Les commandes checkpoint les plus utiles




 




 
Malgré la richesse du mode graphique pour manager les firewalls Checkpoint, le mode CLI offre des possibilités intéressantes pour la configuration et surtout pour le debug.
Ci-dessous une liste de commandes les plus utiles pour les admins Checkpoint (sous R75):

     > cp_conf sxl {enable|disable}  : Activer ou désactiver l’accélération Secure XL.

-          >cplic db_print : Affiche les licences installées dans le firewall.

-          > cprinstall get <gateway name> : affiche la version de l’OS de la gateway Checkpoint

-        >cpstat fw : affiche l’état du firewall ( performances, process, interfaces…)

-          > cpstop : arrête tous les process Checkpoint

-          > fw monitor : Capturer les flux qui passent par le firewall avec une multitude d’options et de filtres permettant entre autres de captures les paquets à différents niveau de traitement par le firewall.
   >  cphaprob stat : Affiche l’état du cluster
    > fw ctl arp  :     Affiche la table ARP du firewall     
   >show route static: affiche les routes statiques configurées dans le firewall
   >vpn debug : cette commande est utile pour faire du debug des tunnels IPSEC, elle génère un fichier   exploitable par l'outil de visualisation IKE Viewer qui donne une vue détaillée sur le statut des différentes phases du tunnel VPN. Pour télécharger Checkpoint IKE Viewer aller ici.
     >touch /opt/spwm/conf/wizard_accepted: Cette commande permet d'installer le firewall Checkpoint en mode CLI sans passer la la WEBUI, il suffit après de lancer  sysconfig/cpconfig afin de commencer la configuration du firawall.

Attention: sous Gaia il faut lancer touch /etc/.wizard_accepted pour bypasser l'installation en mode WEBUI.

- Pour capturer du trafic pour débug, Checkpoint fournit un outil très intéressant fw monitor .

Pour capturer les flux acceptés entre une source et une destination, il faut taper en mode expert:
> fw monitor -e "((src=x.x.x.x , dst=y.y.y.y) or (src=y.y.y.y , dst=x.x.x.x)), accept;" -o  /var/log/fw_mon.cap

  
Pour changer la date d'expiration des comptes utilisateurs, il existe une commande magique qui s’exécute sur la management: 

> fwm expdate <01-01-2015> [-f 01-01-2018]
 
Elle permet dans cet exemple de modifier la date d'expiration de tous les comptes de début 2015 au début 2018, ce qui permet d'éviter des milliers de changements manuels sur la Smart Dashboard.

Share this

Related Posts

Previous
Next Post »

Les actualités de l'informatique