Suchen Sie nach inaktiven Verbindungen in der Check Point-Firewall

9

Ich habe eine Firewall, in der ich das Zeitlimit für TCP-Sitzungen von 24 Stunden auf 1 Stunde senken muss.
Bevor ich das mache, versuche ich festzustellen, ob dadurch Anwendungen beschädigt werden, dh Anwendungen, deren Sitzungen lange Zeit inaktiv sein können, die Verbindung jedoch nicht wiederherstellen können, wenn die Firewall sie trennt.
Daher möchte ich Verbindungen aus meiner Verbindungstabelle herausfiltern, die seit mehr als 60 Minuten inaktiv sind.

Die Firewall ist CheckPoint R75.40, und ich betrachte die Verbindungstabelle mit dem Befehl "fw tab -t connection -u". Ich nehme an, die gewünschten Informationen befinden sich in der Ausgabe, aber wonach suche ich?

sk0yern
quelle
Was ist der Befehl, um diese Änderung durchzuführen?
Laf
Sie sind sich nicht sicher, ob Sie dies über die Befehlszeile tun können, gehen Sie jedoch in der GUI zu Policy - Global Properties - Stateful Inspection.
Sk0yern

Antworten:

4

Der Befehl dafür wäre:

fw tab -t connections -u -f | grep 86400 \
 |awk '{ split($41,a,"/"); if( a[1] < 82800) print $2,$9,$13,$15,$41; }' 

86400 ist das aktuelle Zeitlimit für TCP-Sitzungen in Sekunden.
Danke an toottoot für die -fFlagge.

sk0yern
quelle
3

Wenn Sie die Befehlszeile verwenden möchten, können Sie dem Befehl einfach das Flag –f hinzufügen. Die Ausgabe wird dann in ein lesbares Textformat formatiert. "Fw tab -t Verbindungen –u -f"

Eine andere Möglichkeit besteht darin, Smartview Tracker zu verwenden und die aktiven Verbindungen auf der Registerkarte Aktiv zu überprüfen. Seien Sie jedoch vorsichtig, wenn Sie Leistungsprobleme haben. Durch das Anzeigen aktiver Verbindungen wird die CPU-Auslastung des Gateways erheblich erhöht.

Eine weitere Möglichkeit besteht darin, die Abrechnung (Spalte verfolgen -> Andere -> Konto) für Regeln zu aktivieren, die möglicherweise mit langen Leerlaufverbindungen übereinstimmen. In diesem Fall wird die Verbindungsdauer nach dem Schließen der Verbindung in der Protokolldatei angezeigt. Mithilfe der Protokolle können Sie einen benutzerdefinierten Bericht mit Check Point-Werkzeugen ausführen oder diese einfach manuell filtern und anzeigen. Dies ist möglicherweise die beste Option, wenn Sie Zeit haben und die genauesten Ergebnisse erzielen möchten.

toottoot
quelle
Die -f Flagge hat sicherlich geholfen, danke!
Sk0yern