SUR CETTE PAGE
Vérification de la sortie des sessions ALG
Cette section contient des exemples de résultats positifs des sessions ALG et des informations sur la configuration du journal système. Vous pouvez comparer les résultats de vos sessions pour vérifier si les configurations fonctionnent correctement.
Exemple FTP
Cet exemple analyse la sortie au cours d’une session FTP active. Il se compose de quatre flux différents ; deux sont des flux de contrôle et deux sont des flux de données. L’exemple se compose des parties suivantes :
Exemple de sortie
Carte MS-MPC
Pour les MS-MPC, voici un exemple de sortie complet de la show services stateful-firewall conversations application-protocol ftp commande mode opérationnel :
user@host>show services stateful-firewall conversations application-protocol ftp
Interface: ms-1/3/0, Service set: CLBJI1-AAF001
Conversation: ALG protocol: ftp
Number of initiators: 2, Number of responders: 2
Flow State Dir Frm count
TCP 1.1.79.2:14083 -> 2.2.2.2:21 Watch I 13
NAT source 1.1.79.2:14083 -> 194.250.1.237:50118
TCP 1.1.79.2:14104 -> 2.2.2.2:20 Forward I 3
NAT source 1.1.79.2:14104 -> 194.250.1.237:50119
TCP 2.2.2.2:21 -> 194.250.1.237:50118 Watch O 12
NAT dest 194.250.1.237:50118 -> 1.1.79.2:14083
TCP 2.2.2.2:20 -> 194.250.1.237:50119 Forward O 5
NAT dest 194.250.1.237:50119 -> 1.1.79.2:14104
Pour chaque flux, la première ligne affiche les informations de flux, notamment le protocole (TCP), l’adresse source, le port source, l’adresse de destination, le port de destination, l’état du flux, la direction et le nombre de trames.
L’état d’un flux peut être
Watch,ForwardouDrop:Un
Watchétat de flux indique que le flux de contrôle est surveillé par l’ALG pour obtenir des informations dans la charge utile. Le traitement NAT est effectué sur l’en-tête et la charge utile selon les besoins.Un
Forwardflux transmet les paquets sans surveiller la charge utile. NAT est effectué sur l’en-tête selon les besoins.Un
Dropflux abandonne tout paquet qui correspond au tuple 5 .
Le nombre de trames (
Frm count) indique le nombre de paquets traités sur ce flux.
La deuxième ligne affiche les informations NAT.
sourceindique la source NAT.destindique la destination NAT.La première adresse et le premier port de la ligne NAT sont l’adresse et le port d’origine traduits pour ce flux.
La deuxième adresse et le deuxième port de la ligne NAT sont l’adresse et le port traduits pour ce flux.
Carte MX-SPC3
Sur la carte de services MX-SPC3, voici un exemple complet de sortie de la show services sessions application-protocol ftp commande mode opérationnel :
user@host>show services sessions application-protocol ftp Session ID: 536870917, Service-set: ss1, Policy name: p1/131085, Timeout: 1, Valid Logical system: root-logical-system Resource information : FTP ALG, 1, 1 In: 12.10.10.10/35281 --> 22.20.20.3/8204;tcp, Conn Tag: 0x0, If: vms-2/0/0.100, Pkts: 6, Bytes: 320, Out: 22.20.20.3/8204 --> 60.1.1.2/48747;tcp, Conn Tag: 0x0, If: vms-2/0/0.200, Pkts: 9, Bytes: 8239, Session ID: 536870919, Service-set: ss1, Policy name: p1/131085, Timeout: 29, Valid Logical system: root-logical-system Resource information : FTP ALG, 1, 0 In: 12.10.10.10/44194 --> 22.20.20.3/21;tcp, Conn Tag: 0x0, If: vms-2/0/0.100, Pkts: 13, Bytes: 585, Out: 22.20.20.3/21 --> 60.1.1.2/48660;tcp, Conn Tag: 0x0, If: vms-2/0/0.200, Pkts: 11, Bytes: 650, Total sessions: 2
Pour chaque séance :
La première ligne affiche les informations de flux, notamment l’ID de session, le nom de l’ensemble de services, le nom de la stratégie, le délai d’expiration de la session, le nom du système logique et son état.
La deuxième ligne, , indique que la session est créée par ALG, y compris le nom ALG (FTP ALG) et l’ID de groupe ASL, qui est 1et l’ID de ressource ASL,
Resource informationqui est 0 pour session de contrôle et 1 pour session de données.La troisième ligne est le flux direct et la quatrième ligne
InOutest le flux inverse, y compris l’adresse source, le port source, l’adresse de destination, le port de destination, le protocole (TCP), la balise conn de session, l’interface entranteInet sortanteOut, le nombre de trames reçues et les octets. NAT est effectué sur l’en-tête selon les besoins.
Messages du journal système FTP
Les messages du journal système sont générés au cours d’une session FTP. Pour plus d’informations sur les journaux système, consultez Messages du journal système.
Carte MS-MPC
Les messages journaux système suivants sont générés lors de la création du flux de contrôle FTP :
Règle Accepter le journal système :
Oct 27 11:42:54 (FPC Slot 1, PIC Slot 1) {ss_ftp}[FWNAT]: ASP_SFW_RULE_ACCEPT: proto 6 (TCP) application: ftp, fe-3/3/3.0:1.1.1.2:4450 -> 2.2.2.2:21, Match SFW accept rule-set:, rule: ftp, term: 1Créer un journal système Accept Flow :
Oct 27 11:42:54 (FPC Slot 1, PIC Slot 1) {ss_ftp}[FWNAT]: ASP_SFW_CREATE_ACCEPT_FLOW: proto 6 (TCP) application: ftp, fe-3/3/3.0:1.1.1.2:4450 -> 2.2.2.2:21, creating forward or watch flowJournal système pour la création de flux de données :
Oct 27 11:43:30 (FPC Slot 1, PIC Slot 1) {ss_ftp}[FWNAT]: ASP_SFW_FTP_ACTIVE_ACCEPT: proto 6 (TCP) application: ftp, so-2/1/2.0:2.2.2.2:20 -> 1.1.1.2:50726, Creating FTP active mode forward flow
Carte MX-SPC3
Les messages journaux système suivants sont générés lors de la création du flux de contrôle FTP :
Journal système pour la création de sessions de contrôle FTP :
Mar 23 23:58:54 esst480r RT_FLOW: RT_FLOW_SESSION_CREATE_USF: Tag svc-set-name ss1: session created 20.1.1.2/52877->30.1.1.2/21 0x0 junos-ftp 20.1.1.2/52877->30.1.1.2/21 0x0 N/A N/A N/A N/A 6 p1 ss1-ZoneIn ss1-ZoneOut 818413576 N/A(N/A) ge-1/0/2.0 UNKNOWN UNKNOWN UNKNOWN N/A N/A -1 N/A Mar 23 23:59:00 esst480r junos-alg: RT_ALG_FTP_ACTIVE_ACCEPT: application:ftp data, vms-3/0/0.0 30.1.1.2:20 -> 20.1.1.2:33947 (TCP)
Journal système pour la création de sessions de données FTP :
Mar 23 23:59:00 esst480r RT_FLOW: RT_FLOW_SESSION_CREATE_USF: Tag svc-set-name ss1: session created 30.1.1.2/20->20.1.1.2/33947 0x0 junos-ftp-data 30.1.1.2/20->20.1.1.2/33947 0x0 N/A N/A N/A N/A 6 p1 ss1-ZoneOut ss1-ZoneIn 818413577 N/A(N/A) ge-1/1/6.0 FTP-DATA UNKNOWN UNKNOWN Infrastructure File-Servers 2 N/A
Le journal système pour la session de données FTP détruit :
Mar 23 23:59:02 esst480r RT_FLOW: RT_FLOW_SESSION_CLOSE_USF: Tag svc-set-name ss1: session closed TCP FIN: 30.1.1.2/20->20.1.1.2/33947 0x0 junos-ftp-data 30.1.1.2/20->20.1.1.2/33947 0x0 N/A N/A N/A N/A 6 p1 ss1-ZoneOut ss1-ZoneIn 818413577 2954(4423509) 281(14620) 2 FTP-DATA UNKNOWN N/A(N/A) ge-1/1/6.0 No Infrastructure File-Servers 2 N/A
Le journal système de la session de contrôle FTP détruit :
Mar 23 23:59:39 esst480r RT_FLOW: RT_FLOW_SESSION_CLOSE_USF: Tag svc-set-name ss1: session closed Closed by junos-tcp-clt-emul: 20.1.1.2/52877->30.1.1.2/21 0x0 junos-ftp 20.1.1.2/52877->30.1.1.2/21 0x0 N/A N/A N/A N/A 6 p1 ss1-ZoneIn ss1-ZoneOut 818413576 23(1082) 18(1176) 45 UNKNOWN UNKNOWN N/A(N/A) ge-1/0/2.0 No N/A N/A -1 N/A
Analyse
Contrôler les flux
Carte MS-MPC
Les flux de contrôle sont établis une fois l’établissement de liaison à trois voies terminé.
Contrôlez le flux du client FTP vers le serveur FTP. Le port de destination TCP est 21.
TCP 1.1.79.2:14083 -> 2.2.2.2:21 Watch I 13 NAT source 1.1.79.2:14083 -> 194.250.1.237:50118Contrôlez le flux du serveur FTP vers le client FTP. Le port source TCP est 21.
TCP 2.2.2.2:21 -> 194.250.1.237:50118 Watch O 12 NAT dest 194.250.1.237:50118 -> 1.1.79.2:14083
Carte MX-SPC3
Les flux de contrôle sont établis une fois l’établissement de liaison à trois voies terminé.
Contrôlez la session du client FTP au serveur FTP, le port de destination TCP est 21.
Session ID: 536870919, Service-set: ss1, Policy name: p1/131085, Timeout: 29, Valid Logical system: root-logical-system Resource information : FTP ALG, 1, 0 In: 12.10.10.10/44194 --> 22.20.20.3/21;tcp, Conn Tag: 0x0, If: vms-2/0/0.100, Pkts: 13, Bytes: 585, Out: 22.20.20.3/21 --> 60.1.1.2/48660;tcp, Conn Tag: 0x0, If: vms-2/0/0.200, Pkts: 11, Bytes: 650,
Session de données du client FTP au serveur FTP, c’est pour le mode passif FTP.
Session ID: 536870917, Service-set: ss1, Policy name: p1/131085, Timeout: 1, Valid Logical system: root-logical-system Resource information : FTP ALG, 1, 1 In: 12.10.10.10/35281 --> 22.20.20.3/8204;tcp, Conn Tag: 0x0, If: vms-2/0/0.100, Pkts: 6, Bytes: 320, Out: 22.20.20.3/8204 --> 60.1.1.2/48747;tcp, Conn Tag: 0x0, If: vms-2/0/0.200, Pkts: 9, Bytes: 8239,
Session de données du serveur FTP au client FTP, c’est pour le mode actif FTP :
Session ID: 549978117, Service-set: ss1, Policy name: p1/131085, Timeout: 1, Valid Logical system: root-logical-system Resource information : FTP ALG, 1, 1 In: 22.20.20.3/20 --> 60.1.1.3/6049;tcp, Conn Tag: 0x0, If: vms-2/0/0.200, Pkts: 10, Bytes: 8291, Out: 12.10.10.10/33203 --> 22.20.20.3/20;tcp, Conn Tag: 0x0, If: vms-2/0/0.100, Pkts: 5, Bytes: 268,
Flux de données
Un port de données de 20 est négocié pour le transfert de données au cours du protocole de contrôle FTP. Ces deux flux sont des flux de données entre le client FTP et le serveur FTP :
TCP 1.1.79.2:14104 -> 2.2.2.2:20 Forward I 3
NAT source 1.1.79.2:14104 -> 194.250.1.237:50119
TCP 2.2.2.2:20 -> 194.250.1.237:50119 Forward O 5
NAT dest 194.250.1.237:50119 -> 1.1.79.2:14104
Questions de dépannage
Comment savoir si l’ALG FTP est actif ?
Le champ Protocole ALG de la conversation doit afficher
ftp.Le nombre de trames (
Frm count) doit être valide dans les flux de contrôle.Un nombre de trames valide dans les flux de données indique que le transfert de données a eu lieu.
De quoi ai-je besoin pour vérifier si la connexion FTP est établie mais que le transfert de données n’a pas lieu ?
Très probablement, la connexion de contrôle est opérationnelle, mais la connexion de données est interrompue.
Vérifiez la sortie des conversations pour déterminer si le contrôle et les flux de données sont présents.
Comment interpréter chaque flux ? Que signifie chaque flux ?
Flux initiateur de flux de contrôle FTP : flux avec le port de destination 21
Flux de réponse de flux de contrôle FTP : flux avec port source ; 21
Flux initiateur de flux de données FTP : flux avec le port de destination 20
Flux de réponse de flux de données FTP : flux avec le port source 20
Exemple RTSP ALG
Voici un exemple de conversation RTSP. L’application utilise le protocole RTSP pour contrôler la connexion. Une fois la connexion établie, le média est envoyé à l’aide du protocole UDP (RTP).
