fw monitor

説明

Firewall Monitorは、Check Pointのトラフィックキャプチャツールです。

セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。では、トラフィックは異なる検査ポイントであるチェーンモジュールをインバウンド方向で、次にアウトバウンド方向で通過しますfw ctl chain参照)。

FW Monitorツールは、各Chain Moduleのトラフィックを双方向でキャプチャします。

キャプチャしたトラフィックは、後で同じFW Monitorツールや、Wiresharkなどの特殊なツールで解析することができます。

注:

IPv4用構文

fw monitor {-h | -help}

fw monitor [-d] [-D] [-ci <Number of Inbound Packets>] [-co <Number of Outbound Packets>] [-e <INSPECT Expression> | -f {<INSPECT Filter File> | -}] [-F "<Source IP>,<Source Port>,<Dest IP>,<Dest Port>,<Protocol Number>"] [-i] [-l <Length>] [-m {i,I,o,O,e,E}] [-o <Output File> [-w]] [[-pi <Position>] [-pI <Position>] [-po <Position>] [-pO <Position>] | -p all [-a]] [-T] [-u | -s] [-U] [-v <VSID>] [-x <Offset>[,<Length>] [-w]]

IPv6用構文

fw6 monitor {-h | -help}

fw6 monitor [-d] [-D] [-ci <Number of Inbound Packets>] [-co <Number of Outbound Packets>] [-e <INSPECT Expression> | -f {<INSPECT Filter File> | -}] [-F "<Source IP>,<Source Port>,<Dest IP>,<Dest Port>,<Protocol Number>"] [-i] [-l <Length>] [-m {i,I,o,O,e,E}] [-o <Output File> [-w]] [[-pi <Position>] [-pI <Position>] [-po <Position>] [-pO <Position>] | -p all [-a]] [-T] [-u | -s] [-U] [-v <VSID>] [-x <Offset>[,<Length>] [-w]]

パラメータ

パラメータ

説明

{-h | -help}

内蔵の使用状況を表示します。

-d

-D

デバッグ モードでコマンドを実行し、FW Monitor が指定された INSPECT フィルタを起動しコンパイルする方法に関するいくつかの情報を表示します。

  • -d

    簡単なデバッグ出力です。

  • -D

    バーボーズ出力。

- 両方のパラメータを指定することで、より詳細な情報を表示することができます。

-ci <Number of Inbound Packets>

-co <Number of Outbound Packets>

キャプチャするパケット数を指定します。

FW Monitorは、指定されたパケット数をカウントした場合、トラフィックキャプチャを停止します。

  • -ci

    カウントするインバウンドパケット数を指定します。

  • -co

    カウントするインバウンドパケット数を指定します。

ベストプラクティス- "-ci" と "-co" パラメータを一緒に使用することができます。特に大量のトラフィックが発生したときに有効です。このようなシナリオでは、FW Monitor は、非常に多くのリソース(コンソールやファイルへの書き込み用)をバインドするため、ブレークシーケンス(CTRL+C )を認識するのに非常に長い時間がかかる可能性があります。

-e <INSPECT Expression>

or

-f {<INSPECT Filter File> | -}

非加速トラフィックの特定のパケットのみをキャプチャします。

  • "-e <INSPECT Expression>"

    コマンドラインで INSPECT フィルタ式を定義します。

  • "-f <INSPECT Filter File>"

    指定されたファイルから INSPECT フィルタ式を読み込みます。INSPECTフィルター式を含むプレーンテキストファイルのフルパスと名前を入力する必要があります。

  • "-f -"

    標準入力からINSPECTフィルター式を読み取ります。INSPECT フィルタ式を入力した後、EOF (End Of File) 文字として^D (CTRL+D) を入力する必要があります。

 

警告- これらの INSPECT フィルタは、アクセラレーションされたトラフィックには適用されません

重要- INSPECTフィルター式は、必ず一重引用符(ASCII値39)または二重引用符(ASCII値34)で正しく囲んでください。

注:

  • 便利なマクロの定義については、$FWDIR/lib/fwmonitor.def ファイルを参照してください。

  • 以下の構文例を参照してくださいe」パラメータの使用例)。

-F "<Source IP>,<Source Port>,<Dest IP>,<Dest Port>,<Protocol Number>"

キャプチャフィルタを指定します(アクセラレーション・トラフィックとノンアクセラレーション・トラフィックの両方に対して)。

 

注:

  • 以下の構文例を参照してくださいF」パラメータの使用例)。

  • -F" パラメータは、これらのカーネルデバッグフィルタを使用します。

    詳しくは、「カーネルデバッグフィルタ」をご覧ください。

    • 送信元IPアドレスの場合。

      simple_debug_filter_saddr_<N> "<IP Address>"

    • Source Portsについて。

      simple_debug_filter_sport_<N> <1-65535>

    • 宛先IPアドレスの場合。

      simple_debug_filter_daddr_<N> "<IP Address>"

    • Destination Portsについては、以下の通りです。

      simple_debug_filter_dport_<N> <1-65535>

    • プロトコル番号の場合。

      command_simple_debug_filter_proto_<N> <0-254>

  • 値0は"any"を意味する。

  • このパラメータは、最大5つのキャプチャフィルタをサポートします(構文内の "-F" パラメータのインスタンスは最大5つまで)。

    FW Monitorは、指定されたすべての簡易キャプチャフィルタ間の論理 "OR "を実行します。

-H

IPアドレスフィルターを作成します。

詳しくは、「カーネルデバッグフィルタ」をご覧ください。

このパラメータは、最大3つのキャプチャフィルタをサポートします(構文内の "-H" パラメータのインスタンスは最大3つまで)。

例 - ホスト 1.1.1.1 との間で行われる HTTP トラフィックのみをキャプチャします。

fw ctl debug –H "1.1.1.1"

-i

標準出力をフラッシュします。

- このパラメータは、"-v <VSID>"パラメータとの組み合わせでのみ有効です。

ベストプラクティス- FW Monitor が各パケットのキャプチャデータを直ちに標準出力に書き込むようにするために、このパラメータを使用します。これは、実行中の FW Monitor プロセスを強制終了し、FW Monitor が指定されたファイルにすべてのデータを書き込むことを確認したい場合に特に便利です。

-l <Length>

キャプチャしたパケットの最大長を指定します。FW Monitorは、各パケットから指定されたバイト数だけ読み込みます。

注:

  • このパラメータはオプションで す。

  • このパラメータを使用すると、各パケットからヘッダーのみをキャプチャし(例えば、IPとTCP)、ペイロードを省略することができます。これにより、出力ファイルのサイズが小さくなります。これは、FW Monitorの内部バッファが早くいっぱいにならないようにするためでもあります。

  • レイヤー3のIPヘッダーとレイヤー4のトランスポートヘッダをキャプチャするために、必要最小限のバイト数をキャプチャすることを確認してください。

-m {i, I, o, O, e, E}

FW Monitor がトラフィックをキャプチャするチェインモジュールに関するキャプチャマスク(検査ポイント)を指定します。

セキュリティゲートウェイにおいて、各パケットが通過する検査ポイントです。

  • -m i

    プレインバウンドのみ(パケットがインバウンド方向でチェーンモジュールに入る前)

  • -m I

    ポストインバウンドのみ(パケットがインバウンド方向でチェーンモジュールを通過した後)

