sexta-feira, 22 de dezembro de 2006

Checkpoint Troubleshooting

Muitas vezes nos deparamos com alguns problemas difíceis de se diagnosticar somente com o SmartView Tracker (Logs das regras). Isso porque, nestas vezes, também nos deparamos com Firewalls de grande capacidade (leia-se: muito tráfego).

Existem dois procedimentos que podem ajudar no caso descrito acima:

1) Utilizar o fw monitor para capturar os pacotes e analisar onde está o problema. Este procedimento ajuda a encontrar problemas de tradução de endereços (NAT) e de regras erradas (drop verus accept, ordenação das regras, etc).

A utilização do fw monitor é descrita neste documento. Este documento é importante para entendermos como os pacotes são tratados nas filas de inbound/outbound e como interpretar as direções pré-estabelecidas (i: pre-In; I: post-In; o: pre-Out; O: post-Out). Exemplo de utização do fw monitor:

[Expert@cpmodule]# fw monitor -e "accept ((src=10.10.10.1) or (dst=172.16.0.1));" -o arquivo.cap

É possível também utilizar um Ethereal - atualmente Wireshark - modificado (chamado CPEthereal, disponível no web site do Checkpoint) para ler a captura de pacotes (arquivo.cap) de forma mais intuitiva e com algumas facilidades para o formato do fw monitor.

2) Outro procedimento que podemos utilizar para ajudar no diagnóstico de pacotes que são bloqueados pelo Firewall é o comando abaixo:

[Expert@cpmodule]# fw ctl zdebug drop > drops.txt

Deixe o programa executar por algum tempo (com tráfego passando pelo Firewall); após este período entrar com o comando Ctrl+C e no arquivo drops.txt existirá uma série de entradas com os pacotes que foram bloqueados pelo Firewall.

Nenhum comentário: