【管理篇 / 恢复】❀ 07. macOS下用命令刷新固件 ❀ FortiGate 防火墙
【简介】随着苹果电脑的普及,很多管理员都会通过苹果电脑对飞塔防火墙进行管理。当防火墙需要命令状态下刷新固件时,在macOS下用命令刷新固件,将会是一个小小的挑战。
首先是硬件的连接,USB配置线的USB一头,接入MAC的USB口。
USB配置线的RJ45头接入防火墙的CONSOLE接口。MAC的网络接口接入网线,另一头接入防火墙的WAN1接口。为什么是WAN1接口?后面我们会讲到。防火墙先不通电。
配置MAC的网卡IP,点击设置图标。
选择【网络】-【以太网】。
将MAC的网卡IP地址设置为192.168.1.168,子网掩码为255.255.255.0,网关不用配置。这样硬件连接和基本配置就完成了。
我们在Windows下用命令刷新固件时,需要用到TFTP服务来上传固件到防火墙,在MAC下,也需要用到TFTP服务。Mac系统自带TFTP服务,配置文件:/System/Library/LaunchDaemons/tftp.plist,默认共享目录:/private/tftpboot。我们需要将固件文件拷贝到TFTP默认共享目录下。
选择访达图标,在访达菜单选择【前往】-【前往文件夹】。
输入/private/tftpboot,双击/private/tftpboot。
进入/private/tftpboot目录,将需要刷写的固件文件拖到该目录中,需输入MAC密码才能进行拷贝操作。
下一步就需要启动MAC的TFTP服务,打开终端。
输入命令 sudo launchctl load -F /System/Library/LaunchDaemons/tftp.plist 回车,提示输入密码,输入MAC的密码后通过。再次输入 sudo launchctl start com.apple.tftp 回车,这样就启动了MAC的TFTP服务。
输入 screen -L /dev/cu.usbserial-A9Z484ZY -L 回车,进入serial窗口。如果不知道或不记得USB配置线的号,可以执行 ls /dev/cu.usbserial-* 命令查看。
飞塔防火墙通电,能够看到启动信息,当出现 Please wait for OS to boot, or press any key to diskplay configuration menu. 提示,立即按回车或空格键,将不再进入系统,而是显示配置菜单。
为了避免原有内容存在,按F键,再输入yes,确认格式化启动设备。
在刷新固件之前,需要配置TFTP参数,按C键,显示TFTP参数菜单,其中四项设置是我们需要重点关注的。
按P键,配置固件下载端口号,默认为WAN1,现在能理解为什么把网线接入防火墙的WAN1接口了吧。按I键和T键,配置TFTP和本机的IP地址,前面MAC的网卡IP已经配置了192.168.1.168,所以这里的TFTP IP也配置为192.168.1.168,本机IP地址只要和TFTP的IP地址是同网段就可以了。按F键,可以手动或粘贴输入固件文件名。按Q退出。
可以在/private/tftpboot目录下拷贝固件文件名,然后粘贴输入。
配置完TFTP参数后,按T键,启动TFTP固件传输。如果TFTP服务没有启动,会出现报错提示。
运气好不出意外的话,会显示TFTP传输固件文件到防火墙。
输入D,保存为默认固件,按Y键确认,启动固件,出现登录提示后,表示固件已经刷写并启动成功。
如果要返回命令窗口,按Ctrl+A后,再按Ctrl+K,将显示退出提示,按y退出。
返回命令窗口。我们可以通过命令 sudo launchctl unload -F /System/Libiary/LaunchDaemons/tftp.plist 和 sudo launchctl stop com.apple.tftpd 来停止MAC上的TFTP服务。关机或重启MAC,TFTP服务也会关闭。
