FortiOS CLI Reference - ISP-TOOLS GmbH this guide is organized ... config admin-distance ... FortiOS 4.0 MR3 CLI Reference

FortiOS CLI Reference

FortiOS 4.0 MR3

Visit http://support.fortinet.com to register your FortiOS product. By registering you canreceive product updates, technical support, and FortiGuard services.

http://support.fortinet.com

FortiOS CLI ReferenceFortiOS 4.0 MR3August 25 201101-432-99686-20110825

Copyright 2011 Fortinet, Inc. All rights reserved. No part of this publication including text, examples, diagrams or illustrations may be reproduced, transmitted, or translated in any form or by any means, electronic, mechanical, manual, optical or otherwise, for any purpose, without prior written permission of Fortinet, Inc.

TrademarksThe symbols and denote respectively federally registered trademarks and unregistered trademarks of Fortinet, Inc., its subsidiaries and affiliates including, but not limited to, the following names: Fortinet, FortiGate, FortiOS, FortiASIC, FortiAnalyser, FortiSwitch, FortiBIOS, FortiLog, FortiVoIP, FortiResponse, FortiManager, FortiWiFi, FortiGuard, FortiReporter, FortiClient, FortiLog, APSecure, ABACAS. Other trademarks belong to their respective owners.

F0h

Contents

Introduction 21How this guide is organized . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Availability of commands and options . . . . . . . . . . . . . . . . . . . . . . . 21

Document conventions and other information . . . . . . . . . . . . . . . . . . . . . 21

Whats new 23Changes for FortiOS 4.3 Patch 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

alertemail 43setting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

antivirus 47heuristic. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

mms-checksum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51config {http | https | ftp | ftps | imap | imaps | pop3 | pop3s | smtp | smtps | nntp | im} . 51config nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

quarantine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

quarfilepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

application 59list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

dlp 65compound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

filepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

ortiOS 4.0 MR3 CLI Reference1-432-99686-20110825 3ttp://docs.fortinet.com/ Feedback

http://docs.fortinet.com/http://docs.fortinet.com/surveyredirect.html

Contents

fp-doc-source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

fp-sensitivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

endpoint-control 83app-detect rule-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

firewall 89address, address6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

addrgrp, addrgrp6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

carrier-endpoint-bwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

carrier-endpoint-ip-filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

central-nat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

dnstranslation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

gtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

ipmacbinding setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

ipmacbinding table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

ippool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

ldb-monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

local-in-policy, local-in-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

mms-profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114config dupe {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119config flood {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120config log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121config notification {alert-dupe-1 | alert-flood-1 | mm1 | mm3 | mm4 | mm7} . . . . 122config notif-msisdn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

multicast-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

policy, policy6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127config identity-based-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

profile-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

FortiOS 4.0 MR3 CLI Reference4 01-432-99686-20110825

http://docs.fortinet.com/ Feedback


Contents

F0h

profile-protocol-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140config http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142config https . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143config ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144config ftps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145config imap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146config imaps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146config pop3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147config pop3s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147config smtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148config smtps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149config nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149config im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150config ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150config mail-signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

schedule onetime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

schedule recurring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

schedule group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

service custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

service explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

service group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

service group-explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

shaper per-ip-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

shaper traffic-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

sniff-interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

sniff-interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

ssl setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

vip. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

vipgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

ftp-proxy 183explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

gui 185console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

icap 187profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188



Contents

server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

imp2p 191aim-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

icq-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

msn-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

old-version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

yahoo-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

ips 199DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200

config limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200

custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

decoder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

setting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

log 211custom-field. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

{disk | fortianalyzer | fortianalyzer2 | fortianalyzer3 | memory | syslogd | syslogd2 | syslogd3 | webtrends | fortiguard} filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

disk setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

eventfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

{fortianalyzer | syslogd} override-filter . . . . . . . . . . . . . . . . . . . . . . . . . 224

fortianalyzer override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

{fortianalyzer | fortianalyzer2 | fortianalyzer3} setting. . . . . . . . . . . . . . . . . . 226

fortiguard setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228

gui . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

memory setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

memory global-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

syslogd override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

{syslogd | syslogd2 | syslogd3} setting . . . . . . . . . . . . . . . . . . . . . . . . . 233

trafficfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235




Contents

F0h

webtrends setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

netscan 237assets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

pbx 241dialplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246

ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

voice-menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250

report 253chart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

dataset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

layout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259

style. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

theme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

router 271access-list, access-list6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

aspath-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

auth-path . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276config router bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279config admin-distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282config aggregate-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283config aggregate-address6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283config neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289config network6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290config redistribute6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290



Contents

community-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

gwdetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294

isis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295config isis-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298config isis-net. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299config redistribute {bgp | connected | ospf | rip | static} . . . . . . . . . . . . . . 299config summary-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300

key-chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301

multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303Sparse mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303Dense mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304config router multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305config interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307config pim-sm-global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

multicast-flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312

ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313config router ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315config area . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321config neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322config ospf-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325config summary-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326

ospf6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332

prefix-list, prefix-list6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335

rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337config router rip. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338config distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340config interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341config neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343config offset-list. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

ripng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345

route-map. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350Using route maps with BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352

setting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356

static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357




Contents

F0h

static6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359

spamfilter 361bword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362

dnsbl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364

emailbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366

fortishield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368

ipbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

iptrust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372

mheader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376config {imap | imaps | pop3 | pop3s | smtp | smtps} . . . . . . . . . . . . . . . . 377config {gmail | msn-hotmail | yahoo-mail} . . . . . . . . . . . . . . . . . . . . . 378

system 3793g-modem custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

accprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381

admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384

alertemail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

amc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392

arp-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393

auto-install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394

autoupdate clientoverride. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395

autoupdate override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396

autoupdate push-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397

autoupdate schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398

autoupdate tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399

aux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400

bug-report. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402

console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404

ddns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405

dhcp reserved-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406

dhcp server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

dhcp6 server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410



Contents

dns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

dns-database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413

dns-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415

elbc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416

fips-cc. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417

fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418

fortiguard-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422

gi-gk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424

gre-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435

ha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436

interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443

ipv6-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461

mac-address-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462

modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463

monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468

ntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469

object-tag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470

password-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471

port-pair. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472

proxy-arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473

pstn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474

replacemsg admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476

replacemsg alertmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477

replacemsg auth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479

replacemsg ec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482

replacemsg fortiguard-wf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484

replacemsg ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485

replacemsg http. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487

replacemsg im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490

replacemsg mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492

replacemsg mm1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494

replacemsg mm3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496

replacemsg mm4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497

replacemsg mm7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499




Contents

F0h

replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501

replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502

replacemsg-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504

replacemsg nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505

replacemsg nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506

replacemsg spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508

replacemsg sslvpn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510

replacemsg traffic-quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511

replacemsg webproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512

resource-limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513

session-helper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515

session-sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517

session-ttl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520

sit-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524

sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525

snmp community . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526

snmp sysinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529

snmp user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530

sp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532

storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533

switch-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534

tos-based-priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536

vdom-dns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537

vdom-link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538

vdom-property . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539

vdom-sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541

wccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542

zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544

user 545Configuring users for authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 546

Configuring users for password authentication. . . . . . . . . . . . . . . . . . . 546Configuring peers for certificate authentication . . . . . . . . . . . . . . . . . . 546

ban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547

fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551



Contents

fsso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552

group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554

ldap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555

local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557

peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558

peergrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560

radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561

setting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566

sms-provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568

tacacs+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569

voip 571profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572

config sip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574config sccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579

vpn 581certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582

certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583

certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585

certificate ocsp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587

certificate remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588

ipsec concentrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589

ipsec forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590

ipsec manualkey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591

ipsec manualkey-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594

ipsec phase1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596

ipsec phase1-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603

ipsec phase2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613

ipsec phase2-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618

l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624

pptp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625

ssl settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627

ssl web host-check-software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630

ssl web portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632

ssl web virtual-desktop-app-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638




Contents

F0h

wanopt 639auth-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640

peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641

rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646

ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647

storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649

webcache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650config cache-exemption-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652

web-proxy 653explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654

forward-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658

webfilter 659content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660

content-header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662

fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663

ftgd-local-cat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664

ftgd-local-rating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665

ftgd-warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666

override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667

override-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669config ftgd-wf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672config override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673config quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673config web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674

urlfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675

wireless-controller 677ap-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679

setting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681



Contents

timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682

vap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683

vap-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686

wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687

wtp-profile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689

execute 691backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693

batch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696

carrier-license. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697

central-mgmt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698

cfg reload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699

cfg save. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700

clear system arp table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701

cli check-template-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702

cli status-msg-only . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703

date . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704

disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705

disk raid. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706

dhcp lease-clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707

dhcp lease-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708

disconnect-admin-session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709

enter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710

factoryreset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711

firmware-list update. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712

formatlogdisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713

forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714

fortiguard-log update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715

fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716

fsso refresh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717

ha disconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 718

ha manage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719

ha synchronize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720

interface dhcpclient-renew . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721

interface pppoe-reconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722

log client-reputation-report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723




Contents

F0h

log delete-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 724

log delete-rolled. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725

log display . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 726

log filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727

log fortianalyzer test-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728

log list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729

log rebuild-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730

log recreate-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731

log-report reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732

log roll. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733

modem dial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734

modem hangup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735

modem trigger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736

mrouter clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737

netscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738

pbx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739

ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741

ping-options, ping6-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742

ping6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743

reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744

report-config reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745

restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746

revision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749

router clear bfd session. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750

router clear bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751

router clear ospf process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752

router restart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753

send-fds-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754

set system session filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755

set-next-reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757

sfp-mode-sgmii . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758

shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759

ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760

tac report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761

telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762

time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763



Contents

traceroute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764

tracert6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765

update-ase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766

update-av . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767

update-ips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768

update-modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769

update-now . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770

upd-vd-license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771

upload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772

usb-disk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773

vpn certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774

vpn certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775

vpn certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776

vpn certificate remote. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778

vpn ipsec tunnel down . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779

vpn ipsec tunnel up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780

vpn sslvpn del-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781

vpn sslvpn del-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782

vpn sslvpn del-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783

vpn sslvpn list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784

wireless-controller delete-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . . 785

wireless-controller list-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786

wireless-controller reset-wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787

wireless-controller restart-acd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788

wireless-controller restart-wtpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789

wireless-controller upload-wtp-image. . . . . . . . . . . . . . . . . . . . . . . . . . 790

get 791endpoint-control app-detect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792

firewall dnstranslation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794

firewall iprope appctrl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795

firewall iprope list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796

firewall proute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797

firewall service predefined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798

firewall shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799

grep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800




Contents

F0h

gui console status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801

gui topology status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802

hardware cpu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803

hardware memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804

hardware nic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805

hardware npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806

hardware status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 809

ips decoder status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810

ips rule status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811

ips session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 812

ipsec tunnel list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 813

log sql status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814

netscan scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815

netscan settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816

get pbx branch-office . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817

pbx dialplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818

pbx did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819

pbx extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820

pbx ftgd-voice-pkg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821

pbx global. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 822

pbx ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823

pbx sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 824

pbx voice-menu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825

report database schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826

router info bfd neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 827

router info bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828

router info gwdetect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 830

router info isis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831

router info kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832

router info multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833

router info ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834

router info protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836

router info rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837

router info routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 838

router info vrrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839

router info6 bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 840



Contents

router info6 interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 841

router info6 kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 842

router info6 ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 843

router info6 protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 844

router info6 rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 845

router info6 routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846

system admin list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847

system admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 848

system arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849

system auto-update. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 850

system central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 851

system checksum. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 852

system cmdb status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 853

system dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 854

system fdp-fortianalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855

system fortianalyzer-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856

system fortiguard-log-service status . . . . . . . . . . . . . . . . . . . . . . . . . . 857

system fortiguard-service status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 858

system ha-nonsync-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859

system ha status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 860

system info admin ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 862

system info admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863

system interface physical . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 864

system mgmt-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 865

system performance firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866

system performance status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867

system performance top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868

system session list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869

system startup-error-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870

system session status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871

system session-helper-info list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872

system session-info. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 873

system source-ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 874

system status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875

test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 876

user adgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 878




Contents

F0h

vpn ike gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879

vpn ipsec tunnel details. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880

vpn ipsec tunnel name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881

vpn ipsec stats crypto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 882

vpn ipsec stats tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 883

vpn ssl monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 884

vpn status l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885

vpn status pptp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886

vpn status ssl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 887

webfilter ftgd-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 888

webfilter status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 890

wireless-controller scan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 891

tree 893

Appendix 896Document conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896

IP addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896Example Network configuration . . . . . . . . . . . . . . . . . . . . . . . . . . 898Cautions, Notes and Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899Typographical conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 900CLI command syntax conventions . . . . . . . . . . . . . . . . . . . . . . . . . 900

