Я хотел бы знать, нет ли Fortigates эквивалента трассировщик пакетов команда, которую мы можем найти на ASA.
Вот пример исполнения для тех, кто этого не знает:
NAT и пройти:
lev5505# packet-tracer input inside tcp 192.168.3.20 9876 8.8.8.8 80
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 outside
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside-in in interface inside
access-list inside-in extended permit tcp any any eq www
access-list inside-in remark Allows DNS
Additional Information:
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:
Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
object network inside-network
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 192.168.3.20/9876 to 81.56.15.183/9876
Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 94755, packet dispatched to next module
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
Заблокировано ACL:
lev5505# packet-tracer input inside tcp 192.168.3.20 9876 8.8.8.8 81
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 outside
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
Есть ли аналог на Fortigates?
На Fortigate у вас фактически нет команды, способной сгенерировать фиктивный пакет, как на вашем cisco ASA. Но ближайшей утилитой будут команды «диагностировать поток отладки». Разница в том, что с fortigate вам нужен реальный трафик, проходящий через межсетевой экран.
Ниже приведены полные команды, которые вам нужно выполнить:
diagnose debug reset
diagnose debug flow filter addr <source OR destination IP address>
diagnose debug flow show console enable
diagnose debug flow show function enable
diagnose debug flow trace start <number of entries you want to view. e.g. 100>
diagnose debug enable
Перед внедрением любого правила / политики в Cisco ASA у нас есть возможность проверить погоду, аналогичное правило уже присутствует в базе правил брандмауэра с помощью команды пакетного трассировщика, или во время устранения неполадок мы можем проверить с помощью команды пакетного трассировщика, разрешено ли соединение или нет, без инициации любой фактический трафик, это одна из хороших функций, которые мне нравятся в CISCO ASA, но то же самое недоступно в межсетевых экранах Fortigate.
Чтобы выполнить подобное требование в брандмауэре Fortigate, лучше всего мы можем диагностировать команды отладки, которые потребуют от кого-то инициировать трафик.
Это имя "диагностировать трассировку отладочного потока" на fortigate
https://blog.webernetz.net/2015/12/21/cli-commands-for-troubleshooting-fortigate-firewalls/
Я действительно верю, что самое близкое к этому на устройствах Fortinet - это утилита сниффера (доступ к которой можно получить с помощью: Diagnose sniffer?). Я забыл точные параметры после этого пункта, но это должно быть то, что вы ищете.