Bu yazımızda FortiWeb 7.0 cihazınızda yaşadığınız sorun türüne göre uygulayabileceğiniz çözüm önerilerini paylaşacağız. FortiWeb yöneticilerinin daha önce benzer bir sorun yaşayıp yaşamadığını kontrol ederek benzer sorunların çözümlerinde zaman kaybından ve boşa uğraşmaktan kaçınmış olacaksınız. Bu yazımızın ilk bölümünde aşağıda listelenen FortiWeb 7.0 sorun tiplerini ve çözümlerini açıklayacağız.
- Bağlantı Sorunları
- Donanım bağlantılarını kontrol etme
- ARP tablosunun incelenmesi
- Routing Kontrolü
- Port Görevlerini Kontrol Etme
1.Fortiweb 7.0 sorun ve çözümü: Bağlantı Sorunları
Yeni bir policy konfigürasyonu yaparken, yapmanız gereken ilk testlerden biri, izin verilen trafiğin web sunucularınıza akıp akmadığını belirleyeceğiniz bir test yapmalısınız. Bunun dışında sormanız gereken diğer sorular;
- Web sunucusuna veya FortiWeb’in korumak için kurulduğu sunuculara uygulanan bir sunucu policy var mı? Reverse Proxy modunda çalışırken, FortiWeb buna izin veren eşleşen bir sunucu policy’si olmadıkça hiçbir trafiğin korumalı bir web sunucusuna ulaşmasına izin vermez.
- Ağınız güvenli bağlantılar (HTTPS) kullanıyorsa ama trafik akışı yoksa sorun sertifikanızdan mı kaynaklı?
- Web sitenize yönelik bir tarayıcıdan test saldırısı yaparsanız, saldırı logunda görünür mü?
- Doğrulamak için FortiWeb’i saldırıyı algılayacak şekilde konfigüre etmelisiniz.
- Ardından saldırı sensörünü tetikleyecek bir kavram kanıtı oluşturun.
- Örneğin, dizin geçiş saldırılarının loglarının kaydedilip kaydedilmediğini veya blocklanıp blocklanmadığını görmek için web tarayıcınızı şuraya gitmek için kullanabilirsiniz:
http://www.example.com/login?user=../../../../
- Örneğin, dizin geçiş saldırılarının loglarının kaydedilip kaydedilmediğini veya blocklanıp blocklanmadığını görmek için web tarayıcınızı şuraya gitmek için kullanabilirsiniz:
- Normal şartlarda sistem panosunun saldırı log konsolu widget’ında yeni bir saldırı log girişi yapıldığını görmelisiniz.
2. Donanım bağlantılarını kontrol etme
FortiWeb cihazından trafik akışı algılanmıyor veya yoksa, bu sorun hardware kaynaklı olabilir.
Hardware bağlantılarını kontrol etmek için
- Ağ kablolarının FortiWeb aygıtındaki arabirimlere düzgün şekilde takılı olduğunu kontrol edin.
- Cihaz üzerinde ağ kabloları için bağlantı ışıklarının olduğundan emin olun.
- Kablo veya konektörü arızalıysa ya da kablonun türü veya kalitesinden emin değilseniz kabloyu değiştirin.
- Kablo değiştirmenin işe yarayıp yaramadığını kontrol etmek için bir FortiWeb cihazını farklı hardware’e bağlayın.
- Web kullanıcı arayüzünde, Status > Network > Interface’e gidin ve arayüz için bağlantı durumunun hazır olduğundan emin olun. Eğer down durumundaysa (kırmızı daire üzerinde aşağı ok), Durum sütununda yanında Bring Up’a tıklayın. Ayrıca CLI’de bir arabirimi de etkinleştirebilirsiniz, örneğin:
config system interface
edit port2
set status up
end
Bu kontrollerden herhangi biri problemi çözerse, sorunun hardware kaynaklı olduğunu gösterir. Tam bağlantı sağlamak için yine de bazı temel yazılım testleri gerçekleştirmelisiniz.
Hardware bağlantıları doğruysa ve cihaz açıksa ancak CLI veya web kullanıcı arabirimini kullanarak bağlanamıyorsanız, boot probleminden kaynaklı olabilir.
3. ARP tablosunun incelenmesi
Bağlantınız zayıfsa, sorunun çözümünü adres çözümleme protokolü (ARP) tablosunda arayabilirsiniz. Fonksiyonel bir ARP, özellikle yüksek kullanılabilirlikli konfigürasyonlarda önemlidir.
CLI’deki ARP tablosunu kontrol etmek için şunu yazın: diagnose network arp list
4. Roting (Yönlendirme) kontrolü
ping
ve traceroute
, ağ bağlantısı ve rota problemi çözmek için işe yarayan araçlardır.
Bu araçları genellikle sorun gidermek için kullandığınız için, firewall policylerde ve arabirimlerde bu araçlar tarafından kullanılan protokol olan ICMP’ye yalnızca ihtiyacınız olduğunda izin verebilirsiniz. Aksi takdirde, geliştirilmiş güvenlik ve performans için ICMP’yi devre dışı bırakın.
FortiWeb cihazı varsayılan olarak yalnızca HTTP/HTTPS trafiğini korumalı web sunucularınıza iletir. Yani, router/IP tabanlı router devre dışı bırakılır.
FortiWeb cihazları varsayılan olarak ping ve traceroute’a yanıt verir. Ancak, cihaz yanıt vermezse ve onu engelleyen firewall policyleri bulunmuyorsa, ICMP tip 0 (ECHO_REPSPONSE
) etkin bir şekilde devre dışı bırakılabilir.
FortiWeb’den ping ve traceroute yanıtlarını etkinleştirmek için
- System > Network > Interface’e gidin .
- Web kullanıcı arayüzünün bu bölümüne erişmek için, yöneticinizin hesap erişim profilinde Router Configuration kategorisindeki öğelere Read ve Write izniniz bulunmalıdır.
Ping
için ICMP type 8 (ECHO_REQUEST) vetraceroute
için UDP’ye yanıt vermek istediğiniz ağ arayüzü satırında Edit’e tıklayın. Bir iletişim kutusu belirecektir.- Enable
PING.
- EğerGüvenilir Host Bilgisayar ve Yöneticiler kısıtlanmışsa, bilgisayarınızın veya cihazınızın IP adresini içerdiğini doğrulayın. Aksi takdirde doğrulamazsanız FortiWeb yanıt vermez
- OK’e tıklayın.
- Yönetim bilgisayarınız gibi başka bir cihaz, bu ağ arabirimine bir ping veya traceroute gönderdiğinde, cihaz artık yanıt vermelidir.
İstemciler ve web sunucularınız arasındaki yolları doğrulamak için
- FortiWeb cihazı aracılığıyla, bir istemciden korumalı bir web sunucusuna HTTP ve/veya HTTPS üzerinden bağlanmaya çalışın. Bağlantı testi başarısız olursa bir sonraki adıma geçin.
- Hem istemcide hem de sunucuda ping komutunu ikisi arasında bir yol olduğunu doğrulamak için kullanın. Trafik hareketini her iki yönde de test etmelisiniz. İstemciden sunucuya ve sunucudan istemciye akan trafik. Web sunucularının bir bağlantı başlatmasına gerek yoktur ama dönüş yolu boyunca yanıt trafiği gönderebilmelidir.
- Yönlendirme testi başarısız olursa bir sonraki adıma geçin.
- Yol boyunca arıza noktasını bulmak için hem istemcide hem de sunucuda (işletim sistemlerine bağlı olarak)
tracert
veyatraceroute
komutunu kullanın. - FortiWeb cihazına ulaştığında rota bozulursa, önce ağ arayüzlerini ve rotalarını inceleyin. Ağ arabirim adreslerini ve subnetleri görüntülemek için CLI komutunu girin:
show system interface
- En son kullanılan rotaların hepsini öncelikleriyle birlikte görüntülemek için CLI komutunu girin:
diagnose network route list
- Fiziksel kablolamanın güvenilir olduğunu ve gevşek veya bozuk olmadığını, IP adresi veya MAC adresi çakışması veya block listesi olmadığını, yanlış konfigüre edilmiş DNS kayıtları olmadığını doğrulamanız ardından fiziksel, ağ ve taşıma katmanındaki sorunları ortadan kaldırmanız gerekebilir.
- Bu testler başarılı olursa çözüm yolu vardır, ancak HTTP veya HTTPS kullanarak bağlanamazsınız, uygulama katmanı sorunu, bağlantıyı engelliyor demektir.