Entering FortiOS configuration data . . . . . . . . . . . . . . . . . . . . . . . . . . 902Entering text strings (names). . . . . . . . . . . . . . . . . . . . . . . . . . . . 902Entering numeric values . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 903Selecting options from a list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 903Enabling or disabling options. . . . . . . . . . . . . . . . . . . . . . . . . . . . 903

Registering your Fortinet product. . . . . . . . . . . . . . . . . . . . . . . . . . . . 903

Fortinet products End User License Agreement . . . . . . . . . . . . . . . . . . . . 903

Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904

Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904Fortinet Tools and Documentation CD . . . . . . . . . . . . . . . . . . . . . . . 904Fortinet Knowledge Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904Comments on Fortinet technical documentation . . . . . . . . . . . . . . . . . 904

Customer service and technical support . . . . . . . . . . . . . . . . . . . . . . . . 904



Contents




F0h

IntroductionThis document describes FortiOS 4.0 MR3 CLI commands used to configure and manage a FortiGate unit from the command line interface (CLI). How this guide is organized

How this guide is organizedMost of the chapters in this document describe the commands for each configuration branch of the FortiOS CLI. The command branches and commands are in alphabetical order.This document also contains the following sections:Whats new describes changes to the 4.0 MR3 CLI.execute describes execute commands.get describes get commands.tree describes the tree command.

Availability of commands and optionsSome FortiOS CLI commands and options are not available on all FortiGate units. The CLI displays an error message if you attempt to enter a command or option that is not available. You can use the question mark ? to verify the commands and options that are available.Commands and options may not be available for the following reasons: FortiGate model. All commands are not available on all FortiGate models. For

example, low end FortiGate models do not support the aggregate option of the config system interface command.

Hardware configuration. For example, some AMC module commands are only available when an AMC module is installed.

FortiOS Carrier, FortiGate Voice, FortiWiFi etc. Commands for extended functionality are not available on all FortiGate models. The CLI Reference includes commands only available for FortiWiFi units, FortiOS Carrier, and FortiGate Voice units

Document conventions and other informationSee Appendix on page 896.



Document conventions and other information Introduction




F0h

Whats newAs the FortiOS Handbook is being developed, the FortiGate CLI Reference is becoming a dictionary of FortiOS CLI commands. Examples have been removed from this CLI Reference and command explanations are being more sharply focused on defining the command and its options, ranges, defaults and dependencies. The CLI Reference now includes FortiOS Carrier commands and future versions will include FortiGate Voice commands. Also command histories have been removed.These changes are in progress and will be completed in future versions of this document.The table below lists CLI commands and options that have been added to FortiOS 4.0 MR3.

Command Changeconfig antivirus profile

edit

set filepattable Removed. Use config dlp sensor.

set options file-filter Option removed. Use config dlp sensor.

set options strict-file Option removed. Use config dlp sensor.

config ftps New fields to configure antivirus for FTPS.

config {http https ftp ftps smtp smtps pop3 pop3s imap imaps im nntp}

set archive-block New field. Selects archive types to block.

set archive-log New field. Selects archive types to block.

config antivirus quarantine

set drop-blocked ftps Changed. ftps option added.

set heuristic ftps Changed. ftps option added.

set drop-infected ftps Changed. ftps option added.

config antivirus service ftps New command.

config application list

edit

set p2p-black-list New field. Blacklists Bittorrent, eDonkey, or Skype.

config entries

edit

set action reset New option. Resets network connection.

set block-video New. Blocks or allows MSN video chats.

set chart Removed.

config dlp filepattern New command. Configures file patterns used for DLP file blocking.

config dlp fp-doc-source New command. Adds fingerprinting document sources.config dlp fp-sensitivity New command. Adds fingerprinting sensitivity labels.



