FortiOS CLI Reference - صفحه اصلی this guide is organized ... config admin-distance ... CLI Reference for FortiOS 4.3

FortiOS Handbook CLI Reference for FortiOS 4.3

FortiOS Handbook CLI Reference for FortiOS 4.3

February 25, 2013

01-430-99686-20130225

Copyright 2013 Fortinet, Inc. All rights reserved. Fortinet, FortiGate, and FortiGuard, are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance metrics contained herein were attained in internal lab tests under ideal conditions, and performance may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinets General Counsel, with a purchaser that expressly warrants that the identified product will perform according to the performance metrics herein. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinets internal lab tests. Fortinet disclaims in full any guarantees. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable.

Technical Documentation docs.fortinet.com

Knowledge Base kb.fortinet.com

Customer Service & Support support.fortinet.com

Training Services training.fortinet.com

FortiGuard fortiguard.com

Document Feedback [email protected]

http://docs.fortinet.comhttp://kb.fortinet.comhttps://support.fortinet.comhttp://training.fortinet.comhttp://www.fortiguard.com/mailto:[email protected]?Subject=Technical%20Documentation%20Feedback

F o r t i O S H a n d b o o k

F0h

ContentsIntroduction 19How this guide is organized . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Availability of commands and options . . . . . . . . . . . . . . . . . . . . . . . 19

Document conventions and other information . . . . . . . . . . . . . . . . . . . . . 19

Whats new 21

alertemail 41setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

antivirus 47heuristic. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

mms-checksum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

config {http | https | ftp | ftps | imap | imaps | pop3 | pop3s | smtp | smtps | nntp | im} 51config nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

quarantine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

quarfilepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

application 59list. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

dlp 65compound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

filepattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

fp-doc-source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

fp-sensitivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

ortiOS Handbook v3: CLI Reference for FortiOS 4.3 1-430-99686-20130225 3 ttp://docs.fortinet.com/

http://docs.fortinet.com/

Contents

endpoint-control 83app-detect rule-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

firewall 89address, address6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

addrgrp, addrgrp6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

carrier-endpoint-bwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

carrier-endpoint-ip-filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

central-nat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

dnstranslation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

gtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

ipmacbinding setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

ipmacbinding table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

ippool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

ldb-monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

local-in-policy, local-in-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

mms-profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

config dupe {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126config flood {mm1 | mm4} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127config log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128config notification {alert-dupe-1 | alert-flood-1 | mm1 | mm3 | mm4 | mm7} . . . 129config notif-msisdn. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

multicast-policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

policy, policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

config identity-based-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

profile-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

CLI Reference for FortiOS 4.3 for FortiOS 4.0 MR3 4 01-430-99686-20130225



Contents

F0h

profile-protocol-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

config http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151config https. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152config ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153config ftps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154config imap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155config imaps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155config pop3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156config pop3s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156config smtp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157config smtps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158config nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159config im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159config ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159config mail-signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

schedule onetime. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

schedule recurring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

schedule group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

service custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

service explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

service group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

service group-explicit-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

shaper per-ip-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

shaper traffic-shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

sniff-interface-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

sniff-interface-policy6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

ssl setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

vip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

vipgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

ftp-proxy 195explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

gui 197console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

icap 199profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200

server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

imp2p 203aim-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204



Contents

icq-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

msn-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

old-version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

yahoo-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

ips 211DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

config limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

decoder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

log 223custom-field . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

{disk | fortianalyzer | fortianalyzer2 | fortianalyzer3 | memory | syslogd | syslogd2 | syslogd3 | webtrends | fortiguard} filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

disk setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

eventfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

{fortianalyzer | syslogd} override-filter . . . . . . . . . . . . . . . . . . . . . . . . . 235

fortianalyzer override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

{fortianalyzer | fortianalyzer2 | fortianalyzer3} setting. . . . . . . . . . . . . . . . . . 237

fortiguard setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

gui . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

memory setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

memory global-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

syslogd override-setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

{syslogd | syslogd2 | syslogd3} setting . . . . . . . . . . . . . . . . . . . . . . . . . 246

trafficfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

webtrends setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

netscan 251assets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

pbx 255dialplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256




Contents

F0h

did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257

extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260

ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262

voice-menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264

report 267chart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

dataset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

layout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

style. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277

summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

theme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

router 285access-list, access-list6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286

aspath-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288

auth-path . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290

config router bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293config admin-distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296config aggregate-address, config aggregate-address6 . . . . . . . . . . . . . . 296config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297config network, config network6 . . . . . . . . . . . . . . . . . . . . . . . . . . 304config redistribute, config redistribute6 . . . . . . . . . . . . . . . . . . . . . . 305

