[ATP/FLEX] 如何在 Nebula 資安防火牆上以CLI 模式擷取封包?
使用場景
Packet-trace 是裝置上基於 CLI 的封包擷取工具,用於透過攔截和顯示透過網路介面傳輸的封包來嗅探和分析網路流量。
本次範例將說明如何在 Nebula 防火牆以 CLI 模式捕擷取封包。
操作範例
如果您從裝置的 LAN 介面存取 SSH 服務,則可以跳過步驟 1)。
1) 建立安全策略以允許來自 WAN 介面的 SSH 服務。
預設情況下,當設備被 Nebula 管理時,無法從 WAN 端存取設備 SSH 服務。
預設值沒有防火牆規則允許從 WAN 進行 SSH 存取防火牆CLI。
前往 設定 Configure > 防火牆 Firewall > 安全政策 Security Policy。
按下「+新增」以建立安全策略規則,以允許從WAN訪問設備指令介面。
啟用 : 勾選啟用規則
名稱 : 輸入可自行辨識規則用途的名稱即可
動作 : 允許
來源 : 建議輸入信任的外部IP位址。例如:公司Public IP
目的地 : 設備
*出於安全考慮,我們強烈建議您將受信任的 IP 添加到來源 IP,而不是添加任何 IP。
按下儲存,套用設置到防火牆。
2) 前往 站點 > 設定 > 站點設定,確認設備帳號密碼
3) 透過 SSH 連接到設備,並使用上一步驟查詢的帳號密碼登入。
設備SSH連接方式可以使用Putty或Teraterm工具
輸入上一步驟查詢到的設備帳號密碼登入
4) 輸入 CLI Router > show sdwan interface 檢查可用的介面。
現在我們可以開始在裝置上擷取封包來分析和探查網路封包。
在下面的範例中,我們使用指令在 lan1 介面上抓包。您需要輸入 vlan3222 而不是 lan1。
基本過濾器語法 - packet-trace 介面 [interface name]
Capture packets on:
Specific interface
-Router> packet-trace interface vlan3222
Specific source IP
-Router> packet-trace interface vlan3222 src-host X.X.X.X
Specific destination IP
-Router> packet-trace interface vlan3222 dst-host X.X.X.X
Specific service port
-Router> packet-trace interface vlan3222 port XXXXX
Specific IP protocol
-Router> packet-trace interface vlan3222 ip-proto [icmp|esp|ah|tcp|udp|gre]
Protocol name can also be replaced by protocol number
eg. Protocol number 1= ICMP
擴充過濾器語法 - packet-trace 介面 [interface name] 擴充過濾器
Apply filter for ICMP
-Router> packet-trace interface vlan3222 extension-filter icmp
Apply filter for ARP
-Router> packet-trace interface vlan3222 extension-filter arp
Apply filter for specific IP
-Router> packet-trace interface vlan3222 extension-filter host X.X.X.X
Apply filter for dst/src IP
-Router> packet-trace interface vlan3222 extension-filter [dst|src] X.X.X.X
Apply filter for subnet
-Router> packet-trace interface vlan3222 extension-filter X.X.X.X/n n=mask
Apply filter for tcp/udp service port
-Router> packet-trace interface vlan3222 extension-filter [udp|tcp port] XXXXX
組合
And
-Router> packet-trace interface vlan3222 extension-filter host 192.168.1.33 and port 80
Or
-Router> packet-trace interface vlan3222 extension-filter dst 8.8.8.8 or dst 168.95.1.1
Except
-Rourter>packet-trace interface vlan3222 extension-filter host 8.8.8.8 and not icmp