fortios™ cli reference - fortinet knowledge...

FortiOS CLI Reference

FortiOS 4.0 MR3

Visit http://support.fortinet.com to register your FortiOS product. By registering you canreceive product updates, technical support, and FortiGuard services.
http://support.fortinet.com

FortiOS CLI ReferenceFortiOS 4.0 MR3February 17 201201-433-99686-20120217

Copyright 2012 Fortinet, Inc. All rights reserved. No part of this publication including text, examples, diagrams or illustrations may be reproduced, transmitted, or translated in any form or by any means, electronic, mechanical, manual, optical or otherwise, for any purpose, without prior written permission of Fortinet, Inc.

TrademarksThe symbols and denote respectively federally registered trademarks and unregistered trademarks of Fortinet, Inc., its subsidiaries and affiliates including, but not limited to, the following names: Fortinet, FortiGate, FortiOS, FortiASIC, FortiAnalyzer, FortiSwitch, FortiBIOS, FortiLog, FortiVoIP, FortiResponse, FortiManager, FortiWiFi, FortiGuard, FortiReporter, FortiClient, FortiLog, APSecure, ABACAS. Other trademarks belong to their respective owners.

F o r t i O S C L I R e f e r e n c e

F0h

ContentsIntroduction 21How this guide is organized . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Availability of commands and options . . . . . . . . . . . . . . . . . . . . . . . 21

Document conventions and other information . . . . . . . . . . . . . . . . . . . . . 21

Whats new 23

alertemail 43setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

antivirus 49heuristic. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

mms-checksum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

config {http|https|ftp|ftps|imap|imaps|pop3|pop3s|smtp|smtps|nntp|im} . . . . . 53config nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

quarantine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

quarfilepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

application 61list. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

dlp 67compound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

filepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

fp-doc-source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

fp-sensitivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

ortiOS 4.0 MR3: CLI Reference1-433-99686-20120217 3ttp://docs.fortinet.com/
http://docs.fortinet.com/

Contents

endpoint-control 85app-detect rule-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

firewall 91address, address6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

addrgrp, addrgrp6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

carrier-endpoint-bwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

carrier-endpoint-ip-filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

central-nat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

dnstranslation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

gtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

ipmacbinding setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

ipmacbinding table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

ippool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

ldb-monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

local-in-policy, local-in-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

mms-profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

config dupe {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127config flood {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128config log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129config notification {alert-dupe-1 | alert-flood-1 | mm1 | mm3 | mm4 | mm7} . . . 130config notif-msisdn. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

multicast-policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

policy, policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

config identity-based-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

profile-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

CLI Reference for FortiOS 4.0 MR2 4 01-433-99686-20120217


Contents

F0h

profile-protocol-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

config http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152config https. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153config ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154config ftps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155config imap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156config imaps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156config pop3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157config pop3s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157config smtp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158config smtps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159config nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160config im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160config ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160config mail-signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

schedule onetime. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

schedule recurring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

schedule group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

service custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

service explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

service group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

service group-explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

shaper per-ip-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

shaper traffic-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

sniff-interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

sniff-interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

ssl setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

vip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

vipgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

ftp-proxy 195explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

gui 197console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

icap 199profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200

server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201


Contents

imp2p 203aim-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

icq-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

msn-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

old-version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

yahoo-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

ips 211DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

config limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

decoder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

log 223custom-field . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

{disk | fortianalyzer | fortianalyzer2 | fortianalyzer3 | memory | syslogd | syslogd2 | syslogd3 | webtrends | fortiguard} filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

disk setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

eventfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234

{fortianalyzer | syslogd} override-filter . . . . . . . . . . . . . . . . . . . . . . . . . 236

fortianalyzer override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

{fortianalyzer | fortianalyzer2 | fortianalyzer3} setting. . . . . . . . . . . . . . . . . . 238

fortiguard setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

gui . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

memory setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

memory global-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

syslogd override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

{syslogd | syslogd2 | syslogd3} setting . . . . . . . . . . . . . . . . . . . . . . . . . 246

trafficfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

webtrends setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

netscan 251assets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253



Contents

F0h

pbx 255dialplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257

extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260

ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262

voice-menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264

report 267chart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

dataset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

layout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

style. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277

summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

theme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

router 285access-list, access-list6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286

aspath-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288

auth-path . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290

config router bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293config admin-distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296config aggregate-address, config aggregate-address6 . . . . . . . . . . . . . . 296config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297config network, config network6 . . . . . . . . . . . . . . . . . . . . . . . . . . 304config redistribute, config redistribute6 . . . . . . . . . . . . . . . . . . . . . . 305

community-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

gwdetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

isis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310

config isis-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313config isis-net . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314config redistribute {bgp | connected | ospf | rip | static} . . . . . . . . . . . . . . 314config summary-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315

key-chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316


Contents

multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318

Sparse mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318Dense mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319config router multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320config interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321config pim-sm-global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324

multicast-flow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328

ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

config router ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331config area . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339config ospf-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342config summary-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

ospf6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349

prefix-list, prefix-list6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352

rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354

config router rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355config distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357config interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360config offset-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361

ripng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

route-map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368

Using route maps with BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374

static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375

static6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377

spamfilter 379bword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

dnsbl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382

emailbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384

fortishield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386

ipbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388



Contents

F0h

iptrust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390

mheader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394

config {imap | imaps | pop3 | pop3s | smtp | smtps} . . . . . . . . . . . . . . . . 395config {gmail | msn-hotmail | yahoo-mail} . . . . . . . . . . . . . . . . . . . . . 396

system 3973g-modem custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398

accprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399

admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402

alertemail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

amc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410

arp-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411

auto-install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

autoupdate clientoverride . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413

autoupdate override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414

autoupdate push-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415

autoupdate schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416

autoupdate tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417

aux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418

bug-report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419

bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420

central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421

console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423

ddns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424

dhcp reserved-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

dhcp server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426

dhcp6 server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429

dns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

dns-database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432

dns-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434

elbc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435

fips-cc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436

fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437

fortiguard-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442

gi-gk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443


Contents

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444

gre-tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456

ha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457

interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

ipv6-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485

mac-address-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486

modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487

monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490

npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492

ntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493

object-tag. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494

password-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495

port-pair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496

proxy-arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497

pstn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498

replacemsg admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500

replacemsg alertmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501

replacemsg auth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503

replacemsg ec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506

replacemsg fortiguard-wf. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508

replacemsg ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509

replacemsg http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511

replacemsg im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514

replacemsg mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516

replacemsg mm1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518

replacemsg mm3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521

replacemsg mm4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522

replacemsg mm7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524

replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527

replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528

replacemsg-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531

replacemsg nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532

replacemsg nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534

replacemsg spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536

replacemsg sslvpn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538

replacemsg traffic-quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539



Contents

F0h

replacemsg webproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540

resource-limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541

session-helper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543

session-sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545

session-ttl. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548

sit-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552

sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553

snmp community . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554

snmp sysinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557

snmp user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558

sp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561

storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562

switch-interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563

tos-based-priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565

vdom-dns. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566

vdom-link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567

vdom-property . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568

vdom-sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570

wccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571

zone. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573

user 575Configuring users for authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 576

ban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577

fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580

fsso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581

group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582

ldap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583

local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585

peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586

peergrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588

radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589

setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594

sms-provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596

tacacs+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597


Contents

voip 599profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600

config sip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602config sccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609

vpn 611certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612

certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613

certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614

certificate ocsp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615

certificate remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616

ipsec concentrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617

ipsec forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618

ipsec manualkey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619

ipsec manualkey-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622

ipsec phase1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625

ipsec phase1-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632

ipsec phase2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642

ipsec phase2-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648

l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655

pptp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656

ssl settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658

ssl web host-check-software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661

ssl web portal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663

ssl web virtual-desktop-app-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669

wanopt 671auth-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672

peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673

rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678

ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679

storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681

webcache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682

config cache-exemption-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684



Contents

F0h

web-proxy 685explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686

forward-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 690

webfilter 693content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694

content-header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696

fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697

ftgd-local-cat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699

ftgd-local-rating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700

ftgd-warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701

override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702

override-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704

config ftgd-wf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707config override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708config quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709config web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709

urlfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710

wireless-controller 713ap-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715

setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717

timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 718

vap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719

vap-group. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722

wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723

wtp-profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725

execute 727backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728

batch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730

bypass-mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731

carrier-license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732

central-mgmt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733

cfg reload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734

cfg save. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735


Contents

clear system arp table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736

cli check-template-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737

cli status-msg-only . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738

date . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739

disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740

disk raid. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741

dhcp lease-clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742

dhcp lease-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743

disconnect-admin-session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744

enter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745

factoryreset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746

firmware-list update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 747

formatlogdisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748

forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749

fortiguard-log update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750

fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751

fsso refresh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752

ha disconnect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753

ha manage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754

ha synchronize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755

interface dhcpclient-renew . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 756

interface pppoe-reconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757

log client-reputation-report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758

log delete-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759

log delete-rolled . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760

log display . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761

log filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762

log fortianalyzer test-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . 763

log list. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764

log rebuild-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765

log recreate-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766

log-report reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767

log roll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768

modem dial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769

modem hangup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770

modem trigger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771



Contents

F0h

mrouter clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772

netscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773

pbx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774

ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776

ping-options, ping6-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777

ping6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778

reboot. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779

report-config reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780

restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781

revision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784

router clear bfd session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 785

router clear bgp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786

router clear ospf process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787

router restart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788

send-fds-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789

set system session filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 790

set-next-reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792

sfp-mode-sgmii. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793

shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794

ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795

tac report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796

telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797

time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798

traceroute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799

tracert6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800

update-ase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801

update-av. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802

update-ips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803

update-modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804

update-now. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805

upd-vd-license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806

upload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807

usb-disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 808

vpn certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 809

vpn certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810

vpn certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811


Contents

vpn certificate remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814

vpn ipsec tunnel down . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815

vpn ipsec tunnel up. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816

vpn sslvpn del-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817

vpn sslvpn del-tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818

vpn sslvpn del-web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819

vpn sslvpn list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820

wireless-controller delete-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . 821

wireless-controller list-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . . . 822

wireless-controller reset-wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823

wireless-controller restart-acd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 824

wireless-controller restart-wtpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825

wireless-controller upload-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . 826

get 827endpoint-control app-detect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828

firewall dnstranslation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 830

firewall iprope appctrl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831

firewall iprope list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832

firewall proute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833

firewall service predefined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834

firewall shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835

grep. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836

gui console status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837

gui topology status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 838

hardware cpu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839

hardware memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 840

hardware nic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 841

hardware npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 842

hardware status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 845

ips decoder status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846

ips rule status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847

ips session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 848

ipsec tunnel list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849

log sql status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 850

netscan scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 851

netscan settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 852



Contents

F0h

get pbx branch-office. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 853

pbx dialplan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 854

pbx did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855

pbx extension. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856

pbx ftgd-voice-pkg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857

pbx global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 858

pbx ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859

pbx sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 860

pbx voice-menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 861

report database schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 862

router info bfd neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863

router info bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 864

router info gwdetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866

router info isis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867

router info kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868

router info multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869

router info ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870

router info protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872

router info rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 873

router info routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 874

router info vrrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875

router info6 bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 876

router info6 interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877

router info6 kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 878

router info6 ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879

router info6 protocols. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880

router info6 rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881

router info6 routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 882

system admin list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 883

system admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 884

system arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885

system auto-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886

system central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 887

system checksum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 888

system cmdb status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 889

system dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 890


Contents

system fdp-fortianalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 891

system fortianalyzer-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . 892

system fortiguard-log-service status . . . . . . . . . . . . . . . . . . . . . . . . . . 893

system fortiguard-service status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 894

system ha-nonsync-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895

system ha status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896

system info admin ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 898

system info admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899

system interface physical. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 900

system mgmt-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901

system performance firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 902

system performance status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 903

system performance top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904

system session list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 905

system session status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 906

system session-helper-info list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 907

system session-info . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 908

system source-ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 909

system startup-error-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 910

system status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 911

test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 912

user adgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 914

vpn ike gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 915

vpn ipsec tunnel details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 916

vpn ipsec tunnel name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 917

vpn ipsec stats crypto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 918

vpn ipsec stats tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 919

vpn ssl monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 920

vpn status l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 921

vpn status pptp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 922

vpn status ssl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 923

webfilter ftgd-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 924

webfilter status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 926

wireless-controller scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927



Contents

F0h

tree 929

Appendix 931Document conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931

IPv4 IP addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931Example Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 932Tips, must reads, and troubleshooting. . . . . . . . . . . . . . . . . . . . . . . 933Typographical conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933

Registering your Fortinet product . . . . . . . . . . . . . . . . . . . . . . . . . . . 934

Training Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 934

Technical Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 934

Comments on Fortinet technical documentation . . . . . . . . . . . . . . . . . 934

Customer service and support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 934

Fortinet products End User License Agreement . . . . . . . . . . . . . . . . . . . . 934


Contents




F0h

IntroductionThis document describes FortiOS 4.0 MR3 CLI commands used to configure and manage a FortiGate unit from the command line interface (CLI).