- Uygulama katmanı sorunları için FortiWeb’de şunları inceleyin:
- eşleşen sunucu policysi ve başvurduğu tüm bileşenler
- sertifikalar (HTTPS üzerinden bağlanılıyorsa)
- web sunucusu hizmeti/arka plan programı (HTTP ve/veya HTTPS için sunucu policysinde belirtilen portları dinlemek üzere çalışıyor ve konfigüre edilmiş olmalıdır, sanal ana bilgisayarlar için doğru bir
Host:
name ile konfigüre edilmelidir.)
Ana bilgisayar ve FortiWeb cihazı arasındaki routerlar ve firewall aralarında HTTP veya HTTPS bağlantısına izin verdiklerini doğrulayın.
Ping ile bağlantı testi
Ping
komutu, hedefe küçük bir veri paketi gönderir ve bir yanıt bekler. Yanıtın süresi için zaman aşımına uğrayan ve hedefe ICMP aracılığıyla ulaşılamadığını gösteren bir zamanlayıcısı vardır.
NOT: ICMP aracılığıyla bağlantı kurulması yalnızca bir rotanın olduğunu kanıtlar ancak bu bağlantının HTTP gibi diğer katmanlardaki diğer protokoller aracılığıyla olduğunu da kanıtlamaz.
- ICMP, OSI Ağ Modeli üzerindeki layer3’ün bir parçasıdır.
ping
, hedefe İnternet Kontrol Mesajı Protokolü (ICMP) ECHO_REQUEST (“ping”) paketleri gönderir. Ardından yanıt olarak ECHO_RESPONSE (“pong”) paketlerini dinler. - Bazı ağlar, ağda anti-DoS yetenekleri yoksa bir ping floodunda veya hizmet reddi (DoS) saldırılarında kullanılabilirler veya bir saldırgan tarafından ağdaki olası hedefleri bulmak için ping kullanılabilir. Bu yüzden bazı ağlar ICMP paketlerini engeller.
- Kaynak ve hedef arasındaki olası bir yolun temel varlığının ötesinde,
ping
size varsa paket kaybının miktarını, paketin gidiş dönüşünü, ne kadar sürdüğünü ve bu süredeki paketten pakete olan değişim süresini söyler.
Eğer Ping
paket kaybı olduğunu gösteriyorsa aşağıda listelenen maddeleri inceleyin:
- Gevşek bağlantıları ortadan kaldırmak için kablolamayı araştırın,
- ECMP, split horizonu veya ağ döngülerini (network loop) araştırın,
- Son olarak atlamaları en aza indirmek için ICMP kaynağı ile hedef arasındaki tüm ekipmanı araştırın
Ping toplam paket kaybını gösteriyorsa aşağıda listelenen maddeleri inceleyin:
- Yanlış bağlantıları ortadan kaldırmak için kablolamayı araştırın,
- Doğru IP adreslerini, rotaları, MAC listelerini, güvenilir ana bilgisayarları ve policy konfigürasyonlarını doğrulamak için iki konum arasındaki tüm firewall, router ve diğer aygıtları araştırın
Ping, iki nokta arasında bir kesinti tespit ederse, sorunun tam olarak nerede olduğunu bulmak için traceroute’u kullanın.
FortiWeb CLI ile bir cihaza ping atmak:
- SSH, Telnet aracılığıyla CLI’de oturum açın ya da web kullanıcı ara yüzünden CLI Konsoluna erişerek FortiWeb cihazından ping işlemi yapabilirsiniz.
- Ping yürütme işini (execute ping) ayarlamak istiyorsanız, önce ping seçeneklerini yürütme yani execute ping komutunu kullanın.
- Komutu girin:
execute ping <destination_ipv4>
<destination_ipv4>
, cihazın bağlanabildiğini doğrulamak istediğiniz cihazın IP adresidir.