  • -m o

    Pre-Outboundのみ(パケットがアウトバウンド方向でチェーンモジュールに入る前)

  • -m O

    ポストアウトバウンドのみ(パケットがアウトバウンド方向でチェーンモジュールを通過した後)

  • -m e

    プレアウトバウンドVPNのみ(パケットがアウトバウンド方向でVPNチェーンモジュールに入る前に)

  • -m E

    ポストアウトバウンドVPNのみ(パケットがアウトバウンド方向にVPNチェーンモジュールを通過した後)

 

注:

  • キャプチャマスクを複数指定することができます(例えば、EgressパケットのNATを見るには、"... -m o O ..." と入力します)。

  • このキャプチャーマスクパラメータ"-m {i, I, o, O, e, E}"は、チェーンモジュールの位置パラメータ"-p{i | I | o | O}"と一緒に使うことができます。

  • インバウンド方向では

    • すべてのチェーンポジションbefore FireWall Virtual Machine モジュールは Pre-Inbound です(fw ctl chainコマンドはこのモジュールを "fw VM inbound" と表示します)。

    • すべてのチェーンモジュールafter FireWall Virtual Machineモジュールはポストインバウンドです。

  • アウトバウンド方向では

    • すべてのチェーンポジションbefore FireWall Virtual MachineモジュールはPre-Outboundです。

    • すべてのチェーンモジュールafter FireWall Virtual MachineモジュールはPost-Outboundです。

  • デフォルトでは、FW Monitor は、FireWall Virtual Machine モジュール内のトラフィックのみをキャプチャします。

  • パケット方向は、各パケットに関係し、接続の方向には関係しない。

  • 検査ポイントの後にある"q"、"Q"の文字は、インターフェースにQoS閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、ポリシーベースのトラフィック帯域幅管理を提供し、ビジネスクリティカルなトラフィックに優先順位を付け、帯域幅を保証し、遅延を制御します。ポリシーが適用されることを意味します。

 

パケットフローの例。

  • FireWall仮想マシンモジュールでクライアントからサーバへ。

    [Client] --> ("i") {FW VM attached to eth1} ("I") [Security Gateway] ("o") {FW VM attached to eth2} ("O") --> [Server]

  • FireWall仮想マシンモジュールを通じて、サーバからクライアントへ。

    [Client] <-- ("O") {FW VM attached to eth1} ("o") [Security Gateway] ("I") {FW VM attached to eth2} ("i") <-- [Server]

-o <Output File>

FW Monitorがキャプチャした生データを書き込む出力ファイルを指定します。

重要- 明示的にパスを指定しない場合、FW Monitor はこの出力ファイルを現在の作業ディレクトリーに作成します。この出力ファイルは非常に大きなサイズに高速に成長する可能性があるため、常に最大のパーティションへのフルパスを指定することをお勧めします/var/log/.

この出力ファイルのフォーマットは、snoop などのツールで使用されているものと同じです(RFC 1761 を参照)。

キャプチャしたトラフィックは、後で同じFW Monitorツールや、Wiresharkなどの特殊なツールで解析することができます。

-pi <Position>

-pI <Position>

-po <Position>

-pO <Position>

or

-p all [-a]

FW Monitor Chain Module をカーネル Chain Module の間の指定された位置に挿入します(fw ctl chain 参照)。

FW Monitorがキャプチャしたデータを指定した出力ファイル(パラメータ"-o <Output File>")に書き込む場合、FW Monitorチェーンモジュールの位置もフィールドの1つとして書き込まれ ます。

これらの位置にのみ、FWモニタチェーンモジュールを挿入することができます。

  • -pi <Position>

    FW Monitor Chain Module を指定された Pre-Inbound ポジションに挿入します。

  • -pI <Position>

    指定されたポストインバウンドの位置にFW Monitor Chain Moduleを挿入します。

  • -po <Position>

    FW Monitor Chain Module を指定された Pre-Outbound ポジションに挿入します。

  • -pO <Position>

    指定されたポストアウトバウンドの位置にFW Monitor Chain Moduleを挿入する。

  • -p all [-a]

    FW Monitor Chain Moduleを全ポジション(InboundとOutboundの両方)に挿入します。

    警告- このパラメータは、CPUに非常に高い負荷を与えますが、最も完全なトラフィックキャプチャを提供します。

    -a" パラメータは、チェーンの絶対位置を使用するように指定します。このパラメータは、チェーン ID を相対値(fw ctl chainコマンドのマッチング出力でのみ意味を持つ)から絶対値に変更します。

 

注:

  • <Position> はこれらのいずれかになります。

    • 相対位置番号

      fw ctl chainコマンドの出力では、一番左の列の数字(例えば、0、5、14)を参照してください。

    • 相対位置のエイリアス

      fw ctl chainコマンドの出力では、一番右の列の括弧内の内部チェーンモジュール名を参照します(例:sxl_in,fw,cpas )。

    • 絶対位置

      fw ctl chainコマンドの出力では、左から2列目の数字を参照します(例:-7fffffff、-1fffff8、7f730000)。構文では、これらの数字を16進数で記述する必要があります(例:-0x7fffff, -0x1fffff8, 0x7f730000)。

  • このチェインモジュールの位置パラメーター"-p{i | I| o | O} ..."は、キャプチャーマスクパラメーター"-m {i, I, o, O, e, E}"とともに使用することができます。

  • インバウンド方向では

    • すべてのチェーンポジションbefore FireWall Virtual Machine モジュールは Pre-Inbound です(fw ctl chainコマンドはこのモジュールを "fw VM inbound" と表示します)。

    • すべてのチェーンモジュールafter FireWall Virtual Machineモジュールはポストインバウンドです。

  • アウトバウンド方向では

    • すべてのチェーンポジションbefore FireWall Virtual MachineモジュールはPre-Outboundです。

    • すべてのチェーンモジュールafter FireWall Virtual MachineモジュールはPost-Outboundです。

  • デフォルトでは、FW Monitor は、FireWall Virtual Machine モジュール内のトラフィックのみをキャプチャします。

  • チェーンモジュールの位置パラメーター "-p{i | I| o | O} ..." パラメーターは加速されたトラフィックには適用されず、デフォルトのインバウンドとアウトバウンドの位置で引き続き監視されます。

  • 検査ポイントの詳細については、以下の該当表を参照してください。

-T

各パケットのタイムスタンプを表示します。

DDMMMYYYY HH:MM:SS.mmmmmm

ベストプラクティス-出力をファイルに保存せず、画面に印刷する場合にこのパラメータを使用します。

-u

or

-s

各パケットのUUIDを表示します(UUIDまたはSUUIDのどちらか一方のみを表示することが可能で、両方を表示することはできません)。

  • -u

    パケットごとに接続のUniversal-Unique-ID(UUID)を表示します。

  • -s

    パケットごとに接続のセッションUUID(SUUID)を表示します。

-U

本パラメータで指定された簡易キャプチャフィルタを削除する。

-F "<Source IP>,<Source Port>,<Dest IP>,<Dest Port>,<Protocol Number>"

-v <VSID>

VSXゲートウェイ閉じた 物理ネットワークデバイスの機能を提供するすべての仮想デバイスを含む、VSX仮想ネットワークをホストする物理サーバ。VS0と呼ばれる少なくとも1つの仮想システムを保持します。またはVSX閉じた 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。クラスタメンバで、指定した仮想システムまたは仮想ルータ上のパケットをキャプチャします。

デフォルトでは、FW Monitor はすべての仮想システムおよび仮想ルーター上のパケットをキャプチャします。

例:

fw monitor -v 4 -e "accept;" -o /var/log/fw_mon.cap

-w

ヘッダだけでなく、パケット全体をキャプチャする。

これらのパラメータのいずれかと一緒に使用する必要があります。

  • -o <Output File>

  • -x <Offset>[,<Length>]

-x <Offset>[,<Length>]

FW Monitorが各パケットからデータをキャプチャし始める位置を指定します。

オプションで、FW Monitorが取得するデータ量を制限することも可能です。

  • <Offset>

    各パケットの先頭から何バイトスキップするかを指定します。FW Monitorは、指定されたバイト数の後にのみ、各パケットからのデータのキャプチャを開始します。

  • <Length>

    キャプチャしたパケットの最大長を指定します。FW Monitorは、各パケットから指定されたバイト数だけ読み込みます。

例えば、IPヘッダーとTCPヘッダーをスキップする場合は、"-x 52,96" と入力します。

Security Gatewayの検査箇所とFW Monitorの出力における検査箇所

- InboundとOutboundのトラフィック方向は、接続ではなく、各特定のパケットに関連します。

  • Inbound

    検査箇所名

    FireWallとの関係
    仮想マシン

    インスペクションポイントの表記
    をFWモニタ出力で表示します。

    プレインバウンド

    インバウンドFireWall VMの前に

    eth4:i - 例:

    ポストインバウンド

    インバウンドのFireWall VMの後

    eth4:I - 例:

    プレインバウンドVPN

    復号化前のインバウンド

    id (例:eth4:id)

    ポストインバウンドVPN

    復号化後のインバウンド

    ID (例:eth4:ID)

    プレインバウンドQoS

    QoS前のインバウンド

    eth4:iq - 例:

    ポストインバウンドQoS

    QoS後のインバウンド

    IQ (例:eth4:IQ)

  • Outbound

    検査箇所名

    FireWallとの関係
    仮想マシン

    インスペクションポイントの表記
    をFWモニタ出力で表示します。

    プレアウトバウンド

    アウトバウンド用FireWall VMの前に

    eth4:o - 例:

    ポストアウトバウンド

    アウトバウンド用FireWall VMの後

    eth4:O - 例:

    プレアウトバウンドVPN

    暗号化前のアウトバウンド

    eth4:e - 例:

    ポストアウトバウンドVPN

    暗号化後のアウトバウンド

    eth4:E - 例:

    プレアウトバウンドQoS

    QoS前のアウトバウンド

    eth4:oq - 例:

    ポストアウトバウンドQoS

    QoS後のアウトバウンド

    eth4:OQ - 例:

一般的な例

[Expert@MyGW:0]# fw monitor
 monitor: getting filter (from command line)
 monitor: compiling
monitorfilter:
Compiled OK.
 monitor: loading
 monitor: monitoring (control-C to stop)
[vs_0][fw_1] eth0:i[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=31789
TCP: 53901 -> 22 ....A. seq=761113cd ack=f92e2a13
[vs_0][fw_1] eth0:I[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=31789
TCP: 53901 -> 22 ....A. seq=761113cd ack=f92e2a13
[vs_0][fw_1] eth0:i[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=31790
TCP: 53901 -> 22 ....A. seq=761113cd ack=f92e2a47
... ... ...
 monitor: caught sig 2
 monitor: unloading
[Expert@MyGW:0]#
 
[Expert@MyGW:0]# fw monitor -T
 monitor: getting filter (from command line)
 monitor: compiling
monitorfilter:
Compiled OK.
 monitor: loading
 monitor: monitoring (control-C to stop)
[vs_0][fw_1] 12Sep2018 19:08:05.453947 eth0:oq[124]: 192.168.3.53 -> 172.20.168.16 (TCP) len=124 id=38414
TCP: 22 -> 64424 ...PA. seq=1c23924a ack=3c951092
[vs_0][fw_1] 12Sep2018 19:08:05.453960 eth0:OQ[124]: 192.168.3.53 -> 172.20.168.16 (TCP) len=124 id=38414
TCP: 22 -> 64424 ...PA. seq=1c23924a ack=3c951092
[vs_0][fw_1] 12Sep2018 19:08:05.454059 eth0:oq[252]: 192.168.3.53 -> 172.20.168.16 (TCP) len=252 id=38415
TCP: 22 -> 64424 ...PA. seq=1c23929e ack=3c951092
[vs_0][fw_1] 12Sep2018 19:08:05.454064 eth0:OQ[252]: 192.168.3.53 -> 172.20.168.16 (TCP) len=252 id=38415
TCP: 22 -> 64424 ...PA. seq=1c23929e ack=3c951092
[vs_0][fw_1] 12Sep2018 19:08:05.454072 eth0:oq[252]: 192.168.3.53 -> 172.20.168.16 (TCP) len=252 id=38416
TCP: 22 -> 64424 ...PA. seq=1c239372 ack=3c951092
[vs_0][fw_1] 12Sep2018 19:08:05.454074 eth0:OQ[252]: 192.168.3.53 -> 172.20.168.16 (TCP) len=252 id=38416
TCP: 22 -> 64424 ...PA. seq=1c239372 ack=3c951092
[vs_0][fw_1] 12Sep2018 19:08:05.463165 eth0:iq[40]: 172.20.168.16 -> 192.168.3.53 (TCP) len=40 id=17398
TCP: 64424 -> 22 ....A. seq=3c951092 ack=1c239446
[vs_0][fw_1] 12Sep2018 19:08:05.463177 eth0:IQ[40]: 172.20.168.16 -> 192.168.3.53 (TCP) len=40 id=17398
TCP: 64424 -> 22 ....A. seq=3c951092 ack=1c239446
 monitor: unloading
[Expert@MyGW:0]#
 
[Expert@MyGW:0]# fw monitor -m i -ci 3
 monitor: getting filter (from command line)
 monitor: compiling
monitorfilter:
Compiled OK.
 monitor: loading
 monitor: monitoring (control-C to stop)
[vs_0][fw_1] eth0:i[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=31905
TCP: 53901 -> 22 ....A. seq=76111bb5 ack=f92e683b
[vs_0][fw_1] eth0:i[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=31906
TCP: 53901 -> 22 ....A. seq=76111bb5 ack=f92e68ef
[vs_0][fw_1] eth0:i[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=31907
TCP: 53901 -> 22 ....A. seq=76111bb5 ack=f92e69a3
 monitor: unloading
Read 3 inbound packets and 0 outbound packets
[Expert@MyGW:0]#
 
[Expert@MyGW:0]# fw ctl chain
in chain (15):
        0: -7fffffff (0000000000000000) (00000000) SecureXL inbound (sxl_in)
        1: -7ffffffe (0000000000000000) (00000000) SecureXL inbound CT (sxl_ct)
        2: -7f800000 (ffffffff8b6718c0) (ffffffff) IP Options Strip (in) (ipopt_strip)
        3: - 1fffff8 (ffffffff8b66f6f0) (00000001) Stateless verifications (in) (asm)
        4: - 1fffff7 (ffffffff8b66f210) (00000001) fw multik misc proto forwarding
        5:         0 (ffffffff8b8506a0) (00000001) fw VM inbound  (fw)
        6:         2 (ffffffff8b671d10) (00000001) fw SCV inbound (scv)
        7:         4 (ffffffff8b061ed0) (00000003) QoS inbound offload chain module
        8:         5 (ffffffff8b564d30) (00000003) fw offload inbound (offload_in)
        9:        10 (ffffffff8b842710) (00000001) fw post VM inbound  (post_vm)
        10:    100000 (ffffffff8b7fd6c0) (00000001) fw accounting inbound (acct)
        11:  22000000 (ffffffff8b0638d0) (00000003) QoS slowpath inbound chain mod (fg_sched)
        12:  7f730000 (ffffffff8b3c40b0) (00000001) passive streaming (in) (pass_str)
        13:  7f750000 (ffffffff8b0e5b40) (00000001) TCP streaming (in) (cpas)
        14:  7f800000 (ffffffff8b671870) (ffffffff) IP Options Restore (in) (ipopt_res)
out chain (14):
        0: -7f800000 (ffffffff8b6718c0) (ffffffff) IP Options Strip (out) (ipopt_strip)
        1: - 1fffff0 (ffffffff8b0d0190) (00000001) TCP streaming (out) (cpas)
        2: - 1ffff50 (ffffffff8b3c40b0) (00000001) passive streaming (out) (pass_str)
        3: - 1f00000 (ffffffff8b66f6f0) (00000001) Stateless verifications (out) (asm)
        4: -     1ff (ffffffff8aeec0a0) (00000001) NAC Packet Outbound (nac_tag)
        5:         0 (ffffffff8b8506a0) (00000001) fw VM outbound (fw)
        6:        10 (ffffffff8b842710) (00000001) fw post VM outbound  (post_vm)
        7:  15000000 (ffffffff8b062540) (00000003) QoS outbound offload chain modul (fg_pol)
        8:  21000000 (ffffffff8b0638d0) (00000003) QoS slowpath outbound chain mod (fg_sched)
        9:  7f000000 (ffffffff8b7fd6c0) (00000001) fw accounting outbound (acct)
        10:  7f700000 (ffffffff8b0e4660) (00000001) TCP streaming post VM (cpas)
        11:  7f800000 (ffffffff8b671870) (ffffffff) IP Options Restore (out) (ipopt_res)
        12:  7f900000 (0000000000000000) (00000000) SecureXL outbound (sxl_out)
        13:  7fa00000 (0000000000000000) (00000000) SecureXL deliver (sxl_deliver)
[Expert@MyGW:0]#
[Expert@MyGW:0]# fw monitor -pi 2 -ci 3
 monitor: getting filter (from command line)
 monitor: compiling
monitorfilter:
Compiled OK.
 monitor: loading
in chain (17):
        0: -7fffffff (0000000000000000) (00000000) SecureXL inbound (sxl_in)
        1: -7ffffffe (0000000000000000) (00000000) SecureXL inbound CT (sxl_ct)
        2: -7f800001 (ffffffff8b6774d0) (ffffffff) fwmonitor (i/f side)
        3: -7f800000 (ffffffff8b6718c0) (ffffffff) IP Options Strip (in) (ipopt_strip)
        4: - 1fffff8 (ffffffff8b66f6f0) (00000001) Stateless verifications (in) (asm)
        5: - 1fffff7 (ffffffff8b66f210) (00000001) fw multik misc proto forwarding
        6:         0 (ffffffff8b8506a0) (00000001) fw VM inbound  (fw)
        7:         2 (ffffffff8b671d10) (00000001) fw SCV inbound (scv)
        8:         4 (ffffffff8b061ed0) (00000003) QoS inbound offload chain module
        9:         5 (ffffffff8b564d30) (00000003) fw offload inbound (offload_in)
        10:        10 (ffffffff8b842710) (00000001) fw post VM inbound  (post_vm)
        11:    100000 (ffffffff8b7fd6c0) (00000001) fw accounting inbound (acct)
        12:  22000000 (ffffffff8b0638d0) (00000003) QoS slowpath inbound chain mod (fg_sched)
        13:  70000000 (ffffffff8b6774d0) (ffffffff) fwmonitor (IP  side)
        14:  7f730000 (ffffffff8b3c40b0) (00000001) passive streaming (in) (pass_str)
        15:  7f750000 (ffffffff8b0e5b40) (00000001) TCP streaming (in) (cpas)
        16:  7f800000 (ffffffff8b671870) (ffffffff) IP Options Restore (in) (ipopt_res)
out chain (16):
        0: -7f800000 (ffffffff8b6718c0) (ffffffff) IP Options Strip (out) (ipopt_strip)
        1: -70000000 (ffffffff8b6774d0) (ffffffff) fwmonitor (i/f side)
        2: - 1fffff0 (ffffffff8b0d0190) (00000001) TCP streaming (out) (cpas)
        3: - 1ffff50 (ffffffff8b3c40b0) (00000001) passive streaming (out) (pass_str)
        4: - 1f00000 (ffffffff8b66f6f0) (00000001) Stateless verifications (out) (asm)
        5: -     1ff (ffffffff8aeec0a0) (00000001) NAC Packet Outbound (nac_tag)
        6:         0 (ffffffff8b8506a0) (00000001) fw VM outbound (fw)
        7:        10 (ffffffff8b842710) (00000001) fw post VM outbound  (post_vm)
        8:  15000000 (ffffffff8b062540) (00000003) QoS outbound offload chain modul (fg_pol)
        9:  21000000 (ffffffff8b0638d0) (00000003) QoS slowpath outbound chain mod (fg_sched)
        10:  70000000 (ffffffff8b6774d0) (ffffffff) fwmonitor (IP side)
        11:  7f000000 (ffffffff8b7fd6c0) (00000001) fw accounting outbound (acct)
        12:  7f700000 (ffffffff8b0e4660) (00000001) TCP streaming post VM (cpas)
        13:  7f800000 (ffffffff8b671870) (ffffffff) IP Options Restore (out) (ipopt_res)
        14:  7f900000 (0000000000000000) (00000000) SecureXL outbound (sxl_out)
        15:  7fa00000 (0000000000000000) (00000000) SecureXL deliver (sxl_deliver)
 monitor: monitoring (control-C to stop)
[vs_0][fw_1] eth0:oq1 (TCP streaming (out))[1228]: 192.168.204.40 -> 192.168.204.1 (TCP) len=1228 id=37575
TCP: 22 -> 51702 ...PA. seq=34e2af31 ack=e6c995ce
[vs_0][fw_1] eth0:OQ10 (TCP streaming post VM)[1228]: 192.168.204.40 -> 192.168.204.1 (TCP) len=1228 id=37575
TCP: 22 -> 51702 ...PA. seq=34e2af31 ack=e6c995ce
[vs_0][fw_1] eth0:iq2 (IP Options Strip (in))[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=32022
TCP: 51702 -> 22 ....A. seq=e6c995ce ack=34e2af31
[vs_0][fw_1] eth0:IQ13 (TCP streaming (in))[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=32022
TCP: 51702 -> 22 ....A. seq=e6c995ce ack=34e2af31
[vs_0][fw_1] eth0:oq1 (TCP streaming (out))[1356]: 192.168.204.40 -> 192.168.204.1 (TCP) len=1356 id=37576
TCP: 22 -> 51702 ...PA. seq=34e2b3d5 ack=e6c995ce
[vs_0][fw_1] eth0:OQ10 (TCP streaming post VM)[1356]: 192.168.204.40 -> 192.168.204.1 (TCP) len=1356 id=37576
TCP: 22 -> 51702 ...PA. seq=34e2b3d5 ack=e6c995ce
[vs_0][fw_1] eth0:iq2 (IP Options Strip (in))[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=32023
TCP: 51702 -> 22 ....A. seq=e6c995ce ack=34e2b8f9
[vs_0][fw_1] eth0:IQ13 (TCP streaming (in))[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=32023
TCP: 51702 -> 22 ....A. seq=e6c995ce ack=34e2b8f9
[vs_0][fw_1] eth0:oq1 (TCP streaming (out))[1356]: 192.168.204.40 -> 192.168.204.1 (TCP) len=1356 id=37577
TCP: 22 -> 51702 ...PA. seq=34e2b8f9 ack=e6c995ce
[vs_0][fw_1] eth0:OQ10 (TCP streaming post VM)[1356]: 192.168.204.40 -> 192.168.204.1 (TCP) len=1356 id=37577
TCP: 22 -> 51702 ...PA. seq=34e2b8f9 ack=e6c995ce
[vs_0][fw_1] eth0:oq1 (TCP streaming (out))[412]: 192.168.204.40 -> 192.168.204.1 (TCP) len=412 id=37578
TCP: 22 -> 51702 ...PA. seq=34e2be1d ack=e6c995ce
[vs_0][fw_1] eth0:OQ10 (TCP streaming post VM)[412]: 192.168.204.40 -> 192.168.204.1 (TCP) len=412 id=37578
TCP: 22 -> 51702 ...PA. seq=34e2be1d ack=e6c995ce
[vs_0][fw_1] eth0:iq2 (IP Options Strip (in))[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=32024
TCP: 51702 -> 22 ....A. seq=e6c995ce ack=34e2bf91
[vs_0][fw_1] eth0:IQ13 (TCP streaming (in))[40]: 192.168.204.1 -> 192.168.204.40 (TCP) len=40 id=32024
TCP: 51702 -> 22 ....A. seq=e6c995ce ack=34e2bf91
[vs_0][fw_1] eth0:oq1 (TCP streaming (out))[716]: 192.168.204.40 -> 192.168.204.1 (TCP) len=716 id=37579
TCP: 22 -> 51702 ...PA. seq=34e2bf91 ack=e6c995ce
[vs_0][fw_1] eth0:OQ10 (TCP streaming post VM)[716]: 192.168.204.40 -> 192.168.204.1 (TCP) len=716 id=37579
TCP: 22 -> 51702 ...PA. seq=34e2bf91 ack=e6c995ce
 monitor: unloading
Read 3 inbound packets and 5 outbound packets
[Expert@MyGW:0]#
 
