Check Point Firewall Komutları
Bu yazımda check Point üzerinde kullanılan yararlı komutlardan oluşan küçük bir derleme yaparak sizlerle paylaşmak istedim. Ara ara bu şekilde yararlı komutları ve ne işe yaradıklarını paylaşarak özellikle monitoring ve troubleshooting işlemlerinde daha iyi analizler yapabilmeniz adına sizlerle paylaşıyor olacağım.
Fw stat komutu ile initial policy görüntülenir.
Fw unloadlocal => Son yüklenen Policy’ler kaldırılır.
Cpstop : Check Point servisleri durdurulur.
Cpstart : Check Point servisleri başlatır.
Cpconfig : Check Point konfigürasyonu ile ilgili işlemlerin yapılmasını sağlar.
İfconfig –a => Check Point üzerindeki tüm network kartlarının ip adreslerini görüntüler.
Netstat –rn : Route tablosunu gösterir.
Free –k => Ram miktarını görüntüler.
Top : sistemde kullanılan uygulamaları listeler.
Ps-ef : Sistem üzerinde çalışan tüm servisleri gösterir.
Netstat –i : Network adaptore gelen ve droplanan istekleri görüntüler.
Tcpdump –i eth0 : Eth0 üzerinden geçen tcp trafiğini görüntüler.
Örnek : Tcpdump –i eth0 host 192.168.1.222 | grep –v https
Sysctl –a |grep ip –for *
Fw monitor : Troubleshooting Analyze Tool’u
Check Point User Map’i Görüntüleme
Check Point Security Gateway üzerindeki tüm user map’i görüntülemek için;
pdp monitor all
Check Point Üzerinde TCPDUMP ile Packet Yakalama
IDS tarafından şüpheli aktivitelere ait bir paketin içeriğini görmek isteyebilirsiniz. Bu durumda paketin içeriğini görüntülemek için;
tcpdump -nnvvXSs 1514 -i eth0
Check Point Log yönetimi
Bulunduğunuz directory’deki dosyaların boyutunu görüntülemek için;
du –ch | more
Belirli bir tarihteki logları görüntülemek için cd $FWDIR/log directory’sinde;
ls -l |grep 2012 | more
fw lslogs komutu ile direkt olarak log directory’si görüntülenebilir.
netstat -na |grep 80 komutu ile 80 numaralı portun açık olup olmadığı kontrol edilebilir.
fw logswitch komutu ile aktif olan fw.log dosyasını kaydedilebilir.
fw repairlog -u logismi.log komutu ile sorunlu log dosyaları onarılabilir.
Belirli bir porta ait paketleri yakalamak için;
tcpdump -i any port 80 komutu ile 80 numaralı portu kullalan paketler yakalanabilir.
Check Point SPLAT Komutları
| clock | display date and time on firewall |
| cpconfig | change SIC, licenses and more |
| cphaprob ldstat | display sync serialization statistics |
| cphaprob stat | list the state of the high availability cluster members. Should show active and standby devices. |
| cphaprob syncstat | display sync transport layer statistics |
| cphastop | stop a cluster member from passing traffic. Stops synchronization. (emergency only) |
| cplic print | license information |
| cpstart | start all checkpoint services |
| cpstat fw | show policy name, policy install time and interface table |
| cpstat ha | high availability state |
| cpstat os -f all | checkpoint interface table, routing table, version, memory status, cpu load, disk space |
| cpstat os -f cpu | checkpoint cpu status |
| cpstat os -f routing | checkpoint routing table |
| cpstop | stop all checkpoint services |
| cpwd_admin monitor_list | list processes actively monitored. Firewall should contain cpd and vpnd. |
| expert | change from the initial administrator privilege to advanced privilege |
| find / -type f -size 10240k -exec ls -la {} \; | Search for files larger than 10Mb |
| fw ctl iflist | show interface names |
| fw ctl pstat | show control kernel memory and connections |
| fw exportlog -o | export the current log file to ascii |
| fw fetch 10.0.0.42 | get the policy from the firewall manager (use this only if there are problems on the firewall) |
| fw log | show the content of the connections log |
| fw log -b |
search the current log for activity between specific times, eg fw log -b “Jul 23, 2009 15:01:30” “Jul 23,2009 15:15:00” |
| fw log -c drop | search for dropped packets in the active log; also can use accept or reject to search |
| fw log -f | tail the current log |
| fwm logexport -i |
export an old log file on the firewall manager |
| fw logswitch | rotate logs |
| fw lslogs | list firewall logs |
| fw stat | firewall status, should contain the name of the policy and the relevant interfaces, i.e. Standard_5_1_1_1_1 [>eth4] [<eth4] [<eth5] [>eth0.900] [<eth0.900] |
| fw stat -l | show which policy is associated with which interface and package drop, accept and reject |
| fw tab | displays firewall tables |
| fw tab -s -t connections | number of connections in state table |
| fw tab -t xlate -x | clear all translated entries (emergency only) |
| fw unloadlocal | clear local firewall policy (emergency only) |
| fw ver | firewall version |
| fwm lock_admin -h | unlock a user account after repeated failed log in attempts |
| fwm ver | firewall manager version (on SmartCenter) |
| ifconfig -a | list all interfaces |
| log list | list the names of the logs |
| log show |
display a specific log, ‘log show 33′ will display “Can’t find my SIC name in registry” if there are communication problems |
| netstat -an | more | check what ports are in use or listening |
| netstat -rn | routing table |
| passwd | change the current user’s password |
| ps -ef | list running processes |
| sysconfig | configure date/time, network, dns, ntp |
| upgrade_import | run ‘/opt/CPsuite-R65/fw1/bin/upgrade_tools/upgrade_import’ after a system upgrade to import the old license and system information. |
| hwclock | show the hardware clock. If the hardware and operating system clocks are off by more than a minute, sync the hardware clock to the OS with “hwclock –systohc” |
| fw fetch 10.0.0.42 | Manually grab the policy from the mgmt server at 10.0.0.42 |
| fw log -f | Shows you realtime logs on the firewall – will likely crash your terminal |
What's Your Reaction?
