Affichage de la table de connexions :

Summary

$ fw tab -t connections -s
HOST                  NAME                               ID #VALS #PEAK #SLINKS
localhost             connections                      8158  7306 13586   23388
  • HOST : le host
  • NAME : nom de la table
  • ID : ID de la table
  • #VALS : nombre de connexion au moment ou la commande est lancée.
  • #PEAK : nombre de connexion max vu depuis le dernier boot.
  • #SLINKS : nombre de lien symbolique sur les connexions réels, environ 4 x nb de connexion.

Human readable

$ fw tab -t connections -f
ocalhost:
Date: Dec 10, 2014
10:01:03        192.168.1.1 >     : (+)====================================(+); Table_Name: connections; : (+); Attrib
utes: dynamic, id 8158, attributes: keep, sync, aggressive aging, kbufs 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
33 34, expires 25, refresh, limit 500000, hashsize 131072, free function 65bfbe74 0, post sync handler 65c009c4; product:
VPN-1 & FireWall-1;

10:01:03        192.168.1.1 >    : -----------------------------------(+); Direction: 1; Source: 192.168.1.4; SPort:
37878; Dest: 192.168.22.3; DPort: 161; Protocol: udp; CPTFMT_sep_1: ->; Direction_1: 0; Source_1: 192.168.1.4; SPort_1:
37878; Dest_1: 192.168.22.3; DPort_1: 161; Protocol_1: udp; FW_symval: 2; product: VPN-1 & FireWall-1;
...

En mode matrix

$ fw tab -t connections
localhost:
-------- connections --------
dynamic, id 8158, attributes: keep, sync, aggressive aging, kbufs 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34, expires 25, refresh, limit 300000, hashsize 131072, free function 6598ee74 0, post sync handler 698877c4
<00000001, ff337689, 0000a92a, cf67980a, 00000000, 00000001> -> <00000000, f89a8932, 0000782a, 99189983, 00000000, 00000001> (00000002)
<00000001, c089988a, 00001e90, cef78908, 0000047e, 00000006> -> <00000000, 89898989, 0000095e, 12121212, 00001a90, 00000006> (00000005)
  • les informations sont en Hexa.
    Dans les 2 dernières commandes (qui sont les mêmes au passage avec un niveau le lisibilité différent …), il y a en plus des informations de connexions la limit du nomber de connexion. Cette valeur est paramétrable sur la SmartCenter, attention son à tuner en fonction du modèle et de ses performances/RAMs …

Afficher les process monitorés par Watch Dog :

$ cpwd_admin list
cpwd_admin:
APP        PID    STAT  #START  START_TIME             COMMAND              MON  
CPD        794    E     1       [16:42:27] 24/11/2014  cpd                  Y
FWD        1527   E     1       [16:43:06] 24/11/2014  fwd                  N
RTMD       1690   E     1       [16:45:06] 24/11/2014  rtmd                 N
  • APP — Application. Le nom du procees.
  • PID — Process Identification Number.
  • STAT — Indique l’état du procees Existe ou Terminé.
  • #START — Nombre de démarrage depuis que cpwd est démarré.
  • START TIME — La dernière fois que le process à démarré.
  • COMMAND — La commande que cpwd urilise pour démarrer le process.
  • MON - non documenté … mais doit être les process qui sont activement monitorés (cf cmd cpwd_admin monitor_list)

Afficher les process activement monitorés par Watch Dog:

$ cpwd_admin monitor_list
cpwd_admin:
APP       FILE_NAME                     NO_MSG_TIMES  LAST_MSG_TIME
CPD       CPD_777_1419999747.mntr       0/10          [09:51:04] 15/12/2014

Connaître la Management Server sur un Module

$ cat $FWDIR/conf/masters
[Policy]
hostname_of_Management_Server
[Log]
hostname_of_Management_Server
[Alert]
hostname_of_Management_Server

Information sur la Policy et Interfaces :

$cpstat fw

Policy name:  NOM_DE_LA_POLICY
Install time: Mon Dec  8 09:59:00 2014


Interface table
-------------------------------------------------
|Name   |Dir|Total    |Accept   |Deny  |Log     |
-------------------------------------------------
|eth1c0 |in |    26531|    26492|    39|     298|
|eth1c0 |out|    70233|    70233|     0|       0|
.......
|eth3c0 |in |        0|        0|     0|       0|
|eth3c0 |out|        0|        0|     0|       0|
-------------------------------------------------
|       |   |127391701|126441595|950106|22018786|
-------------------------------------------------


ISP link table
------------------
|Name|Status|Role|
------------------

Information sur les licenses :

# cplic print
Host             Expiration  Features
IP_Management    never       CPSB-FW CPSB-VPN .....

Contract Coverage:

There is no contract coverage for the above licenses.

