网御防火墙常用命令-2011.01
软考网工路由器、交换机、防火墙命令表
1. 计算机命令:PCA login: root ;使用root用户password: linux ;口令是linux# shutdown -h now ;同init 0 关机# logout# login# ifconfig ;显示IP地址# ifconfig eth0 <ip address> netmask <netmask> ;设置IP地址# ifconfig eht0 <ip address> netmask <netmask> down ;删除IP地址# route add 0.0.0.0 gw <ip># route del 0.0.0.0 gw <ip># route add default gw <ip> ;设置网关# route del default gw <ip> ;删除网关# route ;显示网关# ping <ip># telnet <ip>2. 交换机支持的命令:交换机基本状态:switch: ;交换机的ROM状态rommon> ;路由器的ROM状态hostname> ;用户模式hostname# ;特权模式hostname(config)# ;全局配置模式hostname(config-if)# ;接口状态交换机口令设置:switch>enable ;进入特权模式switch#config terminal ;进入全局配置模式switch(config)#hostname <hostname> ;设置交换机的主机名switch(config)#enable secret xxx ;设置特权加密口令switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口switch(config-line)#line vty 0 4 ;进入虚拟终端switch(config-line)#login ;允许登录switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令交换机VLAN设置:switch#vlan database ;进入VLAN设置switch(vlan)#vlan 2 ;建VLAN 2switch(vlan)#no vlan 2 ;删vlan 2switch(config)#int f0/1 ;进入端口1switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2switch(config-if)#switchport mode trunk ;设置为干线switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain <name> ;设置发vtp域名switch(config)#vtp password <word> ;设置发vtp密码switch(config)#vtp mode server ;设置发vtp模式switch(config)#vtp mode client ;设置发vtp模式交换机设置IP地址:switch(config)#interface vlan 1 ;进入vlan 1switch(config-if)#ip address <IP> <mask> ;设置IP地址switch(config)#ip default-gateway <IP> ;设置默认网关switch#dir flash: ;查看闪存交换机显示命令:switch#write ;保存配置信息switch#show vtp ;查看vtp配置信息switch#show run ;查看当前配置信息switch#show vlan ;查看vlan配置信息switch#show interface ;查看端口信息switch#show int f0/0 ;查看指定端口信息3. 路由器支持的命令:路由器显示命令:router#show run ;显示配置信息router#show interface ;显示接口信息router#show ip route ;显示路由信息router#show cdp nei ;显示邻居信息router#reload ;重新起动路由器口令设置:router>enable ;进入特权模式router#config terminal ;进入全局配置模式router(config)#hostname <hostname> ;设置交换机的主机名router(config)#enable secret xxx ;设置特权加密口令router(config)#enable password xxb ;设置特权非密口令router(config)#line console 0 ;进入控制台口router(config-line)#line vty 0 4 ;进入虚拟终端router(config-line)#login ;要求口令验证router(config-line)#password xx ;设置登录口令xx router(config)#(Ctrl+z) ;返回特权模式router#exit ;返回命令路由器配置:router(config)#int s0/0 ;进入Serail接口router(config-if)#no shutdown ;激活当前接口router(config-if)#clock rate 64000 ;设置同步时钟router(config-if)#ip address <ip> <netmask> ;设置IP地址router(config-if)#ip address <ip> <netmask> second ;设置第二个IProuter(config-if)#int f0/0.1 ;进入子接口router(config-subif.1)#ip address <ip> <netmask> ;设置子接口IProuter(config-subif.1)#encapsulation dot1q <n> ;绑定vlan中继协议router(config)#config-register 0x2142 ;跳过配置文件router(config)#config-register 0x2102 ;正常使用配置文件router#reload ;重新引导路由器文件操作:router#copy running-config startup-config ;保存配置router#copy running-config tftp ;保存配置到tftprouter#copy startup-config tftp ;开机配置存到tftprouter#copy tftp flash: ;下传文件到flashrouter#copy tftp startup-config ;下载配置文件ROM状态:Ctrl+Break ;进入ROM监控状态rommon>confreg 0x2142 ;跳过配置文件rommon>confreg 0x2102 ;恢复配置文件rommon>reset ;重新引导rommon>copy xmodem:<sname> flash:<dname> ;从console传输文件rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP rommon>TFTP_FILE=c2600.bin ;指定下载的文件rommon>tftpdnld ;从tftp下载rommon>dir flash: ;查看闪存内容rommon>boot ;引导IOS静态路由:ip route <ip-address> <subnet-mask> <gateway> ;命令格式router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 ;静态路由举例router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 ;默认路由举例动态路由:router(config)#ip routing ;启动路由转发router(config)#router rip ;启动RIP路由协议。
网御神州F3防火墙命令配置
dust> sysip add fe1 10.1.1.1 255.255.255.0 admin on ping on traceroute on
dust> sysip del 192.168.100.1
dust> sysip disp
dust> anti icmpflood fe1 1000
dust> anti pingofdeath fe1 800
dust> anti udpflood fe1 1000
dust> anti disp
#系统信息 sysinfo
dust> sysinfo disp
dust> sysinfo disp if
dust> limitp2p set [kazaa { permit|deny|limit}] // kazaa 协议限制
dust> limitp2p set [soul{ permit|deny|limit}] // soul 协议限制
dust> limitp2p set [winmx{ permit|deny|limit}] // winmx 协议限制
mngmailbox clear
mngmailbox disp
# 管理方式 mngmode
dust> mngmode ssh on
dust> mngmode ssh off
dust> mngmode disp
dust> mnghost add 192.168.10.1 “This is my host”
联想网御防火墙使用手册
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet B:外网用户通过DNAT访问内网
的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
网御防火墙管理系统使用手册
2.5.1 控制台的安装要求.........................................................................................15 2.5.2 第一个控制台的安装过程.............................................................................15 2.5.3 其它控制台安装.............................................................................................16 2.5.4 控制台的修复.................................................................................................16 2.5.5 控制台卸载.....................................................................................................16 2.5.6 控制台的重新安装.........................................................................................16
2.3 数据库的安装和卸载...............................................................................8
联想网御防火墙powervweb界面操作手册_4网络配置
联想网御防火墙P o w e r VW e b界面操作手册_4网络配置(总31页)本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March第4章网络配置本章主要介绍防火墙的网络配置,由以下部分组成:网络设备,域名服务器,静态路由,策略路由,UPnP服务器,DHCP服务器和HA(高可靠性)。
4.1 网络设备联想网御防火墙PowerV可配置的网络设备有:物理设备,VLAN设备,桥接设备,VPN设备,别名设备,冗余设备和拨号设备。
下面对各类设备的特点做一简要说明。
物理设备:防火墙中实际存在的网口设备,不能删除,也不能添加。
增减网络接口硬件模块会自动在网络配置中显示出来,不需要手动操作。
其中第一个物理设备是默认的管理设备,它的默认IP地址是10.1.5.254,这个地址允许管理,PING和TRACEROUTE。
物理设备是其他设备的基础,如果增减网络接口硬件模块,与这个设备相关的其它设备都会受到影响,这一点需要特别注意。
VLAN设备:是一种在物理设备基础上创建的设备。
与交换机的TRUNK口相联的防火墙物理设备上可以创建VLAN设备,以实现不同VLAN之间的互联。
它可以工作在路由模式下,也可以工作在透明模式下。
同一个物理设备上可以创建VLAN ID为0至4095的VLAN设备。
同一物理设备上创建的不同VLAN设备,VLAN ID必须不同,用于接收和发送带有相应VLAN ID的数据包。
不同物理设备上创建的VLAN设备的VLAN ID可以相同。
桥接设备:是将多个物理设备和VLAN设备置于透明模式,并且进行分组的设备。
启用此设备的防火墙相当于一个二层交换机,但它同时可以过滤三层的内容。
防火墙可以创建多个桥接设备,桥接设备绑定的物理设备或VLAN设备必须是启用并且工作在透明模式的设备。
这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。
网御防火墙常用命令-2011.01
• free 查看内存使用情况
这个命令可以清楚的知道设备的总共内存多大,使用多少,空闲多少 配合其他命令就可以整体把握设备的运行情况,
• 查看防火墙磁盘大小的一系列操作
首先,先运行mnt.boot /mnt,然后cd /mnt,再df查看各分区大小。磁盘 使用率显示的是/mnt资源占用的大小。
由图我们可以看出这个防火墙的磁盘大小为132M。(一般磁盘 32M,64M,128M等)
可以捕获防火墙的MAC地址, 接口类型,链路模式,协商速度 最大传输单元,等等一些接口详 细信息。 最主要的是看看trunk,ip/mac 等参数是不是误开,接口是不是 允许ping等。
• 使用ifconfig命令配置并查看网络接口情况 示例1: 配置eth0的IP,同时激活设备:
# ifconfig eth0 192.168.4.1 netmask 255.255.255.0 up 示例2: 配置eth0别名设备 eth0:1 的IP
• collision 冲突
长连接,慎用。作用是将连接的时间变短或者变长 不能加any到any的长连接 具体协议,服务不能使ANY 不然出问题。
• ethtool ethX 查看网口协商情况
从上图我们可以看出网口协商为100M全双工。由于很多设备都设置为 自适应,这样两个设备协商后速率和双工模式自动协商后到底是什么从 防火墙界面是看不出来的,所以就需要我们用ethtool命令查看,关于网 口不通的情况,很多时候使用ethtool排错是非常有用的。
• W(输入命令w)
非常简单的命令,但是很有用,应该说非常有用。 这个命令纪录了防火墙自正常启动以来,累计时长,可以清楚的知道 防火墙运行了多长时间。也可以知道防火墙是否出现频繁重启的问题 。 Load average后面的三组数字可以看出防火墙在使用资源(cpu,内 存,磁盘)的情况。这个数字大于1的时候,说明内核已经超负荷运 转。
(完整版)FortiGate防火墙常用配置命令
(完整版)FortiGate防火墙常用配置命令FortiGate 常用配置命令一、命令结构config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址,虚拟ip映射,事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名,管理端口FortiGate # show system global2、查看系统状态信息,当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat;8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令:FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令:FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址,即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。
防火墙配置中必备的六个主要命令
防⽕墙配置中必备的六个主要命令防⽕墙的基本功能,是通过六个命令来完成的。
⼀般情况下,除⾮有特殊的安全需求,这个六个命令基本上可以搞定防⽕墙的配置。
下⾯笔者就结合CISCO的防⽕墙,来谈谈防⽕墙的基本配置,希望能够给⼤家⼀点参考。
第⼀个命令:interfaceInterface是防⽕墙配置中最基本的命令之⼀,他主要的功能就是开启关闭接⼝、配置接⼝的速度、对接⼝进⾏命名等等。
在买来防⽕墙的时候,防⽕墙的各个端都都是关闭的,所以,防⽕墙买来后,若不进⾏任何的配置,防⽌在企业的⽹络上,则防⽕墙根本⽆法⼯作,⽽且,还会导致企业⽹络不同。
1、配置接⼝速度在防⽕墙中,配置接⼝速度的⽅法有两种,⼀种是⼿⼯配置,另外⼀种是⾃动配置。
⼿⼯配置就是需要⽤户⼿⼯的指定防⽕墙接⼝的通信速度;⽽⾃动配置的话,则是指防⽕墙接⼝会⾃动根据所连接的设备,来决定所需要的通信速度。
如:interface ethernet0 auto --为接⼝配置“⾃动设置连接速度”Interface ethernet2 100ful --为接⼝2⼿⼯指定连接速度,100MBIT/S。
这⾥,参数ethernet0或者etnernet2则表⽰防⽕墙的接⼝,⽽后⾯的参数表⽰具体的速度。
笔者建议在配置接⼝速度的时候,要注意两个问题。
⼀是若采⽤⼿⼯指定接⼝速度的话,则指定的速度必须跟他所连接的设备的速度相同,否则的话,会出现⼀些意外的错误。
如在防⽕墙上,若连接了⼀个交换机的话,则交换机的端⼝速度必须跟防⽕墙这⾥设置的速度相匹配。
⼆是虽然防⽕墙提供了⾃动设置接⼝速度的功能,不过,在实际⼯作中,作者还是不建议⼤家采⽤这个功能。
因为这个⾃动配置接⼝速度,会影响防⽕墙的性能。
⽽且,其有时候也会判断失误,给⽹络造成通信故障。
所以,在⼀般情况下,⽆论是笔者,还是思科的官⽅资料,都建议⼤家采⽤⼿⼯配置接⼝速度。
2、关闭与开启接⼝防⽕墙上有多个接⼝,为了安全起见,打开的接⼝不⽤的话,则需要及时的进⾏关闭。
常用网络防火墙管理命令与技巧(九)
网络防火墙是保障网络安全的重要工具,通过限制网络流量和实施访问控制,防火墙可以有效地阻止恶意攻击和未经授权的访问。
为了正确地管理和配置网络防火墙,掌握一些常用的管理命令和技巧是非常有必要的。
一、命令行界面管理网络防火墙通常提供命令行界面,使管理员能够通过输入命令来配置和管理防火墙。
对于Linux系统来说,常用的命令行工具是iptables。
通过iptables,管理员可以设置各种规则和策略,以控制网络流量的进出。
1. 查看当前的规则和策略:使用命令"iptables -L"可以列出当前的防火墙规则和策略。
这对于了解当前防火墙配置的状态非常有用。
管理员可以查看已经定义的规则、策略以及它们的顺序。
2. 添加新的规则:命令"iptables -A"用于添加一个新的规则到防火墙中。
管理员需要指定规则的类型(输入、输出或转发),以及规则所适用的源IP地址、目标IP地址和端口号等信息。
例如,"iptables -A INPUT -s/24 -p tcp --dport 22 -j ACCEPT"将允许从/24网络的主机访问防火墙上的SSH服务。
3. 删除已有的规则:使用命令"iptables -D"可以删除已经存在的规则。
管理员需要指定规则的类型和规则的编号。
例如,"iptables -D INPUT 2"将删除INPUT链上的第二条规则。
4. 保存和加载规则集:在对防火墙进行配置和修改后,管理员需要保存规则集,以便在系统重启后能够重新加载。
通过命令"iptables-save"可以将当前的规则集保存到文件中。
而通过命令"iptables-restore"可以从文件中加载规则集。
二、图形界面管理除了命令行界面,一些网络防火墙还提供了图形界面用于管理和配置。
这种类型的管理界面通常提供了可视化的操作,使得管理者可以更直观地配置和监视防火墙。
防火墙配置常用命令
防火墙配置常用命令firewall zone name userzone 创建一个安全区域,进一个已建立的安全区域视图时不需要用关键字。
set priority 60 设置优先级add interface GigabitEthernet0/0/1 把接口添加进区域dis zone [userzone]显示区域配置信息[FW]policy interzone trust untrust outbound[FW-policy-interzone-trust-untrust-outbound]policy 1firewall defend ip-sweep enablefirewall defend ip-sweep max-rate 1000firewall blacklist enable[SRG]firewall defend ip-sweep blacklist-timeout 20firewall mac-binding enable MAC地址绑定配置firewall mac-binding 202.169.168.2 00e0-fc00-0100[FW2]firewall zone untrust[FW2-zone-untrust]add interface g0/0/0[FW2]firewall packet-filter default permit interzone trust untrust[FW2]firewall packet-filter default permit interzone local untrustIPSec相关配置:先配置ACL:acl number 3000rule 5 permit ip source 10.0.100.0 0.0.0.255 destination 10.0.200.0 0.0.0.2551、配置安全提议,封闭使用隧道模式,ESP协议,ESP使用DES 加密算法,完整性验证使用SHA1算法。
路由器防火墙配置命令
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
【缺省情况】
没有规则应用于接口。
【命令模式】
接口配置模式。
【使用指南】
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
【使用指南】
使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。
对防火墙的配置指令
对于用ADSL拨号上网的用户,外部网卡往往获取的ip地址是不固定的,所以虚拟主机,或者WWW,mail,ftp发布可能会有些问题,在此针对ADSL的不固定IP情况设置相应的DNA T策略,使能正常发布内网的FTP,MAIL,WWW。
我们这里以发布WWW为例,还是192.168.0.2为内部WWW服务器,只不过现在的服务器是通过ADSL上网所以我们添加以下策略:ptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNA T --to-destination 192.168.0.2:80将80请求转发至192.168.0.2:80端口iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.2 -p tc p -m tcp --dport 80 -j SNA T --to-source 192.168.0.1返回a.b.b.d时数据源来自同一子网,就将其源地址更改为192.168.0.1,从eth0发出,并在连接跟踪表中查出a.b.c.d是从ppp0进来的,又由ppp0将此数据发出。
(我也看不明白为何要有这句话)iptables -A INPUT -p tcp --dport 80 -i ppp0 -j ACCEPT允许80端口访问的语句。
然后重新/etc/rc.d/init.d/iptables save/etc/rc.d/init.d/iptables restart其他如FTP发布也可举一反三:ptables -t nat -A PREROUTING -p tcp -m tcp --dport 21 -j DNA T --to-destination 192.168.0.2:21iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.2 -p tc p -m tcp --dport 21 -j SNA T --to-source 192.168.0.1iptables -A INPUT -p tcp --dport 21 -i ppp0 -j ACCEPT上网的时候,用ifconfig看看ppp0的地址,然后用那个地址看看WWW是否正常发布。
Juniper防火墙基本命令
Juniper防火墙基本命令常用查看命令Get int查看接口配置信息Get int ethx/x查看指定接口配置信息 Get mip查看映射ip关系 Get route查看路由表Get policy id x查看指定策略Get nsrp查看nsrp信息,后可接参数查看具体vsd组、端口监控设置等 Get per cpu de查看cpu利用率信息Get per sessionde查看每秒新建会话信息 Get session查看当前会话信息,后可匹配源地址、源端口、目的地址、目的端口、协议等选项Get session info查看当前会话数量Get system查看系统信息,包括当前os版本,接口信息,设备运行时间等 Get chaiss查看设备及板卡序列号,查看设备运行温度 Get counter stat查看所有接口计数信息Get counter stat ethx/x查看指定接口计数信息Get counter flow zone trust/untrust查看指定区域数据流信息Get counter screen zone untrust/trust查看指定区域攻击防护统计信息Get tech-support查看设备状态命令集,一般在出现故障时,收集该信息寻求JTAC支持常用设置命令Set int ethx/x zone trust/untrust/dmz/ha配置指定接口进入指定区域(trust/untrust/dmz/ha等) Set int ethx/x ip x.x.x.x/xx配置指定接口ip地址Set int ethx/x manage配置指定接口管理选项,打开所有管理选项Set int ethx/x manage web/telnet/ssl/ssh配置指定接口指定管理选项 Set int ethx/x phy full 100mb配置指定接口速率及双工方式 Set int ethx/x phy link-down配置指定接口shutdownSet nsrp vsd id 0 monitor interface ethx/x配置ha监控端口,如此端口断开,则设备发生主/备切换Exec nsrp vsd 0 mode backup手工进行设备主/备切换,在当前的主设备上执行set route 0.0.0.0/0 interface ethernet1/3 gateway 222.92.116.33配置路由,需同时指定下一跳接口及ip地址所有set命令,都可以通过unset命令来取消,相当于cisco中的no所有命令都可以通过“TAB”键进行命令补全,通过“?”来查看后续支持的命令防火墙基本配置create account [admin | user]<username> (创建账户)回车输入密码:再次输入密码:configure account admin (配置账户)回车输入密码:再次输入密码: 2.port配置config ports <portlist> auto off{speed [10 | 100 | 1000]} duplex [half | full] auto off 配置端口的限速和工作模式(全和半) 3.Vlan配置无论是核心还是接入层,都要先创建三个Vlan,并且将所有归于Default Vlan的端口删除: config vlan default del port all 清除默认VLAN里面所有端口 create vlan Server create vlan User创建vlan server user和mangercreate vlan Manger 定义802.1q标记config vlan Server tag 10 config vlan User tag 20 config vlan Manger tag 30 设定Vlan网关地址:config vlan Server ipa 192.168.41.1/24 config vlan User ipa 192.168.40.1/24 config vlan Manger ip a 192.168.*.*/24Enable ipforwarding 启用ip路由转发,即vlan间路由 Trunk 配置config vlan Server add port 1-3 t config vlan User add port 1-3 t config vlan manger add port 1-3 t 4.VRRP配置enable vrrp 开启虚拟路由冗余协议configure vrrp add vlan UserVlan 在VLAN里面添加vrrpconfigure vrrp vlan UserVlan add master vrid 10 192.168.6.254 configure vrrp vlan UserVlan auth entication simple-passwordextreme configure vrrp vlan UserVlan vrid 10 priority 200 configure vrrp vlan UserVlan vrid 10 advertisement-interval15 configure vrrp vlan UserVlan vrid 1 0 preempt 5.端口镜像配置首先将端口从VLAN中删除enable mirroring to port 3 #选择3作为镜像口 config mirroring add port 1 #把端口1的流量发送到3config mirroring add port 1 vlan default #把1和vlandefault的流量都发送到3 6.port-channel 配置enable sharing <port> grouping<portlist> {port-based |address-based | round-robin} show port s haring //查看配置 7.stp配置enable stpd //启动生成树create stpd stp-name //创建一个生成树configure stpd <spanning treename> add vlan <vlanname> {ports<portlist> [dot1d | emistp |pvst -plus]}configure stpd stpd1 priority 16384configure vlan marketing add ports 2-3 stpd stpd1 emistp 8.DHCP 中继配置 enable bootprelay config bootprelay add <dhcp serverip> 9.NAT配置Enable nat #启用nat Static NAT Rule Exampleconfig nat add out_vlan_1 map source 192.168.1.12/32 to216.52.8.32/32 Dynamic NAT Rule Exam pleconfig nat add out_vlan_1 map source 192.168.1.0/24 to216.52.8.1 - 216.52.8.31 Portmap NAT R ule Exampleconfig nat add out_vlan_2 map source 192.168.2.0/25 to216.52.8.32 /28 both portmap Portmap Min-Max Exampleconfig nat add out_vlan_2 map source 192.168.2.128/25 to216.52.8.64/28 tcp portmap 1024 - 819 2 10.OSPF配置enable ospf 启用OSPF进程create ospf area <area identifier>创建OSPF区域configure ospf routerid [automatic |<routerid>] 配置Routeridconfigure ospf add vlan [<vlanname> | all] area <areaidentifier> {passive}把某个vlan加到某个Area中去,相当于Cisco中的 network的作用configure ospf area <areaidentifier> add range<ipaddress><mask> [advertise | noadvertise]{type-3 | type-7} 把某个网段加到某个Area中去,相当于Cisco中的network的作用configure ospf vlan <vlan name>neighbor add <ipaddress> OSPF中路由重发布配置enable ospf export direct [cost<metric> [ase-type-1 | ase-type-2]{tag <number>} |<route map>] enable ospf export static [cost<metric> [ase-type-1 | ase-type-2]{tag <number>} |<route map>] enable ospf originate-default {always} cost<metric> [ase-type-1 | ase-type-2]{tag <number>} enable ospf originate-router-id 11.SNMP配置enable snmp access启用SNMP访问 enable snmp traps启用SNMP限制create access-profile <accessprofile> type [ipaddress | vlan]config snmp access-profile readonly[<access_profile> |none]配置snmp的只读访问列表,none 是去除config snmp access-profile readwrite[<access_profile> | none]这是控制读写控制 config snmp add trapreceiver <ipaddress> {port<udp_port>}community<communitystring> {from<source ip address>} 配置snmp接收host和团体字符串 12.安全配置disable ip-option loose-source-route禁止散发源路由 disable ip-option strict-source-route禁止静态源路由 disable ip-option record-route 禁用路由记录。
juniper防火墙命令大全(中文)