community-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

gwdetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

isis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310

config isis-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313config isis-net . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314config redistribute {bgp | connected | ospf | rip | static} . . . . . . . . . . . . . . 314config summary-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315

key-chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316

multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318

Sparse mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318Dense mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319config router multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320config interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321config pim-sm-global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324

multicast-flow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328



Contents

ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

config router ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331config area . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339config ospf-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342config summary-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

ospf6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349

prefix-list, prefix-list6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352

rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354

config router rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355config distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356config distribute-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357config interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358config neighbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359config network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360config offset-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361config redistribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361

ripng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

route-map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368

Using route maps with BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374

static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375

static6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377

spamfilter 379bword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

dnsbl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382

emailbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384

fortishield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386

ipbwl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388

iptrust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390

mheader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394

config {imap | imaps | pop3 | pop3s | smtp | smtps} . . . . . . . . . . . . . . . . 395config {gmail | msn-hotmail | yahoo-mail} . . . . . . . . . . . . . . . . . . . . . 396




Contents

F0h

system 3973g-modem custom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398

accprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399

admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402

alertemail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

amc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410

arp-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411

auto-install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

autoupdate clientoverride . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413

autoupdate override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414

autoupdate push-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415

autoupdate schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416

autoupdate tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417

aux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418

bug-report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419

bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420

central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421

console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423

ddns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424

dhcp reserved-address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

dhcp server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426

dhcp6 server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429

dns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

dns-database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432

dns-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434

elbc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435

fips-cc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436

fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437

fortiguard-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442

gi-gk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444

gre-tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456

ha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457

interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

ipv6-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485

mac-address-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486



Contents

modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487

monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490

npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492

ntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493

object-tag. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494

password-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495

port-pair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496

proxy-arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497

pstn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498

replacemsg admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500

replacemsg alertmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501

replacemsg auth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503

replacemsg ec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506

replacemsg fortiguard-wf. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508

replacemsg ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509

replacemsg http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511

replacemsg im . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514

replacemsg mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516

replacemsg mm1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518

replacemsg mm3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521

replacemsg mm4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522

replacemsg mm7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524

replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527

replacemsg-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528

replacemsg-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531

replacemsg nac-quar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532

replacemsg nntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534

replacemsg spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536

replacemsg sslvpn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538

replacemsg traffic-quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539

replacemsg webproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540

resource-limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541

session-helper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543

session-sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545

session-ttl. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548




Contents

F0h

sit-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552

sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553

snmp community . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554

snmp sysinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557

snmp user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558

sp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561

storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562

switch-interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563

tos-based-priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565

vdom-dns. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566

vdom-link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567

vdom-property . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568

vdom-sflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570

wccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571

zone. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573

user 575Configuring users for authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 576

Configuring users for password authentication . . . . . . . . . . . . . . . . . . 576Configuring peers for certificate authentication . . . . . . . . . . . . . . . . . . 576

ban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577

fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580

fsso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581

group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582

ldap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583

local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585

peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586

peergrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588

radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589

setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594

sms-provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596

tacacs+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597

voip 599profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600

config sip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602config sccp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609



Contents

vpn 611certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612

certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613

certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614

certificate ocsp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615

certificate remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616

ipsec concentrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617

ipsec forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618

ipsec manualkey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619

ipsec manualkey-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622

ipsec phase1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625

ipsec phase1-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632

ipsec phase2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642

ipsec phase2-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648

l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655

pptp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656

ssl settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658

ssl web host-check-software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661

ssl web portal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663

ssl web virtual-desktop-app-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669

wanopt 671auth-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672

peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673

rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674

settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678

ssl-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679

storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681

webcache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682

config cache-exemption-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684

web-proxy 685explicit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686

forward-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 690

webfilter 693content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694




Contents

F0h

content-header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696

fortiguard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697

ftgd-local-cat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699

ftgd-local-rating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700

ftgd-warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701

override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702

override-user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703

profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704

config ftgd-wf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707config override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708config quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709config web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709

urlfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710

wireless-controller 713ap-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714

global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715

setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717

timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 718

vap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719

vap-group. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722

wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723

wtp-profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725

execute 727backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728

batch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730

bypass-mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731

carrier-license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732

central-mgmt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733

cfg reload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734

cfg save. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735

clear system arp table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736

cli check-template-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737

cli status-msg-only . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738

date . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739

disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740

disk raid. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741



Contents

dhcp lease-clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742

dhcp lease-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743

disconnect-admin-session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744

enter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745

factoryreset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746

firmware-list update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 747

formatlogdisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748

forticlient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749

fortiguard-log update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750

fortitoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751

fsso refresh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752

ha disconnect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753

ha manage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754

ha synchronize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755

interface dhcpclient-renew . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 756

