Scribd
Cargar
123 vistas5 páginas

Troubleshooting Checkpoint

El documento proporciona una guía de comandos y procedimientos para la solución de problemas en sistemas de seguridad, incluyendo verificación de hardware, políticas de firewall, gestión de rutas, migración de configuraciones y administración de clusters. También se detallan comandos específicos para la gestión de conexiones, VPN, y licencias en entornos Gaia. Se incluyen instrucciones sobre cómo cambiar nombres de interfaces y monitorear el estado de procesos y estadísticas del sistema.

Cargado por

Dani Dominguez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
123 vistas5 páginas

Troubleshooting Checkpoint

El documento proporciona una guía de comandos y procedimientos para la solución de problemas en sistemas de seguridad, incluyendo verificación de hardware, políticas de firewall, gestión de rutas, migración de configuraciones y administración de clusters. También se detallan comandos específicos para la gestión de conexiones, VPN, y licencias en entornos Gaia. Se incluyen instrucciones sobre cómo cambiar nombres de interfaces y monitorear el estado de procesos y estadísticas del sistema.

Cargado por

Dani Dominguez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Troubleshooting

ps aux | grep -i rad

HW
+++++++++++++++++++++++++++++++++++++++++++++++++++++
show sysenv all --->Comprobar el estado del HW
+++++++++++++++++++++++++++++++++++++++++++++++++++++
Politicas
+++++++++++++++++++++++++++++++++++++++++++++++++++++
fwaccel stat--->Verificar que estan activas funcionalidades SecureXL , CoreXL y que se aceleran
todas las features
fw stat--->Verificar politica activa en los gw
fw unloadlocal---->Deshabilitar la politica por defecto en los gw
+++++++++++++++++++++++++++++++++++++++++++++++++++++
rutas importantes
+++++++++++++++++++++++++++++++++++++++++++++++++++++
/opt/CPsuite-R77/fw1/conf-->Directorio donde se encuentra archivo objects_5_0
/var/log/messages--->Log del fw
+++++++++++++++++++++++++++++++
Reporte de log en FW
+++++++++++++++++++++++++++++++++
mv $FWDIR/log/[Link]* log_temp/ mueve el fichero [Link] a log_temp para deje reportar los
log en los FW y lo haga en la gestora.
netstat -ant | grep 257 --> compruba si los Fw están sincronizados con al gestora por el puerto
257.
+++++++++++++++++++++++++++++++++++++++++++++++++++++
Comandos importantes Linux
+++++++++++++++++++++++++++++++++++++++++++++++++++++
cp "nombre archivo" "Carpeta destino--->Copiar archivos , ejemplo: cp objects_5_0.C
/mnt/hgfs/Configs
tar -czvf "nombre archivo" ./*--->Comprimir archivo
tar -zxnf "nombre archivo"--->Comprime el archivo
mkdir "nombre Carpeta" --->Crear carpeta
mv .*--->Mueve todos los archivos de carpeta
mv "ruta destino"--->Mover archivos a una ruta especifica
halt--->Apagar equipo
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Cambiar nombre interface +
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Mirar la MAC del interface que queramos cambiar de nombre

ifconfig -a
Ir al path

/etc/udev/rules.d/
Buscar dentro de los ficheros de ese directorio la mac

grep 01 *

Cambiar el nombre del interface que necesitemos y rebotar


+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Mirar estado procesos
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

#ps -ef | grep -i route -->comprobar el estado del proceso (en esta caso el de routing)

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Migrate import
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Copiar el arhivo en /home/admin
Ejecutar el comando : cd $FWDIR/bin/upgrade_tools/migrate import "nombre archivo"
Ejemplo: $FWDIR/bin/upgrade_tools/migrate import /var/log/[Link]
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Migrate export
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Ejecutar comando: cd $FWDIR/bin/upgrade_tools/ migrate export "nombre archivo".tgz
Ejemplo:/opt/CPsuite-R77/fw1/bin/upgrade_tools/migrate export [Link]
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
CP_merge
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Copiar el objects_5_0.c con la mgmt sin configurar en local.
Para hacer un merge de los objetos , ir a la ruta en la que se ha pegado el primer objects_5_0.c
de la mgmt que se ha montado nueva y ejecutar lo siguiente

cp_merge merge_objects

Te pedira la ip del servidor , en este caso es enter porque es localhost , tras esto pedira el
usuario y la password.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Fw unloadlocal--->Deshabilitar politica por defecto del fw
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Comandos Arp
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
arp -a ! find "ip"--->Arp en windows
arp -a ! grep "ip"--->Arp en unix
arp -d "ip"--->borrar entradas arp
+++++++++++++++++++++++++++++++++++++++++++
Clustering
+++++++++++++++++++++++++++++++++++++++++++
cphaconf cluster_id get
cphaconf cluster_id set <cluster_id>

