《防火墙排除故障方法》由会员分享,可在线阅读,更多相关《防火墙排除故障方法(10页珍藏版)》请在金锄头文库上搜索。
1、防火墙排除故障方法防火墙排除故障方法1 确认周边网络设备配置vlan、trunk是否正确,静态路由、动态路由、策略路由是否正确。2 在防火墙入、出口上同时抓包2.1网卡、主机、协议、端口、vlan参数-i eth2表示在fe3 口上抓包表示抓发往或源自1111主机的包tcp (udp)表示抓tcp包或udp包port 80表示抓80端口的包vlan(not vlan)表示未解vlan标志(解开vlan标志)的包例子:Tcpdump - eth2 host 1111 and tcp and port 80 and vlan表示从fe3 口上抓源自或发往1111主机的TCP 80端口的,还未解vl
2、an 标志的包。注:凡从交换机trunk进入墙的包,均使用vlan参数抓包,从墙出去进入 交换机trunk 口的包,均使用not vlan参数。2.2逻缉运算符 and表示“与” or表示“或” not表示“非” () 表示“()”例子:Tcpdump (host 1111 or host 222.2) and not udp 表示抓源自或发往1111或22.22且不是udp的数据包。2.3抓包长度、抓包个数、保存文件参数 -s 0表示抓完整的数据包 -c 100表示抓100个数据包(不得大于3M) wrfile表示将抓到的包存于cap文件中(没有”-“符号)例子:Tcpdump -i eth
3、2 -s 0 -c 100 wrfile表示在eth2上抓100个完整的包后,并将文件存。2.4将抓包文件传回ethereal分析以ssh方式,用dump/dump 口令登录防火墙。szcap (表示将刚才存的file.cap)文件传回ssh客户端。在ssh客户端软件安装目录的download目录下,可找到传回的文件。2.5及时清理抓包现场停止抓包如加了-c参数,会在抓到指定包数后停止,也可ctrl+c停止rmcap 删除cap文件szcap 会提示你没有找到 cap 文件。这时刚才抓下的文件就已经删除了。注意:一定要记得及时停止抓包,并删除无用的抓包文件,否则可能造成严重的系统故障3 检查防
4、火墙入口是否正确收到包包大小(64-1518字节)File Edit Vjesv Capture Ajilyze Sfgtislics tielp丨巴喀|兀鏗2丨回诅宇丨扫奋盘 題仪钱 闕ID离奚酎 Eiltwr jxpression.Clear 申 ApplyNC. rTim eScurceMF10. 76u 28.251? OnOoroa3 0Q 1莎胆4 00202265 Q.O4QQ055 0.04 357 0u 057902g n c忌ccecZ2Z.45-101.Z1222.45.101.2110.76. 28.25110. 76, ?S.Z51222.45.101.21222.4
5、5-101.211 n T K 7 S 丁耳TDentinal ion2225.101.2110.76.2825110.7.2S.251 222.45.10121222.5.101.2110.7.2S.25110-76.2乩251me i nn n3rotccol InfoUDPUDP UDP UDP UDP UDP UDP i irsnSourceSource source Source Source source source C c ii n 厂员port : part; wt : port: port; Wt:100341003430000300001003410034 ?nnnnOe
6、stlna:- msl1 l Oestinaf Mstlnar- oasrlnar- Oesti naf 、r:r* 十彳 m Firmin 1 (74 bytes on wi re, 74 bytes captured)J Ethernet II;5rc: 00 ;05 :dd:be: 5d :09, Dst; 00z90;fb:03:05;6c0 internet Pro匸口col Src Add;L0FE2S; 251 tlO72& 251)B Dst Addr : 222 41012:L (2224 5 :l t- user Mrgram 口广灯1IP16 6 35 p 5c d r
7、J 1 弓需. s r 2 d M o 6 D 与r2 f o p TFR3 M 5 B 1 H c 2 dd 6 b匚巳pj日 d o of o dd Eh7-F畑ii阳 i:斤mEm;. 了4E16 D. E16 IVL 0源/目IP,源/目端口File fijitQo Hapture 3则科 StadsticG 旦&中ffi E5 0 *1脚阴 |E:piession唏却plyTimeSourceCESlinaliDn?rotD 匚 olInfoJ11 DPSource剧虹虹皿Desti nat ionport;闻旳10. 003703222.45.1OL.211O.76.2B.251U
8、DPSourceport;IOC 34Dest i nationport;300000. 0192S3222-45,101.2110.7u2Su25LUDPSourceport:10034Dest i nationport:300000. D-2022610- 76.251222-J5.101. 21UDPSourceport;30000Dest i nationport 100540.04000510.76.2S.2512225.101. 21UDPSourceport;30000Dest i nationpart:100340. 0435222-4 5.101.2110.76.2Bb251
9、UDFSourceport:10034Desti nationport:300000.057902222-4 5.101. 2110.76.2Bb251UDF5 口 urcsport:1OO34Desti nationport:300000.D599591(3.76. 2S. 251222.45.101.21UOF弓口urceport:30000Desrlnationport:10D340.DB0L5110.76.?S. 251222.45. 1031.21UDFSourceport!30000Desri narianport!10D340.D32BL1222却 5.ZLDL.E1L10.76
10、-2E.25LUDP5口urceport:100 34Desri narionparz:30 DOO Frane 1 (74 bytes on wif巳 74 bytes captured)r Eibernei n? src:: oo:;a5;dd:bc54i09i kt: oo:9Qifb:03:O6c” IntErnmt Proto匚qT| 生厂匸 Add : 107 2日.251 (丄D 76. 2咅,251), D仔t Addr? 2:22.4 5.10121 222. 45 10L 21)l use Daiigrain Frorocol, src fm; 30000 (30000)!
11、 mi por: 10034 (1QQ34) 卜 Real-Tin Transport Protocol上 一创Qoo oo Q12 3 di o o_u O-K- OODOO 一lirterret PrarDtol lip) 2( j| = B16 7: 91& M 0源/目MAC地址szcirc0p - EthciealFile Edil 蜀帥 .o 必ptune Analyze Stistica HelpTimeSourceDestinationsourCt222 斗乳 101.21s-jurct222M5101.21| QPOCKMJO 1CK 馬,2札 巧:L | +EKpressi
12、on洛J跑AppiyO.GD3703OuOL92B9.O2Q22fi0040005OuO4 35S50. OS?9020.05-590.080-1510B082011HIt- Frar*ei (74 toyrs on w1reP 7 bytes capturedu Ethernet IIa Src: 00:05:dd:bc 54:09, Ost: OOQ:fb!01:06:6c222451DL龙1 222i5lil:L2:L 10.76.23.251IQ. 76.28. 251222.di.101.21m斗久 LO1. ZL222.45.101-21sourcesource1003L0034
13、aaaoo 30000 10034L0D343000Q 30000 L0034escinrion Desfinati cm Desr inari 口 rt Descinailo-R Destinat i 口n Bestinati cm Desiinarlon escinrIon3OOOO 30000 LOO 34LOOMJ0000 30000LQQ34LOO34 30000test! nat ion: 0D: M; f b; D3:06:; 6 c (Portwel IJsource: 00:05;:dd:biC: 54:09 (c1sco_bc:54:09)Type: ip CQxoaoo)p I liter net Protocol nr, 11 nr- C r + r ri l r m Ri i s-i K .r C2 ed 2d 旺dd do eO bf
