与我最有人口的帖子“基本检查点盖亚CLI命令(提示和技巧)“, 我想
在我的日常工作中收集一些更高级的故障排除命令进入这篇文章。实际上,一些命令不仅适用于CheckPoint Gaia,它也是SPLAT或IPSO平台。这篇文章一旦我有新的东西就会继续更新。

目录

1. FW CTL链条

检查检查点安全网关包检查订单/链。有关更多详细信息,请查看帖子“ 防火墙(安全网关)如何处理数据包?

连锁(18):
        0:-7F800000(F28854F0)(FFFFFFFF)IP选项条(IN)(IPOPT_STRIP)
        1:-7D000000(F1796F10)(00000003)VPN Multik Forward
        2: - 2000000(F177CB70)(00000003)VPN解密(VPN)
        3: - 1FFFFF8(F1787C00)(00000001)L2TP入站(L2TP)
        4: - 1FFFFF6(F2886CA0)(00000001)无状态验证(符合ASM)
        5: - 1FFFFF5(F28BCE30)(00000001)FW Multik MISC Prodo转发
        6: - 1FFFFF2(F17A4DF0)(00000003)VPN标记入站(标记)
        7: - 1FFFFF0(F177A150)(00000003)VPN解密验证(VPN_VER)
        8: - 1000000(F29049C0)(00000003)SecureXL CONN同步(SECXL_SYNC)
        9:0(F282F810)(00000001)FW VM入站(FW)
        10:1(F28A6B30)(00000002)线VM入站(Wire_VM)
        11:2000000(F177B5E0)(00000003)VPN策略入站(VPN_POL)
        12:10000000(F2902CB0)(00000003)SecureXL入站(SECXL)
        13:7F600000(F287AB70)(00000001)FW SCV入站(SCV)
        14:7F730000(F2A13500)(00000001)被动流(in)(pass_str)
        15:7F750000(F2C0BEF0)(00000001)TCP流(IN)(CPA)
        16:7F800000(F2885890)(FFFFFFFF)IP选项还原(IN)(IPOPT_RES)
        17:7FB00000(F2FAC050)(00000001)HA转发(HA_FOR)
输出链(15):
        0:-7F800000(F28854F0)(FFFFFFFF)IP选项条带(OUT)(IPOPT_STRIP)
        1:-78000000(F1796EF0)(00000003)VPN Multik Forward Out
        2: - 1FFFFFF(F1779A10)(00000003)VPN NAT出站(VPN_NAT)
        3: - 1FFFFF0(F2C0BD70)(00000001)TCP流(OUT)(CPA)
        4: - 1FFFF50(F2A13500)(00000001)被动流(OUT)(PASS_STR)
        5: - 1FF0000(F17A4DF0)(00000003)VPN标记出站(标记)
        6: - 1F00000(F2886CA0)(00000001)无状态验证(OUT)(ASM)
        7:0(F282F810)(00000001)FW VM出站(FW)
        8:1(F28A6B30)(00000002)线VM出站(WIE_VM)
        9:2000000(F1779C30)(00000003)VPN策略出站(VPN_POL)
        10:10000000(F2902CB0)(00000003)SecureXL出站(SECXL)
        11:1FFFFFF0(F17887B0)(00000001)L2TP出站(L2TP)
        12:20000000(F177D5B0)(00000003)VPN加密(VPN)
        13:7F700000(F2C0E340)(00000001)TCP流邮政VM(CPA)
        14:7F800000(F2885890)(FFFFFFFF)IP选项还原(OUT)(IPOPT_RES)

2.代理ARP.