Cihaz ICMP aracılığıyla ana bilgisayara ulaşabiliyorsa, şuna benzer bir output görüntülenir:
PING 192.0.2.96 (192.0.2.96): 56 data bytes
64 bytes from 192.0.2.96: icmp_seq=0 ttl=253 time=6.5 ms
64 bytes from 192.0.2.96: icmp_seq=1 ttl=253 time=7.4 ms
64 bytes from 192.0.2.96: icmp_seq=2 ttl=253 time=6.0 ms
64 bytes from 192.0.2.96: icmp_seq=3 ttl=253 time=5.5 ms
64 bytes from 192.0.2.96: icmp_seq=4 ttl=253 time=7.3 ms
--- 192.0.2.96 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 5.5/6.5/7.4 ms
Cihaz ICMP aracılığıyla ana bilgisayara ulaşamazsa, şuna benzer bir output görüntülenir:
PING 192.0.2.108 (192.0.2.108): 56 data bytes
Timeout …
Timeout …
Timeout …
Timeout …
Timeout …
--- 192.0.2.108 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss
%100 packet loss ve Timeout çıktısı hosta erişim sağlanamadığını gösterir.
Microsoft Windows bilgisayarından bir aygıta ping atmak:
- Açmak için Başlat (Windows logosu) menüsünü tıklayın.
Ana bilgisayar Windows XP çalıştırıyorsa, bunun yerine Başlat > Çalıştır… seçeneğine gidin. cmd
yazıp Enter’a basın.
Windows komut satırı görünecektir.- Komutu girin:
ping <options_str> <destination_ipv4>
<destination_ipv4>
bilgisayarın bağlanabildiğini doğrulamak istediğiniz aygıtın IP adresidir.- <options_str>, sıfır veya daha fazla seçenek bulunur, bunlar:
-t
—Kontrol-C’ye basana kadar paketleri gönderin.-a
—IP adreslerini domain çözümleyin.-n
x — Burada x , gönderilecek paket sayısıdır. Örneğin: ping -n 5 192.0.2.1
- Bilgisayar hedefe ulaşabilirse, şu tarz bir output görüntülenir:
Pinging 192.0.2.1 with 32 bytes of data:
Reply from 192.0.2.1: bytes=32 time=7ms TTL=253
Reply from 192.0.2.1: bytes=32 time=6ms TTL=253
Reply from 192.0.2.1: bytes=32 time=11ms TTL=253
Reply from 192.0.2.1: bytes=32 time=5ms TTL=253
Ping statistics for 192.0.2.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 5ms, Maximum = 11ms, Average = 7ms
- Hedefe ulaşamazsa, şu tarz bir output görüntülenir:
Pinging 192.0.2.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.0.2.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
- 100% loss ve Request timed out erişim sağlanamadığını gösterir.
Linux veya Mac OS X bilgisayardan bir aygıta ping atmak:
- Bir komut istemi açın.
- Aşağıdaki komutu girin:
ping <options_str> <destination_ipv4>
<destination_ipv4>
bilgisayarın bağlanabildiğini doğrulamak istediğiniz aygıtın IP adresidir- <options_str> , sıfır veya daha fazla seçenek bulunur, bunlar:
-W
y —ECHO_RESPONSE
için y saniye bekleyin .-c
x — x , gönderilecek paketin sayısıdır.
- Komut bulunamazsa, yürütülebilir dosyanın tam yolunu girebilir veya yolunu shell ortam değişkenlerinize ekleyebilirsiniz. Yürütülebilir ping dosyasının yolu dağıtıma göre değişir ama
/bin/ping
olabilir. - Paket sayımı yapamazsanız, Control-C ile komutu sonlandırana kadar output devam eder. Seçenekler hakkında daha fazla bilgi için man ping girin.
- Bir paket sayımı sağlamazsanız , Control-C ile komutu sonlandırana kadar çıkış devam eder. Seçeneklerin hakkında daha fazla bilgi almak için
man ping
komutunu girin. Örneğin:ping -c 5 -W 2 192.0.2.1
- Bilgisayar hedefe ICMP aracılığıyla ulaştığında aşağıdakine benzer output görüntülenir:
PING 192.0.2.1 (192.0.2.1) 56(84) bytes of data.
64 bytes from 192.0.2.1: icmp_seq=1 ttl=253 time=6.85 ms
64 bytes from 192.0.2.1: icmp_seq=2 ttl=253 time=7.64 ms
64 bytes from 192.0.2.1: icmp_seq=3 ttl=253 time=8.73 ms
64 bytes from 192.0.2.1: icmp_seq=4 ttl=253 time=11.0 ms
64 bytes from 192.0.2.1: icmp_seq=5 ttl=253 time=9.72 ms
--- 192.0.2.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4016ms
rtt min/avg/max/mdev = 6.854/8.804/11.072/1.495 ms
- ICMP aracılığıyla bilgisayar hedefe ulaşamazsa, Control-C’nizi bekleme komutu yazmak yerine bir bekleme ve paket sayısı belirttiyseniz, aşağıdaki output görüntülenir:
PING 192.0.2.15 (192.0.2.15) 56(84) bytes of data.