[Expert@MyGW:0]# fw ctl chain
in chain (17):
        0: -7fffffff (0000000000000000) (00000000) SecureXL inbound (sxl_in)
        1: -7ffffffe (0000000000000000) (00000000) SecureXL inbound CT (sxl_ct)
        2: -7f800000 (ffffffff8b6718c0) (ffffffff) IP Options Strip (in) (ipopt_strip)
        3: -70000000 (ffffffff8b6774d0) (ffffffff) fwmonitor (i/f side)
        4: - 1fffff8 (ffffffff8b66f6f0) (00000001) Stateless verifications (in) (asm)
        5: - 1fffff7 (ffffffff8b66f210) (00000001) fw multik misc proto forwarding
        6:         0 (ffffffff8b8506a0) (00000001) fw VM inbound  (fw)
        7:         2 (ffffffff8b671d10) (00000001) fw SCV inbound (scv)
        8:         4 (ffffffff8b061ed0) (00000003) QoS inbound offload chain module
        9:         5 (ffffffff8b564d30) (00000003) fw offload inbound (offload_in)
        10:        10 (ffffffff8b842710) (00000001) fw post VM inbound  (post_vm)
        11:    100000 (ffffffff8b7fd6c0) (00000001) fw accounting inbound (acct)
        12:  22000000 (ffffffff8b0638d0) (00000003) QoS slowpath inbound chain mod (fg_sched)
        13:  70000000 (ffffffff8b6774d0) (ffffffff) fwmonitor (IP  side)
        14:  7f730000 (ffffffff8b3c40b0) (00000001) passive streaming (in) (pass_str)
        15:  7f750000 (ffffffff8b0e5b40) (00000001) TCP streaming (in) (cpas)
        16:  7f800000 (ffffffff8b671870) (ffffffff) IP Options Restore (in) (ipopt_res)
out chain (16):
        0: -7f800000 (ffffffff8b6718c0) (ffffffff) IP Options Strip (out) (ipopt_strip)
        1: -70000000 (ffffffff8b6774d0) (ffffffff) fwmonitor (i/f side)
        2: - 1fffff0 (ffffffff8b0d0190) (00000001) TCP streaming (out) (cpas)
        3: - 1ffff50 (ffffffff8b3c40b0) (00000001) passive streaming (out) (pass_str)
        4: - 1f00000 (ffffffff8b66f6f0) (00000001) Stateless verifications (out) (asm)
        5: -     1ff (ffffffff8aeec0a0) (00000001) NAC Packet Outbound (nac_tag)
        6:         0 (ffffffff8b8506a0) (00000001) fw VM outbound (fw)
        7:        10 (ffffffff8b842710) (00000001) fw post VM outbound  (post_vm)
        8:  15000000 (ffffffff8b062540) (00000003) QoS outbound offload chain modul (fg_pol)
        9:  21000000 (ffffffff8b0638d0) (00000003) QoS slowpath outbound chain mod (fg_sched)
        10:  70000000 (ffffffff8b6774d0) (ffffffff) fwmonitor (IP side)
        11:  7f000000 (ffffffff8b7fd6c0) (00000001) fw accounting outbound (acct)
        12:  7f700000 (ffffffff8b0e4660) (00000001) TCP streaming post VM (cpas)
        13:  7f800000 (ffffffff8b671870) (ffffffff) IP Options Restore (out) (ipopt_res)
        14:  7f900000 (0000000000000000) (00000000) SecureXL outbound (sxl_out)
        15:  7fa00000 (0000000000000000) (00000000) SecureXL deliver (sxl_deliver)
[Expert@MyGW:0]#

e」パラメータの使用例

[Expert@HostName]# fw monitor -e "accept;" -o /var/log/fw_mon.cap

ホストを指定するには、以下の式のいずれかを使用します。

  • ソースIPアドレスとデスティネーションIPアドレスの両方に適用される"host(<IP_Address_in_Doted_Decimal_format>)" を使用する。

  • 特定のソースIPアドレス"src=<IP_Address_in_Doted_Decimal_format>" 、特定のデスティネーションIPアドレスを使用する。 "dst=<IP_Address_in_Doted_Decimal_format>"

フィルター例

  • ホストXとホストYの間のすべてをキャプチャする。

    [Expert@HostName]# fw monitor -e "host(x.x.x.x) and host(y.y.y.y), accept;" -o /var/log/fw_mon.cap

