Sniffowanie w FortiOS

Zawsze gdy potrzebuję zesniffować coś na żywo na Fortigate’ach muszę przeszukać Knowledge Base by przypomnieć sobie wszystkie polecenia do tego potrzebne. Tym razem robię notatki 🙂

Sniffowanie

diagnose debug enable
diagnose debug flow filter
 addr      ip address
 clear     clear filter
 daddr     dest ip address
 dport     destination port
 negate    inverse filter
 port      port
 proto     protocol number
 saddr     source ip address
 sport     source port
 vd        index of virtual domain

# np.
diagnose debug flow filter saddr 10.10.80.3
diagnose debug flow filter daddr 8.8.8.8
diagnose debug flow filter dport 53

# wyświetl wyniki na konsoli
diagnose debug flow show console enable

# opcjonalne: wyświetla nazwy funkcji np. odwołania do routingu, itp
diagnose debug flow show function-name enable

# uruchomienie sniffowania - warto podać na końcu jakaś wartość
# by sniffowanie zakończyło się po takiej liczbie pakietów
# w przeciwnym wypadku wyniki będą się wypisywać na konsoli
# aż uda nam się na oślep wyłączyć sniffowanie
diagnose debug flow trace start 100

# zresetowanie filtrowania flow
diagnose debug reset

# wyłączenie sniffowania
diagnose debug disable

Diagnostyka tuneli IP-Sec

# tutaj jest dużo prościej, najpierw włączamy debuga
diagnose debug enable

# a potem
diagnose debug application ike 2

# lub dla bardzo, bardzo szczegółowych logów
diagnose debug application ike -1

Niestety nie ma tutaj możliwości filtrowania (albo jeszcze o tym nie wiem), więc jeśli mamy dużo aktywnych tuneli to najlepiej zbierać wypisywane komunikaty do pliku i dopiero przeglądać.

Leave a Reply

Your email address will not be published. Required fields are marked *