Sniffer les paquets entre deux machines avec un Fortigate FG200A

Si vous n’arrivez pas à faire communiquer deux machines, le plus souvent il s’agira d’un problème de configuration relativement connu tel que le pare-feu activé sur un hôte Windows ou une passerelle manquante dans un LAN routé. Néanmoins, si vous voulez pousser plus loin dans le débuggage réseau entre deux machines, vous pouvez vous servir de la puissance du Fortigate pour sniffer les paquets. Pour cela vous utiliserez la commande diagnose <interface> <‘filter’> <verbose> <count>.

  • <interface> : le nom d’une interface ou « any » pour toutes
  • <‘filter’> : ‘host 192.168.0.1‘, ‘tcp port 80
  • <verbose> : 1 (entêtes), 2 (entêtes et données des IP) ou 3 (entêtes et données des paquets depuis Ethernet)
  • <count> : nombre de paquets capturés

Exemple 1

Ma machine source 212.108.81.236 n’arrive pas à joindre la machine cible 92.196.169.1 en SSH (port 22) :

FG200A $ diagnose sniffer packet any 'src host 212.108.81.236
and dst host 92.196.169.1 and tcp port 22' 1

9.796366 212.108.81.236.3238 -> 92.196.169.1.22: syn 3441086616
12.806945 212.108.81.236.3238 -> 92.196.169.1.22: syn 3441086616
18.740938 212.108.81.236.3238 -> 92.196.169.1.22: syn 3441086616

Via le sniff réseau, on observe avec certitude que seul le SYN passe. Vu qu’aucune trace du ACK n’existe, il ne peut pas y avoir de communication.

Exemple 2

J’ai réglé mon problème précédent (exemple : SSH n’était pas installé sur la machine cible) et je veux maintenant monitorer tous les paquets (seulement 3 pour l’exemple) de l’interface wan1 :

FG200A $ diagnose sniffer packet wan1 none 1 3

212.108.81.236.36782 -> 92.196.169.1.22: syn 2171306497
92.196.169.1.22 -> 212.108.81.236.36782: syn 1786514428 ack 2171306498
212.108.81.236.36782 -> 92.196.169.1.22: ack 1786514429

Pour aller plus loin : Using the FortiOS built-in packet sniffer et Packet capture (sniffer) tips.

  1. Poster un commentaire

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :