FortiGateで設定を削除する方法をご紹介します。
画像はクリックすると拡大表示されますので、画像が見えずらい場合は是非ご活用ください。
設定を削除する方法
FortiGateはGUIとCLIの2通りで設定を行うことができますので、
設定を削除する方法もGUIとCLIの2通りあります。
GUIで設定を削除する方法
GUIで設定を削除する方法は、
直感的に行うことができるので基本的には困らないかと思います。
削除したい設定を選択し、『削除』を押下するか、
削除したい設定を右クリックして『削除』を押下します。
その後、『選択したXXを削除しますか?』というメッセージが表示されますので、
『OK』を押下すること設定を削除することができます。
XXは削除する設定項目によってことなりますが、削除する流れはどの設定も共通となります。
設定を無効したいにしたい場合は、
スイッチをON/OFFするだけでよいので基本的には戸惑わないかと思います。
NAT有効の状態
NAT無効の状態
有効→無効にしたあとに『OK』を押下して設定を反映させる必要があります。
CLIで設定を削除する方法
CLIは『no』で設定を消すCiscoライクなCLIではないため
最初は戸惑うかもしれません。
FortiGateで設定を削除するにはいくつかのコマンドがありますので、
まずはConfigの階層を理解することが重要になってきます。
基本的にはConfig階層があり、その中でsetコマンドを使用して設定を行います。
設定する項目によっては、
Config階層の中にedit階層があり、その中でsetコマンドを使用して設定を行います。
設定の削除:unset
『set』コマンドで設定している設定は『unset』コマンドを使用して削除を行います。
FortiGate # config firewall policy FortiGate (policy) # edit 1 FortiGate (1) # show config firewall policy edit 1 set srcintf "port1" set dstintf "port2" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" set inspection-mode proxy set logtraffic all set fsso disable set nat enable<---------* next end FortiGate (1) # unset nat FortiGate (1) # show config firewall policy edit 1 set srcintf "port1" set dstintf "port2" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" set inspection-mode proxy set logtraffic all set fsso disable next end
間違った値を設定してしまった場合は、
『unset』で削除→『set』で正しい値を入力ではなく、
『set』コマンドは上書きとしても働きますので、
『set』コマンドだけで正しい入力をし直すことも可能です。
FortiGate (1) # show config firewall policy edit 1 set srcintf "port1" set dstintf "port2" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" set inspection-mode proxy set logtraffic all set fsso disable set nat enable<---------* next end FortiGate (1) # set nat disable FortiGate (1) # show config firewall policy edit 1 set srcintf "port1" set dstintf "port2" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" set inspection-mode proxy set logtraffic all set fsso disable next end FortiGate (1) #
edit階層の削除:delete
edit階層は『delete Jinji-bu_PC-A』のように、
『delete』コマンドを用いて、まるごと削除することができます。
FortiGate # config firewall address FortiGate (address) # edit Jinji-bu_PC-A FortiGate (Jinji-bu_PC-A) # show config firewall address edit "Jinji-bu_PC-A" set subnet 192.168.0.1 255.255.255.255 next end FortiGate (Jinji-bu_PC-A) # next FortiGate (address) # delete Jinji-bu_PC-A FortiGate (address) # end FortiGate # show firewall address Jinji-bu_PC-A entry is not found in table
今まで設定した内容を破棄したい場合
設定をしてみたものの、
今まで設定した設定を破棄したいときがあるかと思います。
こんなときは『abort』コマンドを使用することで、
今までセットした内容を破棄することができます。
IPv4ポリシーでNATを有効にしましたが、
『abort』コマンドを使用することで、設定が反映されていないことがわかります。
FortiGate # config firewall policy FortiGate (policy) # edit 1 FortiGate (1) # show config firewall policy edit 1 set srcintf "port1" set dstintf "port2" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" set inspection-mode proxy set logtraffic all set fsso disable next end FortiGate (1) # set nat enable FortiGate (1) # show config firewall policy edit 1 set srcintf "port1" set dstintf "port2" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" set inspection-mode proxy set logtraffic all set fsso disable set nat enable<---------* next end FortiGate (1) # abort FortiGate # show firewall policy config firewall policy edit 1 set srcintf "port1" set dstintf "port2" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" set inspection-mode proxy set logtraffic all set fsso disable next end
『abort』コマンドはこれまでに入力したコマンドを破棄と、
『end』コマンドでConfig階層を抜けるところまでがセットになっています。
『end』や『next』を実行したタイミングでConfigに保存されてしまいますので、
保存前に『abort』コマンドを実行する必要があります。
設定を削除しようとするとエラーが表示される場合
Configを削除しようとしてもエラーが表示されて削除できない場合があります。
GUIで設定を削除しようとしている場合は、
削除したい項目を選択しても、
削除ボタンが点灯せずに押下することができない場合があります。
右クリックをしても、削除を選択することができない状態となっています。
CLIで削除しようとすると、下記のようなエラーとなります。
FortiGate # config firewall address FortiGate (address) # delete Eigyou-1-ka The entry is used by other 3 entries Command fail. Return code -23 FortiGate (address) #
CLIのエラーメッセージからも分かるように、
削除したい設定が他の設定で使用(参照)されているため削除することができません。
他の設定で使用(参照)されているとは、
IPv4ポリシーの送信元に、
削除したいアドレスオブジェクトを設定している場合などが挙げられます。
他の設定から使用(参照)されている状態をなくしてあげることで、
設定を削除することができるようになります。
GUIであれば、被参照数を確認することができます。
被参照数の数字をクリックすると、
どの設定から参照されているかを確認することができます。
対象を選択して、『編集』を押下することで、
参照している設定画面に遷移することが可能です。
参照を解除していき、
被参照数を0にすることでようやく設定を削除することができるようになります。
さいごに
設定を削除する際は、参照関係を意識するようにしましょう。
その他の設定についてはこちら
FortiGate5.0系に関するおすすめ書籍
FortiGate6.0系に関するおすすめ書籍