#---表示翻译不一定准确*---表示常用命令>get ?Address show address book 显示地址信息admin show admin information 显示管理员信息alarm show alarm info 显示报警信息alg application layer gateway information 应用层网关信息alg-portnum get ALG port num 获得ALG接口号码alias get alias definitions 得到别名定义arp show ARP entries 显示ARP记录asp aspattack show attacks 显示攻击信息auth show authentication information 显示登陆信息认证信息auth-server authentication server settings 认证服务器设置backu4p backup information 备份信息chassis show chassis information 显示机架信息(机架温度….)clock show system clock 显示系统时钟config show system configuration 显示系统配置信息console show console parameters 显示控制台参数设置counter show counters 显示计数器仪表di get deep inspection parameters 深入检测参数dialer get dialer information 得到拨号器信息dip show all dips in a vsys or root 显示所有dip里的虚拟系统或者根dip-in show incoming dip table info 显示进入DIP表的信息dns show dns info 显示DNS信息domain show domain name 显示域名dot1x display IEEE802.1X global configuration 显示IEEE802.1X全局配置driver show driver info 显示驱动信息envar show environment variables 显示环境变量信息event show event messages 显示事件消息file show file information 显示文件信息firewall show firewall protection information 显示防火墙保护信息gate show gate info 阀门信息显示global-pro global-pro settings 全局设置 #group show groups 显示组信息group-expression group expressions details 组的表达方式详细信息hostname show host name 显示主机名igmp IGMPike get IKE info 得到密钥信息infranet Infranet Controller configuration Infranet控制器配置interface show interfaces 显示接口信息ip get ip parameters 获得IP参数ip-classification Show IP classification 显示IP分类ippool get ippool info 得到IP地址池信息ipsec get ipsec information 得到安全协议的信息irdp show IRDP status 显示IRDP的状态地位l2tp get l2tp information 得到L2TP的信息license-key get license key info 得到许可证密钥信息log show log info 显示日志信息mac-learn show mac learning table 透明模式下显示MAC地址信息memory show memory info 显示内存信息mip show all mips in a vsys or root 显示所有MIP的虚拟系统或者根multicast-group-policy multicast group policy 多播组策略nrtp show nrtp information 显示NRTP信息nsmgmt show NSM agent status/configuration 显示NSM代理/配置状态nsrp show nsrp info 显示冗余协议信息ntp get ntp parameters 得到NTP参数os show task information 显示任务信息password-policy password policy 密码策略performance get performance info 获得性能信息pim show global PIM-SM information 显示全球sm信息#pki show the pki settings 显示pki 设置参数policy show policy 显示策略信息ppp get PPP settings 得到PPP设置参数pppoe how pppoe configuration and statistics 如何配置和统计pppoe # proxy-id vpn proxy-id setting vpn 代理ID的设置信息rm show resource management info 显示资源管理信息route show routes in a vrouter 查看路由信息sa show security association 显示安全协议sa-filter config debug message per SA filter 过滤器 #scheduler show scheduler 显示虚拟机信息scp show SCP status 显示SCP 状态service show service book 显示服务目录session show all sessions 显示所有会话信息snmp show SNMP information 显示简单网络管理协议的信息snmpwalk snmp walk ?socket show socket info 显示插座信息ssh show SSH status 显示SSH 状态ssl show ssl info 显示ssl 信息syslog show syslog information 显示系统日志信息system show system info 显示系统信息tech-support show tech support information 显示技术支持信息timer show timer info 显示时钟计时器信息traffic-shaping show traffic shaping info 显示传输形成信息 #url show url filter information 显示 URL 过滤信息user show user 显示用户信息user-group user group settings 用户组设置vip show virtual IP info 显示虚拟IP信息vpn show vpn session 显示VPN会话信息vpn-group Keyword for showing vpn group setup vpn关键字组的设置vpnmonitor show vpn monitor parameters显示vpn监控参数vrouter show virtual router info 显示虚拟路由器信息webauth webauth settings webauth设置webtrends show webtrends information 显示电子商务信息xauth get xauth information 得到扩展认证的信息xlate show xlate ctx infozone configure zone 配置区域> ?Clear clear dynamic system info 清晰的动态系统信息Delete delete persistent info in flash 删除信息:在flash中持续exec exec system commands 执行系统命令exit exit command console 退出命令控制台get get system information 获得系统信息mtrace multicast traceroute from source to destination多播traceroute从来源到目的地ping ping other hostreset reset system 重启系统save save command 保存命令set configure system parameters 配置系统参数命令trace-route trace route 跟踪路由到目的地址unset unconfigure system parameters 删除系统配置参数>clear ?admin clear admin information 清除的管理员信息alarm clear alarm infoalg application layer