最初に行くのは、 の [パケット キャプチャ] メニュー GUI で、フィルタの管理、キャプチャ ステージの追加、キャプチャのダウンロードが簡単に行えます。
私たちは始める前に知っておくべきいくつかのことがあります。
- 4 つのフィルターは、さまざまな属性を追加できます。
- パケット キャプチャはセッション ベースであるため、単一のフィルタで client2server と server2client の両方をキャプチャできます。
- (これは次の項目を説明します) インターフェイスでデータ プレーン ・対パケットがキャプチャされます。
- 事前解析の一致は、エンジンが正しく受け入れない受信パケットの問題のトラブルシューティングに役立つデータ プレーン ・上で実行エンジンによって処理される前に、すべてのファイルをキャプチャすることが機能です。 このオプションは、サポートによって指示された場合にのみ使用し、 すべてをキャプチャするので、1 日の低ボリューム時間に使用する必要があります。
- フィルタ リングを有効にすると、新しいセッション フィルタ リング用にマークされたキャプチャすることができますが、既存のセッションは、フィルタ リングされていない、それらをキャプチャできるように再起動する必要があります。
- オフロードを一時的に無効にする必要がありますので、オフロードされたセッションをキャプチャできません。 オフロードされたセッションは、セッションの詳細を表示する「layer7 処理:完了」を 表示 します。 これにより、一致するパケットが によって処理されることによってパフォーマンスに影響が及ぼす可能性があることに注意 CPU してください。 メンテナンス期間中にこれを実行し、必要に応じてサポートの助けを借りてください。
覚えておくべきことはたくさんありますが、さまざまなプロトコルのパケットキャプチャで手を試した後、それはすべて理にかなっています I 。
フィルターのいくつかを追加してみましょう。
フィルタ 1 と 3 は実際のフィルタです: ポート 80 ~ I IP HTTP 198.51.100.97 およびポート 22 から TCP SSH 198.51.100.1 への接続を行う 192.168.0.34 のクライアントからの接続 TCP を確認する必要があります。
フィルタ 2 と 4 は、私の "backup" フィルタです: I パケット キャプチャはセッション対応ですが、戻りパケットがアップストリームに何か起こり、それが原因でルールに一致 NAT しない(アップストリーム デバイスがソース ポートをマングルしたり、シーケンス番号に奇数を行う)、 I 通常は、一致しないためにドロップされる任意の迷子パケットをキャッチする戻りルールを設定します。
メモ: フィルターができるだけ正確であることを確認してください。 192.168.0.0/16 や 0.0.0.0/0 などのサブネット全体に一致するフィルタを実行しないでください。
ここで[フィルタリング]ボタンを に切り替えると ON 、条件に一致する新しいセッションにフィルタが適用されます。
A フィルタが機能しているかどうかを確認する簡単な方法は、新しいセッションが開始された場合にグローバル カウンタが増加しているかどうかを確認することです。
から CLI 、 I 次のコマンドを実行します。
> show counter global filter delta yes packet-filter yes
Global counters:
Elapsed time since last sampling: 2.647 seconds
--------------------------------------------------------------------------------
Total counters shown: 0
--------------------------------------------------------------------------------
カウンターは表示されません。
- 'delta yes' I は、このコマンドを最後に実行してから増加したカウンタを表示する必要があることを示 I します。
- 'パケット フィルタはい' I は、フィルタに一致するグローバル カウンタのみを表示することを示します。
I今すぐ私のブラウザを更新し、コマンドをもう一度実行します。
> show counter global filter packet-filter yes delta yes
Global counters:
Elapsed time since last sampling: 2.630 seconds
name value rate severity category aspect description
--------------------------------------------------------------------------------
pkt_sent 22 8 info packet pktproc Packets transmitted
pkt_outstanding 22 8 info packet pktproc Outstanding packet to be transmitted
session_allocated 4 1 info session resource Sessions allocated
session_installed 4 1 info session resource Sessions installed
appid_proc 2 0 info appid pktproc The number of packets processed by Application identification
