防火墙常用命令201101课件

防火墙常用命令汇总客服中心黄娴婷2011年01月systemshow查看防火墙版本信息可以看到防火墙名，硬件型号，软件版本以及序列号。admhostshow查看管理主机admhostaddipx.x.x.x添加管理主机admhostdelipx.x.x.x删除管理主机admmodeshow查看管理方式显示管理方式WEB/串口SSH/PPPadmmodeonsshInterfaceshowall查看防火墙的接口信息，包括接口数量，ip地址，子网掩码，开启状态主要查看接口配置是否正常，配合周边设备查看网络是否通与不通。使用ifconfig命令配置并查看网络接口情况示例1:配置eth0的IP，同时激活设备:

#ifconfigeth0192.168.4.1netmask255.255.255.0up示例2:配置eth0别名设备eth0:1的IP

#ifconfigeth0:1192.168.4.2示例3:激活（禁用）设备

#ifconfigeth0:1up(down)示例4:查看所有（指定）网络接口配置

#ifconfig(eth0)备注：如果要对接口添加允许管理允许ping等相关参数的时候，则要使用防火墙自身的命令interfacesetphyiffe0ip10.1.5.254netmask255.255.255.0activeonadminonpingontracerouteonRXpackets接受数据包的数量收包丢弃量大TXpackets发送数据包的数量errors错误包的数量硬件信号错误dropped丢弃的数据包数量如果有丢弃的数据包说明流量大或者驱动有问题overruns数据包溢出的数量frame帧错误carrier载波collision冲突长连接，慎用。作用是将连接的时间变短或者变长不能加any到any的长连接具体协议，服务不能使ANY不然出问题。acscon和acscshowtop开启连接管理功能查看top10的连接以上命令主要是让工程师在不打开页面的情况下可以更好的分析那个主机IP大量进行连接。configreset是恢复出厂设置configsave是保存配置这些命令大家可能都知道，我在这里重复只是希望大家真正熟练掌握，并在现场第一时间使用iprouteshow

显示路由表信息，对于大型网络和复杂网络，路由表是非常重要的。排错的时候40%的路由表的问题，20%的故障是跟路由表相关的其他功能的问题。所以路由表是非常重要的。HAshowconfigHAshowstatus可以查看HA配置和HA的协商情况以及目前的主备状态

free查看内存使用情况

这个命令可以清楚的知道设备的总共内存多大，使用多少，空闲多少配合其他命令就可以整体把握设备的运行情况，查看防火墙磁盘大小的一系列操作首先，先运行mnt.boot/mnt，然后cd/mnt，再df查看各分区大小。磁盘使用率显示的是/mnt资源占用的大小。由图我们可以看出这个防火墙的磁盘大小为132M。（一般磁盘32M,64M,128M等）查看完以后千万千万不要忘记退出/mnt目录，然后umont/mnt。ps–aux产看防火墙进程cpu100%问题1.用psaux问题查看具体是哪一个进程导致cpu利用率高

Cli进程问题killallcli杀掉所有cli进程

再打上patch207-解决Cli命令导致cpu利用率百分之百升级包(3.4.X.X)severadd进程问题

添加资源定义时报错导致cpu100%,直接kill+进程id杀掉进程即可3.4.5.0/1可打Patch193-解决资源定义报错显示乱码和操作资源定义模块时CPU占用率为100%问题升级包(3.4.5.0-1版本)2.遇到其他占用cpu利用率高蛤不常见的进程,可反到客服中心filterconfigstatecount查看防火墙的并发连接数filterconfigstateremove清除防火墙上的连接（所有连接包括你的web连接和SSH连接）filterconfigstatelist查看防火墙的连接表(建议与grep参数配合使用)eg:filterconfigstatelist

|grep211.103.135.1473.4.3.8（含）以下版本防火墙语音传输不通或者有时通，有时不通或者日志中有大量关于sip、h323的报错信息时，可以用如下命令，彻底删除sip和h323模块。但是卸载以上模块会牺牲掉ha模块，以后将无法使用双机功能。themis>cd/lib/modules/2.4.22/kernel/net/ipv4/netfilterthemis>mvha.oha.o.oldthemis>mvip_conntrack_h323.o

ip_conntrack_h323.o.oldthemis>mvip_conntrack_h323_gk.oip_conntrack_h323_gk.o.oldthemis>mvip_nat_h323.oip_nat_h323.o.oldthemis>mvip_nat_h323_gk.oip_nat_h323_gk.o.oldthemis>mvip_conntrack_sip_module.o

ip_conntrack_sip_module.o.oldthemis>mv

ip_nat_sip_module.o

ip_nat_sip_module.o.oldthemis>mvosipparser2.o

osipparser2.o.oldthemis>backpkgmodulesVPN命令汇总查看建立的ipsec隧道及路由

：ipseceroute查看VPN状态信息，用于VPN排错：ipsecauto–status查看日志，含有有用的VPN日志

：tail–f/var/log/fw.log查看VPN的后台配置

：

cat/etc/ipsec.d/confs/ipsec.gateways.conf等可以查看在/etc/ipsec.d/confs/相应的其它配置文件查看建立的ipsec隧道及路由

：ipseceroute查看VPN状态信息，用于VPN排错：ipsecauto–sta