gateway information 应用层网关信息arp clear ARP entries in the current vsys 明确在当前vsys ARP条目auth clear user authentication table 清除用户认证表cluster cluster option 集群选择config clear config related setting 清除相关配置设定counter clear counters 清除接口计数器dbuf clear debug buffer 清除debug 缓冲器dhcp clear dhcp 清除dhcpdip-in clear incoming dip entries 清除进入dip条目dns clear dns cache table 清除dns缓存服务器dot1x clear IEEE802.1X info 清除IEEE802.1X信息event clear event messages 清除事件消息igmp IGMPike Clear IKE info 清除 IKE 信息ike-cookie clear ike cookieinterface clear interfaces 清除接口ippool clear ippool info 清除ip地址池信息ipsec get ipsec information 得到网际协议安全信息l2tp clear l2tp 清除 2层隧道协议log clear log info 清除日志信息mac-learn clear mac learning tablemulticast clear multicast informationnrtp clear nrtp resourcesnsrp clear nsrp infopppoe clear pppoe statisticssa clear sa ike valuesa-statistics clear statistics in security associationsession clear session tablesnmp clear snmptraffic-shaping clear traffic shaping paramtersvrouter clear vrouter param> delete ?Cluster cluster option 删除集群选择Crypto delete crypto info 删除密码信息file delete a file 删除一个文件node_secret clear SecurID stored node secret 清除存储节点SecurID秘密nsmgmt delete nsmgmt private/public keys 删除nsmgmt私人和公共钥匙pki delete a PKI object 删除一个PKI对象ssh delete SSH 删除 SSHccie-> exec ?admin exec ADMIN commands 执行管理员命令alg application layer gateway information 执行应用层网关信息attack-db perform attack database update or checking数据库进行更新或攻击的检查auth user authentication actions 用户身份认证的行为backup exec backup command 执行备份命令config config exec command 配置执行命令dhcp exec dhcp command执行dhcp命令dialer exec dialer commands 执行拨号器命令dns refresh all dns entries 刷新所有dns条目igmp IGMPike IKE exec commands 执行密钥命令infranet Infranet Confroller configurationinterface Interface configuration 执行接口配置license-key set feature configuration 设置功能配置log exec log commands 执行日志命令modem exec modem Hayes Command Set 执行的命令集现代海耶斯nsrp exec nsrp commandsntp exec ntp command执行nsrp命令password perform password verification 执行密码验证pki PKI exec commands 执行命令policy policy verify 执行策略验证pppoe maintain pppoe connection 保持pppoe连接proxy-id exec proxy id update command执行代理身份更新命令save save command 保存命令ssh exec SSH commands 执行 SSH 命令switch test switch module 测试交换机模块syslog syslog configuration 执行系统日志配置usb-device exec usb command 执行USB 命令vrouter execute vrouter commands 虚拟路由命令ccie-> exit ?<return><string>> mtrace ?由源向目标跟踪解析组播地址路径destination mtrace to the destination mtrace到目的地source mtrace from source mtrace从源> ping ?<return><string> host name> reset ?<return>no-prompt no confirmation 无法确认save-config save configurations 保存配置> save ?<return>attack-db save attack database 保存攻击数据库config save configurations 保存配置image-key save image key 保存关键图像software save software 保存软件ccie-> set ?address define address book entry 定义通讯录条目admin admin commandalarm set alarm parameters 参数设置闹钟alg attach algalias set alias 设置别名arp set arp entries arp条目集attack set attack 设置攻击auth user authentication settings 用户认证设置auth-server authentication server settings 认证服务器设置clock system clock adjustment 系统时钟调整common-criteria Common Criteria function 普遍的标准功能config set/unset config 设置/删除配置console console parameters 控制台参数dbuf set debug buffer 缓冲设置调试di set deep inspection parameters 深度检测参数设置dialer set dialer parameters 拨号器参数设置dip port-translated dip attribute & dip group configurationdns dns configuration dns配置domain domain name 域名envar set environment variables 设置环境变量ffilter flow filter configuration 流过滤配置fips-mode FIPS mode functionfirewall enable firewall protection 使防火墙保护flow flow configuration 流程配置group define address/ser vice groups 定义地址/ ser副组group-expression group expression details 集团表达细节hostname name of this host 主机名ike config Internet Key Exchange 配置网络匙交换infranet Infranet Controller configuration Infranet控制器配置interface interface command接口命令ip set ip parameters设置IP参数ippool ippool settingsipsec set ipsec access sessionl2tp l2tp configuration l2tp配置license-key license-key 密钥许可证log set log config 