--- 192.0.2.15 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 5999ms
“100% packet loss” indicates that the host is not reachable.
- Eğer Control-C (
^C
) tuşlarına basarak sonlandırırsanız, aşağıdaki output görüntülenir:PING 192.0.2.15 (192.0.2.15) 56(84) bytes of data.
From 192.0.2.2 icmp_seq=31 Destination Host Unreachable
From 192.0.2.2 icmp_seq=30 Destination Host Unreachable
From 192.0.2.2 icmp_seq=29 Destination Host Unreachable
^C
--- 192.0.2.15 ping statistics ---
41 packets transmitted, 0 received, +9 errors, 100% packet loss, time 40108ms
pipe 3
“100% packet loss” and “Destination Host Unreachable” indicates that the host is not reachable
.
traceroute
ile routes ve latency testi
traceroute,
route boyunca bütün sekmelerin test edilmesi için ICMP paketleri gönderir. Hedefe üç paket gönderir ve sonrasında yaşama süresi (TTL) ayarını birer birer artırır. Ardından hedefe üç paket daha gönderir. TTL arttıkça, paketler hedefe ulaşana kadar route boyunca bir atlama daha ileri gider.
traceroute
komutlarının çoğu, route izlemeye başlamadan önce maksimum atlama sayısını görüntüler. TTL ayarı, yüksek gecikme nedeniyle muhtemelen route boyunca zaman aşımına uğrayan router ve firewallar ile sonuçlanabilir.
Ping size yalnızca sinyalin hedefine ulaşıp ulaşmadığını ve başarılı bir şekilde geri döndüğünü söylerken, traceroute hedefine yolculuğunun her adımını ve bu adımların ne kadar sürdüğünü gösterir. Hedefi bir domain adı kullanarak gösterirseniz traceroute outputu, ayrıca bir DNS sunucusuna bağlanamama gibi DNS sorunlarını gösterebilir.
Varsayılan olarak traceroute, 33434 ile 33534 arasında numaralandırılmış hedef portları olan UDP kullanır. Traceroute yardımcı programında, Windows tracert yardımcı programı tarafından kullanıldığı gibi, genellikle ICMP ECHO_REQUEST (type8) kullanımını belirtme seçeneği vardır. Bir firewallunuz varsa ve traceroute’un her iki makineden de (Unix tarzı sistemler ve Windows) çalışmasını istiyorsanız, firewall’unuz üzerinden gelen her iki protokole de izin vermelisiniz. (UDP ports33434 – 33534 ve ICMP type 8).
FortiWeb CLI’den bir cihaza giden yolu izlemek için:
- CLI’de SSH, Telnet aracılığıyla oturum açın veya FortiWeb cihazından web kullanıcı arayüzünün CLI Konsolu widget’ında ping yapabilirsiniz.
Komutu girin:execute traceroute {<destination_ipv4> | <destination_fqdn>}
- { | }, aygıtın IP adresinin veya tam nitelikli etki alanı adının (FQDN) seçimidir.
- Örneğin, şunu ekleyebilirsiniz:
execute traceroute www.example.com
- Cihazın hedefe doğrudan bir route’ıvarsa, aşağıdakine benzer bir output görüntülenir:
traceroute to www.fortinet.com (192.0.2.150), 32 hops max, 84 byte packets
1 192.0.2.87 0 ms 0 ms 0 ms
2 192.0.2.221 2 ms 2 ms 2 ms
3 192.0.2.129 2 ms 1 ms 2 ms
4 192.0.2.161 2 ms 2 ms 3 ms
5 192.0.2.17 3 ms 3 ms 2 ms
6 192.0.2.234 20 ms 20 ms 20 ms
7 192.0.2.58 24 ms 21 ms 24 ms
8 192.0.2.154 8 ms 9 ms 8 ms
9 192.0.2.145 23 ms 23 ms 23 ms
10 192.0.2.9 23 ms 22 ms 22 ms
11 192.0.2.238 100 ms 192.0.2.130 101 ms 102 ms
12 192.0.2.21 101 ms 100 ms 99 ms
13 192.0.2.121 100 ms 98 ms 100 ms
14 192.0.2.118 98 ms 98 ms 100 ms
15 192.0.2.105 96 ms 96 ms 96 ms
16 192.0.2.42 94 ms 94 ms 94 ms
17 192.0.2.10 88 ms 87 ms 87 ms
18 192.0.2.130 90 ms 89 ms 90 ms
19 192.0.2.150 91 ms 89 ms 91 ms
20 192.0.2.150 91 ms 91 ms 89 ms
Her bir satır, atlamanın routing hop numarasını, IP adresini ve varsa FQDN’sini, bu atlamadan gelen 3 yanıtın süresini listeler. Tipik olarak <1ms değeri yerel bir routerı belirtir.