How this guide is organized

How this guide is organizedMost of the chapters in this document describe the commands for each configuration branch of the FortiOS CLI. The command branches and commands are in alphabetical order.This document also contains the following sections:Whats new describes changes to the 4.0 MR3 CLI.execute describes execute commands.get describes get commands.tree describes the tree command.

Availability of commands and optionsSome FortiOS CLI commands and options are not available on all FortiGate units. The CLI displays an error message if you attempt to enter a command or option that is not available. You can use the question mark ? to verify the commands and options that are available.Commands and options may not be available for the following reasons:

FortiGate model. All commands are not available on all FortiGate models. For example, low end FortiGate models do not support the aggregate option of the config system interface command.

Hardware configuration. For example, some AMC module commands are only available when an AMC module is installed.

FortiOS Carrier, FortiGate Voice, FortiWiFi etc. Commands for extended functionality are not available on all FortiGate models. The CLI Reference includes commands only available for FortiWiFi units, FortiOS Carrier, and FortiGate Voice units

Document conventions and other informationSee Appendix on page 931.


Document conventions and other information Introduction




F0h

Whats newAs the FortiOS Handbook is being developed, the FortiGate CLI Reference is becoming a dictionary of FortiOS CLI commands. Examples have been removed from this CLI Reference and command explanations are being more sharply focused on defining the command and its options, ranges, defaults and dependencies. The CLI Reference now includes FortiOS Carrier commands and future versions will include FortiGate Voice commands. Also command histories have been removed.The table below lists CLI commands and options that have been added to FortiOS 4.0 MR3.

Command Change

config antivirus profile

edit

set filepattable Removed. Use config dlp sensor.

set options file-filter Option removed. Use config dlp sensor.

set options strict-file Option removed. Use config dlp sensor.

config ftps New fields to configure antivirus for FTPS.

config {http https ftp ftps smtp smtps pop3 pop3s imap imaps im nntp}

set archive-block New field. Selects archive types to block.

set archive-log New field. Selects archive types to block.

config antivirus quarantine

set drop-blocked ftps Changed. ftps option added.

set heuristic ftps Changed. ftps option added.

set drop-infected ftps Changed. ftps option added.

config antivirus service ftps New command.

config application list

edit

set p2p-black-list New field. Blacklists Bittorrent, eDonkey, or Skype.

config entries

edit

set action reset New option. Resets network connection.

set application This field now accepts multiple options.

set block-video New. Blocks or allows MSN video chats.

set chart Removed.

set category This field now accepts multiple options.

config dlp filepattern New command. Configures file patterns used for DLP file blocking.

config dlp fp-doc-source New command. Adds fingerprinting document sources.

config dlp fp-sensitivity New command. Adds fingerprinting sensitivity labels.

ortiOS 4.0 MR3 CLI Reference1-433-99686-20120217 23ttp://docs.fortinet.com/

Whats new

config dlp rule

edit

set field file-size New option. Searches for files of specified size.

set field file-type New option. Searches for files of specified type.

set field fingerprint New option. Searches for fingerprinted files.

set field regexp New option. Searches for a match using a regular expression string.

set field file-bytes New attribute. Searches for specific data at a specific location in the file.

set file-bytes New field, Specifies data for file-bytes search.

set file-byte-hex New field, Enables use of hexadecimal in file-bytes.

set file-byte-offset New field. Location in file to find file-bytes data.

set protocol session-control Option removed.

config dlp sensor

edit

set flow-based New field. Enables flow-based DLP.

set options strict-file Field moved from config antivirus profile.

config compound-ruleconfig rule

Subcommands removed. Use config filter.

config filter New subcommand. Configures DLP sensors, formerly configured in config compound-rule and config rule.

config endpoint-control profile

edit

set require-av warnset require-av warnset require-av-uptodate warnset require-firewall warnset require-license warnset require-webfilter warn

New warn option, Warns user about non-compliance, but allows access.

config firewall address, address6

edit

set color New field. Sets icon color.

set country New field. Set country code for geography type address.

set tags New field. Applies object tags.

set type geography New option for Geography-based filtering.

config firewall addrgrp, addrgrp6

edit


config firewall local-in-policy, local-in-policy6

New command. Creates firewall policies for traffic destined for the FortiGate unit itself.

