fortios™ cli reference - fortinet knowledge...
TRANSCRIPT
-
FortiOS CLI Reference
FortiOS 4.0 MR3
Visit http://support.fortinet.com to register your FortiOS product. By registering you canreceive product updates, technical support, and FortiGuard services.
http://support.fortinet.com -
FortiOS CLI ReferenceFortiOS 4.0 MR3February 17 201201-433-99686-20120217
Copyright 2012 Fortinet, Inc. All rights reserved. No part of this publication including text, examples, diagrams or illustrations may be reproduced, transmitted, or translated in any form or by any means, electronic, mechanical, manual, optical or otherwise, for any purpose, without prior written permission of Fortinet, Inc.
TrademarksThe symbols and denote respectively federally registered trademarks and unregistered trademarks of Fortinet, Inc., its subsidiaries and affiliates including, but not limited to, the following names: Fortinet, FortiGate, FortiOS, FortiASIC, FortiAnalyzer, FortiSwitch, FortiBIOS, FortiLog, FortiVoIP, FortiResponse, FortiManager, FortiWiFi, FortiGuard, FortiReporter, FortiClient, FortiLog, APSecure, ABACAS. Other trademarks belong to their respective owners.
-
F o r t i O S C L I R e f e r e n c e
F0h
ContentsIntroduction 21How this guide is organized . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Availability of commands and options . . . . . . . . . . . . . . . . . . . . . . . 21
Document conventions and other information . . . . . . . . . . . . . . . . . . . . . 21
Whats new 23
alertemail 43setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
antivirus 49heuristic. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
mms-checksum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
config {http|https|ftp|ftps|imap|imaps|pop3|pop3s|smtp|smtps|nntp|im} . . . . . 53config nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
quarantine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
quarfilepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
application 61list. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
dlp 67compound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
filepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
fp-doc-source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
fp-sensitivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
ortiOS 4.0 MR3: CLI Reference1-433-99686-20120217 3ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
endpoint-control 85app-detect rule-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
firewall 91address, address6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
addrgrp, addrgrp6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
carrier-endpoint-bwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
carrier-endpoint-ip-filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
central-nat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
dnstranslation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
gtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
ipmacbinding setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
ipmacbinding table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
ippool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
ldb-monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
local-in-policy, local-in-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
mms-profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
config dupe {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127config flood {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128config log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129config notification {alert-dupe-1 | alert-flood-1 | mm1 | mm3 | mm4 | mm7} . . . 130config notif-msisdn. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
multicast-policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
policy, policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
config identity-based-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
profile-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
CLI Reference for FortiOS 4.0 MR2 4 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
F0h
profile-protocol-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
config http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152config https. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153config ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154config ftps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155config imap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156config imaps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156config pop3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157config pop3s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157config smtp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158config smtps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159config nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160config im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160config ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160config mail-signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
schedule onetime. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
schedule recurring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
schedule group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
service custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
service explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
service group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
service group-explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
shaper per-ip-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
shaper traffic-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
sniff-interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
sniff-interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
ssl setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
vip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
vipgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
ftp-proxy 195explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
gui 197console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
icap 199profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
ortiOS 4.0 MR3: CLI Reference1-433-99686-20120217 5ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
imp2p 203aim-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
icq-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
msn-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
old-version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
yahoo-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
ips 211DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
config limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
decoder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
log 223custom-field . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
{disk | fortianalyzer | fortianalyzer2 | fortianalyzer3 | memory | syslogd | syslogd2 | syslogd3 | webtrends | fortiguard} filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
disk setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
eventfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
{fortianalyzer | syslogd} override-filter . . . . . . . . . . . . . . . . . . . . . . . . . 236
fortianalyzer override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
{fortianalyzer | fortianalyzer2 | fortianalyzer3} setting. . . . . . . . . . . . . . . . . . 238
fortiguard setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
gui . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
memory setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
memory global-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
syslogd override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
{syslogd | syslogd2 | syslogd3} setting . . . . . . . . . . . . . . . . . . . . . . . . . 246
trafficfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
webtrends setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
netscan 251assets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
CLI Reference for FortiOS 4.0 MR2 6 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
F0h
pbx 255dialplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
voice-menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
report 267chart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
dataset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
layout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
style. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
theme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
router 285access-list, access-list6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
aspath-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
auth-path . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
config router bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293config admin-distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296config aggregate-address, config aggregate-address6 . . . . . . . . . . . . . . 296config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297config network, config network6 . . . . . . . . . . . . . . . . . . . . . . . . . . 304config redistribute, config redistribute6 . . . . . . . . . . . . . . . . . . . . . . 305
community-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
gwdetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
