Fortinet: Existe algum equivalente do comando packet-tracer do ASA?

4

Gostaria de saber se não há Fortates um equivalente do pacote traçador comando que podemos encontrar no ASA.

Aqui está um exemplo de execução para aqueles que não sabem:

NAT e passe:

lev5505# packet-tracer input inside tcp 192.168.3.20 9876 8.8.8.8 80

Phase: 1
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         outside

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside-in in interface inside
access-list inside-in extended permit tcp any any eq www 
access-list inside-in remark Allows DNS
Additional Information:

Phase: 4
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype: 
Result: ALLOW
Config:
object network inside-network
 nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 192.168.3.20/9876 to 81.56.15.183/9876

Phase: 7
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 94755, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

Bloqueado pela ACL:

lev5505# packet-tracer input inside tcp 192.168.3.20 9876 8.8.8.8 81

Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         outside

Phase: 2
Type: ACCESS-LIST
Subtype: 
Result: DROP
Config:
Implicit Rule
Additional Information:

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Existe algum equivalente nas Fortudes?

    
por Kedare 22.03.2012 / 12:27

3 respostas

4

No Fortigate você realmente não tem comando com capacidade de gerar um pacote simulado como no seu Cisco ASA. Mas o utilitário mais próximo será "diagnosticar fluxo de depuração" comandos. A diferença é que, com fortigate você precisa de tráfego real atravessando o firewall.

Abaixo estão os comandos completos que você precisa executar:

diagnose debug reset
diagnose debug flow filter addr <source OR destination IP address>
diagnose debug flow show console enable
diagnose debug flow show function enable
diagnose debug flow trace start <number of entries you want to view. e.g. 100>
diagnose debug enable
    
por 31.10.2017 / 13:40
1

Acredito que a coisa mais próxima que você encontrará em dispositivos Fortinet é o utilitário sniffer (pode ser acessado com: diagnose sniffer?) Eu esqueço as opções exatas depois desse ponto, mas deve ser o que você está procurando.

    
por 20.06.2012 / 04:57
1

É o nome "diagnosticar rastreamento de fluxo de depuração" em fortigate

link

    
por 24.08.2017 / 12:41