Command Change

FortiOS 4.0 MR3 CLI Reference24 01-433-99686-20120217


Whats new

F0h

config firewall multicast-policy

edit

set auto-asic-offload New field. Enables session offload to NP or SP processors.

set logtraffic New field. Enables logging of multicast traffic.

config firewall policy, policy6

edit

set application New field. Enables tracking of application usage in auto profiling.

set auth-method form New option. Form-based authentication in explicit web-proxy.

set auto-asic-offload New field. Enables session offload to NP or SP processors.

set bandwidth New field. Enables tracking of bandwidth usage in auto profiling.

set client-reputation New field. Enables client reputation feature.

set client-reputation-mode New field. Select learning or monitoring mode for client reputation.

set dynamic-profile New field. Enables dynamic profile.

set dynamic-profile-access Enable dynamic profiles by protocol. Functionality moved from system dynamic profile.

set dynamic-profile-group New field. Selects the dynamic profile group.

set endpoint-keepalive-interface New field. Specifies keepalive interface for endpoint-check.

set failed-connection New field. Enables tracking of failed connection attempts in auto profiling.

set fsae Renamed to fsso.

set fsae-agent-for-ntlm Renamed to fsso-agent-for-ntlm.

set fsso Renamed from fsae.

set fsso-agent-for-ntlm Renamed from fsae-agent-for-ntlm.

set geo-location New field. Enables tracking countries of destination IP addresses in auto profiling.

set global-label New field. Places policy in the named subsection in the web-based manager policy list.

set icap-profile New field. Select an Internet Content Adaptation Protocol (ICAP) profile.

set identity-based This field is invisible if dynamic-profile is enabled.

set logtraffic-app New field. Enables traffic logging when application list logging is enabled, regardless of logtraffic setting.

set ntlm-enabled-browsers New field. Defines HTTP-User-Agent strings of supported browsers.

set ntlm-guest New field. Enables NTLM guest user access.

set schedule-timeout New field. Enables forced timeout of session when policy schedule ends.

Command Change

ortiOS 4.0 MR3 CLI Reference1-433-99686-20120217 25ttp://docs.fortinet.com/

Whats new

set sessions New field. Enables taking a snapshot of the number of sessions every five minutes in auto profiling.

set srcintf ftp-proxy New option. Use FTP proxy as source interface.

set tags New field. Applies object tags.

set traffic-shaper-reverse Field can now be set without setting traffic-shaper.

set web-auth-cookie New field. Enables cookies for explicit proxy sessions.

set webcache New: Apply web caching in a firewall policy.

set webproxy-forward-server New field. Sets name of web proxy forwarding server.

config firewall profile-group

edit

set icap-profile New field. Sets an Internet Content Adaptation Protocol (ICAP) profile.

config firewall profile-protocol-options

edit

config ftp

set post-lang Removed. Post-lang does not apply to FTP.

config ftps New subcommand. Configures FTPS protocol options.

set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.

config https

set options ssl-ca-list New option. Verifies SSL session server certificate against stored CA certificate list.

set client-cert-request New field. Selects action to take if the client certificate request fails during the SSL handshake.


config imaps


config pop3s


config smtps


config ssl-server New subcommand. Configures SSL server settings for use with the secure protocols (HTTPS, FTPS, POP3S, SMTPS).

config firewall schedule group

edit


Command Change

FortiOS 4.0 MR3 CLI Reference26 01-433-99686-20120217


Whats new

F0h

config firewall schedule onetime

edit


config firewall schedule recurring

edit


config firewall service custom

edit


set protocol TCP/UDP/SCTPset tcp-halfopen-timerset tcp-halfclose-timerset tcp-timewait-timerset udp-idle-timerset check-reset-rangeset session-ttl

New session control options for custom services.

config firewall service explicit-web New command. Configures explicit web proxy services.

config firewall service group

edit


config firewall service group-explicit-web New command. Configures explicit web proxy service groups.

config firewall shaper per-ip-shaper

edit

set diffserv-forward set diffservcode-forward set diffserv-reverse set diffservcode-rev

New fields. Manage differentiated services code point (DSCP) values.

config firewall shaper traffic-shaper

edit

set diffservset diffservcode

New fields. Starts differentiated services for network traffic.

config firewall sniff-interface-policy

edit

set logtraffic New field. Enable traffic logging on one-arm policy.

config firewall vip

set extip Changed. Now also accepts address range.

set http-cookie-domain-from-host New field. Sets handling of SetCookie.

set ldb-method http-host Changed. New method http-host added.

set ssl-algorithm New field. Sets the permitted encryption algorithms for SSL sessions according to encryption strength.

set ssl-client-renegotiation secure New option. Requires secure renegotiation.

Command Change

ortiOS 4.0 MR3 CLI Re

fortios™ cli reference - fortinet knowledge...

Documents