一种。使用盖亚门户网站。
网络管理 - > Arp -> Proxy ARP

湾使用命令行(在盖亚中):
添加ARP Proxy IPv4-Address 172.16.0.8接口eth0 real-IPv4-Address 172.16.0.22

实际上上面的盖亚命令将自动转换为名为local.arp的文件

C。使用命令行(在专家模式下):
然后将信息直接插入/opt/cpsuite-r76/fw1/conf/local.arp
Echo“172.16.0.8 00:0C:29:F1:B7:74 172.16.0.22”>>$ fwdir / conf / local.arp


使用命令“FW CTL ARP”策略推送后验证更改:

[[电子邮件 protected]:0]# FW CTL ARP.
 (10.9.3.21)在00-1c-7f-32-cc-15
 (10.9.3.53)在00-1c-7f-32-cc-15
 (10.9.3.35)在00-1c-7f-32-cc-15
 (10.9.3.26)在00-1c-7f-32-cc-15
 (10.9.3.29)在00-1c-7f-32-cc-15
 (10.9.3.80)在00-1c-7f-32-cc-15
 (191.24.11.13)在00-1c-7f-33-07-ae接口191.24.11.116
 (10.9.3.25)在00-1c-7f-32-cc-15
 (10.9.3.61)在00-1c-7f-32-cc-15
 (10.9.3.28)在00-1c-7f-32-cc-15
 (10.9.3.24)在00-1c-7f-32-cc-15
 (10.9.3.27)在00-1c-7f-32-cc-15

FW-Gaia.> 显示ARP代理全部
IP地址MAC地址/接口实际IP地址

200.0.0.102 eth0

参考: 检查点SPLAT手动代理ARP配置示例

3. FW CTL Zdebug掉落

列出所有丢弃的数据包实时列出了解释为什么数据包丢弃

4. TCPDUMP.

  • TCPDUMP端口257.   , < - 在防火墙上,这将允许您了解日志是否从防火墙传递给管理器,以及它们正在上网的地址。
  • tcpdump -i wan.15  < - 捕获此界面上的所有内容
  • TCPDUMP -I ETH1.16 ICMP  < - 拍摄此界面上的ping
  • tcpdump -i mgmt -vvv -s0 -w tcpdumpfile.log   < - 这将完整数据包捕获到Wirshark的文件中的文件-s0停止缩短的文件
  • tcpdump -i int端口67   <– view dhcp requests
  • tcpdump -ep-nni任何主持人10.9.4.30 < - 使用-nn选项,可在执行捕获时显示名称和服务端口分辨率; -e在每个转储行上打印链路级标头。例如,这可以用于打印用于以太网和IEEE 802.11的协议的MAC层地址。 -p-no-promisuous-mode。
  • tcpdump -i任何  < - 任何可用于告诉TCPDump侦听所有接口
  • tcpdump-n.  < - 禁用查找和翻译主机名和端口。

参考: 了解TCPDump输出

5. FW Monitor.

  • FW Monitor -e'接受主机(192.168.1.12);'   < - 显示IP 192.168.1.12的数据包作为SRC或DST
  • fw monitor -e'接受src = 192.168.1.12和dst = 192.168.3.3.3;' < - 从192.168.1.12到192.168.3.3的所有数据包
  • fw monitor -pi ipopt_strip -e'接受udpport(53);' < - 发出UDP端口53(DNS)数据包,预启动位置是'IPPOT_STRIP'之前
  • fw monitor -m o -e'接受UDP和(运动>1023 or dport>1023);’ < - 显示Updows或者到未体现的端口,仅显示出邮件
  • fw monitor -e'接受网(192.168.1.0,24)和tracert;' <-show windows traceroute(ICMP,TTL<30)来自和网络192.168.1.0/24
  • fw monitor -v 23 -e'接受tcpport(80);' < - 用于捕获VSX虚拟系统ID 23的Web流量
  • fw monitor -e'接受ip_p = 50和ifid = 0;' < - 与ID 0的接口上的所有ESP(IP协议50)数据包(列表接口和相应的ID fw ctl iflist.)
  • srfw monitor -o output_file.cap < - Securemote / SecureClient客户端上的流量进入文件。 srfw.exe. 是$ srdir / bin(c:program filescheckpointsecuremotebin)

6. VPN TU.

VPN. TU.  或者  VPN. Tunnelutil.

********** Select Option **********

(1)  List all IKE SAs
(2)  List all IPsec SAs
(3)  List all IKE SAs for a given peer (GW) or user (Client)
(4)  List all IPsec SAs for a given peer (GW) or user (Client)
(5)  Delete all IPsec SAs for a given peer (GW)
(6)  Delete all IPsec SAs for a given User (Client)
(7)  Delete all IPsec+IKE SAs for a given peer (GW)
(8)  Delete all IPsec+IKE SAs for a given User (Client)
(9)  Delete all IPsec SAs for ALL peers and users
(0)  Delete all IPsec+IKE SAs for ALL peers and users

(Q)  Quit 

7.磁盘/文件/文件夹命令

CheckPoint SK60080显示一些解决SPLAT / GAIA / IPSOS / Lunix OS系统上过度磁盘消耗的解决方案。以下是一些有用的命令:
一种。 df -h.  (查看分区表及其相关利用率)
湾 du-h-max-depth = 1 /选择| sort -n -r.   (在目录级别检查磁盘空间使用量)
C。 ls -1 $ fwdir / conf / db_versions /存储库/ | WC -L.   (检查安全管理服务器上的数据库修订的数量)
天。 LS -L $ RTDIR /分配/ * | WC -L.  (计数记录的数量)
e。 Evstop. & Evstart. (停止/启动Eventia / Smartevent)
F。 RM -R $ RTDIR /分配/ * (清除该目录的陈旧记录)

G。 ls -lr / var / log / dump / userermode /   (查找并删除旧核心转储文件)
H。 ls -lr / var /崩溃/  (查找并删除旧核心转储文件)
一世。 RM $ FWDIR / log / 2009 * .log *  (删除2009年的所有旧日志文件)

8.连接

CP-1> FW Tab -T Connections -S
主机名ID #vals #顶峰 #SLINKS
localhost连接8158 77   948     179

笔记: 
名称ID是实际的表编号。 
Vals Colum是命令运行时连接表中的当前连接数。 
峰值编号是自上次重新引导以来已记录的最大连接数。 
SLINKS表是指向真实连接条目的符号链接表。每个连接通常有4个符号链接。这种方式无论数据包到来哪个方向,都会有一个条目。它比那更重要,但这是一般的想法。

CP-1> FW CTL PSTAT.

系统容量摘要:
  使用的记忆:8%(696 MB的62 MB) - 水印以下
  并发连接:0%(24900中的79) - 水印以下
  侵略性老化处于检测模式

哈希内核内存(HMEM)统计信息:
  分配的总内存:17408中的71303168字节(4096字节)块使用1个池
  使用的总内存字节:9703728未使用:61599440(86.39%)峰值:18891512
  使用总内存块:2665未使用:14743(84%)峰值:4705
  分配:198489371 Alloc,0失败Alloc,198382561免费

系统内核内存(SMEM)统计信息:
  使用总内存字节:117769900峰值:120093268
  浪费的总内存字节:996590
    阻止使用的存储器字节:2530356峰值:2557584
    非阻塞内存字节使用:115239544峰值:117535684
  分配:433810 Alloc,28个失败的Alloc,免费,4.5,0失败
  使用VMalloc字节:114086588昂贵:否

内核内存(kmem)统计信息:
  使用总内存字节:56103032峰值:66020104
  分配:198922588 Alloc,28个失败的Alloc
               198815489免费,0失败
  外部分配:0对于数据包,0表示SXL

饼干:
        90753187总计,0 alloc,0免费,
        7839 DUP,2107678 GET,160176放了,
        91154457 LEN,0缓存LEN,0链ALLOC,
        0 chain free

连接:
        231169总计,7807 TCP,4665 UDP,182351 ICMP,
        36346其他,0预期,3次恢复,79次并发,
        948 peak concurrent

碎片:
        0片段,0包,0到期,0短,
        0大,0重复,0故障

NAT:
        80509/0 FORW,5266/0 BCKW,85750 TCPUDP,
        16 ICMP,10440-949656 Alloc

同步:
        Version: new
        状态:能够发送/接收同步数据包
        Sync packets sent:
         总计:864451,重新发送:0,retrans reqs:15,Acks:1826
        收到同步数据包:
         总计:3614413,排队:30,按网掉落:15
         retrans reqs:0,收到11745 acks
         retrans reqs for非法seq:0
         由于SYNC过载导致的更新:0
        回调统计:处理11588 CB,平均延迟:1,最大延迟:5

9.检查点securexl

要启用securexl,请运行命令:
cp [admin]# Fwaccel On.

