Se è abilitata la registrazione per le regole firewall, è possibile esaminare i registri dei pacchetti del firewall per risolvere i problemi.

Il file di registro è /var/log/dfwpktlogs.log negli host ESXi.

Tabella 1. Variabili del file di registro del firewall
Variabile Valori possibili
Hash filtro Numero che può essere utilizzato per recuperare il nome del filtro e altre informazioni.
Valore AF INET, INET6
Motivo
  • match: il pacchetto soddisfa una regola.
  • bad-offset: errore interno del percorso dati durante il recupero del pacchetto.
  • fragment: frammenti diversi dal primo dopo che sono stati assemblati al primo frammento.
  • short: pacchetto troppo breve (ad esempio, non completo per includere un'intestazione IP o un'intestazione TCP/UDP).
  • normalize: pacchetti non validi che non hanno un'intestazione o un payload corretti.
  • memory: memoria insufficiente nel percorso dati.
  • bad-timestamp: data e ora di TCP non corrette.
  • proto-cksum: checksum del protocollo non valido.
  • state-mismatch: pacchetti TCP che non superano il controllo della macchina dello stato TCP.
  • state-insert: è stata trovata una connessione duplicata.
  • state-limit: è stato raggiunto il numero massimo di stati che un percorso dati può monitorare.
  • SpoofGuard: pacchetto eliminato da SpoofGuard.
  • TERM: una connessione è stata terminata.
Azione
  • PASS: il pacchetto viene accettato.
  • DROP: il pacchetto viene eliminato.
  • NAT: regola SNAT.
  • NONAT: viene trovata una corrispondenza per la regola SNAT ma non è possibile convertire l'indirizzo.
  • RDR: regola DNAT.
  • NORDR: viene trovata una corrispondenza per la regola DNAT ma non è possibile convertire l'indirizzo.
  • PUNT: il pacchetto viene inviato alla macchina virtuale di un servizio in esecuzione nello stesso hypervisor della macchina virtuale corrente.
  • REDIRECT: il pacchetto viene inviato a un servizio di rete in esecuzione all'esterno dell'hypervisor della macchina virtuale corrente.
  • COPY: il pacchetto viene accettato e viene creata una copia nella macchina virtuale di un servizio in esecuzione nello stesso hypervisor della macchina virtuale corrente.
  • GOTO_FILTER: consente al traffico corrispondente alle regole della categoria Ambiente di continuare affinché vengano applicate le regole della categoria Applicazione.
  • REJECT: il pacchetto viene rifiutato.
Set di regole e ID regola rule set/rule ID
Direzione IN, OUT
Lunghezza pacchetto length
Protocollo TCP, UDP, ICMP o PROTO (numero di protocollo)

Per le connessioni TCP, il motivo effettivo per cui una connessione viene terminata viene indicato dopo la parola chiave TCP.

Se TERM è il motivo di una sessione TCP, nella riga PROTO viene visualizzata una spiegazione aggiuntiva. I possibili motivi per cui una connessione TCP viene terminata includono: RST (pacchetto TCP RST), FIN (pacchetto TCP FIN) e TIMEOUT (inattività prolungata)

Nell'esempio precedente, è RST. Quindi significa che nella connessione è presente un pacchetto RST che deve essere reimpostato.

Per le connessioni non TCP (UDP, ICMP o altri protocolli), il motivo per cui una connessione viene terminata è solo TIMEOUT.

Indirizzo e porta IP di origine IP address/port
Indirizzo e porta IP di destinazione IP address/port
Flag TCP S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
Numero di pacchetti Numero di pacchetti.

22/14 - pacchetti in/pacchetti out

Numero di byte Numero di byte.

7684/1070 - byte in/byte out

Di seguito è riportato un tipico esempio di registro per le regole del firewall distribuito:
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW

2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW

2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1

2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547
Il formato di un file di registro DFW include i seguenti elementi, separati da uno spazio:
  • timestamp:
  • ultime otto cifre dell'ID VIF dell'interfaccia
  • tipo di INET (v4 o v6)
  • motivo (corrispondenza)
  • azione (PASS, DROP, REJECT)
  • ID regola/nome set di regole
  • direzione pacchetto (ENTRATA/USCITA)
  • dimensione pacchetto
  • protocollo (TCP, UDP o PROTO #)
  • Direzione SVM per il successivo riscontro regola
  • indirizzo IP di origine/porta di origine>Indirizzo IP di destinazione/porta di destinazione
  • flag TCP (SEW)
Per i pacchetti TCP passati, al termine della sessione è presente un registro di terminazione:
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
Tra gli elementi di un registro di terminazione TCP sono inclusi i seguenti, separati da uno spazio:
  • timestamp:
  • ultime 8 cifre dell'ID VIF dell'interfaccia
  • tipo di INET (v4 o v6)
  • azione (TERM)
  • nome set di regole/ID regola
  • direzione pacchetto (ENTRATA/USCITA)
  • protocollo (TCP, UDP o PROTO #)
  • flag RST TCP
  • Direzione SVM per il successivo riscontro regola
  • indirizzo IP di origine/porta di origine>Indirizzo IP di destinazione/porta di destinazione
  • Numero di pacchetti in ENTRATA/numero di pacchetti in USCITA (tutti accumulati)
  • dimensione pacchetto in ENTRATA/dimensione pacchetto in USCITA
Di seguito è disponibile un esempio di file di registro del nome di dominio completo per le regole del firewall distribuito:
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
Tra gli elementi di un registro del nome di dominio completo sono inclusi i seguenti, separati da uno spazio:
  • timestamp:
  • ultime otto cifre dell'ID VIF dell'interfaccia
  • tipo di INET (v4 o v6)
  • motivo (corrispondenza)
  • azione (PASS, DROP, REJECT)
  • nome set di regole/ID regola
  • direzione pacchetto (ENTRATA/USCITA)
  • dimensione pacchetto
  • protocollo (TCP, UDP o PROTO #): per le connessioni TCP, il motivo effettivo per cui una connessione viene terminata è indicato dopo il seguente indirizzo IP
  • indirizzo IP di origine/porta di origine>Indirizzo IP di destinazione/porta di destinazione
  • flag TCP - S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
  • nome di dominio/UUID, dove UUID è la rappresentazione interna binaria del nome del dominio
Di seguito è disponibile un esempio di file di registro di livello 7 per le regole del firewall distribuito:
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP

2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
Tra gli elementi di un registro di livello 7 sono inclusi i seguenti, separati da uno spazio:
  • timestamp:
  • ultime otto cifre dell'ID VIF dell'interfaccia
  • tipo di INET (v4 o v6)
  • motivo (corrispondenza)
  • azione (PASS, DROP, REJECT)
  • nome set di regole/ID regola
  • direzione pacchetto (ENTRATA/USCITA)
  • dimensione pacchetto
  • protocollo (TCP, UDP o PROTO #): per le connessioni TCP, il motivo effettivo per cui una connessione viene terminata è indicato dopo il seguente indirizzo IP
  • indirizzo IP di origine/porta di origine>Indirizzo IP di destinazione/porta di destinazione
  • flag TCP - S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
  • APP_XXX è l'applicazione rilevata