Spesso puo' presentarsi la necessita' di sniffare il traffico che passi sulle interfacce di un firewall a fini di troubleshooting, ad esempio per verificare se un problema di connettivita' possa essere dovuto a problematiche degli host od al set di regole.
Pur non esistendo tcpdump, e' possibile effettuare una verifica del traffico che passa dalle interfacce tramite il comando capture
.
In particolare per effettuare un capture e' necesssario creare un'acl che definisca il traffico al quale si e' interessati, ed associare il relativo capture ad un'interfaccia.
A titolo esemplificativo, ipotizziamo di avere un firewall con diverse interfacce, tra cui due di esse chiamate lan_A e lan_B, e di volere verificare se sia possibile effettuare connnessioni in remote desktop dall'host 10.63.1.27 della Lan_A verso 10.63.2.111 appartenente alla rete collegata all'interfaccia Lan_B.
Innanzitutto e' necessario creare un'access-list che definisca il traffico in questione:
access-list prova_capture extended permit tcp host 10.63.1.27 host 10.63.2.111 eq 3389
Definita l'access list, essa deve essere associata tramite un capture alle interfacce che si vogliono monitorare. Nel nostro caso si vuole verificare se il traffico passi correttamente dalle interfacce collegate alle due reti, Lan_A e Lan_B:
capture capture_a access-list prova_capture interface lan_A
capture capture_b access-list prova_capture interface lan_B
Con il comando show capture
, e' possibile vedere i capture in corso ed i byte gia' catturati.
Per vedere invece i dettagli dei nostri due capture:
show capture capture_a
show capture capture_b
Una volta completata l'analisi, i due capture possono essere eliminati con il comando no capture
:
no capture capture_a
no capture capture_b
Tecniche, configurazioni, logica e funzionamento dei firewall Cisco PIX