Encuentra conexiones inactivas en el firewall de Check Point

9

Tengo un cortafuegos, donde tengo que reducir el tiempo de espera de la sesión TCP de 24h a 1h.
Antes de hacer eso, estoy tratando de determinar si esto interrumpirá alguna aplicación, es decir, aplicaciones que tienen sesiones que pueden estar inactivas durante mucho tiempo, pero no pueden restablecer la conexión si el cortafuegos la cae.
Así que quiero filtrar las conexiones de mi tabla de conexiones, que han estado inactivas durante más de 60 minutos.

El firewall es CheckPoint R75.40, y estoy mirando la tabla de conexión con el comando "fw tab -t connections -u". Supongo que la información que quiero está en la salida, pero ¿qué estoy buscando?

sk0yern
fuente
¿Cuál es el comando para hacer este cambio, después de todo?
Laf
No estoy seguro si puede hacerlo desde la línea de comandos, pero en la GUI, vaya a Política - Propiedades globales - Inspección con estado.
sk0yern

Respuestas:

4

El comando para hacer esto sería:

fw tab -t connections -u -f | grep 86400 \
 |awk '{ split($41,a,"/"); if( a[1] < 82800) print $2,$9,$13,$15,$41; }' 

86400 es el tiempo de espera actual de la sesión TCP en segundos.
Gracias a Toottoot por la -fbandera.

sk0yern
fuente
3

Si desea utilizar la línea de comandos, puede agregar el indicador –f al comando, formateará la salida a un formato de texto legible. "Fw tab -t conexiones –u -f"

Otra opción es usar Smartview Tracker y verificar las conexiones activas desde la pestaña Activo. Sin embargo, tenga cuidado si tiene problemas de rendimiento, ver las conexiones activas aumentará significativamente la carga de la CPU en la puerta de enlace.

Otra forma más es habilitar la contabilidad (columna Rastrear -> Otro -> Cuenta) en reglas que podrían coincidir con conexiones inactivas largas, en este caso la duración de la conexión será visible en el archivo de registro después de que la conexión se haya cerrado. Con los registros, puede ejecutar un informe personalizado con las herramientas de Check Point o simplemente filtrarlas manualmente y verlas. Esta es quizás la mejor opción, si tiene tiempo y quiere los resultados más precisos.

Toot Toot
fuente
La bandera -f ciertamente ayudó, ¡gracias!
sk0yern