Диагностика

Страница диагностики интерфейса содержит различные инструменты для отладки сетевых проблем.

ARP-таблица

Модуль таблицы ARP показывает все MAC-адреса, известные данному брандмауэру.

IP-адрес

IPv4-адрес.

MAC-адрес

MAC-адрес .

Производитель

Производитель устройства по MAC-адресу.

Интерфейс

Ассоциированный интерфейс.

Имя интерфейса

Имя интерфейса, если найдено.

Имя хоста

В случае DHCPv4-клиента, имя хоста, найденное в файле аренд.

Просмотр DNS-записей

На этой странице можно выполнить поиск DNS-записей о домене, с указанием адрес DNS-сервера (опционально).

NDP-таблица

Показывает адреса, полученные по протоколу NDP для IPv6.

IP-адрес

IPv4-адрес.

MAC-адрес

MAC-адрес .

Производитель

Производитель устройства по MAC-адресу.

Интерфейс

Ассоциированный интерфейс.

Имя интерфейса

Имя интерфейса, если найдено.

Netstat

Модуль netstat содержит набор полезных показателей состояния сети и статистических показателей, разделённые на несколько тем.

Совет

Используйте значок обновления на вкладке, чтобы обновить данные на ней (выбор не изменится).

В порядке значимости, здесь можно найти следующую информацию:

Интерфейсы

В этом разделе содержатся все, подключенные к системе интерфейсы (физические и виртуальные), а также такие показатели, как количество отправленных и полученных пакетов и байтов на каждый (аппаратный) адрес.

Протокол

Содержит общесистемную статистику для каждого сетевого протокола. Примерами статистики, которую можно найти в этой области, являются количество прослушиваемых соединений TCP, отправленных пакетов, дублированных пакетов и т.д. и т.п.

Сокеты

Отображает сетевые сокеты и сокеты домена unix. Это, в основном, объединение netstat с sockstat в FreeBSD, чтобы получить информацию о том, какой процесс слушает, в сочетании с показателями, известными системе.

Netisr

Показывает статистику службы диспетчеризации сети ядра, известную как netisr(9).

Память

Показывает статистику, записываемую утилитой управления памятью (mbuf(9)). Сеть управляет частным пулом буферов памяти.

Bpf

Показывает статистику о пирах bpf(4). Сюда входит информация о том, сколько пакетов было согласовано, сброшено и получено устройством bpf, а также информация о текущих размерах буферов и состояниях устройства.

Захват пакетов

Захват пакетов

Модуль захвата пакетов можно использовать для глубокого изучения трафика, проходящего через один (или несколько) сетевых интерфейсов. Опции, которые можно выбрать, подробно описаны ниже:

Интерфейс

Список интерфейсов для запуска захвата. На каждом выбранном интерфейсе запускается процесс tcpdump.

Прослушивание

Если параметр установлен, система будет перехватывать весь трафик, присутствующий на интерфейсе, а не только тот, который направляется к брандмауэру.

Семейство адресов

Захватывать IPv4, IPv6 или оба.

Инвертировать протокол

Выбрать все протоколы, кроме указанного ниже.

Протокол

Протокол для фильтрации

IP-адрес хоста

IP/MAC-адрес источника или назначения, или подсеть в нотации CIDR.

При захвате пакета, этот адрес будет искаться в любом из полей. Совпадение можно отменить, поставив перед значением not. Несколько IP-адресов или подсетей CIDR могуть быть представлены как булево выражение. Если оставить поле пустым, будут перехвачены все пакеты на указанном интерфейсе.

Пример: not 10.0.0.0/24 not and 11.0.0.1 or 00:0a:01:02:03:04.

Инвертировать порт

Выбрать все порты, кроме указанного ниже.

Порт

Номер порта для фильтрации (например, 443 - для HTTPS, 22 - для SSH).

Длина пакета

Количество байт в каждом пакете, который будет захвачен.

Значение по умолчанию - 0: захватывается весь кадр, независимо от его размера.

Количество

Количество пакетов, которые будут захватываться (для каждого выбранного интерфейса). Значение по умолчанию - 100. Для снятия ограничений на количество, надо ввести 0.

Описание

Описание, которое будет отображаться во вкладке Задачи.

Для захвата пакетов используется tcpdump , работающий в фоновом режиме. После выполнения захвата, его можно просмотреть с помощью кнопки Просмотр захвата на вкладке Задачи или скачать pcap-файл(ы), чтобы изучить с помощью внешнего инструмента, например Wireshark .

