FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

FortiGate URLフィルタリングのデバッグコマンド

2017.06.05 (Mon)

URL フィルターを設定しようとしたのに、
URL が通り抜けてしまった経験はありませんか?

diag debug 情報は、見えないところで何が起こっているのかを判断するときに役立ちます。

たとえば、172.20.120.18 のユーザーが、
URL フィルターが機能していないことに不満をうったえている場合に、
以下のコマンドを入力できます。






diag debug disable
diag debug application urlfilter -1
diag debug enable

これは、何らかの新しい URL フィルターパターンをテストする場合に非常に役立ちます。
以下の出力例は、[URLFilter] リストに含めた *.ro などの URL のグループに対して
この一連のコマンドを実行した場合の結果です。

msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.example.ro:80,
id=22, vfid=0, type=0, client=10.10.80.110, url=/favicon.ico"
Checking urlfilter list 4
Url filter deny action

この出力には、
あるユーザーが http://www.example.ro をブラウズしようとしましたが、
このサイトがブロック対象の *.ro サイトに一致していることが示されています。
この出力から、URL、その URL にアクセスしようとした
ユーザー(クライアント IP アドレス 10.10.80.110)、
および URL フィルターによる拒否アクションがわかります。
ID 番号は、このような一致メッセージごとに一つずつ増加します。
この情報から、10.10.80.0 サブネット上のクライアントに対して
*.ro URL フィルターが正常に機能していることがわかります。

関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック