Comunidad FORTIGATE.es

Estuve el comando del sniffer del FortiGate

Estuve tratando de usar el wireshark (un sniffer en mi pc) pero no pude lograr ver mas trafico que el mio.

¿Puede usarse el sniffer? ¿soporta el FG el port mirroring ?

Pues no se puede; confirmado.

la solucion sería (ya que le wireshark hace una mejor tabulacion para leer y no he encontrado la forma de lograr compatibilidad entre el formato de sniffer del FGT y los que maneja el wireshark) es conseguirse un común y silvestr HUB conectar a el pc y lo demas que quiera sniffar

Saludos

Hola rreyes

Lo que suelo hacer para "snifar" con el fortigate es conectarme a través de SSH al fortigate (utilizo el cliente putty, que va muy bien) y redirecciono la salida del putty a un archivo de texto para luego poder analizarlo más detenidamente.

Lo que si que hago es aplicar filtros y modificar la forma en la que me muestra los datos.
DIAGNOSE SNIFFER PACKET WAN1 'TCP AND HOST 1.2.3.4 AND PORT 80' 6

Este comando me muestra todos los paquetes en los que aparece el equipo con IP 1.2.3.4 de tipo TCP y en el que puerto origen o destino es 80. Además, con el modificador "6" al final, me muestra mas datos sobre los paquetes.

No es lo mismo que el Ethereal o el CommView, pero hasta el momento me ha servido para lo que he querido.

Saludos.

rreyes escribió:Pues no se puede; confirmado.

la solucion sería (ya que le wireshark hace una mejor tabulacion para leer y no he encontrado la forma de lograr compatibilidad entre el formato de sniffer del FGT y los que maneja el wireshark) es conseguirse un común y silvestr HUB conectar a el pc y lo demas que quiera sniffar

Saludos

Rescato el tema, ya que he publicado un post y luego he encontrado este.

Esto esta confirmado?

El Fortigate no soportaría el PortMirroring?

Podríais pasarme la información oficial?

A mi desde luego no me funciona.

Tengo un portmirroring apuntando a la boca WAN1 y por la internal1 el acceso por la vlan de gestion.

Y en el momento que pongo la vlan de gestión se forma un pifostio y pierdo el acceso web o ssh del forti.

Todo era para sniffar con el diagnose sniffer

Un saludo

Hola, vos estas en una etapa previa ya que no te esta funcionando el modo transparente.

[Debes identificarte para poder ver enlaces.]

saludos

Ojo:
Yo no quiero espejar un puerto de forti sobre otro.

Ya tengo un switch que hace eso, pero lo que si quiero es conectar el Forti al puerto mirror para que sea capaz de sniffar todo ese trafico.

Eso es distinto a lo que dice el Knowledge Base o eso entiendo yo.

De hecho he logrado hacerlo.

Una boca conectada a la WAN1 al puerto que esta en mirror en mi Switch
Otra boca conectada entre la INT1 del forti y un puerto normal en una Vlan de gestion en otro Switch.

Pues nose porque pero no puedo conectar por ssh ni https al forti.

En cambio me dio por probar a conectarme desde un servidor en la misma vlan de gestión que el forti y sorpresa!!

Puedo hacerlo.


Esto mismo ya lo habia probado con un Palo Alto y un Forti 310 ( 1 puerto para mirror y otro para gestion) y NUNCA me habia dado problemas de conexion a la ip de gestion.

Asi que queda dicho aqui por si alguien se encuentra alguna vez con el mismo problema.

Ahora al menos tengo lo que queria: un forti pequeñito haciendo de sniffer

Gracias por la ayuda no obstante!

hola, ok, barbaro,

saludos