Comandos en checkpoint

Listado de comandos que se utilizan normalmente en checkpoint firewall-1, estos están probados en NGX R65.


En nodos: fw unloadlocal -> para quitar la politica activa en un nodo, util para probar si te quedas sin acceso.

fw tab -s -t connections -> para sacar el número de conexiones que tienes activas en el fw

fw ctl pstat -> Estadisticas de paquetes y uso de memoria en el nodo.

fw putkey -p passwd [host] -> Para volver a sincronizar los nodos con la consola, pasa poco (antiguamente se desincronizaban constantemente) pero bueno.

fw fetch [consola] Para subirle la ultima politica al nodo (cuando la cagas o la desinstalas)

fw monitor (el sniffer), hay un monton de opciones, las mas comunes son: fw monitor -e “accept src=xx.xx.xx.xx;;” (ojo con el ;), acepta expresiones complejas (and, or), hay una lista enorme de comandos (el manual se puede bajar del web de Soporte.). aqui hay un tutorial con algunos comandos mas. En la consola: fwm sic-reset para resetear la CA interna de la consola, hay que hacerlo si cambias el nombre de la maquina.

8 Comments

  • arp
    fw ctl arp para ver las entradas sobre las que se esta haciendo proxy arp
    $FWDIR/conf/local.arp

    MAC

    Ademas hay que habilitar en las global properties – NAT – Merge manual proxy arp configuration

    Solo para NAT’s manuales

  • Borrar entradas de la tabla de conexiones
    fw tab -t connections -x -e “entradaaborrar”

    entrada a borrar tiene que ser asi : 00000000, 0a256bad, 0000008a, 0a24914b, 0000008a, 00000011 (toda la entrada justo antes del ; ).

    Además aqui hay un documento con los comandos del cmd.

  • Overlap de dominios de encriptacion
    vpn overlap_encdom communities –s

  • Debug VPN’s
    vpn debug trunc para activarlo
    vpn debug off
    vpn debug ikeoff

    los logs en $FWDIR/log/ike.elg y $FWDIR/log/vpnd.elg

    Es chungo interpretar los mismos, alguien sabe si hay algun documento donde explique el formato?

    • Para ver este archivo usa
      Para ver este archivo usa IKEView

      • Gracias
        Gracias por la respuesta, probare a ver…

  • Mirar drops por consola
    fw ctl zdebug drop

  • vsx r77.30
    Disculpen,

    Comando para ver marca, modelo y serie???

    Gracias / saludos