En esta entrada voy a dejar un listado de comandos muy útiles para realizar un debug sencillo de policies que no sabemos si funcionan, VPNs que no están comportándose correctamente, etc.

Sniffer de tráfico:

Primero, voy a dejar los comandos para realizar un “sniffer” de tráfico. Estos comandos son solo para sniffar si vemos que llegan paquetes, no para ver el comportamiento de los paquetes en el firewall, por lo que son para un debug “superficial”. Por supuesto, estos comandos deben lanzarse en el CLI del Firewall Fortigate

Con este comando observaremos si llegan o se generan paquetes hacía dicho host. Podemos ajustar la búsqueda aún más añadiendo por ejemplo origen y/o destino.

Con este comando sniffamos solo paquetes cuyo origen sea la IP 192.168.1.1

Mientras que con este comando incluimos también que el destino sea 192.168.2.1. También podemos añadir protocolo con el siguiente comando, pudiendo usar tcp, udp o icmp

También podemos especificar puertos:

El resultado obtenido será similar a algo así:

Debug de VPNs

Seguidamente, voy a dejar los comandos para realizar un debug de VPNs, primeramente, habilitaremos el debug de las VPNs:

Después, si tenemos muchos túneles, nos interesaría filtrar por túnel, para poder realizar el debug del túnel que falle, de lo contrario, observaremos demasiada información y no podremos realizar un diagnóstico claro, para ello, filtraremos por la IP del Gateway remoto:

Tras esto, forzaremos el levantamiento del túnel, ya sea desde la GUI o enviando tráfico, y obtendremos las trazas del debug del túnel, las cuales tendremos que analizar.

Podemos añadir varios filtros en función de nuestras necesidades, existiendo los siguientes:

Cuando hayamos concluido, desactivamos el debug y limpiamos los filtros que hayamos establecido:

Sniffer avanzado de paquetes

Por último, voy a dejar los comandos para realizar un sniffer avanzado de paquetes en el Firewall, estos comandos nos permiten ver que pasos siguen o como se comportan los paquetes en su paso por el firewall, es decir, capturamos las trazas de los paquetes en su tratamiento por el firewall

Los comandos son los siguientes, primero, limpiamos cualquier posible filtro anterior:

Después, añadimos filtros en función de origen, destino, o ambas, así como puertos:

Y una vez hayamos afinado la búsqueda, activamos el debug:

Por último, le indicamos al firewall que nos muestre los 10 primeros paquetes que lleguen, es recomendable hacerlo así pues de lo contrario, si se genera mucho tráfico, podemos “perdernos” entre tantos paquetes:

Y una vez los hayamos analizado, desactivamos el debug:

Eso es todo, ¡espero que os sirvan!


2 comentarios

ElSoftwareLibre · 22/05/2020 a las 7:40 pm

Genial artículo para debug de firewall, lo que necesitaba.

    Daniel · 25/05/2020 a las 12:24 am

    Me alegro que te haya servido!
    Un saludo!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *