Ieri mi sono cimentato in un pò di sano trobuleshooting sulla mia rete. Guardando i comandi messi a disposizione dalla CLI del PIX ho notato la presenza di un comando interessantissimo, ovvero capture. In pratica, mediante tale comando è possibile catturare il traffico diretto ad una delle interfacce del PIX, semplicemente digitando:
PIX501# capture <nome della capture> interface <nome dell'interfaccia>
Quindi, se ad esempio volessi sniffare il traffico diretto all’interfaccia inside del firewall in questione, mi basterebbe digitare:
PIX501# capture pacchetti interface inside
Ora, per visualizzare i pacchetti catturati basta digitare:
PIX501# sh capture pacchetti
Ovviamente, per ottenere un filtro sull’output, è sufficiente utilizzare la direttiva include. Ad esempio, il comando:
PIX501# sh capture pacchetti | i icmp
mi consentirà di osservare soltanto il traffico icmp diretto all’interfaccia su cui è attiva la capture.
Un’altra operazione utile potrebbe essere quella che ci permette di azzerare il contenuto delle capture per fare un po d’ordine. In questo casa basta scrivere:
PIX501# clear capture pacchetti
Infine, per disattivare lo sniffer basta digitare:
PIX501# no capture pacchetti
Non sottovalutate le potenzialità di questo comando, in quanto uno sniffer può tornare estramamente utile durante le operazioni di troubleshooting.
A presto.
PS: in alternativa, per osservare il traffico icmp diretto al PIX si potrebbe utilizzare il comando debug icmp trace, il quale può essere disabilitato con un semplice no debug icmp trace oppure un undebug all.