网御防火墙常用命令-201101

防火墙常用命令汇总客服中心2011年01月•systemshow查看防火墙版本信息可以看到防火墙名，硬件型号，软件版本以及序列号。•admhostshow查看管理主机•admhostaddipx.x.x.x添加管理主机•admhostdelipx.x.x.x删除管理主机•admmodeshow查看管理方式显示管理方式WEB/串口SSH/PPPadmmodeonssh•Interfaceshowall查看防火墙的接口信息，包括接口数量，ip地址，子网掩码，开启状态主要查看接口配置是否正常，配合周边设备查看网络是否通与不通。•InterfaceshowiffeX(X代表接口序号，例如fe1,fe2,fe3等)可以捕获防火墙的MAC地址，接口类型，链路模式，协商速度最大传输单元，等等一些接口详细信息。最主要的是看看trunk，ip/mac等参数是不是误开，接口是不是允许ping等。•使用ifconfig命令配置并查看网络接口情况示例1:配置eth0的IP，同时激活设备:#ifconfigeth0192.168.4.1netmask255.255.255.0up示例2:配置eth0别名设备eth0:1的IP#ifconfigeth0:1192.168.4.2示例3:激活（禁用）设备#ifconfigeth0:1up(down)示例4:查看所有（指定）网络接口配置#ifconfig(eth0)备注：如果要对接口添加允许管理允许ping等相关参数的时候，则要使用防火墙自身的命令interfacesetphyiffe0ip10.1.5.254netmask255.255.255.0activeonadminonpingontracerouteon•RXpackets接受数据包的数量收包丢弃量大•TXpackets发送数据包的数量•errors错误包的数量硬件信号错误•dropped丢弃的数据包数量如果有丢弃的数据包说明流量大或者驱动有问题•overruns数据包溢出的数量•frame帧错误•carrier载波•collision冲突长连接，慎用。作用是将连接的时间变短或者变长不能加any到any的长连接具体协议，服务不能使ANY不然出问题。•ethtoolethX查看网口协商情况从上图我们可以看出网口协商为100M全双工。由于很多设备都设置为自适应，这样两个设备协商后速率和双工模式自动协商后到底是什么从防火墙界面是看不出来的，所以就需要我们用ethtool命令查看，关于网口不通的情况，很多时候使用ethtool排错是非常有用的。•acscon和acscshowtop–开启连接管理功能–查看top10的连接以上命令主要是让工程师在不打开页面的情况下可以更好的分析那个主机IP大量进行连接。•configreset是恢复出厂设置•configsave是保存配置这些命令大家可能都知道，我在这里重复只是希望大家真正熟练掌握，并在现场第一时间使用•iprouteshow显示路由表信息，对于大型网络和复杂网络，路由表是非常重要的。排错的时候40%的路由表的问题，20%的故障是跟路由表相关的其他功能的问题。所以路由表是非常重要的。•HAshowconfig•HAshowstatus可以查看HA配置和HA的协商情况以及目前的主备状态•W（输入命令w）非常简单的命令，但是很有用，应该说非常有用。这个命令纪录了防火墙自正常启动以来，累计时长，可以清楚的知道防火墙运行了多长时间。也可以知道防火墙是否出现频繁重启的问题。Loadaverage后面的三组数字可以看出防火墙在使用资源（cpu，内存，磁盘）的情况。这个数字大于1的时候，说明内核已经超负荷运转。•free查看内存使用情况这个命令可以清楚的知道设备的总共内存多大，使用多少，空闲多少配合其他命令就可以整体把握设备的运行情况，•查看防火墙磁盘大小的一系列操作首先，先运行mnt.boot/mnt，然后cd/mnt，再df查看各分区大小。磁盘使用率显示的是/mnt资源占用的大小。由图我们可以看出这个防火墙的磁盘大小为132M。（一般磁盘32M,64M,128M等）查看完以后千万千万不要忘记退出/mnt目录，然后umont/mnt。•ps–aux查看防火墙进程•top命令是以上所有命令的集合，使用top命令可以很直观的查询到很多防火墙的基本信息，但是由于top命令启用以后占用防火墙资源比较大，如果你的设备在网络中处于超负荷运转的时候，这个命令则需要谨慎使用。•可以显示w命令的内容•可以显示free命令的内容•可以显示cpu实时的使用率大小•可以显示所有进程，并且可以显示进程使用cpu，内存的大小，并实时动态变化。•我们经常可以看到cli进程占用CPU100%，pluto进程占用CPU大，或者syslogd进程占用CPU大等等。这就说明防火墙的某个模块使用率特别大，要注意优化。•cpu100%问题1.用psaux问题查看具体是哪一个进程导致cpu利用率高Cli进程问题killallcli杀掉所有cli进程再打上patch207-解决Cli命令导致cpu利用率百分之百升级包(3.4.X.X)severadd进程问题添加资源定义时报错导致cpu100%,直接kill+进程id杀掉进程即可3.4.5.0/1可打Patch193-解决资源定义报错显示乱码和操作资源定义模块时CPU占用率为100%问题升级包(3.4.5.0-1版本)2.