Menu Close

Debug flow del 1

Debug flow, eller “intern sniffer” outputen visar i detalj vad kernelen i Fortigaten gör med varje paket. Detta är en första post på detta ämne och fler poster kommer på samma tema.

Detta verktyg är ett utav de vassaste verktygen du har i din Fortigate. Det visar väldit mycket information och filtrerar du inte detta ordentligt blir det snabbt svårt att sålla informationen, men filtrerar du rätt så kommer det snabbt visas för dig vad som händer med dina paket.

Vanliga block meddelanden i debug flow

denied by forward policy check

Det finns ingen policy som tillåter paketet
Det finns en policy som tillåter paketet, men en disclaimer är påslagen. Denna måste accepteras innan paketet kan skickas vidare.

denied by end point ip filter check

Source IPn har blivit isolerad av DLP (Data Loss Protection funktionen)

exceeded shaper limit, drop

Paketet droppas pga traffic shaping

reverse path check fail, drop

Paketet slängs pga att RPF checken inte gick igenom. RPF, eller Reverse Path Check, är en funktion i Fortigaten som hindrar assymetrisk routing. Funktionen gör att om paketet kommer in på ett interface där svaret inte kommer att skickas tillbaka så klarar inte detta paket denna check. Mer detaljer: Fortinet KB

iprope_in_check () check failed, drop

Paketet skickades till Fortigatens ip address (management traffik) men:
– Servicen är inte aktiv (https, ssh, telnet tex)
– Eller så är servicen aktiv på en annan port (https://fortigate.ip:4443)
– Eller så är source IPn inte med i trusted hostslistan
– Eller så matchar paketet en local-in policy med action deny

Paketet är inte menat till Fortigates IP, men det finns en VIP eller IP Pool konfiguration som använder samma address.