isis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
config isis-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313config isis-net . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314config redistribute {bgp | connected | ospf | rip | static} . . . . . . . . . . . . . . 314config summary-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
key-chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
ortiOS 4.0 MR3: CLI Reference1-433-99686-20120217 7ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Sparse mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318Dense mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319config router multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320config interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321config pim-sm-global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
multicast-flow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
config router ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331config area . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339config ospf-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342config summary-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
ospf6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
prefix-list, prefix-list6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
config router rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355config distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357config interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360config offset-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
ripng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
route-map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Using route maps with BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
static6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
spamfilter 379bword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
dnsbl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
emailbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
fortishield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
ipbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
CLI Reference for FortiOS 4.0 MR2 8 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
F0h
iptrust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
mheader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
config {imap | imaps | pop3 | pop3s | smtp | smtps} . . . . . . . . . . . . . . . . 395config {gmail | msn-hotmail | yahoo-mail} . . . . . . . . . . . . . . . . . . . . . 396
system 3973g-modem custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
accprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
alertemail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
amc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
arp-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
auto-install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
autoupdate clientoverride . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
autoupdate override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
autoupdate push-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
autoupdate schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
autoupdate tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
aux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
bug-report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
ddns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
dhcp reserved-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
dhcp server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
dhcp6 server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
dns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
dns-database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
dns-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
elbc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
fips-cc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
fortiguard-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
gi-gk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
ortiOS 4.0 MR3: CLI Reference1-433-99686-20120217 9ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
gre-tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
ha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
ipv6-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
mac-address-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490
npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
ntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
object-tag. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
password-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
port-pair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
proxy-arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
pstn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
replacemsg admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
replacemsg alertmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
replacemsg auth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
replacemsg ec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
replacemsg fortiguard-wf. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
replacemsg ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
replacemsg http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
replacemsg im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
replacemsg mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
replacemsg mm1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
replacemsg mm3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
replacemsg mm4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
replacemsg mm7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
replacemsg-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
replacemsg nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
replacemsg nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
replacemsg spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
replacemsg sslvpn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
replacemsg traffic-quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
CLI Reference for FortiOS 4.0 MR2 10 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
F0h
replacemsg webproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540
resource-limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
session-helper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
session-sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
session-ttl. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
sit-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
snmp community . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
snmp sysinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
snmp user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
sp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
switch-interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
tos-based-priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565
vdom-dns. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
vdom-link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567
vdom-property . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
vdom-sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
wccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
zone. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
user 575Configuring users for authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 576
ban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
fsso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581
group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
ldap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583
local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585
peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586
peergrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594
sms-provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
tacacs+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597
ortiOS 4.0 MR3: CLI Reference1-433-99686-20120217 11ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
voip 599profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600
config sip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602config sccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
vpn 611certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612
certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614
certificate ocsp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
certificate remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
ipsec concentrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617
ipsec forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618
ipsec manualkey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
ipsec manualkey-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
ipsec phase1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
ipsec phase1-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
ipsec phase2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
ipsec phase2-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648
l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
pptp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656
ssl settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658
ssl web host-check-software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
