Listado de comandos que se utilizan normalmente en checkpoint firewall-1, estos están probados en NGX R65 y en R77.30 (y ahora en R88.20).
En nodos: fw unloadlocal -> para quitar la política activa en un nodo, útil para probar si te quedas sin acceso.
fw tab -s -t connections -> para sacar el número de conexiones que tienes activas en el fw
fw ctl pstat -> Estadísticas de paquetes y uso de memoria en el nodo.
fw putkey -p passwd [host] -> Para volver a sincronizar los nodos con la consola, pasa poco (antiguamente se desincronizaban constantemente) pero bueno.
fw fetch [consola] Para subirle la ultima política al nodo (cuando la cagas, la desinstalas o cambias algo en la interface)
cpstat fw -> Para ver la fecha (y el nombre) de la ultima política instalada (fw stat te da la misma información.
ips stat -> lo mismo pero con las reglas del IPS
fw monitor (el sniffer), hay un montón de opciones, las mas comunes son:
fw monitor -e «accept src=xx.xx.xx.xx;» (ojo con el punto y coma del final )
fw monitor -e «accept src=xx.xx.xx.xx or src=»yy.yy.yy.yy;» (ojo con el punto y coma del final, solo del utlimo)
fw monitor -e «accept src=xx.xx.xx.xx;» -o /tmp/fichero.cap
Acepta expresiones complejas (and, or), hay una lista enorme de comandos (el manual se puede bajar del web de Soporte.). aqui hay un tutorial con algunos comandos mas.
En la consola: fwm sic-reset para resetear la CA interna de la consola, hay que hacerlo si cambias el nombre de la maquina.
cphaprob state para ver el estado de sincronización de los nodos.
cphaprob -l list -> lo mismo en versiones nuevas.
cphaprob -a if -> estado de los interfaces (y de los checks).
https://sc1.checkpoint.com/documents/R76/CP_R76_ClusterXL_AdminGuide/7298.htm
show routed cluster-state detailed para ver el estado del cluster.
Un post con mas comandos útiles:
https://community.checkpoint.com/thread/5319-my-top-3-check-point-cli-commands
fw ctl zdebug + drop | grep ‘x.x.x.x\|z.z.z.z’ -> Para ver paquetes dropeados, y el porqué.
fw tab -s -t userc_users -> Usuarios conectados por VPN.
fw log -f -> Tail -f del fichero de log
fw log -n -p | grep ‘src: 1.2.3.4;.*dst: 2.3.4.5;.*sport_svc: 443;’ -> con filtros
cpstat fw -f log_connection para comprobar el estado de conexión de los nodos contra el log server.
fw logswitch -> rota el fichero de log.
fw ctl iflist -> Listado de los interfaces (con nombre).
Para forzar el failover (ojo que solo funciona de Activo a pasivo, si lo quieres hacer al revés (es decir, forzar que el pasivo se ponga activo) hay que hacerlo a lo «bestia».
FWDIR/bin/clusterXL_admin down -> active a standby
FWDIR/bin/clusterXL_admin up -> de vuelta
Eso si, no he encontrado ninguna forma de forzar a que un standby se vaya a master (¿para que poner un botón estilo Stonegate?). Salvo forzar un fallo en el active (poniendo un interface en sh durante un rato).
save configuration
show access-rulebase xx para ver una regla (en modo texto).
show access-layers para ver todas las reglas.
fw tab -t vpn_routing -u -f para comprobar si los dominios de encriptacion están correctos, te muestra que redes se alcanzan por que vpns (se puede usar con | grep para comprobar un origen o un destino).
vpn overlap_encdom communities –s comprobar si hay «overlap» de dominios de encriptación
dmiparse | grep «Product Name»
dmiparse | grep «Serial» -> Para saber el serial number.
arp
fw ctl arp para ver las entradas sobre las que se esta haciendo proxy arp
$FWDIR/conf/local.arp
Ademas hay que habilitar en las global properties – NAT – Merge manual proxy arp configuration
Solo para NAT’s manuales
Borrar entradas de la tabla de conexiones
fw tab -t connections -x -e «entradaaborrar»
entrada a borrar tiene que ser asi : 00000000, 0a256bad, 0000008a, 0a24914b, 0000008a, 00000011 (toda la entrada justo antes del ; ).
Además aqui hay un documento con los comandos del cmd.
Overlap de dominios de encriptacion
vpn overlap_encdom communities –s
Debug VPN’s
vpn debug trunc para activarlo
vpn debug off
vpn debug ikeoff
los logs en $FWDIR/log/ike.elg y $FWDIR/log/vpnd.elg
Es chungo interpretar los mismos, alguien sabe si hay algun documento donde explique el formato?
Para ver este archivo usa
Para ver este archivo usa IKEView
Gracias
Gracias por la respuesta, probare a ver…
Mirar drops por consola
fw ctl zdebug drop
vsx r77.30
Disculpen,
Comando para ver marca, modelo y serie???
Gracias / saludos