Comandos en checkpoint

Listado de comandos que se utilizan normalmente en checkpoint firewall-1, estos están probados en NGX R65 y en R77.30 (y ahora en R88.20).


En nodos: fw unloadlocal -> para quitar la política activa en un nodo, útil para probar si te quedas sin acceso.

fw tab -s -t connections -> para sacar el número de conexiones que tienes activas en el fw

fw ctl pstat -> Estadísticas de paquetes y uso de memoria en el nodo.

fw putkey -p passwd [host] -> Para volver a sincronizar los nodos con la consola, pasa poco (antiguamente se desincronizaban constantemente) pero bueno.

fw fetch [consola] Para subirle la ultima política al nodo (cuando la cagas, la desinstalas o cambias algo en la interface)

cpstat fw -> Para ver la fecha (y el nombre) de la ultima política instalada (fw stat te da la misma información.

ips stat -> lo mismo pero con las reglas del IPS

fw monitor (el sniffer), hay un montón de opciones, las mas comunes son:
fw monitor -e «accept src=xx.xx.xx.xx;» (ojo con el punto y coma del final )
fw monitor -e «accept src=xx.xx.xx.xx or src=»yy.yy.yy.yy;» (ojo con el punto y coma del final, solo del utlimo)
fw monitor -e «accept src=xx.xx.xx.xx;» -o /tmp/fichero.cap

Acepta expresiones complejas (and, or), hay una lista enorme de comandos (el manual se puede bajar del web de Soporte.). aqui hay un tutorial con algunos comandos mas.

En la consola: fwm sic-reset para resetear la CA interna de la consola, hay que hacerlo si cambias el nombre de la maquina.

cphaprob state para ver el estado de sincronización de los nodos.
cphaprob -l list -> lo mismo en versiones nuevas.
cphaprob -a if -> estado de los interfaces (y de los checks).

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk65103

https://sc1.checkpoint.com/documents/R76/CP_R76_ClusterXL_AdminGuide/7298.htm

show routed cluster-state detailed para ver el estado del cluster.

Un post con mas comandos útiles:
https://community.checkpoint.com/thread/5319-my-top-3-check-point-cli-commands

fw ctl zdebug + drop | grep ‘x.x.x.x\|z.z.z.z’ -> Para ver paquetes dropeados, y el porqué.

fw tab -s -t userc_users -> Usuarios conectados por VPN.

fw log -f -> Tail -f del fichero de log

fw log -n -p | grep ‘src: 1.2.3.4;.*dst: 2.3.4.5;.*sport_svc: 443;’ -> con filtros

cpstat fw -f log_connection para comprobar el estado de conexión de los nodos contra el log server.

fw logswitch -> rota el fichero de log.

fw ctl iflist -> Listado de los interfaces (con nombre).

Para forzar el failover (ojo que solo funciona de Activo a pasivo, si lo quieres hacer al revés (es decir, forzar que el pasivo se ponga activo) hay que hacerlo a lo «bestia».

FWDIR/bin/clusterXL_admin down -> active a standby
FWDIR/bin/clusterXL_admin up -> de vuelta

Eso si, no he encontrado ninguna forma de forzar a que un standby se vaya a master (¿para que poner un botón estilo Stonegate?). Salvo forzar un fallo en el active (poniendo un interface en sh durante un rato).

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk55081#Initiating%20a%20manual%20failover

save configuration grabar la configuración en modo texto (para luego sacar el fichero y analizarlo fuera).

show access-rulebase xx para ver una regla (en modo texto).

show access-layers para ver todas las reglas.

fw tab -t vpn_routing -u -f para comprobar si los dominios de encriptacion están correctos, te muestra que redes se alcanzan por que vpns (se puede usar con | grep para comprobar un origen o un destino).

vpn overlap_encdom communities –s comprobar si hay «overlap» de dominios de encriptación

dmiparse | grep «Product Name»
dmiparse | grep «Serial» -> Para saber el serial number.

8 comentarios sobre «Comandos en checkpoint»

  1. arp
    fw ctl arp para ver las entradas sobre las que se esta haciendo proxy arp
    $FWDIR/conf/local.arp

    MAC

    Ademas hay que habilitar en las global properties – NAT – Merge manual proxy arp configuration

    Solo para NAT’s manuales

  2. Borrar entradas de la tabla de conexiones
    fw tab -t connections -x -e «entradaaborrar»

    entrada a borrar tiene que ser asi : 00000000, 0a256bad, 0000008a, 0a24914b, 0000008a, 00000011 (toda la entrada justo antes del ; ).

    Además aqui hay un documento con los comandos del cmd.

  3. Debug VPN’s
    vpn debug trunc para activarlo
    vpn debug off
    vpn debug ikeoff

    los logs en $FWDIR/log/ike.elg y $FWDIR/log/vpnd.elg

    Es chungo interpretar los mismos, alguien sabe si hay algun documento donde explique el formato?

Los comentarios están cerrados.