appid_use_dfa_1 2 0 info appid pktproc The number of packets using the second DFA table
nat_dynamic_port_xlat 4 1 info nat resource The total number of dynamic_ip_port NAT translate called
dfa_sw 8 3 info dfa pktproc The total number of dfa match using software
ctd_sml_opcode_set_file_type 1 0 info ctd pktproc sml opcode set file type
aho_sw 5 1 info aho pktproc The total usage of software for AHO
ctd_pkt_slowpath 4 1 info ctd pktproc Packets processed by slowpath
--------------------------------------------------------------------------------
Total counters shown: 11
--------------------------------------------------------------------------------
カウンターの束があることがわかります。 I'この記事の下部にグローバルカウンタに関する詳細情報へのリンクを追加しました。 しかし、今のところ、カウンターがある限り、私たちする必要がありますに行ってもよかった。
次の段階を構成するつもり-4 があります。
- ドロップ ステージは、パケットが破棄される場所です。 理由はさまざまであり、この部分では、ドロップが policy 拒否、検出された脅威、またはその他のものによるものかどうかを特定するのに役立つ可能性があります。
- receive ステージは、 firewall パケットがエンジンに入る前にパケットが入る前にキャプチャ firewall されます。 NAT設定すると、これらのパケットはプリプレです NAT 。
- transmit ステージは、それらがエンジンからどのように出力するかをパケットをキャプチャ firewall します。 NAT構成されている場合、これらは post- NAT になります。
- firewall ステージでパケットをキャプチャ firewall します。
すべてのステージでは、出力ファイルの名前を割り当てるし、パケットまたはバイト カウントの最大値を設定できます。
必要なすべてのステージが設定されたら、キャプチャ ボタンを に切り替えたり、 ON を使用して CLI 、指定したフィルタに一致する既存のセッションをクリアすることができます。 これは、フィルタが有効になる前からアクティブなセッションがないことを確認するためです。 次に、capture on コマンドを使用して、以下に示すようにキャプチャを開始します。
> show session all => Note down the session number matching the configured filters.
> clear session id <id#> => This is to clear any existing session that matches the filters configured.
Example:
> show session all
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
27240 web-browsing ACTIVE FLOW NS 192.168.0.34[61003]/trust/6 (198.51.100.230[31047])
vsys1 198.51.100.97[80]/ISP1 (198.51.100.97[80])
....(output omitted)....
> clear session id 27240
session 27240 cleared
> debug dataplane packet-diag set capture on
Packet capture is enabled
今キャプチャしたいセッションを起動できます。 セッションが開始しているかどうかことを確認、表示セッション コマンドを使用します。
> show session all
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
32637 web-browsing ACTIVE FLOW NS 192.168.0.34[61903]/trust/6 (198.51.100.230[31547])
vsys1 198.51.100.97[80]/ISP1 (198.51.100.97[80])
32635 ssh ACTIVE FLOW NS 192.168.0.34[61901]/trust/6 (198.51.100.230[52812])
vsys1 198.51.100.1[22]/ISP1 (198.51.100.1[22])
完了したら、ボタンを切り替えて位置に戻 OFF すか、debug コマンドを使用してキャプチャをオフにすることができます。
> debug dataplane packet-diag set capture off
Packet capture is disabled
> debug dataplane packet-diag clear filter-marked-session all
Unmark All sessions in packet debug
