网御防火墙常用命令专业知识讲座

本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。,system show,查看防火墙版本信息,可以看到,防火墙名,，,硬件型号,，,软件版本,以及,序列号,。,admhost show,查看,管理主机,admhost add ip x.x.x.x,添加管理主机,admhost del ip x.x.x.x,删除管理主机,admmode show,查看管理方式,显示管理方式,WEB/,串口,SSH/PPP,admmode on ssh,Interface show all,查看防火墙的接口信息，包括,接口数量,，,ip,地址,，,子网掩码,，,开启状态,主要查看接口配置是否正常，配合周边设备查看网络是否通与不通。,Interface show if fe,X,(X,代表接口序号，例如,fe1,fe2,fe3,等,),可以捕获防火墙的,MAC,地址，,接口类型，链路模式，协商速度,最大传输单元，等等一些接口详,细信息。,最主要的是看看,trunk,，,ip/mac,等参数是不是误开，接口是不是,允许,ping,等。,使用,ifconfig,命令配置并查看网络接口情况,示例,1:,配置,eth0,的,IP,，同时激活设备,:,#ifconfig eth0 192.168.4.1 netmask 255.255.255.0 up,示例,2:,配置,eth0,别名设备,eth0:1,的,IP,#ifconfig eth0:1 192.168.4.2,示例,3:,激活（禁用）设备,#ifconfig eth0:1 up(down),示例,4:,查看所有（指定）网络接口配置,#ifconfig(eth0),备注：如果要对接口添加允许,管理允许,ping,等相关参数的时候，则要使用防火墙自身的命令,interface set phy if fe0 ip 10.1.5.254 netmask 255.255.255.0 active on admin on ping on traceroute on,RX packets,接受数据包的数量 收包丢弃量大,TX packets,发送数据包的数量,errors,错误包的数量 硬件信号错误,dropped,丢弃的数据包数量,如果有丢弃的数据包说明流量大或者驱动有问题,overruns,数据包溢出的数量,frame,帧错误,carrier,载波,collision,冲突,长连接，慎用。作用是将连接的时间变短或者变长,不能加,any,到,any,的长连接 具体协议，服务不能使,ANY,不然出问题。,ethtool ethX,查看网口协商情况,从上图我们可以看出网口协商为,100M,全双工。由于很多设备都设置为自适应，这样两个设备协商后速率和双工模式自动协商后到底是什么从防火墙界面是看不出来的，所以就需要我们用,ethtool,命令查看，关于网口不通的情况，很多时候使用,ethtool,排错是非常有用的。,acsc on,和,acsc show top,开启连接管理功能,查看,top 10,的连接,以上命令主要是让工程师在,不打开页面的情况下可以更,好的分析那个主机,IP,大量进,行连接。,config reset,是恢复出厂设置,config save,是保存配置,这些命令大家可能都知道，,我在这里重复只是希望大家真正,熟练掌握，并在现场第一时间使用,ip route show,显示路由表信息，对于大型网络和复杂网络，路由表是非常重要的。,排错的时候,40%,的路由表的问题，,20%,的故障是跟路由表相关的其他,功能的问题。所以路由表是非常重要的。,HA show config,HA show status,可以查看,HA,配置,和,HA,的协商情况,以及目前的主备,状态,W,（输入命令,w,）,非常简单的命令，但是很有用，应该说非常有用。,这个命令纪录了防火墙自正常启动以来，累计时长，可以清楚的知道防火墙运行了多长时间。也可以知道防火墙是否出现频繁重启的问题。,Load average,后面的三组数字可以看出防火墙在使用资源（,cpu,，内存，磁盘）的情况。这个数字大于,1,的时候，说明内核已经超负荷运转。,free,查看内存使用情况,这个命令可以清楚的知道设备的总共内存多大，使用多少，空闲多少,配合其他命令就可以整体把握设备的运行情况，,查看防火墙磁盘大小的一系列操作,首先，先运行,mnt.boot/mnt,，然后,cd/mnt,，再,df,查看各分区大小。磁盘使用率显示的是,/mnt,资源占用的大小。,由图我们可以看出这个防火墙的磁盘大小为,132M,。（一般磁盘,32M,64M,128M,等）,查看完以后千万千万不要忘记退出,/mnt,目录，然后,umont/mnt,。,ps aux,查看防火墙进程,top,命令是以上所有命令的集合，使用,top,命令可以很直观的查询到很多防火墙的基本信息，但是由于,top,命令启用以后占用防火墙资源比较大，如果你的设备在网络中处于超负荷运转的时候，这个命令则需要谨慎使用。,可以显示,w,命令的内容,可以显示,free,命令的内容,可以显示,cpu,实时的使用率大小,可以显示所有进程，并且可以显示进程使用,cpu,，内存的大小，并实时动态变化。,我们经常可以看到,cli,进程占用,CPU100%,，,pluto,进程占用,CPU,大，或者,syslogd,进程占用,CPU,大等等。这就说明防火墙的某个模块使用率特别大，要注意优化。