配置日志信息mac configure static mac entry into mac learning table 配置静态mac进入MAC学习表multicast-group-policy multicast group policy 多播组策略nsmgmt set NSM agent configuration NSM代理配置设置nsrp NetScreen Redundancy Protocol command NetScreen冗余协议命令ntp set ntp parameters ntp参数设置password-policy password policy 密码策略pki PKI Configuration PKI配置policy policy configuration 策略配置ppp set PPP settings 设置PPP设置pppoe pppoe configuration pppoe配置proxy-id vpn proxy-id setting vpn proxy-id设置sa-filter config debug message per SA filter 配置调试信息/ SA的过滤器scheduler scheduler parameters 调度参数scp set SCP 集单片机service service configuration 服务配置snmp snmp command snmp(简单网络管理协议)命令ssh set SSHssl set ssl configuration ssl配置设置syslog syslog configuration syslog配置tftp tftp settings 配置设置timer timer configurationtraffic-shaping set traffic shaping infourl Web filtering configuration 网页过滤配置user user database 用户数据库user-group user group settings 用户组设置vip virtual ip configuration虚拟ip配置vpn vpn configuration vpn配置vpn-group Keyword for define vpn group 为定义vpn关键字组vpnmonitor vpn monitor parameters vpn监测参数vrouter configure vrouter 配置vrouterwebauth webauth settings webauth设置webtrends webtrends configurat ionxauth xauth configurationzone configure security zone 配置的安全地带。
联想网御防火墙PowerV Web界面操作手册_1导言
联想网御防火墙PowerV Web界面操作手册声明♦本手册所含内容若有任何改动,恕不另行通知。
♦在法律法规的最大允许范围内,联想(北京)有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
♦在法律法规的最大允许范围内,联想(北京)有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。
♦本手册含受版权保护的信息,未经联想(北京)有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。
联想(北京)有限公司中国北京海淀区上地信息产业基地创业路6号目录第1章前言................................................................................................................................. 1-51.1 导言................................................................................................................................ 1-51.2 本书适用对象................................................................................................................ 1-51.3 手册章节组织................................................................................................................ 1-51.4 相关参考手册................................................................................................................ 1-5第1章前言1.1 导言《Web界面操作手册》是网御防火墙PowerV管理员手册中的一本。
联想网御防火墙配置手册簿
联想网御防火墙配置手册(3213)
1、根据防火墙接口数量及业务系统需求规划防火墙各接口用途、
IP地址信息、及各接口的策略等。
2、防火墙设备安装,连接各种线缆。
3、安装防火墙管理密钥驱动。
4、插入管理密钥,运行防火墙管理认证程序。
默认管理IP地址
10.1.5.254 端口9999。
5、认证程序连接防火墙成功后,利用浏览器登陆防火墙,地址:
https://10.1.5.254:8888默认用户名:administrator密码:administrator。
6、设置各物理接口IP地址、工作模式等信息。
端口或IP映射做准备。
8、设置管理主机,提高系统安全性,只有设置的管理主机范围才
有访问防火墙的权限。
9、按系统规划需求,定义所需地址列表及服务器地址等信息,以
备后期定义策略时使用。
10、根据系统规划需求,设置默认路由。
11、配置NAT规则。
12、配置IP或端口映射。
IP映射会对此映射IP的所有端口开放,
端口映射只开放相应映射的端口。
13、配置包过滤规则。
14、配置其它安全选项。
16、。
网御防火墙常用命令专业知识讲座
• overruns 数据包溢出的数量
• frame 帧错误
• carrier 载波 • collision 冲突
长连接,慎用。作用是将连接的时间变短或者变长 不能加any到any的长连接 具体协议,服务不能使ANY 不然出问题。
本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不 当之处,请联系本人或网站删除。
• 查看防火墙磁盘大小的一系列操作
首先,先运行mnt.boot /mnt,然后cd /mnt,再df查看各分区大小。磁盘 使用率显示的是/mnt资源占用的大小。
由图我们可以看出这个防火墙的磁盘大小为132M。(一般磁盘 32M,64M,128M等)
本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不 当之处,请联系本人或网站删除。
• system show 查看防火墙版本信息
可以看到防火墙名,硬件型号,软件版本以及序列号。 • admhost show 查看管理主机
• admhost add ip x.x.x.x 添加管理主机 • adm信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不 当之处,请联系本人或网站删除。
• Interface show if feX (X代表接口序号,例如fe1,fe2,fe3等)
可以捕获防火墙的MAC地址, 接口类型,链路模式,协商速度 最大传输单元,等等一些接口详 细信息。 最主要的是看看trunk,ip/mac 等参数是不是误开,接口是不是 允许ping等。
本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不 当之处,请联系本人或网站删除。
• 使用ifconfig命令配置并查看网络接口情况 示例1: 配置eth0的IP,同时激活设备: # ifconfig eth0 192.168.4.1 netmask 255.255.255.0 up 示例2: 配置eth0别名设备 eth0:1 的IP # ifconfig eth0:1 192.168.4.2 示例3:激活(禁用)设备 # ifconfig eth0:1 up(down) 示例4:查看所有(指定)网络接口配置 # ifconfig (eth0)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
客服中心 2011年01月
• system show 查看防火墙版本信息
可以看到防火墙名,硬件型号,软件版本以及序列号。 • admhost show 查看管理主机