Afficher le nom de la Policy et infos interfaces

$ fw stat
HOST      POLICY     DATE
localhost NOM_POLICY  8Dec2014  9:59:00 :  [>eth1c4] [<eth1c4] [>eth1c3] [<eth1c3] [>eth1c2] [<eth1c2] [>eth1c1] [<eth1c1] [>eth1c21] [<eth1c21]

Idem en plus verbeux

fw stat -l
HOST       IF     POLICY      DATE              TOTAL REJECT   DROP ACCEPT    LOG
localhost >eth1c0 NOM_POLICY  8Dec2014  9:59:00  26596      0     39  26557    298
localhost <eth1c1 NOM_POLICY  8Dec2014  9:59:00  70428      0      0  70428      0
localhost >eth2c0 NOM_POLICY  8Dec2014  9:59:00  55481      0    120  55361   2017
localhost <eth2c1 NOM_POLICY  8Dec2014  9:59:00 268447      0      0 268447      0

Afficher la liste des tables

$ fw tab
localhost:
-------- vsx_firewalled --------
static, id 0

-------- firewalled_list --------
static, id 1
<03030301, 03030303>
<0a5122d2, 0a5122d2>
<0a6196cb, 0a6196cb>
<500eba1f, 500eba1f>
<ac111269, ac11126b>
<ac111291, ac111293>
<bd09c9c6, bd09c9c6>
<c0a80201, c0a80203>
<c0a80205, c0a80206>
<c0a80211, c0a80213>
<c0a80215, c0a80216>
<c0a80219, c0a8021b>
<c0a8021d, c0a8021e>
<c0a80221, c0a80223>
<c0a8023c, c0a8023e>
<c0a80244, c0a80246>
...(68 More)

.....

Afficher la version des Firewalls

$ fw ver
This is Check Point VPN-1(TM) & FireWall-1(R) R71.20 - Build 011

Debug drop sur la gateway firewall

[Expert@Gaia:0]# fw ctl zdebug + drop | grep '192.168.1.1'
;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;
;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;
;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;
;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;

Connexions par CPU

[Expert@Gaia:0]# fw ctl multik stat
ID | Active  | CPU    | Connections | Peak
----------------------------------------------
0 | Yes     | 15     |        5391 |   207931
1 | Yes     | 14     |        5161 |   138383
2 | Yes     | 13     |        5605 |   245361
3 | Yes     | 12     |        6649 |   170029
4 | Yes     | 11     |       10033 |   173560
5 | Yes     | 10     |        7413 |   138815
6 | Yes     | 9      |        7193 |   171840
7 | Yes     | 8      |        8704 |   278864
8 | Yes     | 7      |        5450 |   173328
9 | Yes     | 6      |        5659 |   242624

Affectation des CPU/IRQ

[Expert@Gaia:0]# fw ctl affinity -l -v
Interface eth1-01 (irq 75): CPU 3
Interface eth1-02 (irq 99): CPU 4
Interface eth1-03 (irq 115): CPU 5
Interface eth1-04 (irq 131): CPU 2
Interface eth1-05 (irq 147): CPU 1
Interface Mgmt (irq 140): CPU 0
Interface Sync (irq 108): CPU 0
Kernel fw_0: CPU 15
Kernel fw_1: CPU 14
Kernel fw_2: CPU 13
Kernel fw_3: CPU 12
Kernel fw_4: CPU 11
Kernel fw_5: CPU 10
Kernel fw_6: CPU 9
Kernel fw_7: CPU 8
Kernel fw_8: CPU 7
Kernel fw_9: CPU 6

ou

[Expert@Gaia:0]# fw ctl affinity -l
eth1-01: CPU 3
eth1-02: CPU 4
eth1-03: CPU 5
eth1-04: CPU 2
eth1-05: CPU 1
Mgmt: CPU 0
Sync: CPU 0
fw_0: CPU 15
fw_1: CPU 14
fw_2: CPU 13
fw_3: CPU 12
fw_4: CPU 11
fw_5: CPU 10
fw_6: CPU 9
fw_7: CPU 8
fw_8: CPU 7
fw_9: CPU 6