Una de las herramientas más útiles para la resolución de problemas de comunicaciones es la herramienta de diagnóstico de flujos. Esta secuencia de comandos de debug es muy útil para conocer si determinados paquetes son procesados en el FortiGate y de que forma es su procesamiento.
Un ejemplo de utilización de esta herramienta es diagnosticar las peticiones DNS para el servidor 194.79.69.129:
comandos de debug
FGT60D # diagnose debug flow filter addr 194.79.69.129 <- definir filtro
FGT60D # diagnose debug flow filter port 53 <- definir filtro
FGT60D # diagnose debug flow show console enable <- salida dirigida a la consola
FGT60D # diagnose debug flow trace start 20 <- definir debug para 20 paquetes
FGT60D # diagnose debug enable <- iniciar debug
Salida de los comandos de debug
FGT60D # id=13 trace_id=118 msg=»vd-root received a packet(proto=17,
192.168.11.15:62843->194.79.69.129:53) from sw-internal.” <- primer paquete
id=13 trace_id=118 msg=»allocate a new session-001b9f8b»
id=13 trace_id=118 msg=»find a route: gw-192.168.1.254 via wan1” <- selección de ruta
id=13 trace_id=118 msg="use addr/intf hash, len=6"
id=13 trace_id=118 msg="find SNAT: IP-192.168.1.250, port-62843” <- la política tiene un NAT estático
id=13 trace_id=118 msg="Allowed by Policy-3: SNAT <- nº de política que procesa el paquete
id=13 trace_id=118 msg="send to ips" <- la política tiene IPS activadoid=13 trace_id=118 msg="SNAT 192.168.11.15->192.168.1.250:62843″ <- SNAT aplicado
id=13 trace_id=118 msg="run helper-dns-udp(dir=original)"
id=13 trace_id=119 msg="vd-root received a packet(proto=17, 194.79.69.129:53- >192.168.1.250:62843) from wan1.» <-2º paquete
id=13 trace_id=119 msg="Find an existing session, id-001b9f8b, reply direction"
id=13 trace_id=119 msg="DNAT 192.168.1.250:62843->192.168.11.15:62843″
id=13 trace_id=119 msg=»find a route: gw-192.168.11.15 via sw-internal»
id=13 trace_id=119 msg=»send to ips»
id=13 trace_id=119 msg=»run helper-dns-udp(dir=reply)»
id=13 trace_id=119 msg=»send out via dev-ssid-casota2, dst-mac-b8:e5:24:12:59:ba»
Para interrumpir la ejecución del debug, basta con ejecutar: «diagnose debug disable».
Una vez terminada la ejecución del debug, ejecutar el comando «diagnose debug reset» para inicializar todos los comandos de debug con sus valores por defecto.
Conviene tener en cuenta que la utilización de comandos de debug puede aumentar el uso de la CPU.
Fuente: fortixpert
Fortigate Peru Fortinet Perú Vmware Double Take HP Cisco Symantec Juniper Piura Trujillo Chiclayo Chimbote Ica
Grid Solutions es partner oficial de Fortinet, contamos con la experiencia en todo tipo de configuraciones. Si cuenta con alguna necesidad referente a equipos Fortigate u otros no dudes en Contactarnos.