    [Expert@HostName]# fw monitor -e "((src=x.x.x.x , dst=y.y.y.y) or (src=y.y.y.y , dst=x.x.x.x)), accept;" -o /var/log/fw_mon.cap

  • all Firewall のカーネルチェーンでホスト X,Z とホスト Y,Z の間のすべてをキャプチャします。

    [Expert@HostName]# fw monitor -p all -e "((src=x.x.x.x or dst=z.z.z.z) and (src=y.y.y.y or dst=z.z.z.z)), accept ;" -o /var/log/fw_mon.cap

  • ホストXとの間、ホストYとの間、ホストZとの間のすべてをキャプチャします。

    [Expert@HostName]# fw monitor -e "host(x.x.x.x) or host(y.y.y.y) or host(z.z.z.z), accept;" -o /var/log/fw_mon.cap

    [Expert@HostName]# fw monitor -e "((src=x.x.x.x or dst=x.x.x.x) or (src=y.y.y.y or dst=y.y.y.y) or (src=z.z.z.z or dst=z.z.z.z)), accept;" -o /var/log/fw_mon.cap

- ポート番号は10進数で指定する必要があります。Security Gateway上の/etc/services ファイル、またはIANA Service Name and Port Number Registry を参照してください。

ポートを指定するには、以下のいずれかの表現を使用します。

  • Source PortとDestination Portの両方に適用される"port(<IANA_Port_Number>)" を使用する。

  • 特定のソースポート"sport=<IANA_Port_Number>" と特定のデスティネーションポートを使用します。 "dport=<IANA_Port_Number>"

  • 追加:

    • 特定のTCPポートについては、"tcpport(<IANA_Port_Number>)" 、送信元TCPポートと宛先TCPポートの両方に適用されます。

    • 特定のUDPポートには、"udpport(<IANA_Port_Number>)" 、送信元UDPポートと宛先UDPポートの両方に適用されます。

フィルター例

  • ポートXに発着するすべてのものをキャプチャする。

    [Expert@HostName]# fw monitor -e "port(x), accept;" -o /var/log/fw_mon.cap

    [Expert@HostName]# fw monitor -e "(sport=x or dport=x), accept;" -o /var/log/fw_mon.cap

  • ポート X 以外をキャプチャする。

    [Expert@HostName]# fw monitor -e "((sport=!x) or (dport=!x)), accept;" -o /var/log/fw_mon.cap

    [Expert@HostName]# fw monitor -e "not (sport=x or dport=x), accept;" -o /var/log/fw_mon.cap

  • SSH以外をキャプチャする。

    [Expert@HostName]# fw monitor -e "((sport!=22) or (dport!=22)), accept;" -o /var/log/fw_mon.cap

    [Expert@HostName]# fw monitor -e "not (sport=22 or dport=22), accept;" -o /var/log/fw_mon.cap

    [Expert@HostName]# fw monitor -e "not tcpport(22), accept;" -o /var/log/fw_mon.cap

  • ホストXとの間でSSHを除くすべてをキャプチャします。

    [Expert@HostName]# fw monitor -e "(host(x.x.x.x) and (sport!=22 or dport!=22)), accept;" -o /var/log/fw_mon.cap

    [Expert@HostName]# fw monitor -e "((src=x.x.x.x or dst=x.x.x.x) and (not (sport=22 or dport=22))), accept;" -o /var/log/fw_mon.cap

    [Expert@HostName]# fw monitor -e "(host(x.x.x.x) and not tcpport(22)), accept;" -o /var/log/fw_mon.cap

  • NTP以外をキャプチャする。

    [Expert@HostName]# fw monitor -e "not udpport(123), accept;" -o /var/log/fw_mon.cap

:プロトコル番号は、Decimal 形式で指定する必要があります。Security Gateway上の/etc/protocols ファイル、またはIANA Protocol Numbers を参照してください。

プロトコルを指定するには、以下のいずれかの表現を使用します。

  • "ip_p=<IANA_Protocol_Number>"を使用

    Examples:

    • TCPプロトコルをバイトオフセットで指定する場合は "ip_p=6"

    • UDPプロトコルをバイトオフセットで指定する場合は "ip_p=11"

    • ICMPプロトコルをバイトオフセットで指定する場合は、以下のようになります。 "ip_p=1"

  • "accept [9:1]=<IANA_Protocol_Number>"を使用

    Examples:

    • TCPプロトコルをバイトオフセットで指定する場合は "accept [9:1]=6"

    • UDPプロトコルをバイトオフセットで指定する場合は "accept [9:1]=11"

    • ICMPプロトコルをバイトオフセットで指定する場合は、以下のようになります。 "accept [9:1]=1"

  • また、これらの式を明示的に使用してプロトコルを指定することができる。

    どのプロトコルを指定するか

    どのポートでトラフィックを捕捉するか

    表現方法

    TCP

    N / A

    "tcp, accept;"

    UDP

    N / A

    "udp, accept;"

    ICMPv4

    N / A

    "icmp, accept;"

    or

    "icmp4, accept;"

    ICMPv6

    N / A

    "icmp6, accept;"

    HTTP

    TCP 80

    "http, accept;"

    HTTPS

    TCP 443

    "https, accept;"

    プロキシ

    TCP 8080

    "proxy, accept;"

    DNS

    UDP 53

    "dns, accept;"

    IKE

    UDP 500

    "ike, accept;"

    NAT-T

    UDP 4500

    "natt, accept;"

    ESP 、IKE

    IP プロト 50、UDP 500

    "vpn, accept;"

    VPN関連の全データ。

    1. ESP

    2. IPsec over UDP

    3. IKE

    4. NAT-T

    5. CRL

    6. RDP

    7. トンネルテスト

    8. トポロジについて

    9. L2TP

    10. SCV

    11. マルチポート

    12. など

    1. IPプロト50

    2. UDP 2746

    3. UDP 500

    4. UDP 4500

    5. TCP 18264

    6. UDP 259

    7. UDP 18234

    8. TCP 264

    9. TCP 1701

    10. UDP 18233

    11. TCP 443 + TCP 444

    12. など

    "vpnall, accept;"

    マルチポート接続

    TCP 443とTCP 444

    "multi, accept;"

    SSH

    TCP 22

    "ssh, accept;"

    FTP

    TCP20とTCP21

    "ftp, accept;"

    テルネット

    TCP 23

    "telnet, accept;"

    SMTP

    TCP 25

    "smtp, accept;"

    POP3

    TCP 110

    "pop3, accept;"

フィルター例

  • プロトコルX上のすべてを捕捉するフィルタ。

    [Expert@HostName]# fw monitor -e "ip_p=X, accept;" -o /var/log/fw_mon.cap

  • プロトコルXとプロトコルYのポートZのすべてをキャプチャするフィルタです。

    [Expert@HostName]# fw monitor -e "(ip_p=X) or (ip_p=Y, port(Z)), accept;" -o /var/log/fw_mon.cap

  • ホストXとホストYの間のTCPをすべてキャプチャするフィルタです。

    [Expert@HostName]# fw monitor -e "ip_p=6, host(x.x.x.x) or host(y.y.y.y), accept;" -o /var/log/fw_mon.cap

    [Expert@HostName]# fw monitor -e "tcp, host(x.x.x.x) or host(y.y.y.y), accept;" -o /var/log/fw_mon.cap

    [Expert@HostName]# fw monitor -e "accept [9:1]=6 , ((src=x.x.x.x , dst=y.y.y.y) or (src=y.y.y.y , dst=x.x.x.x));"

    [Expert@HostName]# fw monitor -e "ip_p=6, ((src=x.x.x.x , dst=y.y.y.y) or (src=y.y.y.y , dst=x.x.x.x)), accept;" -o /var/log/fw_mon.cap

:Security Gatewayの$FWDIR/lib/tcpip.def ファイルを参照してください。

オプション説明

表現方法

IPv4パケットの送信元IPv4アドレス

ip_src = <IPv4_Address>

fw monitor -e "ip_src = 192.168.22.33, accept;"

IPv4パケットの宛先IPv4アドレス

ip_dst = <IPv4_Address>

fw monitor -e "ip_dst = 192.168.22.33, accept;"

IPv4パケットの生存時間

ip_ttl = <Number>

fw monitor -e "ip_ttl = 255, accept;"

IPv4パケットの総長(バイト)。

ip_len = <Length_in_Bytes>

fw monitor -e "ip_len = 64, accept;"

IPv4パケットのTOSフィールド

ip_tos = <Number>

fw monitor -e "ip_tos = 0, accept;"

IPv4パケットに内包されるIANAプロトコル番号(DecまたはHex)。

ip_p = <IANA_Protocol_Number>

TCPの場合の例です。

fw monitor -e "ip_p = 6, accept;"

UDPの場合の例です。

fw monitor -e "ip_p = 17, accept;"

fw monitor -e "ip_p = 0x11, accept;"

ICMPv4 の場合の例です。

fw monitor -e "ip_p = 1, accept;"

オプション説明

表現方法

IPv6パケットの送信元IPv6アドレス

ip_src6p = <IPv6_Address>

fw monitor -e "ip_src6p = 0:0:0:0:0:ffff:c0a8:1621, accept;"

IPv6パケットの宛先IPv6アドレス

ip_dst6p = <IPv6_Address>

fw monitor -e "ip_dst6p = 0:0:0:0:0:ffff:c0a8:1621, accept;"

ペイロード IPv6パケットの長さ(バイト)。

ip_len6 = <Length_in_Bytes>

fw monitor -e "ip_len6 = 1000, accept;"

IPv6パケットのホップリミット("Time To Live")について

ip_ttl6 = <Number>

fw monitor -e "ip_ttl6 = 255, accept;"

IPv6パケットのネクストヘッダー - カプセル化されたIANAプロトコル番号

ip_p6 = <IANA_Protocol_Number>

fw monitor -e "ip_p6 = 6, accept;"

オプション説明

表現方法

TCPパケットにSYNフラグが設定されている。

syn

fw monitor -e "ip_p = 6, syn, accept;"

TCPパケットにACKフラグが設定されている。

ack

fw monitor -e "ip_p = 6, ack, accept;"

TCPパケットにRSTフラグが設定されている。

rst

fw monitor -e "ip_p = 6, rst, accept;"

TCPパケットにFINフラグが設定される

fin

fw monitor -e "ip_p = 6, fin, accept;"

TCP接続の最初のパケット

(TCPパケットにSYNフラグは設定されているが、ACKフラグが設定されていない。)

first

fw monitor -e "ip_p = 6, first, accept;"

TCP接続の最初のパケットではない

(TCPパケットにSYNフラグが設定されていない)

not_first

fw monitor -e "ip_p = 6, not_first, accept;"

TCPコネクションの確立

(TCPパケットにACKフラグが設定されているか、SYNフラグが設定されていない)。

established

fw monitor -e "ip_p = 6, established, accept;"

TCPコネクションの最後のパケット

(TCPパケットにACKフラグとFINフラグの両方が設定されていること)

last

fw monitor -e "ip_p = 6, last, accept;"

TCPコネクションの終了

(TCPパケットにRSTフラグが設定されているか、FINフラグが設定されています。)

tcpdone

fw monitor -e "ip_p = 6, tcpdone, accept;"

TCPパケットに含まれるフラグをマッチングさせる一般的な方法

th_flags = <Sum_of_Flags_Hex_Values>

TCPフラグ

SYN (0x2)

fw monitor -e "th_flags = 0x2, accept;"

ACK (0x10)

fw monitor -e "th_flags = 0x10, accept;"

PSH (0x8)

fw monitor -e "th_flags = 0x8, accept;"

FIN (0x1)

fw monitor -e "th_flags = 0x1, accept;"

RST (0x4)

fw monitor -e "th_flags = 0x4, accept;"

URG (0x20)

fw monitor -e "th_flags = 0x20, accept;"

SYN + ACK

fw monitor -e "th_flags = 0x12, accept;"

PSH + ACK

fw monitor -e "th_flags = 0x18, accept;"

FIN + ACK

fw monitor -e "th_flags = 0x11, accept;"

RST + ACK

fw monitor -e "th_flags = 0x14, accept;"

TCPソースポート

th_sport = <Port_Number>

fw monitor -e "th_sport = 59259, accept;"

TCP宛先ポート

th_dport = <Port_Number>

fw monitor -e "th_dport = 22, accept;"

TCPシーケンス番号(DecまたはHex)

th_seq = <Number>

Dec形式の例です。

fw monitor -e "th_seq = 3937833514, accept;"

16進法の例です。

fw monitor -e "th_seq = 0xeab6922a, accept;"

TCP確認番号(DecまたはHex)。

th_ack = <Number>

Dec形式の例です。

fw monitor -e "th_ack = 509054325, accept;"

16進法の例です。

fw monitor -e "th_ack = 0x1e578d75, accept;"

オプション説明

表現方法

UDPソースポート

uh_sport = <Port_Number>

fw monitor -e "uh_sport = 53, accept;"

UDP送信先ポート

uh_dport = <Port_Number>

fw monitor -e "uh_dport = 53, accept;"

オプション説明

表現方法

Typeが指定されたICMPv4パケット

icmp_type = <Number>

fw monitor -e "icmp_type = 0, accept;"

指定されたCodeのICMPv4パケット

icmp_code = <Number>

fw monitor -e "icmp_code = 0, accept;"

指定されたIdentifierを持つICMPv4パケット

icmp_id = <Number>

fw monitor -e "icmp_id = 20583, accept;"

指定したシーケンス番号のICMPv4パケット

icmp_seq = <Number>

fw monitor -e "icmp_seq = 1, accept;"

ICMPv4 Echo Requestパケット(タイプ8、コード0)

echo_req

fw monitor -e "echo_req, accept;"

ICMPv4 Echo Replyパケット(タイプ0、コード0)。

echo_reply

fw monitor -e "echo_reply, accept;"

ICMPv4エコーリクエストとICMPv4エコーリプライパケット

ping

fw monitor -e "ping, accept;"

Unix OSに実装されているトレースルートパケット

(30000以上のポートにあるUDPパケットと

TTL<30; またはICMP Time exceeded packets)。

traceroute

fw monitor -e "traceroute, accept;"

Windows OSに実装されているトレースルート・パケット

(ICMP Request packets with TTL<30;

またはICMP Time exceededパケット)

tracert

fw monitor -e "tracert, accept;"

