管理インタフェースを介してトラフィックが送受信されているかどうかを判断するために、分析/検証が必要な場合があります。そのような例として、認証テスト中に、要求がデバイスから LDAP または Radius サーバーに送信されているかどうかを確認することがあります。別の例として、SNMP サーバーを介してデバイスがポーリング/到達可能かどうかを判断することがあります。PAN-OS 5.0 から開始すると、管理インターフェイスとの間の PCAP トラフィックを知ることができます。オプションは厳密に CLI ベースの tcpdump を利用しています。
以下の例:
キャプチャは、管理インターフェイスを厳密に/暗黙的に使用するため、従来の tcpdump と同様に手動でインターフェイスを指定する必要はありません。例えば:
管理者 @ myNGFW > tcpdump フィルタ "ホスト10.16.0.106 ではなく、ポート 22"
ctrl キーを押しながら C をキャプチャ tcpdump を停止する
: eth0 のリスニング、リンクタイプの EN10MB ( イーサネット)、キャプチャサイズ96バイト
注: フィルタは、次のように引用符で囲む必要があります。
> tcpdump フィルタ "ホスト10.16.0.106 ではなく、ポート 22"
キャプチャが完了したら、ctrl + C キーを押してキャプチャを停止します。
管理者 @ myNGFW > tcpdump フィルタ "ホスト10.16.0.106 ではなく、ポート 22"
ctrl キーを押しながら C をキャプチャ tcpdump を停止する
: eth0 のリスニング、リンクタイプの EN10MB (イーサネット)、キャプチャサイズ96バイト
^ C 6 パケットは、
フィルタによって受信された12パケットをキャプチャ
カーネルによって削除されたパケット 0
CLI で PCAP を表示するには、PCAP コマンドを実行します。例えば:
管理者 @ myNGFW >表示-pcap マネジメント-pcap pcap
15:42: 57.834414 ip 10.16.0.106 の https > 10.192.1.0.61513: P 196197148: 196197179 (31) ack 2821691363 勝利 66 <nop,nop,timestamp 9463094="" 700166797="">
15:42: 57.834477 ip 10.16.0.106. https > 10.192.1.0.61513: F 31:31 (0) ack 1 勝 66 <nop,nop,timestamp 9463094="" 700166797="">
15:42: 57.834910 IP 10.192.1.0.61513 > 10.16.0.106:.</nop,nop,timestamp> </nop,nop,timestamp> ack 31 ウィン 4095 <nop,nop,timestamp 700231236="" 9463094="">
15:42: 57.834933 IP 10.192.1.0.61513 > 10.16.0.106:.</nop,nop,timestamp> ack 32 勝利 4095 <nop,nop,timestamp 700231236="" 9463094="">
15:42: 58.142807 ip 10.192.1.0.61513 > 10.16.0.106: F 1: 1 (0) ack 32 勝利 4096 <nop,nop,timestamp 700231542="" 9463094="">
15:42: 58.142831 ip 10.16.0.106. https > 10.192.1.0.61513:.</nop,nop,timestamp> </nop,nop,timestamp> ack 2 ウィン66<nop,nop,timestamp 9463125="" 700231542=""></nop,nop,timestamp>
以下は、いくつかのフィルタの例です (ただし、これらのオプションのみに限定されない) を参照することができます/利用/適用:
- ポートによるフィルタ
> tcpdump フィルタ "ポート 80 " - ソース IP によるフィルタ
> tcpdump フィルタ "src x . x. x" - 宛先 IP によるフィルタ
> tcpdump フィルタ "dst x . x. x" - ホストによるフィルタ (src & dst) IP
> tcpdump フィルタ "ホスト x . x. x" - SSH トラフィックを除くホスト (src & dst) IP によるフィルタ
> tcpdump フィルタ "ホスト x. x. x およびポート22ではありません"
さらに、手動で SCP または TFTP、すなわちを介して PCAP をエクスポートすることができます:
> scpは管理 pcap から pcap にエクスポートします。
<value>宛先 (ユーザー名 @ ホスト: パス)</value>
> tftp エクスポート管理-pcap から pcap
<value>tftp ホスト</value>
注: デフォルトでは、pa-200、pa-500 および pa-2000 のパケットごとに68バイト (スナップ長) の上限があります。pa-3000、pa-4000 および pa-5000 の場合、デフォルトの制限はパケットあたり96バイトです。この制限を拡張するには、"snaplen" オプションを使用します。
管理者 @ myNGFW > tcpdump snaplen
<value> <0-65535>Snarf 各パケットからのデータの snaplen バイト。</0-65535> </value> (0 はパケット全体をキャッチするために必要な長さを使用することを意味します)
管理者 @ myNGFW> tcpdump snaplen 0
ctrl-C を押して tcpdump のキャプチャを停止する
: eth0 のリスニング、リンクタイプの EN10MB (イーサネット)、キャプチャサイズ65535バイト
また見なさい
Tcpdump パケットキャプチャの切り捨て
所有者: ブライアン