IT備忘録

FortiGate
パケットキャプチャコマンド

コマンド:diagnose sniffer packet [インターフェース名] [フィルタ] [詳細レベル]


コマンド例(IPアドレスかつポート番号でフィルタする場合)

diagnose sniffer packet wan1 'host 10.10.10.10 and port 80' 4


コマンド例(IPアドレスもしくはポート番号でフィルタする場合)

diagnose sniffer packet wan1 'host 10.10.10.10 or port 80' 4


コマンド例(フィルタせず、インターフェースも指定しない場合)

diagnose sniffer packet any none 4


コマンド例(ICMPでフィルタする場合)

diagnose sniffer packet any icmp 4


※詳細レベルはキャプチャ結果の表示が変わります。

  • 1…パケットヘッダ

  • 2…IP ヘッダとデータ

  • 3…イーサネットヘッダとデータ

  • 4…インターフェース名とパケットヘッダ

  • 5…インターフェース名とIP ヘッダとデータ

  • 6…インターフェース名とイーサネットヘッダとデータ




FortiGate
ファストパスについて

ファストパスについて

FortiGateは同一通信が繰り返されると、ファストパス(高速転送処理)機能が働きます。

ファストパス処理されると、対象の通信はキャプチャや通信ログに出てこなくなります。


このファストパス機能は、Pingをパケットキャプチャすることで通信確認したりするときは邪魔になる場合がありますが、無効にすることができます。 ただし、無効にするとFortiGateに処理負荷がかかります。




ポリシーのファストパスを無効にする場合

コマンド例(ポリシーID:1のファストパスを無効にする場合)

FG # config firewall policy
FG (policy) # edit 1
FG (1) # set auto-asic-offload disable
FG (1) # end




ポリシーのファストパスを有効に戻す場合

コマンド例(ポリシーID:1のファストパスを有効に戻す場合)

FG # config firewall policy
FG (policy) # edit 1
FG (1) # set auto-asic-offload enable
FG (1) # end




全ポリシーのファストパスを無効にする場合

コマンド例

diagnose npu np6lite fastpath disable 0

※最後の数字はFortiGateのプロセッサの番号です。機種により異なる可能性があります。




全ポリシーのファストパスを有効に戻す場合

コマンド例

diagnose npu np6lite fastpath enable 0




セッション削除コマンド

ファストパスを無効にしてもキャプチャや通信ログが表示されない場合は、通信セッションを削除します。


全セッション削除コマンド

diagnose sys session clear


※セッションは個別に削除することもできます。

  • セッションのフィルタコマンド:diagnose sys session filter [フィルタ]

  • セッションの表示コマンド:diagnose sys session list

  • セッションの削除コマンド:diagnose sys session filter clear [削除対象]