Fehlerdiagnose auf einer Securepoint V2007nx Firewall mit Hilfe von tcpdump

Um Fehler im Regelwerk einer Securepoint V2007nx Firewall zu finden kann der Befehl tcpdump sehr nützlich sein. tcpdump ist zwar grundsätzlich installiert, kann jedoch nur in der root-shell benutzt werden. Um auf die root-shell zu gelangen muss zuvor der Benutzer root angelegt werden. Wie dies geht kann in dem Artikel root auf einer Securepoint V2007nx Firewall anlegen nachgelesen werden.

Wenn man in einer root-shell z.B. tcpdump icmp eingibt werden alle ICMP-Pakete angezeigt, welche die Netzwerkkarte der Firewall erreichen. Wenn man nun Pings durch die Firewall laufen lässt sieht dies etwa wie folgt aus:

17:56:57.357001 IP 172.30.5.3 > 192.168.1.2: icmp 1480: echo request seq 57072
17:56:57.547443 IP 172.30.5.3 > 192.168.1.2: icmp 1480: echo request seq 57072
17:57:33.336344 IP 172.30.18.155 > 192.168.1.26: icmp 40: echo request seq 23552
17:57:41.512609 IP blubber.blubbertest.de > mail.blubbertest.de: icmp 68: mail.ohl.de tcp port 113 unreachable
17:57:49.473517 IP 192.168.1.237 > 172.30.3.1: icmp 40: echo request seq 57286
17:57:49.986709 IP blubber.blubbertest.de > mail.blubbertest.be: icmp 68: mail.blubbertest.de tcp port 113 unreachable
17:57:51.785764 IP 192.168.1.237 > 172.30.3.1: icmp 40: echo request seq 57542
17:58:41.619018 IP blubber.blubbertest.de > mail.blubbertest.be: icmp 68: mail.blubbertest.de tcp port 113 unreachable
17:58:49.474053 IP 192.168.1.237 > 172.30.3.1: icmp 40: echo request seq 57798
17:58:51.866193 IP 192.168.1.237 > 172.30.3.1: icmp 40: echo request seq 58054
17:58:54.942763 IP 172.30.2.26 > 192.168.1.22: icmp 40: echo reply seq 48118
17:58:55.423427 IP 172.30.4.31 > 192.168.1.22: icmp 40: echo reply seq 48374
17:58:55.438019 IP 172.30.4.31 > 192.168.1.22: icmp 40: echo reply seq 48630
17:58:55.905084 IP 172.30.4.26 > 192.168.1.22: icmp 40: echo reply seq 48886
17:58:55.919020 IP 172.30.4.26 > 192.168.1.22: icmp 40: echo reply seq 49142
17:58:56.230197 IP 172.30.4.25 > 192.168.1.22: icmp 40: echo reply seq 49398
17:58:56.244292 IP 172.30.4.25 > 192.168.1.22: icmp 40: echo reply seq 49654

Insbesondere Fehler in einem Regelwerke für NAT (Network Address Translation) oder VPN (Virtual Privat Network) sind mit Hilfe von tcpdump wesentlich leichter zu finden, als wenn man nur den „log client“ von Securepoint verwendet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.