ssl web portal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
ssl web virtual-desktop-app-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669
wanopt 671auth-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678
ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679
storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681
webcache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
config cache-exemption-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
CLI Reference for FortiOS 4.0 MR2 12 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
F0h
web-proxy 685explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686
forward-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 690
webfilter 693content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
content-header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696
fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
ftgd-local-cat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
ftgd-local-rating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
ftgd-warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702
override-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703
profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704
config ftgd-wf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707config override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708config quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709config web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709
urlfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710
wireless-controller 713ap-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717
timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 718
vap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
vap-group. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722
wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723
wtp-profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
execute 727backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728
batch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
bypass-mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
carrier-license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732
central-mgmt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733
cfg reload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734
cfg save. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735
ortiOS 4.0 MR3: CLI Reference1-433-99686-20120217 13ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
clear system arp table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736
cli check-template-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737
cli status-msg-only . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
date . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
disk raid. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741
dhcp lease-clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742
dhcp lease-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
disconnect-admin-session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744
enter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745
factoryreset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746
firmware-list update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 747
formatlogdisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748
forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749
fortiguard-log update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750
fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751
fsso refresh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752
ha disconnect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
ha manage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754
ha synchronize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
interface dhcpclient-renew . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 756
interface pppoe-reconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
log client-reputation-report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758
log delete-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759
log delete-rolled . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760
log display . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761
log filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762
log fortianalyzer test-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . 763
log list. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
log rebuild-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765
log recreate-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
log-report reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767
log roll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768
modem dial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769
modem hangup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
modem trigger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771
CLI Reference for FortiOS 4.0 MR2 14 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
F0h
mrouter clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772
netscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
pbx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776
ping-options, ping6-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777
ping6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
reboot. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779
report-config reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
revision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784
router clear bfd session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 785
router clear bgp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786
router clear ospf process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
router restart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788
send-fds-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789
set system session filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 790
set-next-reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
sfp-mode-sgmii. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794
ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
tac report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797
time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
traceroute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799
tracert6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800
update-ase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
update-av. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
update-ips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
update-modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804
update-now. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805
upd-vd-license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806
upload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807
usb-disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 808
vpn certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 809
vpn certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810
vpn certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811
ortiOS 4.0 MR3: CLI Reference1-433-99686-20120217 15ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
vpn certificate remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
vpn ipsec tunnel down . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815
vpn ipsec tunnel up. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816
vpn sslvpn del-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817
vpn sslvpn del-tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818
vpn sslvpn del-web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819
vpn sslvpn list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820
wireless-controller delete-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . 821
wireless-controller list-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . . . 822
wireless-controller reset-wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823
wireless-controller restart-acd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 824
wireless-controller restart-wtpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825
wireless-controller upload-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . 826
get 827endpoint-control app-detect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828
firewall dnstranslation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 830
firewall iprope appctrl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831
firewall iprope list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832
firewall proute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833
firewall service predefined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834
firewall shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835
grep. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836
gui console status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837
gui topology status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 838
hardware cpu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839
hardware memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 840
hardware nic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 841
hardware npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 842
hardware status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 845
ips decoder status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846
ips rule status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847
ips session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 848
ipsec tunnel list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
log sql status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 850
netscan scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 851
netscan settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 852
CLI Reference for FortiOS 4.0 MR2 16 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
F0h
get pbx branch-office. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 853
pbx dialplan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 854
pbx did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855
pbx extension. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856
pbx ftgd-voice-pkg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857
pbx global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 858
pbx ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
pbx sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 860
pbx voice-menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 861
report database schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 862
router info bfd neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863
router info bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 864
router info gwdetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866
router info isis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867
router info kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868
router info multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869
router info ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870
router info protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872
router info rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 873
router info routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 874
router info vrrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875
router info6 bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 876
router info6 interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
router info6 kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 878
router info6 ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879
router info6 protocols. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
router info6 rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881
router info6 routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 882
system admin list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 883
system admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 884
system arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885
system auto-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886
system central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 887
system checksum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 888
system cmdb status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 889
system dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 890
ortiOS 4.0 MR3: CLI Reference1-433-99686-20120217 17ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
system fdp-fortianalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 891
system fortianalyzer-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . 892
system fortiguard-log-service status . . . . . . . . . . . . . . . . . . . . . . . . . . 893
system fortiguard-service status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 894
system ha-nonsync-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895
system ha status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
system info admin ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 898
system info admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899
system interface physical. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 900
system mgmt-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
system performance firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 902
system performance status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 903
system performance top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904
system session list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 905
system session status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 906
system session-helper-info list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 907
system session-info . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 908
system source-ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 909
system startup-error-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 910
system status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 911
test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 912
user adgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 914
vpn ike gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 915
vpn ipsec tunnel details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 916
vpn ipsec tunnel name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 917
vpn ipsec stats crypto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 918
vpn ipsec stats tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 919
vpn ssl monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 920
vpn status l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 921
vpn status pptp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 922
vpn status ssl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 923
webfilter ftgd-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 924
webfilter status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 926
wireless-controller scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927
CLI Reference for FortiOS 4.0 MR2 18 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
F0h
tree 929
Appendix 931Document conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931
IPv4 IP addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931Example Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 932Tips, must reads, and troubleshooting. . . . . . . . . . . . . . . . . . . . . . . 933Typographical conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933
Registering your Fortinet product . . . . . . . . . . . . . . . . . . . . . . . . . . . 934
Training Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 934
Technical Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 934
Comments on Fortinet technical documentation . . . . . . . . . . . . . . . . . 934
Customer service and support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 934
Fortinet products End User License Agreement . . . . . . . . . . . . . . . . . . . . 934
ortiOS 4.0 MR3: CLI Reference1-433-99686-20120217 19ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Contents
CLI Reference for FortiOS 4.0 MR2 20 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
F o r t i O S C L I R e f e r e n c e
F0h
IntroductionThis document describes FortiOS 4.0 MR3 CLI commands used to configure and manage a FortiGate unit from the command line interface (CLI).
How this guide is organized
How this guide is organizedMost of the chapters in this document describe the commands for each configuration branch of the FortiOS CLI. The command branches and commands are in alphabetical order.This document also contains the following sections:Whats new describes changes to the 4.0 MR3 CLI.execute describes execute commands.get describes get commands.tree describes the tree command.
Availability of commands and optionsSome FortiOS CLI commands and options are not available on all FortiGate units. The CLI displays an error message if you attempt to enter a command or option that is not available. You can use the question mark ? to verify the commands and options that are available.Commands and options may not be available for the following reasons:
FortiGate model. All commands are not available on all FortiGate models. For example, low end FortiGate models do not support the aggregate option of the config system interface command.
Hardware configuration. For example, some AMC module commands are only available when an AMC module is installed.
FortiOS Carrier, FortiGate Voice, FortiWiFi etc. Commands for extended functionality are not available on all FortiGate models. The CLI Reference includes commands only available for FortiWiFi units, FortiOS Carrier, and FortiGate Voice units
Document conventions and other informationSee Appendix on page 931.
ortiOS 4.0 MR3: CLI Reference1-433-99686-20120217 21ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Document conventions and other information Introduction
CLI Reference for FortiOS 4.0 MR2 22 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
F o r t i O S C L I R e f e r e n c e
F0h
Whats newAs the FortiOS Handbook is being developed, the FortiGate CLI Reference is becoming a dictionary of FortiOS CLI commands. Examples have been removed from this CLI Reference and command explanations are being more sharply focused on defining the command and its options, ranges, defaults and dependencies. The CLI Reference now includes FortiOS Carrier commands and future versions will include FortiGate Voice commands. Also command histories have been removed.The table below lists CLI commands and options that have been added to FortiOS 4.0 MR3.