cphaprob -a if---Ver estado interfaces cluster


cphaprob -l list-->Verifica el estado de los interfaces del cluster
cphaconf show_bond "numero bond"--->Verificar el estado de los bond en gaia
cat /proc/net/bonding/"numero bond"--->Verifica el estado de los bond en linux
Show bonding groups--->Comprobar estado interfaces bonding
cphaconf show_bond "numero bond"--->Estado interface bond detallado
cphastart--->Inicializar funcionalidad de cluster (solo ClusterXL)
cphastop--->parar funcionalidad de cluster(solo ClusterXl)
fw_mac_magic--->Esto representa el clusterid por defecto se establece en 254
ClusterXL admin down-->Esto realiza un balanceo de cluster ya que se hace en el nodo activo
ClusterXl admin Up--->Este comando levanta el nod del cluster para ponerlo como miembro
activo
CPstop--->Para todos los blades y procesos del fw
Cpstart--->Arranca todos los blades y procesos del fw
cpstop;cpstart
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++
Comprobar numero conexiones
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++
fw tab -t connections -s--->Comprobar sincronizacion
fw tab t -t fwx_alloc -s--->Comprobar sincronizacion nat
fw tab -t connections -f--->Comprobar la tabla de conexiones
fw tab -f 100 -t connections | grep "ip"--->Comprobar tabla de conexiones de una ip
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++
FW CTL
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++
fw ctl zdebug drop--->Ver conexiones que el fw dropea
fw ctl multik stat-->verificar que CoreXL esta habilitado y comprobar numero de conexiones
procesadas por cada uno
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++
FW Monitor
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++
fw monitor -e accept "host(ip host);"--->Comprobar el flujo de conexion de una ip atraves del
fw (en toda comunicacion hemos de ver i:Llega al interface de entrada del fw ,I:atraviesa la
tarjeta de origen del fw,o:llega al interface de salida,O:atraviesa el interface de salida del FW)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++
VPN
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++
vpn crl_zap --->Borra los CRl¥s(Certificate Revocation Lists) de la [Link] el valor que
devuelve es 0 esta bien si es distinto a 0 hay un problema
$FWDIR/log/[Link]--->Ruta logs vpn
vpn debug on/off--->Activar el log
vpn debug on DEBUG_TOPIC=level-->Activar log y filtrar por "nivel"(ejem:LDAP)
$FWDIR/log/[Link] --->Ruta log trafico IKE
vpn debug ikeon/ikeoff--->Activar/desactivar log IKE
vpn macutil <username> --->Muestra la mac de conexion del usuario "solo en accesos
remotos"
vpn overlap_encdom Communities/Traditional--->Muestra si hay solapamiento en los
dominios de encritacion
vpn tunnelutil---->Muestra el tunnelutil para controlar los tuneles vpn
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++
Identity Awareness
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++
pdp monitor "variable"---->Monitor de processos PDP
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++
IPs
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++
ips pmstats --->Muestra estadisticas de memoria,CPU,hora de compilacion..
ips pmstats reset --->Resetear estadisticas de memoria CPU...
ips stat ---->Muestra estadisticas como si el modulo esta activo , global detect mode ,baypass
mode,update version..
ips_stats "IP" "tiempo en segundos" ---->
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++
Licencias
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++
Para meter una licencia seguir los siguientes pasos:
1-Crear archivo en filesystem que no tenga mucha ocupacion con el comando VI "nombre
archivo"
2-Dentro del nuevo archivo pegamos la licencia , guardamos y salimos
3- Ejecutamos el comando CPlic put -l "nombre archivo creado anteriormente"
4-Comprobar que la licencia esta cargada con el comando CPlic print
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++
Configuracion a nivel Gaia
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++
CPconfig-->Configuracion a nivel gaia de las siguientes opciones

SMART:
Configuration Options:
----------------------
(1) Licenses and contracts
(2) Administrator
(3) GUI Clients
(4) SNMP Extension
(5) PKCS#11 Token
(6) Random Pool
(7) Certificate Authority
(8) Certificate's Fingerprint
(9) Disable Check Point SecureXL
(10) Automatic start of Check Point Products

(11) Exit

***
GW:
Configuration Options:
----------------------
(1) Licenses and contracts
(2) SNMP Extension
(3) PKCS#11 Token
(4) Random Pool
(5) Secure Internal Communication
(6) Enable cluster membership for this gateway
(7) Disable Check Point SecureXL
(8) Automatic start of Check Point Products

(9) Exit

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++

clusterXL_admin down -> Para el nodo y balancea el cluster al otro nodo

clusterXL_admin up -> Levanta el nodo a nivel de cluster

También podría gustarte