CLI arayüzünde packet-trace, ağ trafiğini yakalayan ve analiz eden bir CLI komutudur. Bu komutu kullanarak şağıdaki işlemleri yapabilirsiniz:
Ağ trafiğini dinleme: packet-trace, ağ trafiğini dinleyerek paketleri yakalar. Bu özellik, ağda gerçekleşen işlemleri anlamak için oldukça yararlıdır.
Filtrasyon: packet-trace, ağ trafiğini filtreleyebilir, bu da ilgili bilgiyi bulmayı kolaylaştırır. Örneğin, yalnızca belirli bir IP adresinden veya belirli bir porttan gelen trafiği yakalayabilirsiniz.
Önerilen kullanım:
packet-trace -s 246 -nettti pflog0
-s parametresi, "-s" ardından belirtilen sayısal değer ile belirtilir ve her bir yakalama işleminde o kadar byte'lık veri yakalayacak şekilde ayarlanır. Önerilen kullanım ilk 246 byte’lık veriyi incelemesi.
-nettti parametreleri içerisinde,
"-n" parametresi, yakalanan paketlerin adres bilgilerini çözmeden önce direkt olarak IP adresleri ve port numaralarını göstermesini sağlar.
"-e" parametresi, olarak yakalanan her paketin link katmanı bilgilerinin, yani kaynak ve hedef MAC adreslerinin, çıktıda görüntülenmesini sağlar
“-ttt” parametresi, pakete ait tarihin ay ve gün değerlerinin yazılmasını sağlar.
Filtreleme ifadeleri:
1- Belirli bir Interface’i dinlemek:
packet-trace -i [interface adı]
-i parametresinden sonra show ip address çıktısındaki interface isimleri kullanılabilir. Ethernet interface içinse cihazın modeline göre interface’e karşılık gelen interface adı kullanılmalıdır. Listeye ulaşılabilir. Örnek olarak SDX 200 cihazdaki 1/1/1 interface’den akan trafiği görmek için em2 interface dinlenmelidir.
Ek olarak pflog0 interface kullanılarakfirewall üzerinden geçen trafik incelenebilir.
packet-trace -s 246 -nettti em2
packet-trace -s 246 -nettti pflog0
packet-trace -s 246 -nettti wireguard1
packet-trace -s 246 -nettti pppoe0
Bundan sonraki örneklerin tamamı pflog0 için verilmiştir ama tüm interfaceler için kullanılabilir.
2- Belirli bir IP adresini dinlemek
packet-trace -s 246 -nettti pflog0 src host [IP]
packet-trace -s 246 -nettti pflog0 dst host [IP]
packet-trace -s 246 -nettti pflog0 host [IP]
3- Belirli bir network’ü dinlemek
packet-trace -s 246 -nettti pflog0 src net [IP/netmask]
packet-trace -s 246 -nettti pflog0 dst net [IP/netmask]
packet-trace -s 246 -nettti pflog0 net [IP/netmask]
4- Belirli bir portu dinlemek
packet-trace -s 246 -nettti pflog0 src port [Port]
packet-trace -s 246 -nettti pflog0 dst port [Port]
packet-trace -s 246 -nettti pflog0 port [Port]
5- Block/Pass durumunu incelemek
packet-trace -s 246 -nettti pflog0 action block
packet-trace -s 246 -nettti pflog0 action pass
! Eğer Firewall konfigürasyonunda block-log seçili değilse block paketleri görüntülenemez.
Örnek komutlar:
packet-trace -s 246 -nettti pflog0 action block
tcpdump: listening on pflog0, link-type PFLOG
Apr 28 11:11:55.746301 rule 32/(match) block in on vport10: 172.16.10.22.48804 > 172.217.169.202.443: udp 1250 (DF)
Apr 28 11:11:55.751898 rule 32/(match) block in on vport10: 172.16.10.22.48027 > 172.217.169.202.443: udp 1250 (DF)
Apr 28 11:11:55.752060 rule 32/(match) block in on vport10: 172.16.10.22.48027 > 172.217.169.202.443: udp 78 (DF)
Apr 28 11:11:56.026966 rule 33/(match) block in on vport1010: 172.16.20.67.62450 > 108.177.126.127.19302: udp 20 (DF)
Apr 28 11:11:56.026974 rule 33/(match) block in on vport1010: 172.16.20.67.57187 > 108.177.126.127.19302: udp 20 (DF)
Apr 28 11:11:56.081534 rule 32/(match) block in on vport10: 172.16.10.22.48027 > 172.217.169.202.443: udp 1250 (DF)
Apr 28 11:11:56.718381 rule 32/(match) block in on vport10: 172.16.10.22.48027 > 172.217.169.202.443: udp 1250 (DF)
Apr 28 11:11:57.101503 rule 32/(match) block in on vport1010: 172.16.20.112.57120 > 172.217.17.98.443: udp 1250 (DF)
Bu komut sayesinde Firewall tarafından yasaklanan paketler gözlemlenebilir.
Belirli bir IP adresi için Müşteri’den şikayet geldiyse aşağıdaki komut ile kontrol sağlanabilir.
packet-trace -s 246 -nettti pflog0 host 172.16.10.22 and action block
Eğer müşteri belirli bir port için şikayette bulunduysa aşağıdaki komut ile kontrol sağlanabilir.
packet-trace -s 246 -nettti pflog0 port 443 and action block
packet-trace -s 246 -nettti pflog0 port 443 and host 172.16.10.22 and action block
Müşteri belirttiği bir IP adresinin ulaşamadığı bir IP adresiyle ilgili şikayette bulunduysa aşağıdaki komut ile kontrol sağlanabilir.
packet-trace -s 246 -nettti pflog0 src host 172.16.20.108 and dst host 192.168.2.15
tcpdump: listening on pflog0, link-type PFLOG
Apr 28 11:35:47.753853 rule 233/(match) pass in on vport1010: 172.16.20.108.59778 > 192.168.2.15.53: S 1176922325:1176922325(0) win 64240 <mss 1460,nop,wscale 8,nop,nop,sackOK> (DF)
Apr 28 11:35:47.753875 rule 234/(match) pass out on ix2: 172.16.20.108.59778 > 192.168.2.15.53: S 1176922325:1176922325(0) win 64240 <mss 1440,nop,wscale 8,nop,nop,sackOK>
Apr 28 11:35:47.754369 rule 233/(match) pass in on vport1010: 172.16.20.108.59779 > 192.168.2.15.53: S 2079198765:2079198765(0) win 64240 <mss 1460,nop,wscale 8,nop,nop,sackOK> (DF)
Apr 28 11:35:47.754389 rule 234/(match) pass out on ix2: 172.16.20.108.59779 > 192.168.2.15.53: S 2079198765:2079198765(0) win 64240 <mss 1440,nop,wscale 8,nop,nop,sackOK>
packet-trace -s 246 -nettti pflog0 src host 192.168.100.2 and dst host 192.168.200.2 and port 3389
pppoe konfigürasyonu ardından istekleri görmek için aşağıdaki komut ile kontrol sağlanabilir.
packet-trace -s 246 -nettti pppoe1
tcpdump: listening on pppoe1, link-type PPP_ETHER
Apr 28 11:34:12.716422 PPPoE
code Session, version 1, type 1, id 0x0002, length 208
IP 78.189.128.229.62574 > 156.146.52.79.443: P 3167199570:3167199736(166) ack 3765448387 win 257 (DF)
Apr 28 11:34:12.735011 PPPoE
code Session, version 1, type 1, id 0x0002, length 42
IP 156.146.52.79.443 > 78.189.128.229.62574: R 3765448387:3765448387(0) win 0 (DF)
Apr 28 11:34:12.745846 PPPoE
code Session, version 1, type 1, id 0x0002, length 54
IP 78.189.128.229.57951 > 156.146.52.79.443: S 3213496475:3213496475(0) win 64240 <mss 1440,nop,wscale 8,nop,nop,sackOK>
Apr 28 11:34:12.765121 PPPoE
code Session, version 1, type 1, id 0x0002, length 54
IP 156.146.52.79.443 > 78.189.128.229.57951: S 3034040611:3034040611(0) ack 3213496476 win 64240 <mss 1460,nop,nop,sackOK,nop,wscale 7> (DF)
Apr 28 11:34:12.766684 PPPoE
code Session, version 1, type 1, id 0x0002, length 42
IP 78.189.128.229.57951 > 156.146.52.79.443: . ack 1 win 258
Apr 28 11:34:12.772256 PPPoE
code Session, version 1, type 1, id 0x0002, length 316
IP 78.189.128.229.57951 > 156.146.52.79.443: P 1:275(274) ack 1 win 258
Apr 28 11:34:12.791311 PPPoE
code Session, version 1, type 1, id 0x0002, length 42
IP 156.146.52.79.443 > 78.189.128.229.57951: . ack 275 win 501 (DF)
Apr 28 11:34:12.794759 PPPoE
code Session, version 1, type 1, id 0x0002, length 1482
IP 156.146.52.79.443 > 78.189.128.229.57951: . 1:1441(1440) ack 275 win 501 (DF)
Apr 28 11:34:12.794873 PPPoE
code Session, version 1, type 1, id 0x0002, length 1218
IP 156.146.52.79.443 > 78.189.128.229.57951: P 1441:2617(1176) ack 275 win 501 (DF)
Apr 28 11:34:12.796973 PPPoE
code Session, version 1, type 1, id 0x0002, length 42
IP 78.189.128.229.57951 > 156.146.52.79.443: . ack 2617 win 258
Wireguard'da yaşanılan bir problemin ardından trafiğin tünel üzerinden geçtiği kontrol etmek için aşağıdaki komut ile kontrol sağlanabilir.
packet-trace -s 246 -nettti wireguard1
tcpdump: listening on wg1001, link-type LOOP
Apr 28 11:33:28.013565 192.168.1.71.51343 > 192.168.2.16.1433: . 3137710953:3137710954(1) ack 2808572988 win 1026
Apr 28 11:33:28.014155 192.168.2.16.1433 > 192.168.1.71.51343: . ack 1 win 515 <nop,nop,sack 1 {0:1} >
Apr 28 11:33:28.015462 192.168.1.50.7100 > 192.168.2.5.20514: udp 172 [tos 0x10]
Apr 28 11:33:28.017306 192.168.2.5.20514 > 192.168.1.50.7100: udp 172 [tos 0x10]
Apr 28 11:33:28.027587 192.168.1.45.49768 > 192.168.2.17.891: P 3382178351:3382178560(209) ack 2913514546 win 1022
Apr 28 11:33:28.028157 192.168.2.17.891 > 192.168.1.45.49768: P 1:284(283) ack 209 win 515
Apr 28 11:33:28.029477 192.168.1.45.49768 > 192.168.2.17.891: . ack 284 win 1021
Apr 28 11:33:28.035437 192.168.1.50.7100 > 192.168.2.5.20514: udp 172 [tos 0x10]
Apr 28 11:33:28.037359 192.168.2.5.20514 > 192.168.1.50.7100: udp 172 [tos 0x10]
Apr 28 11:33:28.048245 192.168.2.23.5247 > 192.168.1.36.5264: udp 954