interface pppoe-reconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757

log client-reputation-report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758

log delete-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759

log delete-rolled . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760

log display . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761

log filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762

log fortianalyzer test-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . 763

log list. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764

log rebuild-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765

log recreate-sqldb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766

log-report reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767

log roll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768

modem dial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769

modem hangup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770

modem trigger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771

mrouter clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772

netscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773

pbx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774

ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776

ping-options, ping6-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777

ping6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778




Contents

F0h

reboot. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779

report-config reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780

restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781

revision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784

router clear bfd session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 785

router clear bgp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786

router clear ospf process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787

router restart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788

send-fds-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789

set system session filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 790

set-next-reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792

sfp-mode-sgmii. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793

shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794

ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795

tac report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796

telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797

time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798

traceroute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799

tracert6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800

update-ase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801

update-av. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802

update-ips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803

update-modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804

update-now. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805

upd-vd-license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806

upload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807

usb-disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 808

vpn certificate ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 809

vpn certificate crl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810

vpn certificate local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811

vpn certificate remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814

vpn ipsec tunnel down . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815

vpn ipsec tunnel up. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816

vpn sslvpn del-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817

vpn sslvpn del-tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818

vpn sslvpn del-web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819



Contents

vpn sslvpn list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820

wireless-controller delete-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . 821

wireless-controller list-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . . . 822

wireless-controller reset-wtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823

wireless-controller restart-acd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 824

wireless-controller restart-wtpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825

wireless-controller upload-wtp-image . . . . . . . . . . . . . . . . . . . . . . . . . 826

get 827endpoint-control app-detect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828

firewall dnstranslation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 830

firewall iprope appctrl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831

firewall iprope list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832

firewall proute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833

firewall service predefined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834

firewall shaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835

grep. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836

gui console status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837

gui topology status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 838

hardware cpu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839

hardware memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 840

hardware nic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 841

hardware npu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 842

hardware status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 845

ips decoder status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846

ips rule status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847

ips session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 848

ipsec tunnel list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849

log sql status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 850

netscan scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 851

netscan settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 852

get pbx branch-office. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 853

pbx dialplan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 854

pbx did . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855

pbx extension. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856

pbx ftgd-voice-pkg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857

pbx global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 858




Contents

F0h

pbx ringgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859

pbx sip-trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 860

pbx voice-menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 861

report database schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 862

router info bfd neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863

router info bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 864

router info gwdetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866

router info isis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867

router info kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868

router info multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869

router info ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870

router info protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872

router info rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 873

router info routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 874

router info vrrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875

router info6 bgp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 876

router info6 interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877

router info6 kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 878

router info6 ospf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879

router info6 protocols. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880

router info6 rip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881

router info6 routing-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 882

system admin list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 883

system admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 884

system arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885

system auto-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886

system central-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 887

system checksum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 888

system cmdb status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 889

system dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 890

system fdp-fortianalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 891

system fortianalyzer-connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . 892

system fortiguard-log-service status . . . . . . . . . . . . . . . . . . . . . . . . . . 893

system fortiguard-service status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 894

system ha-nonsync-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895

system ha status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896



Contents

system info admin ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 898

system info admin status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899

system interface physical. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 900

system mgmt-csum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901

system performance firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 902

system performance status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 903

system performance top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904

system session list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 905

system session status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 906

system session-helper-info list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 907

system session-info . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 908

system source-ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 909

system startup-error-log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 910

system status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 911

test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 912

user adgrp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 914

vpn ike gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 915

vpn ipsec tunnel details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 916

vpn ipsec tunnel name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 917

vpn ipsec stats crypto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 918

vpn ipsec stats tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 919

vpn ssl monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 920

vpn status l2tp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 921

vpn status pptp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 922

vpn status ssl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 923

webfilter ftgd-statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 924

webfilter status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 926

wireless-controller scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927

tree 929

Appendix 931





F0h

IntroductionThis document describes FortiOS Handbook v3 CLI commands used to configure and manage a FortiGate unit from the command line interface (CLI).

How this guide is organized

How this guide is organizedMost of the chapters in this document describe the commands for each configuration branch of the FortiOS Handbook CLI. The command branches and commands are in alphabetical order.This document also contains the following sections:Whats new describes changes to the v3 CLI.execute describes execute commands.get describes get commands.tree describes the tree command.

