问题[fortinet](server)

我想在fortinet防火墙中执行三个命令，命令是：

#To enter in the config mode:
config vdom
#To select the virtual domain:
edit "name"
#To see the info I want:
get router info routing-table static

但我需要远程进行，为此，我尝试这样做：

ssh xx@xx "config vdom; edit "xxx"; get router info routing-table static"

当我这样做时，它只执行命令 1 并在第二个和第三个中给出错误。

我尝试将命令更改为这样的命令，它执行 1 和 2，但不是第三个：

ssh xx@xx "config vdom edit "xxxx"; get router info routing-table static"

我对第三个尝试了同样的方法，但它不起作用......

看起来它独立而不是按顺序执行命令。

有没有办法在一个命令中做到这一点？

这是我第一次在这里提出问题，我想知道是否可以将两个不同的 ISP 公共 IP 连接到一个系统以实现高可用性？

例如，如果我们的 ISP 1 离线，则第二个 ISP 将可用，就像 google 和 youtube 有不同的公共地址一样，我只是不知道在哪里配置它。

我们目前使用的是fortinet 300D。

我想从 fortiet/fortigate 设备获取数据包捕获，以在其接口之一上捕获来自它的所有流量。为此，我启用了 sflow 并将其发送到另一个 ntopng 服务器。但是在 ntopng 上，我可以看到 sflow 数据，但是有什么方法可以将这些数据转换/转储为 pcap 格式？因为我需要 pcap 中的数据来分析它。

我可以将数据导出到 json，但是我们可以将 sflow 转换为 pcap 吗？

我在防火墙（硬件路由器）上设置 DMZ 端口时遇到问题。我还假设这属于超级用户，因为它看起来像是一个基本的 DMZ 设置。这是设置：

我有一个Fortigate 90D防火墙 ( FortiOS 5.4) 设置，其中 2 个 WAN 端口被不同的 ISP 使用。LAN 端口都用于我们的内部网络，除了 1 用作 DMZ 端口。

我正在尝试将 1 LAN 端口更改为 DMZ 端口，这样我们就可以使用不连接到我们内部网络的 WiFi 路由器。WiFi路由器是一个LinkSys EA2700（http://www.linksys.com/us/p/P-EA2700/），但我最终遇到的问题是LinkSys路由器将连接到防火墙，而不是互联网。

这是我能找到但没有用的：

1. 将端口设置为 DMZ（取出内部并放入名为 DMZ 的区域）并且该区域设置为阻止Intra-Zone Traffic（选中框）
2. 使用地址 (IE 172.16.0.254/255.255.255.0) 和角色 DMZ 设置端口（在网络 > 接口中）（DHCP 应由 LinkSys 处理）
3. 使用带有外部 IP 和映射 IP 的 WAN 接口设置虚拟 IP（外部 IP 是公共互联网 IP，映射 IP 是172.16.0.254在 DMZ 接口上设置的）
4. 设置防火墙策略以允许流量从 WAN 进来并通过 DMZ 出去，并将目标地址设置为虚拟 IP（NAT 已关闭）
5. LinkSys 已插入 DMZ 端口，仅用于带 DHCP 的 WiFi
6. Internet 设置设置为：172.16.0.1/255.255.255.0网关和 DNS：172.16.0.254
7. 本地网络设置为：172.16.1.1/255.255.255.0启用 DHCP 并设置为使用静态 DNS 172.16.1.1（也启用了 NAT）

使用此设置，请记住设备的连接方式如下：调制解调器 -> Fortigate FW -> LinkSys Wifi 路由器。

其他端口工作正常，但连接到 Wifi 路由器时，我可以 ping 172.16.1.1、172.16.0.1、172.16.0.254 和公共 ip（在虚拟 IP 中设置）正常。我还尝试将虚拟 IP 设置为指向 172.16.0.1 而不是 254，但没有变化。

在 Fortigate 上，我可以跟踪从 DMZ 接口发送的数据包，并在我尝试 ping 8.8.8.8 时显示172.16.0.1 -> 8.8.8.8 icmp: echo request。我从来没有看到从 8.8.8.8 -> 172.16.0.1/254 发生任何事情。

我知道防火墙似乎正在阻止流量，但我不知道这是否是我遗漏或未正确配置的东西。

有什么办法吗？

我们正在考虑购买 Fortigate 100D，但不确定它是否能满足我们的要求。

http://www.fortinet.com/products/fortigate/100D.html

虽然 1518 字节的防火墙吞吐量看起来不错 (2.5 Gbps)，但在 64 字节 (200 Mbps) 时似乎下降了很多。

我们有大约 30 台活动计算机，但只有 4-5 台真正使用 8x5 网络。

我想平均查看我们的数据包大小，以判断我们需要哪种模型。

我有 2 个 fortinet 防火墙（完全打补丁）；fw1 在透明模式下提供 IPSEC 隧道。在这个防火墙下面是一个 fw2，一个 NAT 防火墙，其 VIP 地址已被确认可以工作。对于想要连接到隧道内的公共地址空间的客户，此配置是必需的，以防止 IP 空间中的交叉。此配置非常适用于出站到隧道远程端的流量，但不适用于入站流量。在嗅探流量时，我可以看到从 fw1 流出的入站流量，但在 fw2 上从未见过。

Cust Net > 10.1.1.100                         
                |
                |
                |
FW1      >TRANSPARENT IPSEC
                |
                |
                |
FW2 EXT  >99.1.1.1.100-VIP
                |
FW2 NAT  >192.1.1.100-NAT

Internet <---> 320B（ADSL 调制解调器）<---> Fortigate 60（防火墙）<---> 局域网

ADSL线路是静态IP，有用户名和密码，有pppoa。

DSL 320B 的 Web 界面只允许 3 种配置： 1. 使用动态 IP、用户名和密码 2. 使用静态 IP，没有用户名和密码 3. 没有用户名和密码的桥接。Fortinet Fortigate 60 只允许与 pppoe 连接，因此第三个配置似乎无法正常工作。第一个也是，因为我有一个静态 IP，第二个不起作用，因为我必须提供用户名和密码来验证连接。

也许我可以用 320B 的 cli 解决问题，但它完全没有文档记录，直到现在我找不到文档。

使用此 ADSL 线路配置和此硬件是否可以解决我的问题？