Fortigate 200D

ARP Table

 

config vdom
edit root
get system arp

arp

或是

config vdom
edit root
diagnose ip arp list

另,可並用grep列出特定字串

diagnose  ip arp list | grep 10.25.1.1

grep 詳見
https://kb.fortinet.com/kb/documentLink.do?externalID=FD48018

arp

或是

Virtual Domains->root->User & Device->Device->Device Definitions

device

 

若發生資安相關事件(如下圖),欲將某設備阻擋不能上網,請照下圖處理。

亦可將Destination IP封鎖。

traffic

 

 

Block access by Mac address

v5.2.7

DHCP

System->DHCP monitor > right-click DHCP lease > create/edit IP Reservation > set action "Block"

亦可在

System->Network->Interface->DHCP Server->Advanced->MAC Reservation + Access Control設定

Block:阻擋:也就是指定該mac不被允許DHCP。

Reserve:特定IP給一個特定的mac。

Assign:也就是指定該mac允許被DHCP。

要注意的是,底下有個 Unknown MAC Addresses 需選Block,如此Reserve和Assign的設定才有意義。

 

 

非 DHCP(比較全面)

 

System->Network->Interface->Desired interface->Enable "Device Management -> Detect and Identify Devices"
 
User&Device--> Device -> Device definitions ->Create New->新增 blocked MAC(此法為該欲阻擋設備目前不在表內,若在, 就用下法較快將之加在Block Mac Group)

此Block_Mac Group為一開始自創的,為了是其後要配合polcy 阻擋其上網用。

device

create

若該欲阻擋設備目前在表內,就用Edit將之加在Block Mac Group)

add to block

 

Add a polcy to block

mac_block

IPV6 & IPV6 DHCP

以下若要貼上CLI,需先將#開頭的行移去

設定IPV6

config vdom(若有vdom)

edit root(若有vdom)

config system interface

edit V120

設定interface V120

config ipv6
set ip6-address 2001:288:121f:120::ffff/64

設定interface IP
set ip6-allowaccess ping https ssh http
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
config ip6-prefix-list
edit 2001:288:121f:120::/64

設定interface prefix
set autonomous-flag enable
set onlink-flag enable
next
end
end

設定IPV6 DHCP

config vdom(若有vdom)

edit root(若有vdom)

config system dhcp6 server
edit 120
set subnet 2001:288:121f:120::/64
set interface "V120"
config ip-range
edit 1
set start-ip 2001:288:121f:120:d::0001
set end-ip 2001:288:121f:120:d::1000
next
end
set dns-server1 2001:288:1200::166
set dns-server2 2001:288:1200::167

set dns-server3 2001:4860:4860::8888


next

end$

刪除IPV6 DHCP

(root) # config system dhcp6 server
(server) # show

看目前有那幾個介面有使用dhcp6 server
(server) # delete 60

刪除之。

但奇怪的是,刪了以後,還是有派出去(Client有得到ipv6 address),必需在interface IP內unset 設定才可不派(也就是將此介面的ipv6關掉)(待研究,重編)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

DHCP鎖MAC

v5.6.6 build1630 (GA)

梁小芳 DHCP鎖MAC的方法只有200筆哦,建議用群組
管理
顯示更多心情
回覆2週
喬克立 請問如何用群組管理已知MAC的DHCP用戶端?
管理
回覆2週
梁小芳 喬克立 只能一筆筆重建

putty

Benjamin Ting 報告喬克立老師,誠如梁老師所言,DHCP Reserved Address僅支援200筆
而大量匯入的做法,請老師先備份設定,搜尋config system dhcp server,找到有設定保留的那段
完整的指令如下:
config system dhcp server
edit xx <-- 這裡要先查看您的設定檔,有編輯的是哪個編號
config reserved-address
edit 1
set mac 11:22:33:44:55:66
set action asign
set description 我是Benjamin
next
edit 2
set mac 66:55:44:33:22:11
set action asign
set description 我不是Benjamin
next
end

將以上文字儲存成txt檔案

使用Putty透過SSH連進防火牆
請記得在 Window-> Translation的 Remote character set 將編碼改成 UTF-8,就不會造成亂碼

 

喬克立 所以不能直接改CONFIG然後上傳囉?
管理
顯示更多心情
回覆1週
Benjamin Ting 報告老師,直接改conf再上傳也行,不過通常我不會在裡面編修中文,還是會有編碼的問題,而且conf上傳後會重新開機

 

*

*