Availability of commands and optionsSome FortiOS Handbook CLI commands and options are not available on all FortiGate units. The CLI displays an error message if you attempt to enter a command or option that is not available. You can use the question mark ? to verify the commands and options that are available.Commands and options may not be available for the following reasons:

FortiGate model. All commands are not available on all FortiGate models. For example, low end FortiGate models do not support the aggregate option of the config system interface command.

Hardware configuration. For example, some AMC module commands are only available when an AMC module is installed.

FortiOS Carrier, FortiGate Voice, FortiWiFi etc. Commands for extended functionality are not available on all FortiGate models. The CLI Reference includes commands only available for FortiWiFi units, FortiOS Carrier, and FortiGate Voice units

Document conventions and other informationSee Appendix on page 931.



Document conventions and other information Introduction





F0h

Whats newAs the FortiOS Handbook is being developed, the FortiGate CLI Reference for FortiOS 4.3 is becoming a dictionary of FortiOS CLI commands. Examples have been removed from this CLI Reference and command explanations are being more sharply focused on defining the command and its options, ranges, defaults and dependencies. The CLI Reference now includes FortiOS Carrier commands and future versions will include FortiGate Voice commands. Also command histories have been removed.The table below lists CLI commands and options that have been added to FortiOS v3.

Command Change

config antivirus profile

edit

set filepattable Removed. Use config dlp sensor.

set options file-filter Option removed. Use config dlp sensor.

set options strict-file Option removed. Use config dlp sensor.

config ftps New fields to configure antivirus for FTPS.

config {http https ftp ftps smtp smtps pop3 pop3s imap imaps im nntp}

set archive-block New field. Selects archive types to block.

set archive-log New field. Selects archive types to block.

config antivirus quarantine

set drop-blocked ftps Changed. ftps option added.

set heuristic ftps Changed. ftps option added.

set drop-infected ftps Changed. ftps option added.

config antivirus service ftps New command.

config application list

edit

set p2p-black-list New field. Blacklists Bittorrent, eDonkey, or Skype.

config entries

edit

set action reset New option. Resets network connection.

set application This field now accepts multiple options.

set block-video New. Blocks or allows MSN video chats.

set chart Removed.

set category This field now accepts multiple options.

config dlp filepattern New command. Configures file patterns used for DLP file blocking.

config dlp fp-doc-source New command. Adds fingerprinting document sources.

config dlp fp-sensitivity New command. Adds fingerprinting sensitivity labels.

ortiOS Handbook v3 CLI Reference for FortiOS 4.3 1-430-99686-20130225 21 ttp://docs.fortinet.com/


Whats new

config dlp rule

edit

set field file-size New option. Searches for files of specified size.

set field file-type New option. Searches for files of specified type.

set field fingerprint New option. Searches for fingerprinted files.

set field regexp New option. Searches for a match using a regular expression string.

set field file-bytes New attribute. Searches for specific data at a specific location in the file.

set file-bytes New field, Specifies data for file-bytes search.

set file-byte-hex New field, Enables use of hexadecimal in file-bytes.

set file-byte-offset New field. Location in file to find file-bytes data.

set protocol session-control Option removed.

config dlp sensor

edit

set flow-based New field. Enables flow-based DLP.

set options strict-file Field moved from config antivirus profile.

config compound-ruleconfig rule

Subcommands removed. Use config filter.

config filter New subcommand. Configures DLP sensors, formerly configured in config compound-rule and config rule.

config endpoint-control profile

edit

set require-av warnset require-av warnset require-av-uptodate warnset require-firewall warnset require-license warnset require-webfilter warn

New warn option, Warns user about non-compliance, but allows access.

config firewall address, address6

edit

set color New field. Sets icon color.

set country New field. Set country code for geography type address.

set tags New field. Applies object tags.

set type geography New option for Geography-based filtering.

config firewall addrgrp, addrgrp6

edit


config firewall local-in-policy, local-in-policy6

New command. Creates firewall policies for traffic destined for the FortiGate unit itself.

Command Change

FortiOS Handbook v3 CLI Reference for FortiOS 4.3 22 01-430-99686-20130225



Whats new

F0h

config firewall multicast-policy

edit

set auto-asic-offload New field. Enables session offload to NP or SP processors.

set logtraffic New field. Enables logging of multicast traffic.

config firewall policy, policy6

edit

set application New field. Enables tracking of application usage in auto profiling.

set auth-method form New option. Form-based authentication in explicit web-proxy.

set auto-asic-offload New field. Enables session offload to NP or SP processors.

set bandwidth New field. Enables tracking of bandwidth usage in auto profiling.

set client-reputation New field. Enables client reputation feature.

set client-reputation-mode New field. Select learning or monitoring mode for client reputation.

set dynamic-profile New field. Enables dynamic profile.

set dynamic-profile-access Enable dynamic profiles by protocol. Functionality moved from system dynamic profile.

set dynamic-profile-group New field. Selects the dynamic profile group.

set endpoint-keepalive-interface New field. Specifies keepalive interface for endpoint-check.

set failed-connection New field. Enables tracking of failed connection attempts in auto profiling.

set fsae Renamed to fsso.

set fsae-agent-for-ntlm Renamed to fsso-agent-for-ntlm.

set fsso Renamed from fsae.

set fsso-agent-for-ntlm Renamed from fsae-agent-for-ntlm.

set geo-location New field. Enables tracking countries of destination IP addresses in auto profiling.

set global-label New field. Places policy in the named subsection in the web-based manager policy list.

set icap-profile New field. Select an Internet Content Adaptation Protocol (ICAP) profile.

set identity-based This field is invisible if dynamic-profile is enabled.

set logtraffic-app New field. Enables traffic logging when application list logging is enabled, regardless of logtraffic setting.

set ntlm-enabled-browsers New field. Defines HTTP-User-Agent strings of supported browsers.

set ntlm-guest New field. Enables NTLM guest user access.

set schedule-timeout New field. Enables forced timeout of session when policy schedule ends.

Command Change

ortiOS Handbook v3 CLI Reference for FortiOS 4.3 1-430-99686-20130225 23 ttp://docs.fortinet.com/


Whats new

config firewall policy, policy6 (contd)

set sessions New field. Enables taking a snapshot of the number of sessions every five minutes in auto profiling.

set srcintf ftp-proxy New option. Use FTP proxy as source interface.

set tags New field. Applies object tags.

set traffic-shaper-reverse Field can now be set without setting traffic-shaper.

set web-auth-cookie New field. Enables cookies for explicit proxy sessions.

set webcache New: Apply web caching in a firewall policy.

set webproxy-forward-server New field. Sets name of web proxy forwarding server.

config firewall profile-group

edit

set icap-profile New field. Sets an Internet Content Adaptation Protocol (ICAP) profile.

config firewall profile-protocol-options

edit

config ftp

set post-lang Removed. Post-lang does not apply to FTP.

config ftps New subcommand. Configures FTPS protocol options.

set unsupported-ssl New field. Selects bypass or block action for undecryptable SSL sessions.

config https

set options ssl-ca-list New option. Verifies SSL session server certificate against stored CA certificate list.

set client-cert-request New field. Selects action to take if the client certificate request fails during the SSL handshake.


config imaps


config pop3s


config smtps


config ssl-server New subcommand. Configures SSL server settings for use with the secure protocols (HTTPS, FTPS, POP3S, SMTPS).

config firewall schedule group

edit


Command Change

FortiOS Handbook v3 CLI Reference for FortiOS 4.3 24 01-430-99686-20130225



Whats new

F0h

config firewall schedule onetime

edit


config firewall schedule recurring

edit


config firewall service custom

edit


set protocol TCP/UDP/SCTPset tcp-halfopen-timerset tcp-halfclose-timerset tcp-timewait-timerset udp-idle-timerset check-reset-rangeset session-ttl

New session control options for custom services.

config firewall service explicit-web New command. Configures explicit web proxy services.

config firewall service group

edit


config firewall service group-explicit-web New command. Configures explicit web proxy service groups.

config firewall shaper per-ip-shaper

edit

set diffserv-forward set diffservcode-forward set diffserv-reverse set diffservcode-rev

New fields. Manage differentiated services code point (DSCP) values.

config firewall shaper traffic-shaper

edit

set diffservset diffservcode

New fields. Starts differentiated services for network traffic.

config firewall sniff-interface-policy

edit

set logtraffic New field. Enable traffic logging on one-arm policy.

config firewall vip

set extip Changed. Now also accepts address range.

set http-cookie-domain-from-host New field. Sets handling of SetCookie.

set ldb-method http-host Changed. New method http-host added.

set ssl-algorithm New field. Sets the permitted encryption algorithms for SSL sessions according to encryption strength.

set ssl-client-renegotiation secure New option. Requires secure renegotiation.

Command Change

ortiOS Handbook v3 CLI Reference fo

Documents

FortiOS CLI Reference - صفحه اصلی this guide is organized ... config admin-distance ... CLI Reference for FortiOS 4.3