• admhost add ip x.x.x.x 添加管理主机 • admhost del ip x.x.x.x 删除管理主机
2.遇到其他占用cpu利用率高蛤不常见的进程 ,可反到客服中心
• filterconfig state count 查看防火墙的并发连接数
• filterconfig state remove 清除防火墙上的连接(所有连接包括你的 web连接和SSH连接)
• filterconfig state list 查看防火墙的连接表(建议与grep参数配合使用) eg: filterconfig state list | grep 211.103.135.147
查看完以后千万千万不要忘记退出/mnt目录,然后umont /mnt。
• ps –aux 查看防火墙进程
• top命令是以上所有命令的集合,使用top命令可以很直观的查询到很 多防火墙的基本信息,但是由于top命令启用以后占用防火墙资源比 较大,如果你的设备在网络中处于超负荷运转的时候,这个命令则需 要谨慎使用。
• 可以显示w命令的内容
• 可以显示free命令的内容
• 可以显示cpu实时的使用率大小
• 可以显示所有进程,并且可以显示进程使用cpu,内存的大小,并实 时动态变化。
• 我们经常可以看到cli进程占用CPU100%,pluto进程占用CPU大,或 者syslogd进程占用CPU大等等。这就说明防火墙的某个模块使用率 特别大,要注意优化。
• 3.4.3.8(含)以下版本防火墙语音传输不通或者有时通,有时不通或 者日志中有大量关于sip、h323的报错信息时,可以用如下命令,彻 底删除sip和h323模块。但是卸载以上模块会牺牲掉ha模块,以后将 无法使用双机功能。
• themis> cd /lib/modules/2.4.22/kernel/net/ipv4/netfilter
• W(输入命令w)
非常简单的命令,但是很有用,应该说非常有用。 这个命令纪录了防火墙自正常启动以来,累计时长,可以清楚的知道 防火墙运行了多长时间。也可以知道防火墙是否出现频繁重启的问题 。 Load average后面的三组数字可以看出防火墙在使用资源(cpu,内 存,磁盘)的情况。这个数字大于1的时候,说明内核已经超负荷运 转。
• cpu 100%问题 1.用ps aux问题查看具体是哪一个进程导致cpu利用率高
Cli进程问题 kill all cli 杀掉所有cli进程 再打上 patch207-解决Cli命令导致cpu利用率百分之百升级包(3.4.X.X)
severadd进程问题 添加资源定义时报错导致 cpu100%,直接kill +进程id杀掉进程即可 3.4.5.0/1可打 Patch193-解决资源定义报错显示乱码和操作资源定义模块时CPU 占用率为100%问题升级包(3.4.5.0-1版本)
• free 查看内存使用情况
这个命令可以清楚的知道设备的总共内存多大,使用多少,空闲多少 配合其他命令就可以整体把握设备的运行情况,
• 查看防火墙磁盘大小的一系列操作
首先,先运行mnt.boot /mnt,然后cd /mnt,再df查看各分区大小。磁盘 使用率显示的是/mnt资源占用的大小。
由图我们可以看出这个防火墙的磁盘大小为132M。(一般磁盘 32M,64M,128M等)
• collision 冲突
长连接,慎用。作用是将连接的时间变短或者变长 不能加any到any的长连接 具体协议,服务不能使ANY 不然出问题。
• ethtool ethX 查看网口协商情况
从上图我们可以看出网口协商为100M全双工。由于很多设备都设置为 自适应,这样两个设备协商后速率和双工模式自动协商后到底是什么从 防火墙界面是看不出来的,所以就需要我们用ethtool命令查看,关于网 口不通的情况,很多时候使用ethtool排错是非常有用的。
• acsc on和acsc show top
– 开启连接管理功能 – 查看top 10的连接
以上命令主要是让工程师在 不打开页面的情况下可以更 好的分析那个主机IP大量进 行连接。
• config reset 是恢复出厂设置 • config save是保存配置
这些命令大家可能都知道, 我在这里重复只是希望大家真正 熟练掌握,并在现场第一时间使用
息;
-VV
输Байду номын сангаас详细的报文信息;
-C
在收到指定的包的数目后,TCPDUMP就会停止;
-F
从指定的文件中读取表达式,忽略其它的表达式;
-I
指定监听的网络接口;
-R
从指定的文件中读取包(这些包一般通过-W选项产生);
-W
直接将包写入文件中,并不分析和打印出来;
-T
将监听到的包直接解释为指定的类型的报文,常见的类型有RPC (远程
• lsmod 查看防火墙模块的命令,主要用于查看防火墙模块是否存在, 有时候模块没有起来,倒是防火墙功能不可用。
• 如果语音,视频不能通过防火墙,则需要去移除关于sip,h.323, h.323gk 等相关模块
防火墙上root权限登录后,输入lsmod,查看到关于sip的报错信息如 下:
file: osip_message_parse.c, line: 850 --->Could not parse start line of message.
• admmode show 查看管理方式 显示管理方式 WEB/串口 SSH/PPP admmode on ssh
• Interface show all
查看防火墙的接口信息,包括接口数量,ip地址,子网掩码,开启状态 主要查看接口配置是否正常,配合周边设备查看网络是否通与不通。
• Interface show if feX (X代表接口序号,例如fe1,fe2,fe3等)
• themis> mv ha.o ha.o.old
• themis> mv ip_conntrack_h323.o ip_conntrack_h323.o.old
• themis> mv ip_conntrack_h323_gk.o ip_conntrack_h323_gk.o.old
• themis> mv ip_nat_h323.o ip_nat_h323.o.old
• 查看日志,含有有用的VPN日志 :tail –f /var/log/fw.log
上面的图中有防火墙DHCP和VPN的日志,如果你的防火期记录日志 打钩多的话,可以查看到更多的日志。
• 查看VPN的后台配置:cat /etc/ipsec.d/confs/ipsec.gateways.conf等 可以查看在/etc/ipsec.d/confs/相应的其它配置文件
• themis> mv ip_nat_h323_gk.o ip_nat_h323_gk.o.old
• themis> mv ip_conntrack_sip_module.o
•
ip_conntrack_sip_module.o.old
• themis> mv ip_nat_sip_module.o ip_nat_sip_module.o.old
• RX packets 接受数据包的数量 收包丢弃量大
• TX packets 发送数据包的数量
• errors 错误包的数量
硬件信号错误
• dropped 丢弃的数据包数量
如果有丢弃的数据包说明流量大或者驱动有问题
• overruns 数据包溢出的数量
• frame 帧错误
• carrier 载波
# ifconfig eth0:1 192.168.4.2 示例3:激活(禁用)设备
# ifconfig eth0:1 up(down) 示例4:查看所有(指定)网络接口配置
# ifconfig (eth0) 备注:如果要对接口添加允许管理允许ping等相关参数的时候,则要使
用防火墙自身的命令interface set phy if fe0 ip 10.1.5.254 netmask 255.255.255.0 active on admin on ping on traceroute on
• tcpdump 抓包命令,在这里我们将详细介绍抓包命令,以为在网络中 遇到任何奇怪的且不能正常解释的内容,都可以用抓包分析来论证。
TCPDUMP的选项介绍
-A
将网络地址和广播地址转变成名字;
-D
将匹配信息包的代码以人们能够理解的汇编格式给出;
-DD
将匹配信息包的代码以C语言程序段的格式给出;
• themis> mv osipparser2.o osipparser2.o.old
• themis> backpkg modules
VPN命令汇总
• 查看建立的ipsec隧道及路由 :ipsec eroute
• 查看VPN状态信息,用于VPN排错:ipsec auto –status
• 查看日志,含有有用的VPN日志 :tail –f /var/log/fw.log
• ip route show
显示路由表信息,对于大型网络和复杂网络,路由表是非常重要的。 排错的时候40%的路由表的问题,20%的故障是跟路由表相关的其他 功能的问题。所以路由表是非常重要的。
• HA show config • HA show status
可以查看HA配置 和HA的协商情况 以及目前的主备 状态
• 查看VPN的后台配置