Cihazın hedefe tam bir route yoksa, aşağıdakine benzer bir output görüntülenir:
traceroute to 192.0.2.1 (192.0.2.1), 32 hops max, 84 byte packets
1 192.0.2.2 0 ms 0 ms 0 ms
2 192.0.2.10 0 ms 0 ms 0 ms
3 * * *
4 * * *
Microsoft Windows bilgisayarından bir cihaza giden yolu izlemek için:
- Açmak için Başlat (Windows logosu) menüsünü tıklayın.
- Ana bilgisayar Windows XP çalıştırıyorsa, bunun yerine Başlat > Çalıştır… seçeneğine gidin.
cmd
yazıp Enter’a basın. - Windows komut satırı görünecektir.
Komutu girin:tracert
{<destination_ipv4> | <destination_fqdn>} - Cihazın hedefe tam bir route bulunuyorsa aşağıdakine benzer bir output görüntülenir:
Tracing route to www.fortinet.com [192.0.2.34]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.0.2.2
2 2 ms 2 ms 2 ms static-192-0-2-221.storm.ca [192.0.2.221]
3 2 ms 2 ms 22 ms core-2-g0-1-1104.storm.ca [192.0.2.129]
4 3 ms 3 ms 2 ms 67.69.228.161
5 3 ms 2 ms 3 ms core2-ottawa23_POS13-1-0.net.bell.ca [192.0.2.17]
(Output abbreviated.)
15 97 ms 97 ms 97 ms gar2.sj2ca.ip.att.net [192.0.2.105]
16 94 ms 94 ms 94 ms 192.0.2.42
17 87 ms 87 ms 87 ms 192.0.2.10
18 89 ms 89 ms 90 ms 192.0.2.130
19 89 ms 89 ms 90 ms fortinet.com [192.0.2.34]
20 90 ms 90 ms 91 ms fortinet.com [192.0.2.34]
Trace complete.
- Her satırda router sekmesi numarası, bu sekmeden gelen 3 yanıt süresi ve bu sekmenin IP adresi ve varsa FQDN’si listelenir. Tipik olarak <1ms değeri yerel bir router belirtir.
- Cihazın hedefe tam bir route bulunmuyorsa, aşağıdakine benzer bir output görüntülenir:
Tracing route to 192.0.2.1 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.0.2.2
2 <1 ms <1 ms <1 ms 192.0.2.10
3 * * * Request timed out.
4 * * * Request timed out.
5 ^C
Bir Linux veya Mac OS X bilgisayardan bir aygıta giden yolu izlemek için
- Bir komut istemi açın. Eğer Mac OS X kullanıyorsanız, Network Utility uygulamasını kullanabilirsiniz.
traceroute {<destination_ipv4> | <destination_fqdn>}
komutunu yazın.
Not: Yürütülebilir dosyanın yolu dağıtıma göre değişebilir.
- Cihazın hedefe tam bir route bulunuyorsa, aşağıdakine benzer bir output görüntülenir:
traceroute to www.fortinet.com (192.0.2.34), 30 hops max, 60 byte packets
1 192.0.2.2 (192.0.2.2) 0.189 ms 0.277 ms 0.226 ms
2 static-192-0-2-221.storm.ca (192.0.2.221) 2.554 ms 2.549 ms 2.503 ms
3 core-2-g0-1-1104.storm.ca (192.0.2.129) 2.461 ms 2.516 ms 2.417 ms
4 192.0.2.161 (192.0.2.161) 3.041 ms 3.007 ms 2.966 ms
5 core2-ottawa23_POS13-1-0.net.bell.ca (192.0.2.17) 3.004 ms 2.998 ms 2.963 ms
(Output abbreviated.)
