IPs used by Fortigate

Eventuell kennt Ihr bereits folgenden CLI Befehl:

FG-test (root) # diag ip address list
IP=192.168.86.147->194.191.86.147/255.255.255.192 index=3 devname=wan1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=8 devname=root
IP=192.168.1.99->192.168.1.99/255.255.255.0 index=11 devname=port1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=19 devname=vsys_ha
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=21 devname=vsys_fgfm
IP=169.254.1.1->169.254.1.1/255.255.255.255 index=22 devname=test
IP=10.10.10.1->10.10.10.1/255.255.255.0 index=23 devname=tunnel
IP=192.168.20.1->192.168.20.1/255.255.255.0 index=25 devname=Test
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=26 devname=transp
IP=10.11.11.11->10.11.11.11/255.255.255.0 index=28 devname=transp.b
IP=169.254.1.2->169.254.1.2/255.255.255.255 index=29 devname=testdfsdfsf
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=30 devname=glo

Mit diesem Kommnado bekommt man eine Liste von allen IP Adressen, welche auf den Fortigate Interfaces konfiguriert sind – egal ob es ein physisches, ein virtuelles oder ein Tunnel Interface ist. Zusätzlich sieht man hier den dazugehörigen Interface Namen und die Index Nummer. Die Index Nummer wird von einer Reihe anderer CLI Befehle genutzt, z.B. “diag sys session list” oder “diag ip rtcache list”.

Aber es gibt noch weitere IP Adressen, welche der Fortigate “gehören”, auf welche die Fortigate also bei einem ARP request antwortet. Und das sind typischerweise die IPs, welche in den Virtual IP- und IP Pool-Objekten konfiguriert sind.

Und hier ist das CLI Kommando, welches diese IPs auflistet:

FG100-test (root) # diagnose firewall iplist list
list iplist info:(vf=root)
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.10-10.10.10.10
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.11-10.10.10.11
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.12-10.10.10.12
one iplist entry:
dev=0 devname= type=2 used=1 ip range=10.10.10.8-10.10.10.8
one iplist entry:
dev=0 devname= type=2 used=1 ip range=10.10.10.9-10.10.10.9

Einträge mit “type=1” sind IP Pools. Wenn die Checkbox “arp reply” hier nicht ausgewählt ist, so erscheint der Eintrag auch nicht in dieser Liste. Einträge mit “type=2” sind Virtual IPs, sowohl Port Forwarding als auch Static NAT.

Und nicht vergessen: auch wenn die konfigurierten Virtual IPs und IP Pools nicht verwendet werden (also in der Konfiguration “not referenced” sind) – die Fortigate antwortet dennoch auf entsprechende ARP requests…

Leave a Reply

Your email address will not be published. Required fields are marked *