fortigate packet sniffer 하는 방법

fortigate packet sniffer 하는 방법

fortigate에서 장애처리 시 자주 사용하는 명령어

해당 명령어를 사용하여 필터를 걸어서 특정 인터페이스 또는 모든 인터페이스로 들어오는 packet을 확인할 수 있다.

fortigate packet sniffer를 잘 활용하기 위한 옵션 확인해보기

기본 명령어는

diagnose sniffer packet <Interface> <Filter> <level> <count> <tsformat> 

Interface : any 또는 특정 Interface 지정 (ex. port1, wan1등등)

Filter : ICMP, TCP, UDP, Port, Subnet, host 여러가지 조건들을 and 또는 or 조건으로 filter를 걸어서 In/Out packet 확인

level : 아래 이미지 참조

 

1~6까지 사용이 가능한데 1만 입력할 경우 IP headers만 sniffer내용에 표시

일반적으로 많이 사용하는건 4번을 많이 사용하여 IP herders와 Port names 확인

count : 해당 packet을 몇번 남길건지 생략도 할 수 있다 / 생략 시 취소하기 전까지 계속 남김

tsformat : a와 I 옵션이 있는데 a는 UTC time, I는 Fortigate에 설정된 Time 시간이 표시되어 sniffer에 표시

예시. diagnose sniffer packet any 'icmp and host 8.8.8.8' 4

이렇게 filter를 걸어서 sniffer한 경우

해당 fortigate 모든 Interface를 통과하는 icmp packet을 탐지 물론 8.8.8.8 IP에 대해서만!

이런 방법으로 filter를 걸어 fortigate In/out 되는 packet 확인이 가능

fortigate packet sniffer 하는 방법

끝