IPCOM-FWのセッションログの見方

ネットワーク

IPCOMのログを見て通信が成功しているのか失敗しているのか、それともログからは成功しているが実はデータが少ししか送れていないなど確認する為にセッションログの見方をざっとまとめる。

FWで拒否されていないパターン

セッションログ

ICMP行き

行きはicmp-typeが8になる

Apr 13 15:37:35 IPCOM IPCOMEX2-3200_IN: firewall: INFO[00300005]: IP packet passed.  src=192.168.10.1 dst=192.168.20.1 proto=icmp icmp-type=8 icmp-code=0 icmp-id=23071 icmp-sequence-no=1 interface=channel0 dir=inbound action=accept rule=1000

 

ICMP戻り

ICMPはセッションもコネクションも張らないので戻り通信も個別にログに残る。

戻りはicmp-typeが0になる。

Apr 13 15:37:35 IPCOM IPCOMEX2-3200_IN: firewall: INFO[00300005]: IP packet passed.  src=192.168.20.1 dst=192.168.10.1 proto=icmp icmp-type=0 icmp-code=0 icmp-id=23071 icmp-sequence-no=1 interface=channel0 dir=inbound action=accept rule=1000

戻りが出てこない場合は戻りルーティングが誤っている事が考えられる。

UDP開始

UDP session initiatedがUDP開始を表す。

Apr 13 15:37:35 IPCOM IPCOMEX2-3200_IN: firewall: INFO[00300003]: UDP session initiated.  src=192.168.10.1 dst=192.168.20.1 proto=udp srcport=60000 dstport=161 interface=channel0 dir=inbound action=accept rule=2000

 

UDP終了

UDP session terminatedがUDP終了を表す。

Apr 13 15:37:35 IPCOM IPCOMEX2-3200_IN: firewall: INFO[00300009]: UDP session terminated.  src=192.168.10.1 dst=192.168.20.1 proto=udp srcport=60000 dstport=161 interface=channel0 dir=inbound duration=90 sent=1000 rcvd=2000 reason=idle-timeout rule=2000

 

TCP開始

TCP connection initiatedがTCP開始を表す。

Apr 13 15:37:35 IPCOM IPCOMEX2-3200_IN: firewall: INFO[00300001]: TCP connection initiated.  src=192.168.10.1 dst=192.168.20.1 proto=tcp srcport=50000 dstport=22 interface=channel0 dir=inbound action=accept rule=3000

TCP終了

TCP connection terminatedがTCP終了を表す。

Apr 13 15:37:35 IPCOM IPCOMEX2-3200_IN: firewall: INFO[00300007]: TCP connection terminated.  src=192.168.10.1 dst=192.168.20.1 proto=tcp srcport=50000 dstport=22 interface=channel0 dir=inbound duration=90 sent=5000 rcvd=9000 reason=reset-by-peer rule=3000

 

UDPのセッションやTCPのコネクションがはれてもアプリレベルで失敗する場合はログの中を見ていく。

終了の理由reasonを見る

reset-by-peerはsrcとdst間で同期された終了ではなく片方が一方的にresetを出して終了させている。
アプリとしてresetを前提としている場合は問題ない。

finとなっていた場合はsrcとdst間で同期した上で終了したことになるのでアプリ上も成功した可能性が高い。

cut-offの場合はFWが終了させたことになるのでFWで何かしら異常が発生した可能性がある。

idle-timeoutの場合は一定時間どちらからも通信が行われなかなったのでFWのタイマーで終了させた事がわかる。

この場合FWは通過したがその先のルーティングでdstへ到達できなかったり別のFWで拒否されていたり、dst自体のiptable/aclやそもそもサービスが起動していないなど様々が原因が考えられる。

 

送受信のデータ量から想定する

データ量はsentとrcvdを見ると分かる。

  • sentはsrcがdstに送信したデータのbyte量
  • rcvdはdstがsrcに送信したデータのbyte量

ここのデータ量が想定より少ない場合は問題が起きて終了した可能性がある。

 

通信時間から想定する

durationは開始から終了までの時間を秒で表している。

なのでキリのいい10秒、90秒、60分などの数字が続いていると通信がなくタイマーで機械的に切断されたと推測できるし、短すぎると途中で問題があって終了している可能性が考えられる。

無通信の監視タイマー変更コマンドは3つある。

  • monitor tcp-disconnecting-timer
  • monitor tcp-idle-timer
  • monitor ump-idle-timer

これらで設定していない場合はデフォルトタイマーになる。

デフォルトタイマー

  • UDPは無通信が90秒でセッション終了
  • TCPはコネクション確立後に無通信が1時間でコネクション終了
  • TCPのFINやRSTが送信されてから10秒後

FWで拒否されている失敗パターン

ICMP

Apr 13 15:37:35 IPCOM IPCOMEX2-3200_IN: firewall: WARNING[40300015]: IP packet denied.  src=192.168.10.1 dst=192.168.20.1 proto=icmp icmp-type=8 icmp-code=0 icmp-id=23071 icmp-sequence-no=1 interface=channel0 dir=inbound action=drop reason=filter rule=9999

 

UDP

Apr 13 15:37:35 IPCOM IPCOMEX2-3200_IN: firewall: WARNING[40300013]: UDP session denied.  src=192.168.10.1 dst=192.168.20.1 proto=udp srcport=60000 dstport=161 interface=channel0 dir=inbound action=drop reason=filter rule=9999

 

TCP

Apr 13 15:37:35 IPCOM IPCOMEX2-3200_IN: firewall: ARNING[40300011]: TCP connection denied.  src=192.168.10.1 dst=192.168.20.1 proto=tcp srcport=50000 dstport=22 interface=channel0 dir=inbound action=drop reason=filter rule=9999

 

deniedとなっていたら失敗してる。

理由が書いてあるreasonがfilterとなっていたらルールが原因なので最後のrule=を確認する。

rule=9999数字はrunning-configのrule access 9999の数字を示しているので該当の条件によりドロップされている。

ログを見てもわからない場合

FWのログはセッションしか見れないので実際のパケットのやり取りは分からない。

セッションログ以上の事はパケットをキャプチャしてシーケンスを見るしかない。

コメント

タイトルとURLをコピーしました