--- title: "Comandos en checkpoint" description: "Listado de comandos que se utilizan normalmente en checkpoint firewall-1, estos están probados en NGX R65 y en R77.30 (y ahora en R88.20). En nodos: fw unloadlocal -> para quitar la política..." url: https://www.mundosysadmin.com/comandos-en-checkpoint/ date: 2009-05-06 modified: 2021-03-29 author: "sysadmin" image: https://www.mundosysadmin.com/wp-content/uploads/ngg_featured/checkpoint-logo.gif categories: ["Firewalls"] tags: ["Check point"] type: post lang: es --- # Comandos en checkpoint Listado de comandos que se utilizan normalmente en checkpoint firewall-1, estos están probados en NGX R65 y en R77.30 (y ahora en R88.20). En nodos: **fw unloadlocal -> ** para quitar la política activa en un nodo, útil para probar si te quedas sin acceso. **fw tab -s -t connections ->** para sacar el número de conexiones que tienes activas en el fw **fw ctl pstat ->** Estadísticas de paquetes y uso de memoria en el nodo. **fw putkey -p passwd -> ** Para volver a sincronizar los nodos con la consola, pasa poco (antiguamente se desincronizaban constantemente) pero bueno. **fw fetch ** Para subirle la ultima política al nodo (cuando la cagas, la desinstalas o cambias algo en la interface) **cpstat fw** -> Para ver la fecha (y el nombre) de la ultima política instalada (**fw stat** te da la misma información. **ips stat** -> lo mismo pero con las reglas del IPS **fw monitor** (el sniffer), hay un montón de opciones, las mas comunes son: **fw monitor -e "accept src=xx.xx.xx.xx;"** (ojo con el punto y coma del final ) **fw monitor -e "accept src=xx.xx.xx.xx or src="yy.yy.yy.yy;"** (ojo con el punto y coma del final, solo del utlimo) **fw monitor -e "accept src=xx.xx.xx.xx;" -o /tmp/fichero.cap** Acepta expresiones complejas (and, or), hay una lista enorme de comandos (el manual se puede bajar del web de (http://dl3.checkpoint.com/paid/a4/How_to_use_FW_Monitor.pdf?HashKey=1532710966_63c25d9a3b7f7a7a575ea654011c3ce8&xtn=.pdf).). (http://icewinddale.blogspot.com/2006/11/checkpoint-fw-monitor-un-sniffer.html) hay un tutorial con algunos comandos mas. En la consola: **fwm sic-reset** para resetear la CA interna de la consola, hay que hacerlo si cambias el nombre de la maquina. **cphaprob state** para ver el estado de sincronización de los nodos. **cphaprob -l list** -> lo mismo en versiones nuevas. **cphaprob -a if** -> estado de los interfaces (y de los checks). (https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk65103) (https://sc1.checkpoint.com/documents/R76/CP_R76_ClusterXL_AdminGuide/7298.htm) **show routed cluster-state detailed** para ver el estado del cluster. Un post con mas comandos útiles: (https://community.checkpoint.com/thread/5319-my-top-3-check-point-cli-commands) **fw ctl zdebug + drop | grep 'x.x.x.x\|z.z.z.z'** -> Para ver paquetes dropeados, y el porqué. **fw tab -s -t userc_users** -> Usuarios conectados por VPN. **fw log -f** -> Tail -f del fichero de log **fw log -n -p | grep 'src: 1.2.3.4;.*dst: 2.3.4.5;.*sport_svc: 443;' ** -> con filtros **cpstat fw -f log_connection** para comprobar el estado de conexión de los nodos contra el log server. **fw logswitch** -> rota el fichero de log. **fw ctl iflist** -> Listado de los interfaces (con nombre). Para forzar el failover (ojo que solo funciona de Activo a pasivo, si lo quieres hacer al revés (es decir, forzar que el pasivo se ponga activo) hay que hacerlo a lo "bestia". **FWDIR/bin/clusterXL_admin down** -> active a standby **FWDIR/bin/clusterXL_admin up** -> de vuelta Eso si, no he encontrado ninguna forma de forzar a que un standby se vaya a master (¿para que poner un botón estilo Stonegate?). Salvo forzar un fallo en el active (poniendo un interface en sh durante un rato). (https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk55081#Initiating%20a%20manual%20failover) **save configuration ** grabar la configuración en modo texto (para luego sacar el fichero y analizarlo fuera). **show access-rulebase xx** para ver una regla (en modo texto). **show access-layers** para ver todas las reglas. **fw tab -t vpn_routing -u -f** para comprobar si los dominios de encriptacion están correctos, te muestra que redes se alcanzan por que vpns (se puede usar con | grep para comprobar un origen o un destino). **vpn overlap_encdom communities –s** comprobar si hay "overlap" de dominios de encriptación **dmiparse | grep "Product Name"** **dmiparse | grep "Serial"** -> Para saber el serial number.