要禁用securexl,请运行命令:
cp [admin]# fwaccel off

注意:FWACCEL OFF命令不是持久性,并且在重新启动系统后将再次启用SECUCEXL。可以通过cpconfig实用程序永久禁用securexl。

检查加速连接的数量和其他securexl统计:cp [admin]# netstat -f.
检查加速SA的数量(VPN流量):CP [admin]# netstat-s.
检查总体securexl统计:cp [admin]# Fwaccel Stat.

10.查看CLI的检查点日志

专家模式 

fw log -n |更多的fw log -n -f | https.

或者 
没有管道的正常模式

11.管理服务器上的修订控制版本位置

[[电子邮件 protected]]# cd /opt/cpsuite-r75.20/fw1/conf/db_versions/repository/

[[电子邮件 protected]]#ls.1 11 12 13 14 15 16 18 2 3 4 5 6 7 8 9

所有版本都在这些数字目录中。实际版本信息在Versioning_db.fws中

[[电子邮件 protected]]# CD数据库/ 

[[电子邮件 protected]]#ls.VersionSing_db.fws.

12.改变BASH和CLISH之间的用户CLI

主机名> 设置用户管理shell / bin / bash
主机名> save config

[[电子邮件 protected]]# dbset passwd:admin:shell /etc/cli.sh
[[电子邮件 protected]]# DBSET:拯救

或者

CHSH -S / BIN / BASH Admin

CHSH. -s /etc/cli.sh管理员

对于SPLAT,默认shell是/ bin / cpshell,其未显示/ etc / shells文件。

CHSH -S / BIN / CPSHELL Admin

[[电子邮件 protected] ~]$ 猫/ etc / shells
/ bin / sh
/ bin / bash
/ bin / bash2
/ bin / tcsh
/ bin / csh
改变root shell。
新壳[/ bin / cpshell]:/ bin / bash
壳改变了。

13.在盖亚启用SFTP

[[电子邮件 protected]]# VI / etc / ssh / sshd_config 

通过删除磅'#'字符取消注释'sftp-server'行: 

#subsystem sftp / usr / libexec / openssh / sftp-server

子系统sftp / usr / libexec / openssh / sftp-server

[[电子邮件 protected]]# /etc/init.d/sshd重启

注意:请查看我的上一篇文章: 使SFTP启用到CheckPoint Gaia OS系统 for more details.

14.在Gaia或Splat上安装修补程序

[[电子邮件 protected]]# 柏油 -ZXVF. check_point_hotfix_version_os_sk104443.tgz.
[[电子邮件 protected]]# ./secureplatform_hotfix_name.
[[电子邮件 protected]]# 重启

在群集环境中安装jumbo修补程序的步骤r77.20:
一种。在备用群集成员(CP2)上安装修补程序然后重新启动它
湾在备用群集完成重新启动后,将来自活动集群成员(CP1)的故障转移到备用群集(CP2)
C。在CP1上安装修补程序并重新启动它。

[[电子邮件 protected]:0] #md5sum check_point_pl77.20.linux.tgz 
D788583CF44389B83B0DD6990CB53F63 CHECK_POINT_R77.20.LINUX.TGZ.

[[电子邮件 protected]:0]#tar -zxvf check_point_r77.20.linux.tgz 

行动/
操作/ cpconfig.
行动/校验包装
操作/ crsvalidator.
行动/ getpa.
......