,cpu 100%,问题,1.,用,ps aux,问题查看具体是哪一个进程导致,cpu,利用率高,Cli,进程问题,kill all cli,杀掉所有,cli,进程,再打上,patch207-,解决,Cli,命令导致,cpu,利用率百分之百升级包,(3.4.X.X),severadd,进程问题,添加资源定义时报错导致,cpu100%,直接,kill+,进程,id,杀掉进程即可,3.4.5.0/1,可打,Patch193-,解决资源定义报错显示乱码和操作资源定义模块时,CPU,占用率为,100%,问题升级包,(3.4.5.0-1,版本,),2.,遇到其他占用,cpu,利用率高蛤不常见的进程,可反到客服中心,filterconfig state count,查看防火墙的并发连接数,filterconfig state remove,清除防火墙上的连接（所有连接包括你的,web,连接和,SSH,连接）,filterconfig state list,查看防火墙的连接表,(,建议与,grep,参数配合使用,),eg:filterconfig state list,|grep 211.103.135.147,lsmod,查看防火墙模块的命令，主要用于查看防火墙模块是否存在，有时候模块没有起来，倒是防火墙功能不可用。,如果语音，视频不能通过防火墙，则需要去移除关于,sip,，,h.323,，,h.323gk,等相关模块,防火墙上,root,权限登录后，输入,lsmod,，查看到关于,sip,的报错信息如下：,file:osip_message_parse.c,line:850-Could not parse start line of message.,3.4.3.8,（含）以下版本防火墙语音传输不通或者有时通，有时不通或者日志中有大量关于,sip,、,h323,的报错信息时，可以用如下命令，彻底删除,sip,和,h323,模块。但是卸载以上模块会牺牲掉,ha,模块，以后将无法使用双机功能。,themis cd/lib/modules/2.4.22/kernel/net/ipv4/netfilter,themis mv ha.o ha.o.old,themis mv ip_conntrack_h323.o ip_conntrack_h323.o.old,themis mv ip_conntrack_h323_gk.o ip_conntrack_h323_gk.o.old,themis mv ip_nat_h323.o ip_nat_h323.o.old,themis mv ip_nat_h323_gk.o ip_nat_h323_gk.o.old,themis mv ip_conntrack_sip_module.o,ip_conntrack_sip_module.o.old,themis mv ip_nat_sip_module.o ip_nat_sip_module.o.old,themis mv osipparser2.o osipparser2.o.old,themis backpkg modules,VPN,命令汇总,查看建立的,ipsec,隧道及路由,：,ipsec eroute,查看,VPN,状态信息，用于,VPN,排错：,ipsec auto status,查看日志，含有有用的,VPN,日志,：,tail f/var/log/fw.log,查看,VPN,的后台配置,：,cat/etc/ipsec.d/confs/ipsec.gateways.conf,等,可以查看在,/etc/ipsec.d/confs/,相应的其它配置文件,查看建立的,ipsec,隧道及路由,：,ipsec eroute,查看,VPN,状态信息，用于,VPN,排错：,ipsec auto status,查看日志，含有有用的,VPN,日志,：,tail f/var/log/fw.log,上面的图中有防火墙,DHCP,和,VPN,的日志，如果你的防火期记录日志 打钩多的话，可以查看到更多的日志。,查看,VPN,的后台配置：,cat/etc/ipsec.d/confs/ipsec.gateways.conf,等,可以查看在,/etc/ipsec.d/confs/,相应的其它配置文件,tcpdump,抓包命令，在这里我们将详细介绍抓包命令，以为在网络中遇到任何奇怪的且不能正常解释的内容，都可以用抓包分析来论证。,TCPDUMP,的选项介绍,-A,将网络地址和广播地址转变成名字；,-D,将匹配信息包的代码以人们能够理解的汇编格式给出；,-DD,将匹配信息包的代码以,C,语言程序段的格式给出；,-DDD,将匹配信息包的代码以十进制的形式给出；,-E,在输出行打印出数据链路层的头部信息；,-F,将外部的,INTERNET,地址以数字的形式打印出来；,-L,使标准输出变为缓冲行形式；,-N,不把网络地址转换成名字；,-T,在输出的每一行不打印时间戳；,-V,输出一个稍微详细的信息，例如在,IP,包中可以包括,TTL,和服务类型的信息；,-VV,输出详细的报文信息；,-C,在收到指定的包的数目后，,TCPDUMP,就会停止；,-F,从指定的文件中读取表达式,忽略其它的表达式；,-I,指定监听的网络接口；,-R,从指定的文件中读取包,(,这些包一般通过,-W,选项产生,),；,-W,直接将包写入文件中，并不分析和打印出来；,-T,将监听到的包直接解释为指定的类型的报文，常见的类型有,RPC,（远程过程调用）和,SNMP,（简单网络管理协议；）,tcpdump-i eth0 -c 1000 s 0 w eth0.cap,-c 1000,代表抓,1000,个包，,-s 0,代表抓完整的数据包（可省略）,-w,代表写入,dom,，文件名后坠,cap,例如：抓来自,192.168.100.77,的包，用命令,tcpdump-i eth1-n host 192.168.100.77 s 0 w eth0.cap,-n,表示不解析域名,例如：抓来自端口号为,9998,的包，用命令,tcpdump-i eth1 port 9998,谢谢,