Fortigate Güvenlik Duvarında DNS Sorun Giderme Adımları

Tarih : 18 Mayıs 2020

Yazar : Mesut Karaca

Fortigate

Merhabalar,

Bu yazımızda Fortigate DNS ile ilgili sorun giderme adımlarını ve nasıl işleyeceğini anlatacağız.

İlk olarak execute ping komutu ile bir URL’e ping atılır ve Fortigate güvenlik duvarının isim çözüp çözmediği anlaşılır:

FGT # execute ping google.com

PING google.com ( 172.217.169.110 ): 56 data bytes
64 bytes from 172.217.169.110: icmp_seq=0 ttl=245 time=75.4 ms

Fortigate ping çıktıları

DNS hata ayıklama bilgilerini toplamak için aşağıdaki DNS debug komutu kullanılabilir. Worker ID kimliğini belirtmezseniz, varsayılan worker ID 0’dır.

# diagnose test application dnsproxy 
worker idx: 0
1. Clear DNS cache
2. Show stats
3. Dump DNS setting
4. Reload FQDN
5. Requery FQDN
6. Dump FQDN
7. Dump DNS cache
8. Dump DNS DB
9. Reload DNS DB
10. Dump secure DNS policy/profile
11. Dump Botnet domain
12. Reload Secure DNS setting
13. Show Hostname cache
14. Clear Hostname cache
15. Show SDNS rating cache
16. Clear SDNS rating cache
17. DNS debug bit mask
99. Restart dnsproxy worker

Örneğin DNS bağlantıları ile ilgili neler olduğunu anlamak için aşağıdaki komutu kullanabilirsiniz:

# diagnose test application dnsproxy 3
worker idx: 0
vdom: root, index=0, is master, vdom dns is disabled, mip-169.254.0.1 dns_log=1 tls=0 cert=
dns64 is disabled
vdom: vdom1, index=1, is master, vdom dns is enabled, mip-169.254.0.1 dns_log=1 tls=0 cert=
dns64 is disabled
dns-server:208.91.112.220:53 tz=-480 tls=0 req=0 to=0 res=0 rt=0 rating=1 ready=0 timer=37 probe=9 failure=0 last_failed=0 
dns-server:8.8.8.8:53 tz=0 tls=0 req=73 to=0 res=73 rt=5 rating=0 ready=1 timer=0 probe=0 failure=0 last_failed=0 
dns-server:65.39.139.63:53 tz=0 tls=0 req=39 to=0 res=39 rt=1 rating=0 ready=1 timer=0 probe=0 failure=0 last_failed=0 
dns-server:62.209.40.75:53 tz=60 tls=0 req=0 to=0 res=0 rt=0 rating=1 ready=0 timer=37 probe=9 failure=0 last_failed=0 
dns-server:209.222.147.38:53 tz=-300 tls=0 req=0 to=0 res=0 rt=0 rating=1 ready=0 timer=37 probe=9 failure=0 last_failed=0 
dns-server:173.243.138.221:53 tz=-480 tls=0 req=0 to=0 res=0 rt=0 rating=1 ready=0 timer=37 probe=9 failure=0 last_failed=0 
dns-server:45.75.200.89:53 tz=0 tls=0 req=0 to=0 res=0 rt=0 rating=1 ready=0 timer=37 probe=9 failure=0 last_failed=0 
DNS_CACHE: hash-size=2048, ttl=1800, min-ttl=60, max-num=-1
DNS FD: udp_s=12 udp_c=17:18 ha_c=22 unix_s=23, unix_nb_s=24, unix_nc_s=25 
        v6_udp_s=11, v6_udp_c=20:21, snmp=26, redir=13, v6_redir=14
DNS FD: tcp_s=29, tcp_s6=27, redir=31 v6_redir=32
FQDN: hash_size=1024, current_query=1024
DNS_DB: response_buf_sz=131072
LICENSE: expiry=2015-04-08, expired=1, type=2
FDG_SERVER:208.91.112.220:53 
FGD_CATEGORY_VERSION:8
SERVER_LDB: gid=eb19, tz=-480, error_allow=0
FGD_REDIR_V4:208.91.112.55 FGD_REDIR_V6:

örneğin “rt” değeri ile DNS gecikme değerleri konusunda bilgileri alabiliriz.

örneğin aşağıdaki komutla 2. worker ID li DNS ile ilgili DNS cache i temizleyebiliriz.

diagnose test application dnsproxy 7 1

DNS Gecikme(Latency) Bilgisi

DNS trafiğinde yüksek gecikme, son kullanıcılar için genel olarak yavaş bir deneyime neden olabilir. DNS Ayarları bölmesinde, yapılandırmanızdaki DNS gecikme sorunlarını hızlı bir şekilde belirleyebilirsiniz.

“Network > DNS” sayfasında sağ taraf çubuğunda DNS gecikme bilgilerini görüntüleyebilirsiniz. Eğer FortiGuard DNS kullanıyorsanız, DNS, DNS filtresi, web filtresi gibi Fortiguard bilgileri için de gecikme bilgileri görünür.

