. Enables tracking countries of destination IP addresses in auto profiling.
set global-label New field. Places policy in the named subsection in the web-based manager policy list.
set icap-profile New field. Select an Internet Content Adaptation Protocol (ICAP) profile.
set logtraffic-app New field. Enables traffic logging when application list logging is enabled, regardless of logtraffic setting.
set ntlm-enabled-browsers New field. Defines HTTP-User-Agent strings of supported browsers.
set ntlm-guest New field. Enables NTLM guest user access.
set schedule-timeout New field. Enables forced timeout of session when policy schedule ends.
set sessions New field. Enables taking a snapshot of the number of sessions every five minutes in auto profiling.
set srcintf ftp-proxy New option. Use FTP proxy as source interface.
set tags New field. Applies object tags.
set web-auth-cookie New field. Enables cookies for explicit proxy sessions.
set webcache New: Apply web caching in a firewall policy.
set webproxy-forward-server New field. Sets name of web proxy forwarding server.
config firewall profile-group
edit
set icap-profile New field. Sets an Internet Content Adaptation Protocol (ICAP) profile.
Command Change
ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 25ttp://docs.fortinet.com/ Feedback
http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html
-
Whats new
config firewall profile-protocol-options
edit
config ftp
set post-lang Removed. Post-lang does not apply to FTP.
config ftps New subcommand. Configures FTPS protocol options.
config https
set options ssl-ca-list New option. Verifies SSL session server certificate against stored CA certificate list.
set client-cert-request New field. Selects action to take if the client certificate request fails during the SSL handshake.
config ssl-server New subcommand. Configures SSL server settings for use with the secure protocols (HTTPS, FTPS, POP3S, SMTPS).
config firewall schedule group
edit
set color New field. Sets icon color.
config firewall schedule onetime
edit
set color New field. Sets icon