由於公司的CDN節點常常更新,需要時常更新Fortigate的白名單,但是每次都是好幾百個總不可能每個都手動加入
最後使用了excel來協助達成
add ip address 主要的指令分為以下片段:
config firewall address <----進入設定 firewall address的目錄
edit 1.1.1.1/32 <---- 設定address名稱
set type ipmask <----設定物件類型為ip address
set subnet 1.1.1.1/32 <----設定IP address 與 mask
next <----還有下一筆address才加next 如果沒有下一筆就改成 end
add ip address 主要的指令分為以下片段:
config firewall addrgrp <----進入設定firewall address group 的設定目錄
edit test_group <---- 設定address group名稱
append member 1.1.1.1/32 <----加入 ip address 到 test_group
end <----結束
下載以下Excel,並且填入想要加的address node 及address group
請點我
Excel 分為兩個Tab
Add node 及 Add group
新增node:切換至add node,並在C欄填入物件名稱,F欄填入IP+mask ex:1.1.1.1/32 or 1.1.1.0/24
並複製H欄的資料貼在notepad上:
但由於複製下來的內容會多出 ",叫出取代功能(編輯->取代),所以需要把 " 全部取代為空白如下圖:
另存新檔為add_node
新增group:切換至add node,並在B欄填入group名稱,D欄填入剛剛add_node裡面的node名稱,
並且複製F欄的資料貼到notepad上:
但由於複製下來的內容會多出 ",叫出取代功能(編輯->取代),所以需要把 " 全部取代為空白如下圖:
另存新檔為add_group
完成
匯入Forigate
System -> Advanced ->Configuration Scripts -> Upload and Run a New Script 匯入剛剛建立的 add_node及add_group並按下apply(注意:add_node一定要先匯入才匯入add_group)
完成
注意事項:
1.如果匯入狀態Failure,請檢查Fortigate是否已經有此物件了?並檢查最後面的物件next是否改為end(匯入出現failue不代表無建立可進Fortigate的address檢查)
2.此範例為沒有切Vdom如果要加入Vdom的設定請在第一行指令加上
config vdom
edit Data <----- Data為vdom neme