Cet exemple comprend les éléments suivants :
- Exemple de sortie pour MS-MPC
- Exemple de sortie pour carte de services MX-SPC3
- Analyse
- Questions de dépannage
Exemple de sortie pour MS-MPC
Voici la sortie de la show services stateful-firewall conversations commande du mode opérationnel :
user@host# show services stateful-firewall conversations Interface: ms-3/2/0, Service set: svc_set Conversation: ALG protocol: rtsp Number of initiators: 5, Number of responders: 5 Flow State Dir Frm count TCP 1.1.1.3:58795 -> 2.2.2.2:554 Watch I 7 UDP 1.1.1.3:1028 -> 2.2.2.2:1028 Forward I 0 UDP 1.1.1.3:1029 -> 2.2.2.2:1029 Forward I 0 UDP 1.1.1.3:1030 -> 2.2.2.2:1030 Forward I 0 UDP 1.1.1.3:1031 -> 2.2.2.2:1031 Forward I 0 TCP 2.2.2.2:554 -> 1.1.1.3:58795 Watch O 5 UDP 2.2.2.2:1028 -> 1.1.1.3:1028 Forward O 6 UDP 2.2.2.2:1029 -> 1.1.1.3:1029 Forward O 0 UDP 2.2.2.2:1030 -> 1.1.1.3:1030 Forward O 3 UDP 2.2.2.2:1031 -> 1.1.1.3:1031 Forward O 0
Exemple de sortie pour carte de services MX-SPC3
Voici la sortie de la show services sessions application-protocol rtsp commande du mode opérationnel :
user@host# run show services sessions application-protocol rtsp Session ID: 1073741828, Service-set: sset1, Policy name: p1/131081, Timeout: 116, Valid Logical system: root-logical-system Resource information : RTSP ALG, 1, 0 In: 31.0.0.2/33575 --> 41.0.0.2/554;tcp, Conn Tag: 0x0, If: vms-4/0/0.1, Pkts: 8, Bytes: 948, Out: 41.0.0.2/554 --> 131.10.0.1/7777;tcp, Conn Tag: 0x0, If: vms-4/0/0.2, Pkts: 6, Bytes: 1117, Session ID: 1073741829, Service-set: sset1, Policy name: p1/131081, Timeout: 120, Valid Logical system: root-logical-system Resource information : RTSP ALG, 1, 1 In: 41.0.0.2/35004 --> 131.10.0.1/7780;udp, Conn Tag: 0x0, If: vms-4/0/0.2, Pkts: 220, Bytes: 79200, Out: 31.0.0.2/30004 --> 41.0.0.2/35004;udp, Conn Tag: 0x0, If: vms-4/0/0.1, Pkts: 0, Bytes: 0, Session ID: 1073741830, Service-set: sset1, Policy name: p1/131081, Timeout: 120, Valid Logical system: root-logical-system Resource information : RTSP ALG, 1, 4 In: 41.0.0.2/35006 --> 131.10.0.1/7781;udp, Conn Tag: 0x0, If: vms-4/0/0.2, Pkts: 220, Bytes: 174240, Out: 31.0.0.2/30006 --> 41.0.0.2/35006;udp, Conn Tag: 0x0, If: vms-4/0/0.1, Pkts: 0, Bytes: 0, Total sessions: 3
Analyse
Une conversation RTSP doit être constituée de flux TCP correspondant à la connexion de contrôle RTSP. Il doit y avoir deux flux, un dans chaque direction, du client au serveur et du serveur au client :
TCP 1.1.1.3:58795 -> 2.2.2.2:554 Watch I 7 TCP 2.2.2.2:554 -> 1.1.1.3:58795 Watch O 5
La connexion de contrôle RTSP pour le flux initiateur est envoyée à partir du port de destination 554.
La connexion de contrôle RTSP pour le flux de répondeur est envoyée à partir du port source 554.
Les flux UDP correspondent aux médias RTP envoyés via la connexion RTSP.
Questions de dépannage
Le support ne fonctionne pas lorsque l’ALG RTSP est configuré. Que dois-je faire ?
Vérifiez les conversations RTSP pour voir s’il existe des flux TCP et UDP.
Le protocole ALG doit être affiché sous la forme
rtsp.
Note:L’état du flux est affiché sous la forme , car le traitement ALG est en cours et le client est essentiellement en train de « surveiller » ou de traiter la
Watchcharge utile correspondant à l’application. Pour les flux FTP et RTSP ALG, les connexions de contrôle sont toujoursWatchdes flux.Comment puis-je vérifier les erreurs ALG ?
Vous pouvez vérifier les erreurs en émettant la commande suivante. Chaque ALG a un champ distinct pour les erreurs de paquets ALG.
user@host# show services stateful-firewall statistics extensive Interface: ms-3/2/0 Service set: svc_set New flows: Accepts: 1347, Discards: 0, Rejects: 0 Existing flows: Accepts: 144187, Discards: 0, Rejects: 0 Drops: IP option: 0, TCP SYN defense: 0 NAT ports exhausted: 0 Errors: IP: 0, TCP: 276 UDP: 0, ICMP: 0 Non-IP packets: 0, ALG: 0 IP errors: IP packet length inconsistencies: 0 Minimum IP header length check failures: 0 Reassembled packet exceeds maximum IP length: 0 Illegal source address: 0 Illegal destination address: 0 TTL zero errors: 0, Illegal IP protocol number (0 or 255): 0 Land attack: 0 Non-IPv4 packets: 0, Bad checksum: 0 Illegal IP fragment length: 0 IP fragment overlap: 0 IP fragment reassembly timeout: 0 Unknown: 0 TCP errors: TCP header length inconsistencies: 0 Source or destination port number is zero: 0 Illegal sequence number and flags combinations: 0 SYN attack (multiple SYN messages seen for the same flow): 276 First packet not a SYN message: 0 TCP port scan (TCP handshake, RST seen from server for SYN): 0 Bad SYN cookie response: 0 UDP errors: IP data length less than minimum UDP header length (8 bytes): 0 Source or destination port number is zero: 0 UDP port scan (ICMP error seen for UDP flow): 0 ICMP errors: IP data length less than minimum ICMP header length (8 bytes): 0 ICMP error length inconsistencies: 0 Duplicate ping sequence number: 0 Mismatched ping sequence number: 0 ALG errors: BOOTP: 0, DCE-RPC: 0, DCE-RPC portmap: 0 DNS: 0, Exec: 0, FTP: 0 ICMP: 0 Login: 0, NetBIOS: 0, NetShow: 0 RPC: 0, RPC portmap: 0 RTSP: 0, Shell: 0 SNMP: 0, SQLNet: 0, TFTP: 0 Traceroute: 0
Messages du journal système
L’activation de la génération de journaux système et la vérification du journal système sont également utiles pour l’analyse de flux ALG. Cette section contient les éléments suivants :
Configuration du journal système
Vous pouvez configurer l’activation des messages du journal système à différents niveaux dans l’interface de ligne de commande Junos OS. Comme illustré dans les exemples de configurations suivants, le choix du niveau dépend de la spécificité de la journalisation des événements et des options à inclure. Pour plus de détails sur les options de configuration, reportez-vous à la bibliothèque d’administration Junos OS pour les périphériques de routage (niveau système) ou à la bibliothèque d’interfaces de services Junos OS pour les périphériques de routage (tous les autres niveaux).
Au plus haut niveau mondial :
user@host# show system syslog file messages { any any; }Au niveau de l’ensemble de services :
user@host# show services service-set svc_set syslog { host local { services any; } } stateful-firewall-rules allow_rtsp; interface-service { service-interface ms-3/2/0; }Au niveau des règles de service :
user@host# show services stateful-firewall rule allow_rtsp match-direction input-output; term 0 { from { applications junos-rtsp; } then { accept; syslog; } }
Sortie du journal système
Les messages du journal système sont générés lors de la création du flux, comme illustré dans les exemples suivants :
Le message de journal système suivant indique que l’ASP correspondait à une règle d’acceptation :
Oct 25 16:11:37 (FPC Slot 3, PIC Slot 2) {svc_set}[FWNAT]: ASP_SFW_RULE_ACCEPT: proto 6 (TCP) application: rtsp, ge-2/0/1.0:1.1.1.2:35595 -> 2.2.2.2:554, Match SFW accept rule-set: , rule: allow_rtsp, term: 0
Pour obtenir la liste complète des messages du journal système, consultez l’Explorateur de journaux système.