Whats new

config dlp rule

edit

set field file-size New option. Searches for files of specified size.

set field file-type New option. Searches for files of specified type.

set field fingerprint New option. Searches for fingerprinted files.

set field regexp New option. Searches for a match using a regular expression string.

set field file-bytes New attribute. Searches for specific data at a specific location in the file.

set file-bytes New field, Specifies data for file-bytes search.

set file-byte-hex New field, Enables use of hexadecimal in file-bytes.

set file-byte-offset New field. Location in file to find file-bytes data.

set protocol session-control Option removed.

config dlp sensor

edit

set flow-based New field. Enables flow-based DLP.

set options strict-file Field moved from config antivirus profile.

config compound-ruleconfig rule

Subcommands removed. Use config filter.

config filter New subcommand. Configures DLP sensors, formerly configured in config compound-rule and config rule.

config endpoint-control profile

edit

set require-av warnset require-av warnset require-av-uptodate warnset require-firewall warnset require-license warnset require-webfilter warn

New warn option, Warns user about non-compliance, but allows access.

config firewall address, address6

edit

set color New field. Sets icon color.

set country New field. Set country code for geography type address.

set tags New field. Applies object tags.

set type geography New option for Geography-based filtering.

config firewall addrgrp, addrgrp6

edit


config firewall local-in-policy, local-in-policy6

New command. Creates firewall policies for traffic destined for the FortiGate unit itself.

config firewall multicast-policy

edit

set auto-asic-offload New field. Enables session offload to NP or SP processors.

set logtraffic New field. Enables logging of multicast traffic.

Command Change




Whats new

F0h

config firewall policy, policy6

edit

set application New field. Enables tracking of application usage in auto profiling.

set auth-method form New option. Form-based authentication in explicit web-proxy.

set auto-asic-offload New field. Enables session offload to NP or SP processors.

set bandwidth New field. Enables tracking of bandwidth usage in auto profiling.

set client-reputation New field. Enables client reputation feature.

set client-reputation-mode New field. Select learning or monitoring mode for client reputation.

set dynamic-profile New field. Enables dynamic profile.

set dynamic-profile-access Enable dynamic profiles by protocol. Functionality moved from system dynamic profile.

set dynamic-profile-group New field. Selects the dynamic profile group.

set failed-connection New field. Enables tracking of failed connection attempts in auto profiling.

set fsae Renamed to fsso.

set fsae-agent-for-ntlm Renamed to fsso-agent-for-ntlm.

set fsso Renamed from fsae.

set fsso-agent-for-ntlm Renamed from fsae-agent-for-ntlm.

set geo-location New field. Enables tracking countries of destination IP addresses in auto profiling.

set global-label New field. Places policy in the named subsection in the web-based manager policy list.

set icap-profile New field. Select an Internet Content Adaptation Protocol (ICAP) profile.

set logtraffic-app New field. Enables traffic logging when application list logging is enabled, regardless of logtraffic setting.

set ntlm-enabled-browsers New field. Defines HTTP-User-Agent strings of supported browsers.

set ntlm-guest New field. Enables NTLM guest user access.

set schedule-timeout New field. Enables forced timeout of session when policy schedule ends.

set sessions New field. Enables taking a snapshot of the number of sessions every five minutes in auto profiling.

set srcintf ftp-proxy New option. Use FTP proxy as source interface.

set tags New field. Applies object tags.

set web-auth-cookie New field. Enables cookies for explicit proxy sessions.

set webcache New: Apply web caching in a firewall policy.

set webproxy-forward-server New field. Sets name of web proxy forwarding server.

config firewall profile-group

edit

set icap-profile New field. Sets an Internet Content Adaptation Protocol (ICAP) profile.

Command Change



Whats new

config firewall profile-protocol-options

edit

config ftp

set post-lang Removed. Post-lang does not apply to FTP.

config ftps New subcommand. Configures FTPS protocol options.

config https

set options ssl-ca-list New option. Verifies SSL session server certificate against stored CA certificate list.

set client-cert-request New field. Selects action to take if the client certificate request fails during the SSL handshake.

config ssl-server New subcommand. Configures SSL server settings for use with the secure protocols (HTTPS, FTPS, POP3S, SMTPS).

config firewall schedule group

edit


config firewall schedule onetime

edit

set color New field. Sets icon

Documents

FortiOS CLI Reference - ISP-TOOLS GmbH this guide is organized ... config admin-distance ... FortiOS 4.0 MR3 CLI Reference