Faire une capture reseau de traffic traverssant un Juniper SRX JunOS

Configure

set forwarding-options packet-capture file filename pcap files 10 size 10000

set forwarding-options packet-capture maximum-capture-size 1500

set interfaces reth1 unit 2 family inet filter input PCAP

set interfaces reth1 unit 2 family inet filter output PCAP

set interfaces reth5 unit 0 family inet filter input PCAP

set interfaces reth5 unit 0 family inet filter output PCAP

set firewall filter PCAP term FF1 from source-address 194.2.160.65/32

set firewall filter PCAP term FF1 then sample

set firewall filter PCAP term FF1 then accept

set firewall filter PCAP term FF2 from destination-address 194.2.160.65/32

set firewall filter PCAP term FF2 then sample

set firewall filter PCAP term FF2 then accept

set firewall filter PCAP term allow-all-else then accept

Display Capture

root@srx100> start shell
root@srx100% cd /var/tmp/
root@srx100% tcpdump -r pcap.reth5
Reverse lookup for 172.16.1.11 failed (check DNS reachability).
Other reverse lookup failures will not be reported.
Use <no-resolve> to avoid reverse lookups on IP addresses.

20:21:21.342058  In IP 172.16.1.11.9058 > 172.16.1.1.ssh: P 987275121:987275173(52) ack 1326283353 win 4109
20:21:22.252458 Out IP 172.16.1.1.ssh > 172.16.1.11.9058: P 1:53(52) ack 52 win 32900
20:21:22.252721  In IP 172.16.1.11 > vnsc-bak.sys.gtei.net: ICMP echo request, id 1, seq 1095, length 40
20:21:22.252853 Out IP vnsc-bak.sys.gtei.net > 172.16.1.11: ICMP echo reply, id 1, seq 1095, length 40

Remove

root@srx100# delete interfaces reth5 unit 0 family inet filter input PCAP

root@srx100# delete interfaces reth5 unit 0 family inet filter output PCAP

root@srx100# delete interfaces reth1 unit 2 family inet filter output PCAP

root@srx100# delete interfaces reth1 unit 2 family inet filter output PCAP

root@srx100# delete firewall filter PCAP

root@srx100# delete forwarding-options packet-capture

 

Une autre solution consiste à faire un rollback de la configuration.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s