Задачи

На этой вкладке отображаются все запущенные или выполненные захваты. Для каждого задания доступны следующие параметры:

  • Показывает, что захват в данный момент активен.
  • Удалить захват (останавливает захват, елси он активен).
  • Остановить текущий захват.
  • Запустить (перезапустить) текущий захват, удаляет результаты предыдущего захвата.
  • Скачать zip-файл, содержащий все захваченные pcap-файлы, а также json-файл с выбранными параметрами.
  • Просмотр захвата в высокой детализации.
  • Просмотр захвата в средней детализации.
  • Просмотр захвата в стандартной детализации.

Совет

Все кнопки просмотра можно использовать, когда захват всё ещё активен: они покажут сведения, собранные на текущий момент.

Ping

Опции Ping

Используйте ping для того, чтобы определить, можно ли связаться с удалённым узлом с помощью эхо-запросов ICMP. Это один из наиболее часто используемых инструментов для проверки базовых возможностей соединения.

Доступные опции для запуска задачи:

Имя хоста или IP-адрес

Имя хоста или IP-адрес для отправки ICMP-пакета.

Семейство адресов

Отправка с использованием IPv4 или IPv6.

IP-адрес источника

Адрес источника для использования (опционально). Может быть любым адресом, настроенном на этом брандмауэре.

Размер пакета

Количество байтов данных для отправки. Это размер полезного блока данных одного пакета (надо учитывать, что к нему будут добавлены IP- и ICMP-заголовки).

Не фрагментировать

Установка бита DF для отключения фрагментации. Может быть полезным для определения максимального размера пакета, который возможно отправить.

Описание

Описание, которое будет отображаться во вкладке Задачи.

Совет

Чтобы обнаружить проблемы с MTU, используйте опцию Не фрагментировать - чтобы заставить пакет определённого размера перемещаться по сети.

Если обычный ping не может достичь цели, но может это сделать с заданным адресом источника, то, как правило, нужно добавить статический маршрут - чтобы заставить трафик использовать правильный адрес источника. Это, например, характерно для туннелей на основе политики IPsec, которые устанавливают ловушку ядра в указанной исходной сети.

Задачи

Вкладка Задачи содержит все запущенные или выполненные команды ping. Для каждой задачи доступны следующие параметры и свойства:

Описание

Описание задачи.

Имя хоста

Целевой хост или IP-адрес.

Отправитель

Адрес источника (по умолчанию пустой).

Отправить

Количество отправленных пакетов.

Принято

Количество полученных пакетов.

Мин

Минимальное время жизни пакетов TTL в мс.

Макс.

Максимальное время жизни пакетов TTL в мс.

Средний

Среднее время жизни пакетов TTL в мс.

Потери

Процент потерь пакетов.

Ошибка

Ошибка последнего найденного ping.

Проверка порта

Здесь можно проверить, открыт ли на указонном хосте определённый TCP-порт и принимает ли он соединения.

Примечание

Эта веб-страница позволяет выполнить простой тест соединения TCP, чтобы определить, работает хост и принимает ли соединения на данном порте. Этот тест не работает для UDP, потому что нет никакого способа надежно определить, принимает ли порт UDP-соединение этим способом. Цель этого теста - открыть соединение и отобразить возврат данных сервером (опционально), никакие данные удаленному хосту отправлены не будут.

Доступные параметры для настройки:

Имя хоста или IP-адрес

Имя хоста или IP-адрес для проверки.

Порт назначения

Номер порта источника для проверки.

Семейство адресов

IPv4 или IPv6.

IP-адрес источника

Адрес источника для использования (опционально). Может быть любым адресом, настроенном на этом брандмауэре.

Порт источника

Номер порта источника.

Показать текст с удалённого сервера

Показывает текст полученный от сервера при попытке подключиться к порту. Может потребоваться более 10 с для отображения, если установлен флажок.

Результат отобразится в форме Ответ, внизу.

  • nc: connect to 172.16.5.5 port 443 (tcp) failed: Connection refused - недоступно

  • Connection to 172.16.5.5 80 port [tcp/http] succeeded! - доступно

Маршрут трассировки

Используется traceroute (параметры см. IPv4 / IPv6 ) чтобы определить путь (трассировка), по которому будет двигаться трафик, при попытке достичь определённого узла.

Доступные параметры настройки:

Имя хоста или IP-адрес

Имя хоста или IP-адрес для трассировки.

Семейство адресов

IPv4 или IPv6.

Протокол

Протокол, используемый для трассировки (по умолчанию UDP).

Если UDP не работает, в качестве альтернативы можно использовать ICMP.

IP-адрес источника

Адрес источника (по умолчанию пустой).

Совет

Таблица результатов также содержит номер автономной системы (AS), что может быть полезно, если вы хотите фильтровать трафик к или от определённой стороны. Используйте Межсетевой экран ‣ Псевдонимы, чтобы собрать ассоциированные сети и добавить их в правила.