Mit Hilfe von snoop koennen auf Netscreen-Firewalls Verbindungen debuggt werden.
fw3-rz1(M)-> set console dbuf
fw3-rz1(M)-> clear dbuf
fw3-rz1(M)-> snoop filter ip dst-ip 192.168.196.90
fw3-rz1(M)-> snoop
Verbindungstest
fw3-rz1(M)-> snoop off
fw3-rz1(M)-> get dbuf stream
Eine moegliche Ausgabe von „get dbuf stream“ koennte dann wie folgt aussehen.
13951284.0: ethernet1(i) len=62:0008a40e0b0a->0010dbff8000/0800
10.1.8.163 -> 192.168.196.90/6
vhl=45, tos=00, id=38675, frag=4000, ttl=127 tlen=48
tcp:ports 46274->443, seq=3232589299, ack=0, flag=7002/SYN13951284.0: ethernet2(o) len=62:0010dbff8050->00000c07acbe/0800
10.1.8.163 -> 192.168.196.90/6
vhl=45, tos=00, id=38675, frag=4000, ttl=126 tlen=48
tcp:ports 46274->443, seq=3232589299, ack=0, flag=7002/SYN
Wie man hier schoen sehen kann, werden zwar SYN-Packete an ein Ziel geschickt, aber nicht mit einem erforderlichen SYN/ACK beantwortet.
Snoop braucht Ressourcen ohne Ende. Ich hab damit auf kleinen Netscreens schon VPN-Verbindungen und Sessions verloren.
CPU oder Speicher und welche Netscreen meinst du mit „kleinen“? Ich habe snoop bisher nur auf 50er oder groesser und mit entsprechenden Filtern genutzt.