Lorsque je consulte les journaux créés pour mon point de contrôle fw1, est-ce qu'il enregistre les connexions à la réception de la synchro, ou attend-il que la poignée de main à trois voies soit terminée ? S'il enregistre les connexions après la synchro, est-il possible de savoir où la poignée de main à trois voies n'est pas terminée ?
Réponses
Trop de publicités?
radius
Points
9485
Je suppose qu'il enregistre quand il reçoit le SYN, vous pouvez facilement le vérifier en envoyant un SYN avec un outil tel que hping .
Si vous voulez voir la poignée de main à trois voies, je vous recommande d'utiliser fw monitor il y a bon pdf sur le site de Checkpoint.
L'étape rapide est d'exécuter quelque chose comme fw monitor -e 'accept src=1.2.3.4 or dst= 1.2.3.4;'
Edit : Bien sûr, cela doit être fait en direct, donc ce n'est pas aussi bien que la journalisation...
Le journal initial est mis en file d'attente/défini initialement sur SYN_RECV pour un journal de trafic standard sans comptabilité.
Lorsque la comptabilité est activée, les compteurs du journal de comptabilité sont alors conservés et transmis au module de journal pour compléter l'enregistrement du journal. Un enregistrement complet de comptabilité comprendrait le journal d'accès initial + certains détails de comptabilité de la session ou de la session virtuelle enregistrée.
