Captures réseau sur un Fortigate

Réaliser une capture réseau

Il y a deux manières de réaliser une capture réseau sur le Fortigate. Une première manière simple, qui ne va que détecter les paquets, sans les détails. La deuxième manière est plus flexible.

Dans les deux types de captures, il faut se situer dans le vdom correspondant.

config vdom
edit <vdom_name>

Manière simple

diagnose sniffer packet any 'host <source> and host <destination>' 4

Manière complète

Désactiver les captures déjà actives

diagnose debug disable 
diagnose debug flow trace stop 
diagnose debug flow filter clear 
diagnose debug reset

Disable the debug command
Stop the trace of debugging
Clear all filters
Reset all debug commands

Activer et filtrer les captures

diagnose debug flow filter addr x.x.x.x
diagnose debug flow filter addr x.x.x.x y.y.y.y
diagnose debug flow show console enable
diagnose debug flow show function-name enable
diagnose debug console timestamp enable
diagnose debug flow trace start 999
diagnose debug enable

Filter l’adresse x.x.x.x
OU
Filtrer la plage d’adresses entre x.x.x.x et y.y.y.y
Afficher dans la console
Afficher le nom de la fonction
Afficher l’heure dans la commande
Démarrer la trace avec le nombre de ligne affichées
Activer la commande de débug

Debug filter tip

Tip 1 : Filtrer uniquement le trafic ping

Remplacer la ligne 5 par la commande suivante :

# diagnose debug flow filter proto 1

Le paramètre “proto” peut être changé par une autre valeur de protocole afin de se focaliser sur le protocole donné :

protocol number 1 = ICMP (ping)
protocol number 6 = TCP
protocol number 17 = UDP
etc.

Tip 2 : Filtrer les ping liés à une adresse IP

Rempalcer la ligne 5 par les commandes suivantes :

# diagnose debug flow filter addr x.x.x.x
# diagnose debug flow filter proto 1

Note :

x.x.x.x est l’adresse IP à filtrer
proto 1 est le traffic ping (ICMP)
On ne peut mettre qu’une seule adresse par debug

Tip 3 : Filtrer un port donné

Remplacer la ligne 5 par la commande suivante :

# diagnose debug flow filter port Y

Y : numéro du port (comme 80 (http), 25 (smtp))

Tip 4 : Filtrer une adresse IP et un port

Remplacer la ligne 5 par les commandes suivantes :

#diagnose debug flow filter addr x.x.x.x
#diagnose debug flow filter port 80

Tip 5 : Filtrer uniquement un port source ou destination

Remplacer la ligne 5 par la commande suivante :

Port source 80

# diagnose debug flow filter sport 80

Port de destination 25

# diagnose debug flow filter dport 25

Tip 6 : Filtrer uniquement une adresse IP source ou destination

Remplacer la ligne 5 par la commande suivante :

Adresse IP source x.x.x.x

# diagnose debug flow filter saddr x.x.x.x

Adresse IP destination y.y.y.y

# diagnose debug flow filter daddr y.y.y.y

Tip 7 : Filtrer uniquement un vdom spécifique

Remplacer la ligne 5 par la commande suivante :

Index du vdom “X”

# diagnose debug flow filter vd X

Captures réseau sur un Fortigate

Réaliser une capture réseau

Manière simple

Manière complète

Désactiver les captures déjà actives

Activer et filtrer les captures

Debug filter tip

Tip 1 : Filtrer uniquement le trafic ping

Tip 2 : Filtrer les ping liés à une adresse IP

Tip 3 : Filtrer un port donné

Tip 4 : Filtrer une adresse IP et un port

Tip 5 : Filtrer uniquement un port source ou destination

Port source 80

Port de destination 25

Tip 6 : Filtrer uniquement une adresse IP source ou destination

Adresse IP source x.x.x.x

Adresse IP destination y.y.y.y

Tip 7 : Filtrer uniquement un vdom spécifique

Index du vdom “X”

Related Articles

Créer un NAT entrant

Afficher le status d’un cluster Fortigate