Temukan koneksi diam di Check Point firewall

9

Saya memiliki firewall, di mana saya harus menurunkan batas waktu sesi TCP dari 24 jam menjadi 1 jam.
Sebelum saya melakukan itu, saya mencoba untuk menentukan apakah ini akan merusak aplikasi apa pun, yaitu aplikasi yang memiliki sesi yang dapat lama tidak digunakan, tetapi tidak dapat membangun kembali koneksi jika firewall menjatuhkannya.
Jadi saya ingin memfilter koneksi dari tabel koneksi saya, yang telah menganggur selama lebih dari 60 menit.

Firewall adalah CheckPoint R75.40, dan saya melihat tabel koneksi dengan perintah "fw tab -t koneksi -u". Saya kira informasi yang saya inginkan ada dalam output, tetapi apa yang saya cari?

sk0yern
sumber
Apa perintah untuk melakukan perubahan ini?
laf
Tidak yakin apakah Anda dapat melakukan ini dari baris perintah, tetapi di GUI, buka Kebijakan - Properti Global - Inspeksi Stateful.
sk0yern

Jawaban:

4

Perintah untuk melakukan ini adalah:

fw tab -t connections -u -f | grep 86400 \
 |awk '{ split($41,a,"/"); if( a[1] < 82800) print $2,$9,$13,$15,$41; }' 

86400 adalah batas waktu sesi TCP saat ini dalam detik.
Berkat toottoot untuk -fbendera.

sk0yern
sumber
3

Jika Anda ingin menggunakan baris perintah, Anda bisa menambahkan –f flag ke perintah, itu akan memformat output ke format teks yang dapat dibaca. “Fw tab -t koneksi –u -f”

Pilihan lain adalah menggunakan Smartview Tracker dan memeriksa koneksi aktif dari tab Aktif. Berhati-hatilah jika Anda memiliki masalah kinerja, melihat koneksi aktif akan meningkatkan beban CPU secara signifikan di gateway.

Namun cara lain adalah mengaktifkan penghitungan (kolom Track -> Other -> Account) pada aturan yang mungkin cocok dengan koneksi lama, dalam hal ini durasi koneksi akan terlihat dalam file log setelah koneksi ditutup. Menggunakan log, Anda dapat menjalankan laporan khusus dengan alat Titik Periksa atau hanya secara manual menyaring dan melihatnya. Ini mungkin pilihan terbaik, jika Anda punya waktu dan menginginkan hasil yang paling akurat.

toottoot
sumber
Bendera -f tentu saja membantu, terima kasih!
sk0yern