遇到其他占用cpu利用率高蛤不常见的进程,可反到客服中心•filterconfigstatecount查看防火墙的并发连接数•filterconfigstateremove清除防火墙上的连接（所有连接包括你的web连接和SSH连接）•filterconfigstatelist查看防火墙的连接表(建议与grep参数配合使用)eg:filterconfigstatelist|grep211.103.135.147•lsmod查看防火墙模块的命令，主要用于查看防火墙模块是否存在，有时候模块没有起来，倒是防火墙功能不可用。•如果语音，视频不能通过防火墙，则需要去移除关于sip，h.323，h.323gk等相关模块防火墙上root权限登录后，输入lsmod，查看到关于sip的报错信息如下：file:osip_message_parse.c,line:850---Couldnotparsestartlineofmessage.•3.4.3.8（含）以下版本防火墙语音传输不通或者有时通，有时不通或者日志中有大量关于sip、h323的报错信息时，可以用如下命令，彻底删除sip和h323模块。但是卸载以上模块会牺牲掉ha模块，以后将无法使用双机功能。•themiscd/lib/modules/2.4.22/kernel/net/ipv4/netfilter•themismvha.oha.o.old•themismvip_conntrack_h323.oip_conntrack_h323.o.old•themismvip_conntrack_h323_gk.oip_conntrack_h323_gk.o.old•themismvip_nat_h323.oip_nat_h323.o.old•themismvip_nat_h323_gk.oip_nat_h323_gk.o.old•themismvip_conntrack_sip_module.o•ip_conntrack_sip_module.o.old•themismvip_nat_sip_module.oip_nat_sip_module.o.old•themismvosipparser2.oosipparser2.o.old•themisbackpkgmodulesVPN命令汇总•查看建立的ipsec隧道及路由：ipseceroute•查看VPN状态信息，用于VPN排错：ipsecauto–status•查看日志，含有有用的VPN日志：tail–f/var/log/fw.log•查看VPN的后台配置：cat/etc/ipsec.d/confs/ipsec.gateways.conf等•可以查看在/etc/ipsec.d/confs/相应的其它配置文件•查看建立的ipsec隧道及路由：ipseceroute•查看VPN状态信息，用于VPN排错：ipsecauto–status•查看日志，含有有用的VPN日志：tail–f/var/log/fw.log上面的图中有防火墙DHCP和VPN的日志，如果你的防火期记录日志打钩多的话，可以查看到更多的日志。•查看VPN的后台配置：cat/etc/ipsec.d/confs/ipsec.gateways.conf等可以查看在/etc/ipsec.d/confs/相应的其它配置文件•tcpdump抓包命令，在这里我们将详细介绍抓包命令，以为在网络中遇到任何奇怪的且不能正常解释的内容，都可以用抓包分析来论证。TCPDUMP的选项介绍-A将网络地址和广播地址转变成名字；-D将匹配信息包的代码以人们能够理解的汇编格式给出；-DD将匹配信息包的代码以C语言程序段的格式给出；-DDD将匹配信息包的代码以十进制的形式给出；-E在输出行打印出数据链路层的头部信息；-F将外部的INTERNET地址以数字的形式打印出来；-L使标准输出变为缓冲行形式；-N不把网络地址转换成名字；-T在输出的每一行不打印时间戳；-V输出一个稍微详细的信息，例如在IP包中可以包括TTL和服务类型的信息；-VV输出详细的报文信息；-C在收到指定的包的数目后，TCPDUMP就会停止；-F从指定的文件中读取表达式,忽略其它的表达式；-I指定监听的网络接口；-R从指定的文件中读取包(这些包一般通过-W选项产生)；-W直接将包写入文件中，并不分析和打印出来；-T将监听到的包直接解释为指定的类型的报文，常见的类型有RPC（远程过程调用）和SNMP（简单网络管理协议；）•tcpdump-ieth0-c1000–s0–weth0.cap-c1000代表抓1000个包，-s0代表抓完整的数据包（可省略）-w代表写入dom，文件名后坠cap•例如：抓来自192.168.100.77的包，用命令tcpdump-ieth1-nhost192.168.100.77–s0–weth0.cap-n表示不解析域名•例如：抓来自端口号为9998的包，用命令tcpdump-ieth1port9998谢谢