Si se habilita el registro de reglas de firewall, puede consultar los registros de paquetes de firewall para solucionar los problemas.

El archivo de registro es /var/log/dfwpktlogs.log para los hosts ESXi y de KVM.

Tabla 1. Variables del archivo de registro de firewall
Variable Valores posibles
Hash del filtro Es un número que puede utilizarse para obtener el nombre del filtro y otra información.
Valor AF INET, INET6
Motivo
  • match: el paquete coincide con una regla.
  • bad-offset: error interno en la ruta de acceso a los datos al obtener el paquete.
  • fragment: fragmentos que no son el primario tras ensamblarse a este.
  • short: paquete demasiado pequeño (por ejemplo, no incluye encabezados IP ni TCP/UDP).
  • normalize: paquetes con formato incorrecto que no tienen una carga útil o un encabezado correctos.
  • memory: ruta de acceso a los datos sin memoria.
  • bad-timestamp: marca de tiempo TCP incorrecta.
  • proto-cksum: suma de comprobación incorrecta del protocolo.
  • state-mismatch: paquetes TCP que no envían la comprobación de la máquina del estado TCP.
  • state-insert: se encontró una conexión duplicada.
  • state-limit: se alcanzó el número máximo de estados de los que una ruta de acceso a los datos puede hacer un seguimiento.
  • SpoofGuard: paquetes que SpoofGuard descarta.
  • TERM: la conexión finaliza.
Acción
  • PASS: se acepta el paquete.
  • DROP: se descarta el paquete.
  • NAT: regla SNAT.
  • NONAT: coincide con la regla SNAT, pero no se puede traducir la dirección.
  • RDR: regla DNAT.
  • NORDR: coincide con la regla DNAT, pero no se puede traducir la dirección.
  • PUNT: envía el paquete a una máquina virtual de servicio que se ejecuta en el mismo hipervisor de la máquina virtual actual.
  • REDIRECT: envía el paquete a un servicio de redes que se ejecuta fuera del hipervisor de la máquina virtual actual.
  • COPY: acepta el paquete y copia una máquina virtual de servicio que se ejecuta en el mismo hipervisor de la máquina virtual actual.
  • REJECT: rechaza el paquete.
Regla establecida e ID rule set/rule ID
Dirección IN, OUT
Longitud de paquetes length
Protocolo TCP, UDP, ICMP o PROTO (número de protocolo)

En las conexiones TCP, la razón real por la que una conexión finaliza aparece tras la palabra clave TCP.

Si TERM es la razón de una sesión TCP, aparece una explicación extra en la fila PROTO. Entre las posibles razones para que una conexión TCP finalice se incluyen: RST (paquete RST de TCP), FIN (paquete FIN de TCP) y TIMEOUT (inactividad prolongada).

En el ejemplo anterior es RST. Esto significa que existe un paquete RST en la conexión que se debe restablecer.

Para conexiones que no sean TCP (UDP, ICMP u otros protocolos), la razón por la que finaliza una conexión es únicamente TIMEOUT.

Puerto y dirección IP de origen IP address/port
Puerto y dirección IP de destino IP address/port
Marcas TCP S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
Número de paquetes Número de paquetes.

22/14 - paquetes de entrada/paquetes de salida

Número de bytes Número de bytes.

7684/1070 - bytes de entrada/bytes de salida

A continuación se muestra un ejemplo de registro regular para las reglas de firewall distribuido:
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW

2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW

2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1

2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547
Los elementos de un formato de archivo de registro de DFW incluyen los siguientes (separados por un espacio):
  • marca de tiempo:
  • últimos ocho dígitos del identificador de VIF de la interfaz
  • Tipo de INET (v4 o v6)
  • motivo (coincidencia)
  • acción (PASS, DROP, REJECT)
  • nombre de conjunto de reglas/ID de regla
  • dirección del paquete (IN/OUT)
  • tamaño del paquete
  • protocolo (TCP, UDP o PROTO #)
  • dirección de SVM para el acierto de regla de NETX
  • dirección IP de origen/puerto de origen>dirección IP de destino/puerto de destino
  • marcas TCP (SEW)
Para los paquetes TCP pasados, hay un registro de terminación cuando finaliza la sesión:
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
Los elementos de un registro de terminación de TCP incluyen los siguientes (separados por un espacio):
  • marca de tiempo:
  • últimos 8 dígitos del identificador de VIF de la interfaz
  • Tipo de INET (v4 o v6)
  • acción (TERM)
  • nombre de conjunto de reglas/ID de regla
  • dirección del paquete (IN/OUT)
  • protocolo (TCP, UDP o PROTO #)
  • marca RST de TCP
  • dirección de SVM para el acierto de regla de NETX
  • dirección IP de origen/puerto de origen>dirección IP de destino/puerto de destino
  • número de paquetes de salida o entrada (todos acumulados)
  • tamaño de paquete de salida o de entrada
A continuación se muestra un ejemplo de archivo de registro de FQDN para las reglas de firewall distribuido:
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
Los elementos de un registro de FQDN incluyen los siguientes (separados por un espacio):
  • marca de tiempo:
  • últimos ocho dígitos del identificador de VIF de la interfaz
  • Tipo de INET (v4 o v6)
  • motivo (coincidencia)
  • acción (PASS, DROP, REJECT)
  • nombre de conjunto de reglas/ID de regla
  • dirección del paquete (IN/OUT)
  • tamaño del paquete
  • Protocolo (TCP, UDP o PROTO #): para las conexiones TCP, el motivo real por el que se interrumpe una conexión se indica después de la siguiente dirección IP.
  • dirección IP de origen/puerto de origen>dirección IP de destino/puerto de destino
  • Marcas TCP: S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
  • nombre de dominio/UUID donde UUID es la representación interna binaria del nombre de dominio
A continuación se muestra un ejemplo de archivo de registro de capa 7 para las reglas de firewall distribuido:
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP

2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
Los elementos de un registro de capa 7 incluyen los siguientes (separados por un espacio):
  • marca de tiempo:
  • últimos ocho dígitos del identificador de VIF de la interfaz
  • Tipo de INET (v4 o v6)
  • motivo (coincidencia)
  • acción (PASS, DROP, REJECT)
  • nombre de conjunto de reglas/ID de regla
  • dirección del paquete (IN/OUT)
  • tamaño del paquete
  • Protocolo (TCP, UDP o PROTO #): para las conexiones TCP, el motivo real por el que se interrumpe una conexión se indica después de la siguiente dirección IP.
  • dirección IP de origen/puerto de origen>dirección IP de destino/puerto de destino
  • Marcas TCP: S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
  • APP_XXX es la aplicación detectada