Resolución de problemas de comandos DNS de fortigate

Descripción
Este artículo describe la diferente información de depuración que se puede recopilar desde la CLI de FortiGate, antes de FortiOS 3.0 MR6 y desde MR7.

FortiGate usa DNS para varias de sus funciones, incluida la comunicación con FortiGuard, el envío de alertas por correo electrónico y el bloqueo de URL (usando FQDN).

Solución
Antes de FortiOS 3.0 MR6, la solución de problemas de DNS se realizaba mediante el comando haproxy :

volcado de haproxy de depuración diag

Volcado de caché de proxy DNS:
En caché [0x8c15c18]: Preguntas en consulta:
QR: update.fortiguard.net.
En caché [0x8c156d8]: Preguntas en consulta:
QR: www.fortinet.com.
—Fin del volcado de caché del proxy DNS—

diagnóstico depuración haproxy fqdndump

Volcado de entrada FQDN:
www.fortinet.com: ID(107) REF(1) EXPIRE(1224623673, ttl 3600) VD(0, ref 1)
—Fin del volcado de entrada FQDN (total 1)–

Desde MR7, un comando de depuración de dnsproxy está disponible en FortiGate y se puede consultar con las siguientes variantes:

aplicación de prueba de diagnóstico dnsproxy ?

1. Borrar caché de dns
2. Mostrar estadísticas
3. Volcar configuración de DNS
4. Recargar FQDN
5. Volver a consultar FQDN
6. Volcar FQDN

A continuación se muestran ejemplos de lo que debe mostrar la salida cuando está habilitada.


  – Para borrar la caché de DNS:

aplicación de prueba de diagnóstico dnsproxy 1

      – Estadísticas de DNS:

    aplicación de prueba de diagnóstico dnsproxy 2

    DNS_CACHE: alloc=4
    DNS UDP: req=13, res=4, fwd=4, hits=9, alloc=0 cur=4
    FQDN: alloc=1
    DNS TCP: req=0, alloc=0

      – Configuración de DNS:

    aplicación de prueba de diagnóstico dnsproxy 3

    Administración: vd=raíz, id=0, maestro=1:1
    Servidor DNS 0: xxxx:53
    Servidor DNS 1: xxxx:53
    Servidor DNS 2: xxxx:53
    Servidor DNS 3: xxxx:53
    DNS_CACHE: hash-size=2048 , ttl=1800, min-ttl=60, max-num=5000
    DNS FD: mgmt_s=7, mgmt_c=8, mgmt_c2=9, ha_s=5 ha_c=6 unix_s=10, unix_nb_s=11, unix_nc_s=12
    relé dmz en raíz: fd=13
    relé interno en raíz: fd=14
    dns_out_sock=8, mgmt_recreate_sock=0 mgmt_switched=0, jiffies=91669
    FQDN: hash_size=1024, current_query=1024
    DNS FD: tcp_s=15

    aplicación de prueba de diagnóstico dnsproxy 6

    vfid=0 name=www.fortinet.com: temporizador en marcha, min_ttl=43200:43129, slot=-1, num=1 XXXX

      – Esto simplemente recargará y volverá a consultar el FQDN:

    aplicación de prueba de diagnóstico dnsproxy 4
    aplicación de prueba de diagnóstico dnsproxy 5

    También hay otra variante que se puede usar para probar y consultar una URL específica y seguir la solicitud de búsqueda de DNS en FortiGate, esto se puede hacer habilitando la siguiente depuración y realizando una prueba ICMP, el ejemplo usa www.fortinet.com como sigue:

    aplicación de depuración de diagnóstico dnsproxy -1

    ejecutar pingwww.fortinet.com

    unix_receive_request()-521
    handle_dns_request()-378: pktlen=32, qr=0
    dns_forward_request()-303
    dns_forward_request()-316: Enviar 32B a xyzt:53 a través de fd=8
    mgmt_receive_response()-504
    mgmt_receive_response()-510: len=116, addr=xyzt:53, addrlen=16
    handle_dns_response()-423
    dns_set_min_ttl()-153: QR: www.fortinet.com
    dns_set_min_ttl()-161: Compensación del 1er RR: 32 Número de RR: 5
    dns_set_min_ttl( )-171: RR TTL: 43200
    dns_set_min_ttl()-171: RR TTL: 277
    dns_set_min_ttl()-171: RR TTL: 277
    dns_set_min_ttl()-171: RR TTL: 277
    dns_set_min_ttl()-171: RR TTL:
    277_dnsponse_caché )-229: TTL mínimo = 277
    dns_forward_response()-330
    dns_forward_response()-334: Enviar 32B a través de fd=10

    A partir de la versión 5.4 de Fortigate se agregó más información:

    aplicación de prueba de diagnóstico dnsproxy  ?

    1. Borrar caché de DNS                                           

    2. Mostrar estadísticas                                                

    3. Volcar la configuración de DNS                                          

    4. Recargar FQDN                                               

    5. Volver a consultar FQDN                                              

    6. Volcar FQDN                                                 

    7. Volcar caché de DNS                                            

    8. Volcar base de datos DNS                                               

    9. Vuelva a cargar la base de datos DNS                                             

    10. Volcar la política/perfil de DNS seguro                           

    11. Volcar el dominio de la red de bots                                       

    12. Vuelva a cargar la configuración de DNS seguro                                

    13. Mostrar caché de nombre de host                                      

    14. Borrar caché de nombre de host                                     

    15. Máscara de bits de depuración de DNS

    A partir de la versión 6.0 de Fortigate se agregó más información:

    aplicación de prueba de diagnóstico dnsproxy  ?

    1. Borrar caché de DNS                                           

    2. Mostrar estadísticas                                                

    3. Volcar la configuración de DNS                                          

    4. Recargar FQDN                                               

    5. Volver a consultar FQDN                                              

    6. Volcar FQDN                                                 

    7. Volcar caché de DNS                                            

    8. Volcar base de datos DNS                                               

    9. Vuelva a cargar la base de datos DNS                                             

    10. Volcar la política/perfil de DNS seguro                           

    11. Volcar el dominio de la red de bots                                       

    12. Vuelva a cargar la configuración de DNS seguro         

    ¿Te ha resultado útil??

    0 / 0

    Deja una respuesta 0

    Your email address will not be published. Required fields are marked *