Zawsze gdy potrzebuję zesniffować coś na żywo na Fortigate’ach muszę przeszukać Knowledge Base by przypomnieć sobie wszystkie polecenia do tego potrzebne. Tym razem robię notatki 😃
Sniffowanie
diagnose debug enable
diagnose debug flow filter
addr ip address
clear clear filter
daddr dest ip address
dport destination port
negate inverse filter
port port
proto protocol number
saddr source ip address
sport source port
vd index of virtual domain
# np.
diagnose debug flow filter saddr 10.10.80.3
diagnose debug flow filter daddr 8.8.8.8
diagnose debug flow filter dport 53
# wyświetl wyniki na konsoli
diagnose debug flow show console enable
# opcjonalne: wyświetla nazwy funkcji np. odwołania do routingu, itp
diagnose debug flow show function-name enable
# uruchomienie sniffowania - warto podać na końcu jakaś wartość
# by sniffowanie zakończyło się po takiej liczbie pakietów
# w przeciwnym wypadku wyniki będą się wypisywać na konsoli
# aż uda nam się na oślep wyłączyć sniffowanie
diagnose debug flow trace start 100
# zresetowanie filtrowania flow
diagnose debug reset
# wyłączenie sniffowania
diagnose debug disable
Diagnostyka tuneli IP-Sec
# tutaj jest dużo prościej, najpierw włączamy debuga
diagnose debug enable
# a potem
diagnose debug application ike 2
# lub dla bardzo, bardzo szczegółowych logów
diagnose debug application ike -1
Niestety nie ma tutaj możliwości filtrowania (albo jeszcze o tym nie wiem), więc jeśli mamy dużo aktywnych tuneli to najlepiej zbierać wypisywane komunikaty do pliku i dopiero przeglądać.