Die Palo Alto Networks Firewall verfügt über mehrere Daemons, die in einem Hör-oder aktiv Modus auf dem dataplane arbeiten und verschiedene Dienste für Ihre Netzwerk angeschlossenen Hosts oder Benutzer bieten. Um zu überprüfen, ob bestimmte Prozesse normal funktionieren, ist das Sammeln von Paketaufnahmen ein sicherer Weg, um sicherzustellen, dass Anfragen empfangen und beantwortet werden.
Anstatt eine "Packet-Diag"-voll Paket-Erfassung einzurichten, die potenziell zu viele Daten erfasst und durch große Mengen von Paketen filtern muss, nur um zum interessanten Bit an Informationen zu gelangen, können Daemons gesetzt werden, um Paketaufnahmen auf Ihrem eigenen Prozesse. Dies wird es einem Administrator ermöglichen, einfach zu sehen, welche Pakete von einem einzigen Daemon verarbeitet werden.
Die folgenden Befehle richten sich an bestimmte Daemons und ermöglichen ihre Packet-Capture-Funktion:
Der Geräteserver zur Überprüfung von Cloud-Lookups für die URL-Filterung
> Debug Device-Server pcap on
Der DHCP-Daemon
> Debuggen Dhcpd Pcap auf
Der IKE-Manager für GlobalProtect, Satellit oder Site-to-Site VPN, Phase 1-Verhandlung
> Debug IKE pcap on
Das Link-Layer-Discovery-Protokoll, Layer 2-Control-Daemon
> Debug l2ctrld LLDP pcap on
Das Captive Portal
> Debug l3svc pcap on
Der PPPoE-Daemon
> Debug pppoed pcap on
Die Routing-Engine kann Paketaufnahmen sammeln, je nach Protokoll, oder alle
> Debug Routing pcap
> All
> BGP
> IGMP
> OSPF
> OSPFv3
> PIM
> RIP
Der pcap-Befehl enthält noch ein paar weitere Optionen:
> Löschen löschen gesammelte pcap-Dateien
> Off deaktivieren Sie das Paket Capture
> Show zeigt eine Liste der gesammelten Paket-Capture-Dateien
> View Display der aktuell aktiven Paket Aufnahme, wenn der Daemon auf ' on ' gesetzt ist < /C2 >
Alternativ können alle verfügbaren Debug-Paketaufnahmen aufgelistet und über den Befehl View-pcap eingesehen werden:
admin @ myNGFW > View-pcap Debug-pcap
DHCP-VR-0. pcap. Pipe DS-URL-reqs-VR-0. pcap DS-URL-reqs-VR-0. pcap. Pfeife ikemgr. pcap DHCP-VR-0. pcap
Admin @ Myngfw > View-pcap Debug-pcap DHCP-VR-0. pcap
10:54:26.446461 IP 0.0.0.0. bootpc > 255.255.255.255. bootps: BOOTP/DHCP, Anfrage ab 00:0C: 29:5A: 9e: 1B (Oui unknown), Länge: 300
10:54:27.452142 IP 192.168.0.241.6700 > 127.130.1.240. KTI-ICAD-Srvr: UDP, Länge 336
Paketaufnahmen können auch über SCP oder TFTP exportiert werden, so dass Sie über wireshark eingesehen werden können.
> SCP Export Debug-pcap von DHCP-VR-0. pcap an Admin @ 10.0.0.1:/pcaps/
Wie das Erlernen von Paketaufnahmen, um Daemons zu stören? Daumen nach oben?
Vielen Dank!