[[电子邮件 protected]:0]#./unixinstallscript 


************************************************** *********

欢迎查看点R77_20_Jumbo_hf安装 
************************************************** *********
验证R77_20_Jumbo_hf的安装环境...完成!
将安装以下组件:
* r77_20_jumbo_hf.

安装程序即将停止所有检查点进程。

你想继续(是/否)吗? y
停止检查点流程......完成!
安装安全网关/安全管理R77_20_Jumbo_hf ...完成!

安装盖亚r77_20_jumbo_hf ...完成!


安装性能包r77_20_jumbo_hf ...完成!


安装移动访问R77_20_Jumbo_hf ...完成!



************************************************** **********************

包名称状态
---- -
安全网关/安全管理R77_20_JUMBO_HF成功

盖亚r77_20_jumbo_hf成功


性能包R77_20_Jumbo_hf成功


移动访问R77_20_Jumbo_hf成功



************************************************** **********************


安装程序成功完成。

您是否希望重新启动您的机器(Y / N)? y

来自admin(pts / 2)的广播消息(2015年10月26日16:37:44):


现在,系统正在重新启动!


来自admin(pts / 2)的广播消息(2015年10月26日16:37:44):


现在,系统正在重新启动!

[[电子邮件 protected]:0]# 

15. SSH超时解决方案

一种。增加超时
设置不活动 - 超时720

湾忽略挂断
[[电子邮件 protected]:0]# FW Monitor -e“接受主机(172.16.0.1);” -o test.cap.& [1] 27524
[[电子邮件 protected]:0]# ps-aux | grep“fw显示器”
Admin 27524 0.7 2.1 88268 21256 PTS / 2 S 14:09 0:00 FW Monitor -e接受主机(172.16.0.1); -o test.cap.

使用此命令否认进程,指定PID:

否认27524.

关闭,或者由于超时而具有SSH会话结束将不再将挂起发送到此进程,因为它不再是SSH会话的子进程。

可以稍后启动新的SSH会话或控制台会话,并且可以手动杀死此过程以停止它。

杀死2752​​4.

[[电子邮件 protected]:0]# Nohup fw ctl kdebug -t -f -o debug.txt -m 10 -s 50000& [1] 30209
nohup:将输出附加到'nohup.out'

此示例正在创建循环调试文件,10个文件,最大为50000kb。同样,将显示PID,命令的输出被送到文本文件“NOHUP.OUT”。

SSH会话可以通过“退出”或超时结束,并且将忽略发送给此子进程的挂起,调试将继续运行,直到我们再次登录并手动杀死PID。

16. ClusterXL故障排除

16.1强制失败

这将创建一个在当前群集成员处处于问题状态的PNote(问题通知),并强制故障转移到另一个成员:

CPPAPROB -D FAILS问题-T 0寄存器

验证它的问题状态

cphaprob att.

CPHAPROB -I列表

(你应该看到问题状态的“失败”)

完成测试后,运行这两个以重置它:

CPHAPROB -D FAILE -S OK REPORCPPAPROB -D失败未注册

参考: 检查点HA:如何强制故障转移(clusterxl / vrrp)

16.2 Cphaprob命令和疑难解答CLUSTXL问题

FW-CP2很好。但FW-CP1显示了CLUSTXL状态问题。

[[电子邮件 protected]:0]# cphaprob -a if. 

所需接口:5

所需的安全接口:1

ETH1 UP不同步(未确保),组播

eth2 up sync(安全),多播
Mgmt Up不同步(非固定),组播
eth3不同步(未确保),组播(eth3.106)
ETH3 UP不同步(未确保),组播(eth3.102)

虚拟群集接口:6


eth1 2.13.11.60      

eth2 10.1.90.14      
MGMT 10.1.72.14      
eth3.104 10.1.104.14      
eth3.106 10.1.106.14      
eth3.102 10.1.102.14  


FW-CP1> CPHAPROB -I列表

内置设备:


设备名称:接口主动检查

当前状态: 问题

设备名称:HA初始化

当前状态:好的

设备名称:恢复延迟

当前状态:好的

注册设备:


设备名称:同步

注册号:0
超时:无
当前状态:好的
自上次报告以来的时间:64196.3秒

设备名称:过滤器

注册号:1
超时:无
当前状态:好的
自上次报告以来的时间:63492.1秒

设备名称:CPHAD

注册号:2
超时:无
当前状态:好的
自上次报告以来的时间:2.68138E + 06秒

设备名称:FWD

注册号:3
超时:无
当前状态:好的
自上次报告以来的时间:2.68137E + 06秒

设备名称:路由

注册号:4
超时:无
当前状态:好的
自上次报告以来的时间:62898.8秒


通常它是由防火墙接口端口和交换机端口之间的连接引起的。 UDP端口8116将帮助我们了解哪一个未发送保存的数据包:

群集控制协议(CCP)在UDP端口8116上运行,并允许集群成员通过发送保存活动数据包(仅适用于ClusterXL群集)来报告自己的状态并了解其他成员的状态。 CCP还会保持集群成员同步状态。

tcpdump之后显示集群成员1(00:00:00:00:00:FE:FE:00)和集群成员2(00:00:00:00:00:FE:FE:01)两者都发送了8116个CCP数据包。这是正常的。如果您只看到一个发送,您必须检查另一个的交换机端口VLAN配置。您可能会错过一个在交换机中继端口的一个VLAN,它发生在我身上。

[[电子邮件 protected]:0]# tcpdump -enni eth3.102端口8116
tcpdump:verbose输出抑制,使用-v或-vv进行完整协议解码
侦听eth3.102,链接型EN10MB(以太网),捕获大小96字节
11:13:17.497801 00:00:00:00:00:FE:01 >01:00:5E:5B:66:0E,EtherType IPv4(0x0800),长度92:0.0.0.0.8116>10.91.102.0.8116:UDP,长度50
11:13:17.597743 00:00:00:00:FE:01>01:00:5E:5B:66:0E,EtherType IPv4(0x0800),长度76:0.0.0.0.8116>10.91.102.0.8116:UDP,长度34
11:13:17.676067 00:00:00:00:FE:FE:00 >01:00:5E:5B:66:0E,EtherType IPv4(0x0800),长度76:0.0.0.0.8116>10.91.102.0.8116:UDP,长度34
11:13:17.676182 00:00:00:00:00:00:00>01:00:5E:5B:66:0E,EtherType IPv4(0x0800),长度92:0.0.0.0.8116>10.91.102.0.8116:UDP,长度50

注意:上一篇故障排除帖子 -  检查点集群成员,因为接口部分显示


17.永久更改全局内核参数值
存在全局内核参数来控制(自定义)安全网关的行为(内核参数位于$ FWDIR / BOOT / MODULES / FW * MOD *内核模块中)。

这种控制(定制)可以使用 FW CTL集合 int命令(更改立即生效)。但是,重新启动后,内核参数的值返回其默认值。有时,可能需要永久控制(自定义)安全网关的行为。此外,必须在启动时更改某些内核参数。 fwkern.conf文件是包含所有这些内核参数值的文件。如果您的系统中不存在,则需要手动创建它。

在$ fwdir / boot / modules / fwkern.conf文件中的任何更改后,必须重新启动安全网关。


[[电子邮件 protected]:0]# cat /opt/cpsuite-r77/fw1/boot/modules/fwkern.conf. 
fwwha_mac_magic = 40
fwwwha_mac_forward_magic = 41
fw_allow_simultmate_ping = 1
fwwwha_forw_packet_to_not_active = 1


有用的检查点KBS:

  1. SK97638 - 检查点流程和守护进程
  2. SK98348 - 最佳实践 - 安全网关性能

参考:

  1. 检查点/ splat /网络调试备用表
  2. 具有示例的TCPDump底漆
  3. 检查点FW Monitor Cheam Sheet - 20141028
  4. 检查点CLI参考卡 - 20150617由Jens Roesen
  5. 升级ClusterXL部署(R77)


经过 Jon.

发表评论