《防火墙常用命令》PPT课件.ppt

防火墙常用命令汇总 客服中心 黄娴婷 2011年01月,system show 查看防火墙版本信息 可以看到防火墙名，硬件型号，软件版本以及序列号。 admhost show 查看管理主机 admhost add ip x.x.x.x 添加管理主机 admhost del ip x.x.x.x 删除管理主机,admmode show 查看管理方式 显示管理方式 WEB/串口 SSH/PPP admmode on ssh Interface show all 查看防火墙的接口信息，包括接口数量，ip地址，子网掩码，开启状态 主要查看接口配置是否正常，配合周边设备查看网络是否通与不通。,Interface show if feX (X代表接口序号，例如fe1,fe2,fe3等) 可以捕获防火墙的MAC地址， 接口类型，链路模式，协商速度 最大传输单元，等等一些接口详 细信息。 最主要的是看看trunk，ip/mac 等参数是不是误开，接口是不是 允许ping等。,使用ifconfig命令配置并查看网络接口情况 示例1: 配置eth0的IP，同时激活设备: # ifconfig eth0 192.168.4.1 netmask 255.255.255.0 up 示例2: 配置eth0别名设备 eth0:1 的IP # ifconfig eth0:1 192.168.4.2 示例3:激活（禁用）设备 # ifconfig eth0:1 up(down) 示例4:查看所有（指定）网络接口配置 # ifconfig (eth0) 备注：如果要对接口添加允许管理允许ping等相关参数的时候，则要使用防火墙自身的命令interface set phy if fe0 ip 10.1.5.254 netmask 255.255.255.0 active on admin on ping on traceroute on,RX packets 接受数据包的数量 收包丢弃量大 TX packets 发送数据包的数量 errors 错误包的数量 硬件信号错误 dropped 丢弃的数据包数量 如果有丢弃的数据包说明流量大或者驱动有问题 overruns 数据包溢出的数量 frame 帧错误 carrier 载波 collision 冲突 长连接，慎用。作用是将连接的时间变短或者变长 不能加any到any的长连接 具体协议，服务不能使ANY 不然出问题。,ethtool ethX 查看网口协商情况 从上图我们可以看出网口协商为100M全双工。由于很多设备都设置为自适应，这样两个设备协商后速率和双工模式自动协商后到底是什么从防火墙界面是看不出来的，所以就需要我们用ethtool命令查看，关于网口不通的情况，很多时候使用ethtool排错是非常有用的。,acsc on和acsc show top 开启连接管理功能 查看top 10的连接 以上命令主要是让工程师在 不打开页面的情况下可以更 好的分析那个主机IP大量进 行连接。 config reset 是恢复出厂设置 config save是保存配置 这些命令大家可能都知道， 我在这里重复只是希望大家真正 熟练掌握，并在现场第一时间使用,ip route show 显示路由表信息，对于大型网络和复杂网络，路由表是非常重要的。 排错的时候40%的路由表的问题，20%的故障是跟路由表相关的其他 功能的问题。所以路由表是非常重要的。,HA show config HA show status 可以查看HA配置 和HA的协商情况 以及目前的主备 状态,W（输入命令w） 非常简单的命令，但是很有用，应该说非常有用。 这个命令纪录了防火墙自正常启动以来，累计时长，可以清楚的知道防火墙运行了多长时间。也可以知道防火墙是否出现频繁重启的问题。 Load average后面的三组数字可以看出防火墙在使用资源（cpu，内存，磁盘）的情况。这个数字大于1的时候，说明内核已经超负荷运转。,free 查看内存使用情况 这个命令可以清楚的知道设备的总共内存多大，使用多少，空闲多少 配合其他命令就可以整体把握设备的运行情况，,查看防火墙磁盘大小的一系列操作 首先，先运行mnt.boot /mnt，然后cd /mnt，再df查看各分区大小。磁盘使用率显示的是/mnt资源占用的大小。 由图我们可以看出这个防火墙的磁盘大小为132M。（一般磁盘32M,64M,128M等） 查看完以后千万千万不要忘记退出/mnt目录，然后umont /mnt。,ps aux 产看防火墙进程,top命令是以上所有命令的集合，使用top命令可以很直观的查询到很多防火墙的基本信息，但是由于top命令启用以后占用防火墙资源比较大，如果你的设备在网络中处于超负荷运转的时候，这个命令则需要谨慎使用。 可以显示w命令的内容 可以显示free命令的内容 可以显示cpu实时的使用率大小 可以显示所有进程，并且可以显示进程使用cpu，内存的大小，并实时动态变化。 我们经常可以看到cli进程占用CPU100%，pluto进程占用CPU大，或者syslogd进程占用CPU大等等。这就说明防火墙的某个模块使用率特别大，要注意优化。,cpu 100%问题 1.用ps aux问题查看具体是哪一个进程导致cpu利用率高 Cli进程问题 kill all cli 杀掉所有cli进程 再打上 patch207-解决Cli命令导致cpu利用率百分之百升级包(3.4.X.X) severadd进程问题 添加资源定义时报错导致 cpu100%,直接kill +进程id杀掉进程即可 3.4.5.0/1可打 Patch193-解决资源定义报错显示乱码和操作资源定义模块时CPU 占用率为100%问题升级包(3.4.5.0-1版本) 2.遇到其他占用cpu利用率高蛤不常见的进程 ,可反到客服中心,filterconfig state count 查看防火墙的并发连接数 filterconfig state remove 清除防火墙上的连接（所有连接包括你的web连接和SSH连接） filterconfig state list 查看防火墙的连接表(建议与grep参数配合使用) eg: filterconfig state list | grep 211.103.135.147,lsmod 查看防火墙模块的命令，主要用于查看防火墙模块是否存在，有时候模块没有起来，倒是防火墙功能不可用。 如果语音，视频不能通过防火墙，则需要去移除关于sip，h.323，h.323gk 等相关模块 防火墙上root权限登录后，输入lsmod，查看到关于sip的报错信息如下： file: osip_message_parse.c, line: 850 -Could not parse start line of message.,3.4.3.8（含）以下版本防火墙语音传输不通或者有时通，有时不通或者日志中有大量关于sip、h323的报错信息时，可以用如下命令，彻底删除sip和h323模块。但是卸载以上模块会牺牲掉ha模块，以后将无法使用双机功能。 themis cd /lib/modules/2.4.22/kernel/net/ipv4/netfilter themis mv ha.o ha.o.old themis mv ip_conntrack_h323.o ip_conntrack_h323.o.old themis mv ip_conntrack_h323_gk.o ip_conntrack_h323_gk.o.old themis mv ip_nat_h323.o ip_nat_h323.o.old themis mv ip_nat_h323_gk.o ip_nat_h323_gk.o.old themis mv ip_conntrack_sip_module.o ip_conntrack_sip_module.o.old themis mv ip_nat_sip_module.o ip_nat_sip_module.o.old themis mv osipparser2.o osipparser2.o.old themis backpkg modules,VPN命令汇总 查看建立的ipsec隧道及路由 ：ipsec eroute 查看VPN状态信息，用于VPN排错：ipsec auto status 查看日志，含有有用的VPN日志 ：tail f /var/log/fw.log 查看VPN的后台配置 ： cat /etc/ipsec.d/confs/ipsec.gateways.conf等 可以查看在/etc/ipsec.d/confs/相应的其它配置文件,查看建立的ipsec隧道及路由 ：ipsec eroute 查看VPN状态信息，用于VPN排错：ipsec auto status,查看日志，含有有用的VPN日志 ：tail f /var/log/fw.log 上面的图中有防火墙DHCP和VPN的日志，如果你的防火期记录日志 打钩多的话，可以查看到更多的日志。,查看VPN的后台配置：cat /etc/ipsec.d/confs/ipsec.gateways.conf等 可以查看在/etc/ipsec.d/confs/相应的其它配置文件,tcpdump 抓包命令，在这里我们将详细介绍抓包命令，以为在网络中遇到任何奇怪的且不能正常解释的内容，都可以用抓包分析来论证。,tcpdump的选项介绍 -a 将网络地址和广播地址转变成名字； -d 将匹配信息包的代码以人们能够理解的汇编格式给出； -dd 将匹配信息包的代码以c语言程序段的格式给出； -ddd 将匹配信息包的代码以十进制的形式给出； -e 在输出行打印出数据链路层的头部信息； -f 将外部的Internet地址以数字的形式打印出来； -l 使标准输出变为缓冲行形式； -n 不把网络地址转换成名字； -t 在输出的每一行不打印时间戳； -v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息； -vv 输出详细的报文信息； -c 在收到指定的包的数目后，tcpdump就会停止； -F 从指定的文件中读取表达式,忽略其它的表达式； -i 指定监听的网络接口； -r 从指定的文件中读取包(这些包一般通过-w选项产生)； -w 直接将包写入文件中，并不分析和打印出来； -T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）,tcpdump