Mouse ile değerlerin üzerine geldiğimizde ise latency değerleri görünür.

CLI’da bu durumu test etmek isterseniz "diagnose test application dnsproxy 2" komutunu kullanabilirsiniz:

# diagnose test application dnsproxy 2
worker idx: 0
worker: count=1 idx=0
retry_interval=500 query_timeout=1495
DNS latency info:
vfid=0 server=2001::1 latency=1494 updated=73311
vfid=0 server=208.91.112.52 latency=1405 updated=2547
vfid=0 server=208.91.112.53 latency=19 updated=91
SDNS latency info:
vfid=0 server=173.243.138.221 latency=1 updated=707681
DNS_CACHE: alloc=35, hit=26
RATING_CACHE: alloc=1, hit=49
DNS UDP: req=66769 res=63438 fwd=83526 alloc=0 cmp=0 retrans=16855 to=3233
          cur=111 switched=8823467 num_switched=294 v6_cur=80 v6_switched=7689041 num_v6_switched=6
         ftg_res=8 ftg_fwd=8 ftg_retrans=0
DNS TCP: req=0, res=0, fwd=0, retrans=0 alloc=0, to=0
FQDN: alloc=45 nl_write_cnt=9498 nl_send_cnt=21606 nl_cur_cnt=0
Botnet: searched=57 hit=0 filtered=57 false_positive=0

Web filtre ve diğer security profillerindeki DNS ile ilgili bilgileri görmek için "diagnose debug rating" komutunu kullanabilirsiniz:

# diagnose debug rating
Locale   : english

Service  : Web-filter
Status   : Enable
License  : Contract

Service  : Antispam
Status   : Disable

Service  : Virus Outbreak Prevention
Status   : Disable

-=- Server List (Tue Jan 22 08:03:14 2019) -=-

IP               Weight RTT Flags  TZ  Packets  Curr Lost Total Lost  Updated Time
173.243.138.194  10     0 DI       -8  700      0         2           Tue Jan 22 08:02:44 2019
173.243.138.195  10     0          -8  698      0         4           Tue Jan 22 08:02:44 2019
173.243.138.198  10     0          -8  698      0         4           Tue Jan 22 08:02:44 2019
173.243.138.196  10     0          -8  697      0         3           Tue Jan 22 08:02:44 2019
173.243.138.197  10     1          -8  694      0         0           Tue Jan 22 08:02:44 2019
96.45.33.64      10     22 D       -8  701      0         6           Tue Jan 22 08:02:44 2019
64.26.151.36     40     62         -5  704      0         10          Tue Jan 22 08:02:44 2019
64.26.151.35     40     62         -5  703      0         9           Tue Jan 22 08:02:44 2019
209.222.147.43   40     70 D       -5  696      0         1           Tue Jan 22 08:02:44 2019
66.117.56.42     40     70         -5  697      0         3           Tue Jan 22 08:02:44 2019
66.117.56.37     40     71         -5  702      0         9           Tue Jan 22 08:02:44 2019
65.210.95.239    40     74         -5  695      0         1           Tue Jan 22 08:02:44 2019
65.210.95.240    40     74         -5  695      0         1           Tue Jan 22 08:02:44 2019
45.75.200.88     90     142        0   706      0         12          Tue Jan 22 08:02:44 2019
45.75.200.87     90     155        0   714      0         20          Tue Jan 22 08:02:44 2019
45.75.200.85     90     156        0   711      0         17          Tue Jan 22 08:02:44 2019
45.75.200.86     90     159        0   704      0         10          Tue Jan 22 08:02:44 2019
62.209.40.72     100    157        1   701      0         7           Tue Jan 22 08:02:44 2019
62.209.40.74     100    173        1   705      0         11          Tue Jan 22 08:02:44 2019
62.209.40.73     100    173        1   699      0         5           Tue Jan 22 08:02:44 2019
121.111.236.179  180    138        9   706      0         12          Tue Jan 22 08:02:44 2019
121.111.236.180  180    138        9   704      0         10          Tue Jan 22 08:02:44 2019

https://kb.fortinet.com/kb/documentLink.do?externalID=FD30618

https://docs.fortinet.com/document/fortigate/6.2.4/cookbook/939173/dns-latency-information

https://kb.fortinet.com/kb/documentLink.do?popup=true&externalID=FD32441&languageId=

Fortigate Güvenlik Duvarında DNS Sorun Giderme Adımları

Yazar

Mesut Karaca

Son Yazılar

Bir cevap yazın Cevabı iptal et

Fortigate Güvenlik Duvarında DNS Sorun Giderme Adımları

Yazar

Mesut Karaca

Benzer Yazılar

Fortigate SNMP Ayarları

Son Yazılar

Bir cevap yazın Cevabı iptal et

BU QR KODUNU TELEFONUNUZLA TARAYIN