16 192.0.2.42 (192.0.2.42) 94.379 ms 94.114 ms 94.162 ms
17 192.0.2.10 (192.0.2.10) 122.879 ms 120.690 ms 119.049 ms
18 192.0.2.130 (203.78.181.130) 89.705 ms 89.411 ms 89.591 ms
19 fortinet.com (192.0.2.34) 89.717 ms 89.584 ms 89.568 ms
- Her bir satır, atlamanın routing hop numarasını, IP adresini ve varsa FQDN’sini, bu atlamadan gelen 3 yanıtın süresini listeler. Tipik olarak <1ms değeri yerel bir routerı belirtir.
- Cihazın hedefe tam bir route bulunmuyorsa, aşağıdakine benzer bir output görüntülenir:
traceroute to 192.0.2.1 (192.0.2.1), 30 hops max, 60 byte packets
1 * * *
2 192.0.2.10 (192.0.2.10) 4.160 ms 4.169 ms 4.144 ms
3 * * *
4 * * *^C
- Eğer bilgisayarın DNS sorgusu host name’i çözemezse, aşağıdakine benzer bir output görüntülenir:
example.lab: Name or service not known
Cannot handle "host" cmdline arg `example.lab' on position 1 (argc 1)
Routing (Yönlendirme) tablosunun incelenmesi
Bir route olmadığında veya atlamaların gecikme süresi yüksek olduğunda, yönlendirme tablosunu incelemelisiniz. Routing tablosu, FortiWeb cihazının son kullanılan routeları önbelleğe alınan tablodur.
Bir route, routing tablosunda önbelleğe alınırsa, route araması için gereken zaman ve kaynaklardan tasarruf sağlar. Routing tablosu doluysa ve yeni bir route eklenmesi gerekiyorsa, yer açmak için en eski, en az kullanılan route silinecektir.
CLI’deki routing tablosunu incelemek için şunu girin:
diagnose network route list
5. Port Görevlerini Kontrol Etme
FortiWeb’e belirli bir ağ portundan bağlanmaya çalışıyorsanız ve bağlantının farklı bir port numarasında gerçekleşmesi bekleniyorsa, deneme başarısız olacaktır.
Paket izi yapma
Hatalı biçimlendirilmiş paket veya protokol hatalarını çözerken, beklediğiniz route boyunca ve beklediğiniz flag ve diğer seçeneklerin kullanılıp kullanılamadığını belirlemek için paketlerin protokol başlıklarının içine bakabilirsiniz.
Not: FortiWeb cihazınızda sanal sunucuları konfigüre ederseniz, paketlerin hedef IP adresleri bu IP adresleri olacaktır. Bir sanal IP adresi konfigüre edildiğinde ARP güncellemesi gönderilir.
Paket izleme, paketlerin FortiWeb 7.0 cihazınızın arayüzlerine ulaştığını gösteriyor ancak HTTP/HTTPS paket çıkışı olmadığını gösteren bir sorun mevcutsa, kontrol etmeniz gerekenler:
- Fiziksel bağlantılar, gevşek wires olmadan sıkıca bağlanmış olmasını kontrol edin.
- Ağ arayüzlerinin ve bridgelerinin açıldığını kontrol edin.
- Bağlantı toplama çiftlerinin hazır olup olmadığını kontrol edin
- Varsa, VLAN kimlikleri eşleştiğini kontrol edin
- Sanal sunucuların veya V-zoneların olduğunu ve etkinleştirildiğini kontrol edin
- Eşleşen policylerin olduğunu ve etkinleştirildiklerini kontrol edin
- HTTPS kullanılıyorsa, geçerli server/CA sertifikalarının bulunduğunu kontrol edin
- IP katmanı ve gerek varsa HTTP layer yollarının eşleştiğini kontrol edin
- Server durum kontrolleri konfigüre edilmiş ve etkinleştirilmişse, web serverlarının yanıt verdiğini kontrol edin
- Varsa Yük dengeleyicilerin tanımlı olup olmadığını kontrol edin
- İstemcilerin block list içinde olmadığını kontrol edin.
Not: Offline Protection modu için, genellikle http / https paketleri çıkmaması genellikle normaldir. FortiWeb’in trafiği ihlal ettiğini tespit etmesi durumunda TCP bağlantısını sıfırlamak dışında, yalnızca takip eder.