Encontre conexões inativas no firewall do Check Point


9

Eu tenho um firewall, onde tenho que diminuir o tempo limite da sessão TCP de 24h para 1h.
Antes de fazer isso, estou tentando determinar se isso interromperá algum aplicativo, ou seja, aplicativos que tenham sessões que podem ficar inativas por um longo tempo, mas que não conseguem restabelecer a conexão se o firewall a interromper.
Então, eu quero filtrar as conexões da minha tabela de conexões que estão ociosas por mais de 60 minutos.

O firewall é o CheckPoint R75.40 e estou olhando para a tabela de conexão com o comando "fw tab -t connections -u". Suponho que as informações que quero estejam na saída, mas o que estou procurando?


Qual é o comando para fazer essa alteração, afinal?
Laf

Não tenho certeza se você pode fazer isso na linha de comando, mas na GUI, vá para Política - Propriedades globais - Inspeção de estado.
precisa saber é o seguinte

Respostas:


4

O comando para fazer isso seria:

fw tab -t connections -u -f | grep 86400 \
 |awk '{ split($41,a,"/"); if( a[1] < 82800) print $2,$9,$13,$15,$41; }' 

86400 é o tempo limite da sessão TCP atual em segundos.
Obrigado a toottoot pela -fbandeira.


3

Se você quiser usar a linha de comando, basta adicionar o sinalizador –f ao comando, ele formatará a saída para o formato de texto legível. “Conexões fw -t –u -f”

Outra opção é usar o Smartview Tracker e verificar as conexões ativas na guia Ativo. Tenha cuidado, porém, se você tiver problemas de desempenho, a exibição de conexões ativas aumentará significativamente a carga da CPU no gateway.

Outra maneira é habilitar a contabilidade (coluna Rastrear -> Outros -> Conta) em regras que podem corresponder a conexões inativas longas; nesse caso, a duração da conexão será visível no arquivo de log após o fechamento da conexão. Usando os logs, você pode executar um relatório personalizado com as ferramentas Check Point ou apenas filtrar e visualizar manualmente. Talvez essa seja a melhor opção, se você tiver tempo e desejar os resultados mais precisos.


A bandeira -f certamente ajudou, obrigado!
precisa saber é o seguinte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.