注: デバッグ後にパケット キャプチャをオフにすることを忘れないでください。 そうしないと、に課税 CPU され、パフォーマンスの問題を引き起こす可能性があります。
Wireshark で分析できるダウンロード可能なキャプチャ ファイルが表示されます。
Pcaps をダウンロードした後は、送信をマージし、ファイルをまとめて受信する必要があります。
- 受信ステージは、クライアントのプライベートから IP web サーバーへのパブリック IP 、および Web サーバーから外部への戻りパケットを持ちます IP firewall IP (受信ステージは前です NAT 。
- 送信ステージは firewall 、外部 IP ( クライアント ) NAT をサーバーパブリック に IP 、 クライアントプライベート に戻る 。 IP IP
ストリームをフォローしようとすると少し混乱する可能性があるため TCP 、この 2 つのファイルの重要な違いに注意してください。
これら 2 つの段階により、 NAT 正しく適用されているかどうかを確認できます。 クライアントとサーバーの両方の観点から送受信されるパケットの間に違いがあるかどうかを確認することもできます。
マージされた結果このようなものになります、何が受信されたパケットあたりを送られているかを比較することができます。
A システムを通過するパケットの流れを理解するのに役立ついくつかの記事を示します。
グローバル カウンターの意義は何ですか。
パケット フロー シーケンス PAN-OS
管理飛行機
管理面での接続問題を解決するには、有用な情報をキャプチャする組み込み tcpdump を使用できます。
admin@myNGFW> tcpdump filter "port 53"
Press Ctrl-C to stop capturing
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
16 packets captured
32 packets received by filter
0 packets dropped by kernel
The resulting output is stored in a mgmt.pcap file on the management plane:
admin@myNGFW> view-pcap mgmt-pcap mgmt.pcap
15:24:07.512889 IP 10.0.0.1.36606 > 10.0.0.98.domain: 49243+ PTR? 0.0.0.10.in-addr.arpa. (41)
15:24:07.513106 IP 10.0.0.98.domain > 10.0.0.1.36606: 49243 NXDomain 0/1/0 (100)
15:24:17.196515 IP 10.0.0.1.45455 > 10.0.0.98.domain: 3126+ PTR? 0.0.0.10.in-addr.arpa. (41)
15:24:17.196762 IP 10.0.0.98.domain > 10.0.0.1.45455: 3126 NXDomain 0/1/0 (100)
15:24:31.126186 IP 10.0.0.1.57230 > 10.0.0.98.domain: 2978+ A? panos.wildfire.paloaltonetworks.com. (53)
15:24:31.126196 IP 10.0.0.1.57230 > 10.0.0.98.domain: 55173+ AAAA? panos.wildfire.paloaltonetworks.com. (53)
15:24:31.161436 IP 10.0.0.98.domain > 10.0.0.1.57230: 2978 4/0/0[|domain]
15:24:31.194586 IP 10.0.0.98.domain > 10.0.0.1.57230: 55173 2/0/0[|domain]
15:25:56.746679 IP 10.0.0.1.46048 > 10.0.0.98.domain: 43532+ A? wildfire.paloaltonetworks.com. (47)
15:25:56.746689 IP 10.0.0.1.46048 > 10.0.0.98.domain: 16653+ AAAA? wildfire.paloaltonetworks.com. (47)
15:25:56.794940 IP 10.0.0.98.domain > 10.0.0.1.46048: 43532 1/0/0 (63)
15:25:56.795553 IP 10.0.0.98.domain > 10.0.0.1.46048: 16653 0/1/0 (131)
15:25:59.038459 IP 10.0.0.1.51804 > 10.0.0.98.domain: 23806+ A? panos.wildfire.paloaltonetworks.com. (53)
15:25:59.038471 IP 10.0.0.1.51804 > 10.0.0.98.domain: 31471+ AAAA? panos.wildfire.paloaltonetworks.com. (53)
15:25:59.071431 IP 10.0.0.98.domain > 10.0.0.1.51804: 23806 4/0/0[|domain]
15:25:59.113552 IP 10.0.0.98.domain > 10.0.0.1.51804: 31471 2/0/0[|domain]
管理インターフェイスでパケット キャプチャ (tcpdump) を取得する方法の詳細については、この記事を参照してください。