Command Change
config antivirus profile
edit
set filepattable Removed. Use config dlp sensor.
set options file-filter Option removed. Use config dlp sensor.
set options strict-file Option removed. Use config dlp sensor.
config ftps New fields to configure antivirus for FTPS.
config {http https ftp ftps smtp smtps pop3 pop3s imap imaps im nntp}
set archive-block New field. Selects archive types to block.
set archive-log New field. Selects archive types to block.
config antivirus quarantine
set drop-blocked ftps Changed. ftps option added.
set heuristic ftps Changed. ftps option added.
set drop-infected ftps Changed. ftps option added.
config antivirus service ftps New command.
config application list
edit
set p2p-black-list New field. Blacklists Bittorrent, eDonkey, or Skype.
config entries
edit
set action reset New option. Resets network connection.
set application This field now accepts multiple options.
set block-video New. Blocks or allows MSN video chats.
set chart Removed.
set category This field now accepts multiple options.
config dlp filepattern New command. Configures file patterns used for DLP file blocking.
config dlp fp-doc-source New command. Adds fingerprinting document sources.
config dlp fp-sensitivity New command. Adds fingerprinting sensitivity labels.
ortiOS 4.0 MR3 CLI Reference1-433-99686-20120217 23ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Whats new
config dlp rule
edit
set field file-size New option. Searches for files of specified size.
set field file-type New option. Searches for files of specified type.
set field fingerprint New option. Searches for fingerprinted files.
set field regexp New option. Searches for a match using a regular expression string.
set field file-bytes New attribute. Searches for specific data at a specific location in the file.
set file-bytes New field, Specifies data for file-bytes search.
set file-byte-hex New field, Enables use of hexadecimal in file-bytes.
set file-byte-offset New field. Location in file to find file-bytes data.
set protocol session-control Option removed.
config dlp sensor
edit
set flow-based New field. Enables flow-based DLP.
set options strict-file Field moved from config antivirus profile.
config compound-ruleconfig rule
Subcommands removed. Use config filter.
config filter New subcommand. Configures DLP sensors, formerly configured in config compound-rule and config rule.
config endpoint-control profile
edit
set require-av warnset require-av warnset require-av-uptodate warnset require-firewall warnset require-license warnset require-webfilter warn
New warn option, Warns user about non-compliance, but allows access.
config firewall address, address6
edit
set color New field. Sets icon color.
set country New field. Set country code for geography type address.
set tags New field. Applies object tags.
set type geography New option for Geography-based filtering.
config firewall addrgrp, addrgrp6
edit
set color New field. Sets icon color.
config firewall local-in-policy, local-in-policy6
New command. Creates firewall policies for traffic destined for the FortiGate unit itself.
Command Change
FortiOS 4.0 MR3 CLI Reference24 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
Whats new
F0h
config firewall multicast-policy
edit
set auto-asic-offload New field. Enables session offload to NP or SP processors.
set logtraffic New field. Enables logging of multicast traffic.
config firewall policy, policy6
edit
set application New field. Enables tracking of application usage in auto profiling.
set auth-method form New option. Form-based authentication in explicit web-proxy.
set auto-asic-offload New field. Enables session offload to NP or SP processors.
set bandwidth New field. Enables tracking of bandwidth usage in auto profiling.
set client-reputation New field. Enables client reputation feature.
set client-reputation-mode New field. Select learning or monitoring mode for client reputation.
set dynamic-profile New field. Enables dynamic profile.
set dynamic-profile-access Enable dynamic profiles by protocol. Functionality moved from system dynamic profile.
set dynamic-profile-group New field. Selects the dynamic profile group.
set endpoint-keepalive-interface New field. Specifies keepalive interface for endpoint-check.
set failed-connection New field. Enables tracking of failed connection attempts in auto profiling.
set fsae Renamed to fsso.
