如果已為防火牆規則啟用記錄,則可以查看防火牆封包記錄來對問題進行疑難排解。

ESXi 和 KVM 主機的記錄檔為 /var/log/dfwpktlogs.log

表 1. 防火牆記錄檔的變數
變數 可能的值
篩選器雜湊 可用來取得篩選器名稱和其他資訊的數字。
AF 值 INET、INET6
原因
  • match:封包符合規則。
  • bad-offset:取得封包時出現資料路徑內部錯誤。
  • fragment:組合到第一個片段的後續片段。
  • short:封包太短 (例如,不太完整而沒有包括 IP 標頭或 TCP/UDP 標頭)。
  • normalize:沒有正確標頭或裝載的格式錯誤封包。
  • memory:資料路徑記憶體不足。
  • bad-timestamp:不正確的 TCP 時間戳記。
  • proto-cksum:不正確的通訊協定總和檢查。
  • state-mismatch:未通過 TCP 狀態機器檢查的 TCP 封包。
  • state-insert:發現重複的連線。
  • state-limit:已達資料路徑可追蹤的狀態數上限。
  • SpoofGuard:SpoofGuard 捨棄的封包。
  • TERM:已終止連線。
動作
  • PASS:接受封包。
  • DROP:捨棄封包。
  • NAT:SNAT 規則。
  • NONAT:符合 SNAT 規則,但無法轉譯位址。
  • RDR:DNAT 規則。
  • NORDR:符合 DNAT 規則,但無法轉譯位址。
  • PUNT:將封包傳送至在目前虛擬機器的相同 Hypervisor 上執行的服務虛擬機器。
  • REDIRECT:將封包傳送至從目前虛擬機器的 Hypervisor 中執行的網路服務。
  • COPY:接受封包,並將其複製到在目前虛擬機器的相同 Hypervisor 上執行的服務虛擬機器中。
  • REJECT:拒絕封包。
規則集和規則識別碼 規則集/規則識別碼
方向 傳入/傳出
封包長度 長度
通訊協定 TCP、UDP、ICMP 或 PROTO (通訊協定號碼)

若為 TCP 連線,會在 TCP 關鍵字後面指出連線終止的實際原因。

如果 TERM 是 TCP 工作階段終止的原因,則會在 PROTO 資料列中顯示額外的說明。終止 TCP 連線的可能原因包括:RST (TCP RST 封包)、FIN (TCP FIN 封包) 和 TIMEOUT (閒置時間太長)

在上述範例中,原因是 RST。因此,這表示連線中具有必須重設的 RST 封包。

若為非 TCP 連線 (UDP、ICMP 或其他通訊協定),終止連線的原因只有 TIMEOUT。

來源 IP 位址和連接埠 IP 位址/連接埠
目的地 IP 位址和連接埠 IP 位址/連接埠
TCP 旗標 S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
封包數 封包的數量。

22/14 - 傳入/傳出的封包數

位元組數 位元組的數量。

7684/1070 - 傳入/傳出的位元組數

以下是分散式防火牆規則的一般記錄範例:
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW

2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW

2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1

2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547
DFW 記錄檔格式的元素包含下列項目,並以空格分隔:
  • 時間戳記:
  • 介面 VIF 識別碼的最後 8 位數
  • INET 類型 (v4 或 v6)
  • 原因 (match)
  • 動作 (PASS、DROP、REJECT)
  • 規則集名稱/規則識別碼
  • 封包方向 (IN/OUT)
  • 封包大小
  • 通訊協定 (TCP、UDP 或 PROTO #)
  • netx 規則叫用的 SVM 方向
  • 來源 IP 位址/來源連接埠 > 目的地 IP 位址/目的地連接埠
  • TCP 旗標 (SEW)
針對通過的 TCP 封包,系統會在工作階段結束時產生終止記錄:
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
TCP 終止記錄的元素包含下列項目,並以空格分隔:
  • 時間戳記:
  • 介面 VIF 識別碼的最後 8 位數
  • INET 類型 (v4 或 v6)
  • 動作 (TERM)
  • 規則集名稱/規則識別碼
  • 封包方向 (IN/OUT)
  • 通訊協定 (TCP、UDP 或 PROTO #)
  • TCP RST 旗標
  • netx 規則叫用的 SVM 方向
  • 來源 IP 位址/來源連接埠 > 目的地 IP 位址/目的地連接埠
  • IN 封包計數/OUT 封包計數 (全部累積)
  • IN 封包大小/OUT 封包大小
以下是分散式防火牆規則的 FQDN 記錄檔範例:
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
FQDN 記錄的元素包含下列項目,並以空格分隔:
  • 時間戳記:
  • 介面 VIF 識別碼的最後 8 位數
  • INET 類型 (v4 或 v6)
  • 原因 (match)
  • 動作 (PASS、DROP、REJECT)
  • 規則集名稱/規則識別碼
  • 封包方向 (IN/OUT)
  • 封包大小
  • 通訊協定 (TCP、UDP 或 PROTO #) - 對於 TCP 連線,系統會在下列 IP 位址後面指出連線終止的實際原因
  • 來源 IP 位址/來源連接埠 > 目的地 IP 位址/目的地連接埠
  • TCP 旗標 - S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
  • 網域名稱/UUID,其中 UUID 是網域名稱的二進位內部表示
以下是分散式防火牆規則的第 7 層記錄檔範例:
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP

2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
第 7 層記錄的元素包含下列項目,並以空格分隔:
  • 時間戳記:
  • 介面 VIF 識別碼的最後 8 位數
  • INET 類型 (v4 或 v6)
  • 原因 (match)
  • 動作 (PASS、DROP、REJECT)
  • 規則集名稱/規則識別碼
  • 封包方向 (IN/OUT)
  • 封包大小
  • 通訊協定 (TCP、UDP 或 PROTO #) - 對於 TCP 連線,系統會在下列 IP 位址後面指出連線終止的實際原因
  • 來源 IP 位址/來源連接埠 > 目的地 IP 位址/目的地連接埠
  • TCP 旗標 - S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
  • APP_XXX 是探索到的應用程式