Bonjour, Il existe deux commandes utiles pour voir les drops en CLI : - fw ctl kdbg drop - fw ctl zdebug + drop
Vous pouvez également ajouter un grep sur la commande pour filtrer plus finement. Cordialement, David Cheniclet -----Message d'origine----- De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Thierry Chich Envoyé : jeudi 5 décembre 2019 10:18 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Checkpoint R77.20 - drop de paquets etrangers au LAN en mode bridge Le 04/12/2019 à 15:15, Frederic Dumas a écrit : > > Bonjour à tous, > > Après quelques vérifications, il apparait que: > > > - les requêtes vers les machines distantes sont bien acheminées par > la > passerelle; elles traversent donc le bridge; > > - les réponses parviennent à la passerelle, qui les émet sur son > interface, de son coté du bridge; > > - malheureusement, tcpdump est formel: de l'autre coté du bridge, sur > le reste du LAN, le CheckPoint ne transmet aucun des paquets > sortant > de la passerelle, dès lors que ceux-ci ont des machines > distantes pour adresse d'origine; > > - pour fermer la porte à une fausse piste, le phénomène se produit > aussi bien lorsque le filtrage sur MAC address est activé ou > désactivé sur le CheckPoint; > > - cependant, comme dit plus haut, le CheckPoint transmet bien sur le > bridge tous les paquets émis par la passerelle, dès lors que ceux- > ci ont pour adresse d'origine celle de la passerelle elle-même. > > Si on essaye de "tirer dans le noir" comme disent les anglo-saxons, ça > fait penser à une règle d'anti-spoofing qui droperait les paquets de > retour, car ils ont une adresse d'origine extérieure au LAN. Mais rien > ne le confirme dans les logs du CheckPoint. Les paquets ont disparus, > et c'est tout. > > Bug ou feature ? Y-a-t-il un moyen de configurer le CheckPoint pour > contourner ce problème ? Une route à déclarer pour contourner le > filtre anti-spoofing, pour autant que ce soit lui la cause ? > > > Merci pour vos conseils ou hypothèses. > > Bonjour Ca ressemble effectivement à quelque chose comme un spoofguard. Je n'ai plus de checkpoint depuis longtemps, mais je me souviens qu'il y avait une super commande qui permettait de savoir exactement à quel niveau de l'examen le paquet était droppé. Il y avait bien sûr 'fw monitor' qui permettait d'en savoir plus quer tcpdump, mais je me demande s'il n'y avait pas une commande qui allait encore plus dans le détail ? Je me demande si ce n'est pas 'fw ctl zdebug' ? Cdt Thierry -- <http://www.ac-clermont.fr> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ This message contains information that may be privileged or confidential and is the property of the Capgemini Group. It is intended only for the person to whom it is addressed. If you are not the intended recipient, you are not authorized to read, print, retain, copy, disseminate, distribute, or use this message or any part thereof. If you receive this message in error, please notify the sender immediately and delete all copies of this message. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
