FortiGate数据流分析 debug flow-白红宇

FortiGate数据流分析 debug flow

阅读量：5812 次

发布时间：2019-06-18

本文共 2774 字，大约阅读时间需要 9 分钟。

1.工具说明

　　在防火墙部署中，经常会遇到防火墙接收到了数据包，但并未进行转发。可以通过diagnose debug flow 命令来对数据包的处理过程进行跟踪，可以清晰查看数据包再各个功能模块内的处理过程，判断出数据包如何被转发或者丢弃。

2.命令介绍

　　diagnose debug enable 开启debug功能

　　diagnose debug flow show console enable　　开始flow的输出

　　diagnose debug flow filter add 119.253.62.131　　　定制过滤器，支持多种过滤；可以添加多个组合的过滤器

　　diagnose debug flow trace start 6　　　　定义所要跟踪数据包的数量

　　diagnose debug flow filter 查看过滤器的配置

3.过滤参数

　　FGT# diagnose debug flow filter

　　addr IP address. // ip地址

　　clear Clear filter. // 清除过滤器

　　daddr Destination IP address. // 目的地址

　　dport Destination port. //目的端口

　　negate Inverse filter. //反向过滤

　　port port // 接口，如port1

　　proto Protocol number. // 协议，如6，tcp协议， 17 udp， 1 icmp

　　saddr Source IP address. //源地址

　　sport Source port. // 源端口

　　vd Index of virtual domain. //vdom

4.分析示例

1）

　　FGT# id=36871 trace_id=1 msg="vd-root received a packet(proto=6, 192.168.1.110:51661->119.253.62.131:80) from internal."id=36871 trace_id=1 msg="allocate a new session-00016920"

　　//internal口收到数据，建立新会话

　　id=36871 trace_id=1 msg="find a route: gw-192.168.118.1 via wan1" 　　　 //查找到路由表

　　id=36871 trace_id=1 msg="find SNAT: IP-192.168.118.28, port-43333" //检测存在NAT配置

　　id=36871 trace_id=1 msg="Allowed by Policy-1: SNAT"　　　　　 // 匹配策略,ID1

　　id=36871 trace_id=1 msg="SNAT 192.168.1.110->192.168.118.28:43333" 　　　 //做NAT

　　id=36871 trace_id=3 msg="vd-root received a packet(proto=6, 119.253.62.131:80->192.168.118.28:43333) from wan1." 　 // Wan1口收到返回数据包

　　id=36871 trace_id=3 msg="Find an existing session, id-00016920, reply direction"　 //数据包匹配会话id-0001692

　　id=36871 trace_id=3 msg="DNAT 192.168.118.28:43333->192.168.1.110:51661"

　　/做反向的DNAT

　　id=36871 trace_id=3 msg="find a route: gw-192.168.1.110 via internal" //查找路由，发送到internal口

　　id=36871 trace_id=5 msg="vd-root received a packet(proto=6, 192.168.1.110:51661->119.253.62.131:80) from internal."　　　　　　　　　　 //internal口收到后续数据包

　　id=36871 trace_id=5 msg="Find an existing session, id-00016920, original direction" //匹配会话id-0001692

　　id=36871 trace_id=5 msg="enter fast path"　 //直接转发

　　id=36871 trace_id=5 msg="SNAT 192.168.1.110->192.168.118.28:43333" 　　　 //NAT

　　2）策略拒绝访问

　　FGT# id=36871 trace_id=23 msg="vd-root received a packet(proto=6, 192.168.1.110:51768->119.253.62.131:80) from internal."

　　id=36871 trace_id=23 msg="allocate a new session-00017537"

　　id=36871 trace_id=23 msg="find a route: gw-192.168.118.1 via wan1"

　　id=36871 trace_id=23 msg="Denied by forward policy check"　　　　　　 //直接被策略拒绝，检查策略配置问题

　　3）常见debug flow结果

　　msg="iprope_in_check() check failed, drop"

　　没有该项策略,或策略不匹配,数据包被丢弃

　　msg="Denied by forward policy check"

　　策略动作拒绝,或命中隐含策略, 数据包被拒绝

　　msg="reverse path check fail, drop"

　　反向路径，即源路由检查失败,丢弃数据包

　　会话经由 session-helper 处理

　　msg="run helper-ftp(dir=original)"

转载于:https://www.cnblogs.com/xinghen1216/p/10091180.html

你可能感兴趣的文章