Juniper防火墙debug flow命令使用
防火墙的debug工具是告诉你一个数据包在防火墙上是被如何处理的,在什么地方出问题的。
操作方法
- 01
搭建拓扑图
- 02
debug跟踪防火墙对数据包的处理流程 windows2003客户端202.100.80.12FTP访问内部服务器192.168.50.3,使用debug跟踪防火墙对数据包的处理过程; 1) 设置过滤列表,在所有数据流中选取希望监控的数据流 这一步可以保证debug的显示结果不会被其他数据所干扰 Set ffilter src-ip 202.100.80.12 dst-ip 192.168.50.3 dst-port 21 //解读:匹配从202到192地址的21端口的数据流,此命令只是准备命令,并不会有实际效果。 2) 清除防火墙缓存中已有的其他数据 clear dbuf 3) 开启debug数据流跟踪功能 debug flow basic 开启基本的数据流debug功能,这会占用一定的CPU资源,如果当前CPU占用率本来高于40%,则不建议开启debug功能。 4) 发送测试数据包或让小部分流量穿越防火墙 发起FTP访问 防火墙会话记录
- 03
其他常用命令 1) 关闭所有debug功能 undebug all 一旦抓到数据就先停止debug,避免对于CPU资源的浪费。 2) 检查防火墙对符合过滤条件数据包的分析结果 get dbuf stream//查看缓存里面的记录 sg550-2(M)-> get dbuf stream ****** 2351023.0: <Untrust/ethernet0/1> packet received [48]****** ipid = 8537(2159), @2d65b110 packet passed sanity check. flow_decap_vector IPv4 process ethernet0/1:202.100.80.12/3543->192.168.50.3/21,6<Root> no session found flow_first_sanity_check: in <ethernet0/1>, out <N/A> chose interface ethernet0/1 as incoming nat if. flow_first_routing: in <ethernet0/1>, out <N/A> search route to (ethernet0/1, 202.100.80.12->192.168.50.3) in vr trust-vr for vsd-0/flag-0/ifp-null [ Dest] 5.route 192.168.50.3->192.168.10.5, to ethernet0/2 routed (x_dst_ip 192.168.50.3) from ethernet0/1 (ethernet0/1 in 0) to ethernet0/2 抓取结果:复制了部分包的数据,共计抓取到48个包,里面的信息是整个防火墙对数据包的处理过程,通过定义源目标地址过滤抓取数据包来分析排除错误。 3) 清除防火墙debug过滤列表 unset ffilter 4) 清除防火墙缓存的debug信息 clear dbuf 5) 查看当前debug设置 get debug
- 04
Snoop捕获经过防火墙的数据包 Snoop捕获防火墙的数据包,与Sniffer嗅包软件功能类似。 1) 设置过滤列表,定义捕获包的范围 Snoop filter ip src-ip 202.100.80.12 dst-ip 192.168.50.3 dst-port 21 2) 清除防火墙内存中缓存的分析包 clear dbuf 3) 开启snoop功能捕获数据包 Snoop 发送测试数据包或让小部分流量穿越防火墙
- 05
检查防火墙对符合过滤条件数据包的分析结果 get db stream 2353860.0: ethernet0/1(i) len=62:001c0ecc87c8->0010dbff2050/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8902, frag=4000, ttl=127 tlen=48 tcp:ports 3603->21, seq=1668151580, ack=0, flag=7002/SYN 2353860.0: ethernet0/2(o) len=62:0010dbff2060->001c0e4a05c4/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8902, frag=4000, ttl=126 tlen=48 tcp:ports 3603->21, seq=1668151580, ack=0, flag=7002/SYN 2353860.0: ethernet0/1(i) len=60:001c0ecc87c8->0010dbff2050/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8903, frag=4000, ttl=127 tlen=40 tcp:ports 3603->21, seq=1668151581, ack=2479135239, flag=5010/ACK 2353860.0: ethernet0/2(o) len=54:0010dbff2060->001c0e4a05c4/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8903, frag=4000, ttl=126 tlen=40 tcp:ports 3603->21, seq=1668151581, ack=2479135239, flag=5010/ACK 2353860.0: ethernet0/1(i) len=64:001c0ecc87c8->0010dbff2050/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8904, frag=4000, ttl=127 tlen=50 tcp:ports 3603->21, seq=1668151581, ack=2479135266, flag=5018/ACK 2353860.0: ethernet0/2(o) len=64:0010dbff2060->001c0e4a05c4/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8904, frag=4000, ttl=126 tlen=50 tcp:ports 3603->21, seq=1668151581, ack=2479135266, flag=5018/ACK 2353860.0: ethernet0/1(i) len=67:001c0ecc87c8->0010dbff2050/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8905, frag=4000, ttl=127 tlen=53 tcp:ports 3603->21, seq=1668151591, ack=2479135298, flag=5018/ACK 2353860.0: ethernet0/2(o) len=67:0010dbff2060->001c0e4a05c4/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8905, frag=4000, ttl=126 tlen=53 tcp:ports 3603->21, seq=1668151591, ack=2479135298, flag=5018/ACK 2353860.0: ethernet0/1(i) len=60:001c0ecc87c8->0010dbff2050/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8906, frag=4000, ttl=127 tlen=46 tcp:ports 3603->21, seq=1668151604, ack=2479135323, flag=5018/ACK 2353860.0: ethernet0/2(o) len=60:0010dbff2060->001c0e4a05c4/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8906, frag=4000, ttl=126 tlen=46 tcp:ports 3603->21, seq=1668151604, ack=2479135323, flag=5018/ACK 2353860.0: ethernet0/1(i) len=60:001c0ecc87c8->0010dbff2050/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8907, frag=4000, ttl=127 tlen=46 tcp:ports 3603->21, seq=1668151610, ack=2479135339, flag=5018/ACK 2353860.0: ethernet0/2(o) len=60:0010dbff2060->001c0e4a05c4/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8907, frag=4000, ttl=126 tlen=46 tcp:ports 3603->21, seq=1668151610, ack=2479135339, flag=5018/ACK 2353860.0: ethernet0/1(i) len=60:001c0ecc87c8->0010dbff2050/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8908, frag=4000, ttl=127 tlen=40 tcp:ports 3603->21, seq=1668151616, ack=2479135349, flag=5010/ACK 2353860.0: ethernet0/2(o) len=54:0010dbff2060->001c0e4a05c4/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8908, frag=4000, ttl=126 tlen=40 tcp:ports 3603->21, seq=1668151616, ack=2479135349, flag=5010/ACK 2353860.0: ethernet0/1(i) len=60:001c0ecc87c8->0010dbff2050/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8909, frag=4000, ttl=127 tlen=45 tcp:ports 3603->21, seq=1668151616, ack=2479135378, flag=5018/ACK 2353860.0: ethernet0/2(o) len=59:0010dbff2060->001c0e4a05c4/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8909, frag=4000, ttl=126 tlen=45 tcp:ports 3603->21, seq=1668151616, ack=2479135378, flag=5018/ACK 2353860.0: ethernet0/1(i) len=60:001c0ecc87c8->0010dbff2050/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8910, frag=4000, ttl=127 tlen=40 tcp:ports 3603->21, seq=1668151621, ack=2479135409, flag=5010/ACK 2353860.0: ethernet0/2(o) len=54:0010dbff2060->001c0e4a05c4/0800 202.100.80.12 -> 192.168.50.3/6 vhl=45, tos=00, id=8910, frag=4000, ttl=126 tlen=40 tcp:ports 3603->21, seq=1668151621, ack=2479135409, flag=5010/ACK