ICMPv4パケットの長さ

icmp_ip_len = <length>

fw monitor -e "icmp_ip_len = 84, accept;"

オプション説明

表現方法

Typeが指定されたICMPv6パケット

icmp6_type = <Number>

fw monitor -e "icmp6_type = 1, accept;"

指定されたCodeのICMPv6パケット

icmp6_code = <Number>

fw monitor -e "icmp6_code = 3, accept;"

構文:

fw monitor -e "accept [ <Offset> : <Length> , <Byte Order> ] <Relational-Operator> <Value>;"

パラメータ:

パラメータ

説明

<Offset>

値を読み込むべきIPパケットの先頭からの相対的なオフセットを指定する。

<Length>

バイト数を指定する。

  • 1 = バイト

  • 2 = 語

  • 4 = dword

長さが指定されていない場合、FW Monitorは4(dword)と見なします。

<Byte Order>

バイトオーダーを指定する。

  • b = ビッグエンディアン、またはネットワークオーダー

  • l = リトルエンディアン、またはホストオーダー

オーダーが指定されない場合、FW Monitorはリトルエンディアンバイトオーダーを想定しています。

<Relational-Operator

パケットデータと値の関係を表現するための関係演算子。

  • < - より小さい

  • > - より大きい

  • <= - 以下

  • >= - より大きい

  • = またはis - に等しい。

  • != またはis not - と等しくない。

<Value>

INSPECTが知っているデータタイプ閉じた Content Awareness Software BladeのCheck Pointセキュリティポリシーにおけるデータの分類。の1つ(例えば、IPアドレス、または整数)。

説明します。

  • IPベースのプロトコルは、オフセット9のバイトとしてIPパケットに格納される。

    • IPにカプセル化されたプロトコルに基づきフィルタリングするには、次の構文を使用します。

      [Expert@HostName]# fw monitor -e "accept [9:1]=<IANA_Protocol_Number>;"

  • レイヤ 3 の IP アドレスは、IP パケットのオフセット 12(送信元アドレス)とオフセット 16(宛先ア ドレス)にダブルワードとして格納される。

    • 送信元IPアドレスに基づいてフィルタリングするには、次の構文を使用します。

      [Expert@HostName]# fw monitor -e "accept [12:4,b]=<IP_Address_in_Doted_Decimal_format>;"

    • 宛先IPアドレスに基づいてフィルタリングする場合は、次の構文を使用します。

      [Expert@HostName]# fw monitor -e "accept [16:4,b]=<IP_Address_in_Doted_Decimal_format>;"

  • レイヤ 4 ポートは、IP パケットのオフセット 20(送信元ポート)及びオフセット 22(宛先ポート) にワードとして格納される。

    • Sourceポートに基づいてフィルタリングするには、次の構文を使用します。

      [Expert@HostName]# fw monitor -e "accept [20:2,b]=<Port_Number_in_Decimal_format>;"

    • Destinationポートに基づいてフィルタリングする場合は、次の構文を使用します。

      [Expert@HostName]# fw monitor -e "accept [22:2,b]=<Port_Number_in_Decimal_format>;"

フィルター例

  • ホストXとホストYの間のすべてをキャプチャする。

    [Expert@HostName]# fw monitor -e "accept (([12:4,b]=x.x.x.x , [16:4,b]=y.y.y.y) or ([12:4,b]=y.y.y.y , [16:4,b]=x.x.x.x));"

  • ポートXのすべてをキャプチャする。

    [Expert@HostName]# fw monitor -e "accept [20:2,b]=x or [22:2,b]=x;" -o /var/log/fw_mon.cap

network addresslength of network mask (ビット数)を指定する必要があります。

3つのオプションがあります。

トラフィック方向

表現方法

ネットワークへ、またはネットワークから

"net(<Network_IP_Address>, <Mask_Length>), accept;"

ネットワークへ

"to_net(<Network_IP_Address>, <Mask_Length>), accept;"

ネットワークから

"from_net(<Network_IP_Address>, <Mask_Length>), accept;"

フィルター例

  • ネットワーク 192.168.33.0 / 24 との間のすべてをキャプチャします。

    [Expert@HostName]# fw monitor -e "net(192.168.33.0, 24), accept;"

  • ネットワーク 192.168.33.0 / 24 に送信されるすべてをキャプチャします。

    [Expert@HostName]# fw monitor -e "to_net(192.168.33.0, 24), accept;"

  • ネットワーク 192.168.33.0 / 24 から送信されるすべてをキャプチャします。

    [Expert@HostName]# fw monitor -e "from_net(192.168.33.0, 24), accept;"

TCPプロトコルとHTTP、HTTPSのポートだけをフィルタリングする。

SSHとFWのログをフィルタリングする

[Expert@HostName]# fw monitor -e "accept (ip_p=6) and (not (sport=22 or dport=22)) and (not (sport=257 or dport=257)) and ((dport=80 or dport=443) or (sport=80 or sport=443);" -o /var/log/fw_mon.cap

F」パラメータの使用例

このパラメータで最大5つのキャプチャフィルタを指定できます(構文内の"-F" パラメータは最大5つまで)。

FW Monitorは、指定されたすべての簡易キャプチャフィルタ間の論理 "OR "を実行します。

値0は"any"として使用されます。

[Expert@HostName]# fw monitor -F "0,0,0,0,0" -o /var/log/fw_mon.cap

  • 送信元IP x.x.x.x(任意のポート)から送信先IP y.y.y.y(任意のポート)へのすべてのトラフィックを、すべてのプロトコルでキャプチャします。

    [Expert@HostName]# fw monitor -F "x.x.x.x,0,y.y.y.y,0,0" -o /var/log/fw_mon.cap

  • ホスト x.x.x.x (任意のポート)とホスト y.y.y (任意のポート)間のすべてのトラフィックを、すべてのプロトコルでキャプチャします。

    [Expert@HostName]# fw monitor -F "x.x.x.x,0,y.y.y.y,0,0" -F "y.y.y.y,0, x.x.x.x ,0,0" -o /var/log/fw_mon.cap

  • すべてのプロトコルで、ソースIPからソースポートX、デスティネーションIPからデスティネーションポートYまでのトラフィックをキャプチャします。

    [Expert@HostName]# fw monitor -F "0,x,0,y,0" -o /var/log/fw_mon.cap

  • すべてのホスト間のトラフィックを、ポートXとポートYの間で、すべてのプロトコルでキャプチャします。

    [Expert@HostName]# fw monitor -F "0,x,0,y,0" -F "0,y,0,x,0" -o /var/log/fw_mon.cap

  • すべてのホスト、すべてのポート間のトラフィックを、割り当てられた番号Xのプロトコル上でキャプチャします。

    [Expert@HostName]# fw monitor -F "0,0,0,0,x" -o /var/log/fw_mon.cap

[Expert@HostName]# fw monitor -F "a.a.a.a,b,c.c.c.c,d,e" -F "c.c.c.c,d,a.a.a.a,b,e" -o /var/log/fw_mon.cap

クライアント1.1.1.1とサーバ2.2.2間のHTTPトラフィックのみを捕捉する場合。

fw montior –F "1.1.1.1,0,2.2.2.2,80,6" –F "2.2.2.2,80,1.1.1.1,0,6" -o /var/log/fw_mon.cap