set fsae-agent-for-ntlm Renamed to fsso-agent-for-ntlm.
set fsso Renamed from fsae.
set fsso-agent-for-ntlm Renamed from fsae-agent-for-ntlm.
set geo-location New field. Enables tracking countries of destination IP addresses in auto profiling.
set global-label New field. Places policy in the named subsection in the web-based manager policy list.
set icap-profile New field. Select an Internet Content Adaptation Protocol (ICAP) profile.
set identity-based This field is invisible if dynamic-profile is enabled.
set logtraffic-app New field. Enables traffic logging when application list logging is enabled, regardless of logtraffic setting.
set ntlm-enabled-browsers New field. Defines HTTP-User-Agent strings of supported browsers.
set ntlm-guest New field. Enables NTLM guest user access.
set schedule-timeout New field. Enables forced timeout of session when policy schedule ends.
Command Change
ortiOS 4.0 MR3 CLI Reference1-433-99686-20120217 25ttp://docs.fortinet.com/
http://docs.fortinet.com/ -
Whats new
set sessions New field. Enables taking a snapshot of the number of sessions every five minutes in auto profiling.
set srcintf ftp-proxy New option. Use FTP proxy as source interface.
set tags New field. Applies object tags.
set traffic-shaper-reverse Field can now be set without setting traffic-shaper.
set web-auth-cookie New field. Enables cookies for explicit proxy sessions.
set webcache New: Apply web caching in a firewall policy.
set webproxy-forward-server New field. Sets name of web proxy forwarding server.
config firewall profile-group
edit
set icap-profile New field. Sets an Internet Content Adaptation Protocol (ICAP) profile.
config firewall profile-protocol-options
edit
config ftp
set post-lang Removed. Post-lang does not apply to FTP.
config ftps New subcommand. Configures FTPS protocol options.
set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.
config https
set options ssl-ca-list New option. Verifies SSL session server certificate against stored CA certificate list.
set client-cert-request New field. Selects action to take if the client certificate request fails during the SSL handshake.
set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.
config imaps
set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.
config pop3s
set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.
config smtps
set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.
config ssl-server New subcommand. Configures SSL server settings for use with the secure protocols (HTTPS, FTPS, POP3S, SMTPS).
config firewall schedule group
edit
set color New field. Sets icon color.
Command Change
FortiOS 4.0 MR3 CLI Reference26 01-433-99686-20120217
http://docs.fortinet.com/
http://docs.fortinet.com/ -
Whats new
F0h
config firewall schedule onetime
edit
set color New field. Sets icon color.
config firewall schedule recurring
edit
set color New field. Sets icon color.
config firewall service custom
edit
set color New field. Sets icon color.
set protocol TCP/UDP/SCTPset tcp-halfopen-timerset tcp-halfclose-timerset tcp-timewait-timerset udp-idle-timerset check-reset-rangeset session-ttl
New session control options for custom services.
config firewall service explicit-web New command. Configures explicit web proxy services.
config firewall service group
edit
set color New field. Sets icon color.
config firewall service group-explicit-web New command. Configures explicit web proxy service groups.
config firewall shaper per-ip-shaper
edit
set diffserv-forward set diffservcode-forward set diffserv-reverse set diffservcode-rev
New fields. Manage differentiated services code point (DSCP) values.
config firewall shaper traffic-shaper
edit
set diffservset diffservcode
New fields. Starts differentiated services for network traffic.
config firewall sniff-interface-policy
edit
set logtraffic New field. Enable traffic logging on one-arm policy.
config firewall vip
set extip Changed. Now also accepts address range.
set http-cookie-domain-from-host New field. Sets handling of SetCookie.
set ldb-method http-host Changed. New method http-host added.
set ssl-algorithm New field. Sets the permitted encryption algorithms for SSL sessions according to encryption strength.
set ssl-client-renegotiation secure New option. Requires secure renegotiation.
Command Change
ortiOS 4.0 MR3 CLI Re