Comunidad FORTIGATE.es

Hola Buenas Tardes, Saludos a todos. Mi pregunta es la siguiente:

Quisiera poder Realizar Sniffer a una politica de firewall en parrticular el os del forti es 4.0 v 3. Por ejemplo a la politica id1487, ya que la misma es muy generalizada y tengo demasiado tráfico por la misma y quisiera disgregarlo. Hay forma de poder realizar sniffer de una politica especifica, para no realizar filtrado de puertos y hosts????

Desde Ya agradezco mucho su lectura, y por supuesto bien ponderada respuesta.

Hola,

Podrías utilizar el syslog o lo que utilices para recopilar los logs del firewall para filtrar y recopilar los registros que de verdad te interesen. Por ejemplo este es un log generado por mi firewall

Jun 4 09:52:19 10.128.254.254 date=2013-06-04,time=09:52:04,devname=pepito,devid=esemismo,logid=0000000013,type=traffic,subtype=forward,level=notice,vd=root,srcip=X.X.X.X,srcport=32655,srcintf="amc-dw1/2",dstip=X.X.X:X,dstport=3389,dstintf="port4",sessionid=97567117,status=deny,policyid=57,dstcountry="Spain",srccountry="Sweden",trandisp=dnat,tranip=10.128.3.4,tranport=3389,service=RDP,proto=6,duration=0,sentbyte=0,rcvdbyte=0

Si te das cuenta hay un campo que es el identificador de política. Puedes usar como he comentado syslog para filtrar los logs de muchas maneras.

Saludos.

Vos sabes que no la habia pensado a esa Felipe..! un groso voy a probar esa opcion!! Muchisimas gracias!!!!!

hola, forma es separar esa politica en rangos de ip o grupos, o subredes, dependiendo del origen de la politica.

saludos.