Troubleshooting básico en Fortinet (debug)

troubleshooting-basico-en-fortinet

Para resolver problemas es muy aconsejable tener una buena guía con los conceptos más básicos para tener alguna idea de dónde empezar a mirar. En este post os voy a indicar cual es el troubleshooting más básico en Fortinet.

Entrando en materia

1.- Comprobar la tabla de enrutamiento:

FGT- EBDN# get router info routing-table all

Nos debería devolver algo como esto (clic para ampliar):

Screen Shot 2015-10-07 at 16.37.10

“Explicación:”
Con este comando verificaremos que tenemos subredes locales, rutas estáticas, puertas de enlace, rutas dinámicas (protocolos de enrutamiento)….

2.- Comprobar que la interfaz a la que deseemos acceder tiene los servicios activados. Por ejemplo si queremos acceder por SSH a al port 1 deberemos asegurarnos que lo tenemos activado:

FGT- EBDN# show system interface port1

El resultado sería:

Screen Shot 2015-10-07 at 16.41.51

“Explicación:”
En la salida del comando vemos que tenemos los servicios ping, https, ssh, http y telnet activados en el puerto 1

NOTA: Debemos recordar que para acceder a los diferentes servicios harán falta las correspondientes políticas, por ejemplo si se quiere acceder desde un puerto a otro.

3.- Capturar el tráfico:

FGT- EBDN# diagnose sniffer packet any “dst IP_deseada” 4 (comillas incluidas).
“Explicación:”
Este comando nos permite ver qué pasa cuando realizamos un ping desde un equipo a otro, indicando el número 4 al final hará que aparezca un mensaje en pantalla cuando se detecte algún tráfico que haga match en el filtro, Para pararlo utiliza CONTROL+C. Existen otros filtros si os parece interesante haré otro post con ellos

4.- Filtro para capturar flujos de datos:

FGT- EBDN# diag debug enableFGT- EBDN# diag debug flow filter add IP_del_PC

FGT- EBDN# diag debug flow show console enable

FGT- EBDN# diag debug flow trace start 100

FGT- EBDN# diag debug enable

“Explicación:”

1.- Activamos el filtro.2.- Configuramos el filtro indicando la IP que deseemos.

3.- Indicamos que nos muestre el resultado por la consola

4.- Le decimos que solo nos muestre la cien primeros paquetes que hagan match en el filtro.

5.- Activamos el filtro.

Para destivarlos utilizaremos diag debug flow trace stop.

por ejemplo este flujo de datos nos indica que no está permitido porque no hay política que lo permita (clic para agrandar):

Screen Shot 2015-10-07 at 17.17.41

En esta otra por ejemplo se puede observar el tráfico en un túnel IPSEC funcionando correctamente (clic para agrandar):

Screen Shot 2015-10-07 at 17.19.49

Esto es una buena base para empezar a hacer un buen troubleshooting en dispositivos Fortinet.

 

Fuente:http://elblogdelnetworking.com/troubleshooting-basico-en-fortinet/http://elblogdelnetworking.com/troubleshooting-basico-en-fortinet/

Etiquetas:

Deja un comentario