グローバルコマンド

Gaiaオペレーティングシステムには、すべてまたは特定のセキュリティグループ閉じた アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。メンバに適用されるグローバルコマンドのセットが含まれています。

グローバルコマンドの操作

バックグラウンド

グローバルコマンド

コマンド

手順

auditlog

config-lock

  • Gaia gClishデータベースをロックして保護します。各セキュリティグループメンバは、1つのロックを持ちます。

  • Gaia gClishの操作をSecurity Group Memberに設定するには、Security Group Memberが"config-lock"を保持する必要があります。

  • "config-lock" を設定する場合は、実行します。

    set config-lock on override

  • Gaia gClishのトラフィックは、SyncインタフェースのTCPポート1129で実行されます。

blade-range

  • 指定したセキュリティグループメンバに対してコマンドを実行します。

  • Gaia gClishの組み込みコマンドを、このサブセットのSecurity Group Membersに対してのみ実行します。

  • すべてのセキュリティグループメンバが同一の設定である必要があるため、blade-range コマンドを使用することはお勧めしません。

Check Point グローバル・コマンド

これらのグローバルコマンドは、複数のセキュリティグループメンバに適用されます。これらのグローバルコマンドを使用すると、Security GatewayとSecureXL閉じた セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。を操作することができます。

説明

fwfw6 コマンドは、各セキュリティグループメンバでfwfw6 コマンドを実行するグローバルスクリプトです。

構文

シェル

構文

Gaia Clish

Gaia gClish

fw

fw6

エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。

g_fw

g_fw6 

[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01> fw ctl
-*- 2 blades: 1_01 1_02 -*-
 Usage: fw ctl command args...
 Commands: install, uninstall, pstat, iflist, arp, debug, kdebug, bench
    chain, conn, multik, conntab, fwghtab_bl_stats
[Global] HostName-ch01-01 >
 
[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01> fw ctl iflist
-*- 6 blades: 1_01 1_02 1_03 2_01 2_02 2_03 -*-
0 : BPEth0
1 : BPEth1
2 : eth1-Mgmt4
3 : eth2-Mgmt4
4 : eth1-01
5 : eth1-CIN
6 : eth2-CIN
8 : eth2-01
16 : Sync
17 : eth1-Mgmt1
18 : eth2-Mgmt1
[Global] HostName-ch01-01 >

説明

Gaia gClishの"fw dbgfile"コマンドを使って、Security Groupがどのようにトラフィックを検査しているかをデバッグすることができます。

デバッグを収集するための構文

fw dbgfile collect -f <Debug Output File> [-buf <Buffer Size>] [-m <Debug Module 1> <Debug Flags 1> [-m <Debug Module 2> <Debug Flags 2>] ... [-m <Debug Module N> <Debug Flags N>]]

収集したデバッグを表示するための構文

fw dbgfile view [<Debug Output File>] [-o <Debug Output File>]

パラメータ

パラメータ

説明

collect

Security Gatewayのデバッグ情報を収集します。

view

収集したデバッグ情報を表示します。

<Debug Output File>

デバッグ出力ファイルのフルパスとファイル名を指定します。

-buf <Buffer Size>

デバッグバッファサイズを指定します。

常に最大サイズ8200を設定してください。

-m <Debug Module 1> Debug Flags 1>
[-m <Debug Module 2> <Debug Flags 2>]
...
[-m <Debug Module N> <Debug Flags N>]

Security Gatewayのデバッグモジュールと、そのモジュール内のデバッグフラグを指定します。

デバッグモジュールは複数指定可能です。

-o <Debug Output File>

読み込むデバッグ出力ファイルのフルパスとファイル名を指定します。

[Global] HostName-ch01-01 > fw dbgfile collect -f /var/log/debug.txt -buf 8200 -m fw + conn -m kiss + pmdump

[Global] HostName-ch01-01 > fw dbgfile view /var/log/debug.txt

重要- 完全なデバッグ手順については、R81.10 Quantum Security Gateway Guide > 章Kernel Debug on Security Groups を参照してください。

説明

fwaccel コマンドは、IPv4 トラフィックのアクセラレーションを制御します。

fwaccel6 コマンドは、IPv6 トラフィックのアクセラレーションを制御します。

構文

シェル

IPv4用構文

IPv6用構文

Gaia Clish

Gaia gClish

fwaccel help

fwaccel6 help

エキスパートモード

g_fwaccel help

g_fwaccel6 help

パラメータとオプション

詳細については、R81.10 Performance Tuning Administration Guide > SecureXLの章 > SecureXL Commands and Debugセクション - 'fwaccel' and 'fwaccel6'のサブセクション.を参照してください。

一般的なグローバルコマンド

グローバルコマンドは、複数のセキュリティグループメンバに適用されます。

これらのコマンドは、Gaia ClishおよびGaia gClishで利用可能です。

Gaia ClishとGaia gClishで

エキスパートモード:

update_conf_file

g_update_conf_file

global

global_help

asg_cp2blades

asg_cp2blades

asg_clear_table

asg_clear_table

以下は、グローバルコマンドです。

説明

Gaia gClish で "global help" コマンドを使用すると、Gaia gClish で使用できるグローバルコマンドのリストが表示されます。

構文

global help 

[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01> global help
Usage: <command_name> [-b SGMs] [-a -l -r --] <native command arguments>
Executes the specified command on specified blades.
 
Optional Arguments:
  -b   blades: in one of the following formats
              1_1,1_4 or 1_1-1_4 or 1_01,1_03-1_08,1_10
              all (default)
              chassis1
              chassis2
              chassis_active
  -a        : Force execution on all SGMs (incl. down SGMs).
  -l        : Execute only on local blade.
  -r        : Execute only on remote SGMs.
 

Command list:

snapshot_show_current snapshot_recover fwaccel6_m fwaccel6 fw6 unlock update_conf_file mv fwaccel_m ethtool md5sum dmesg cp tcpdump cat tail clusterXL_admin reboot ls fwaccel vpn fw netstat cpstop cpstart cplic asg

[Global] HostName-ch01-01> 

[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01> global help
Usage: <command_name> [-b SGMs] [-a -l -r --] <native command arguments>
Executes the specified command on specified blades.
 
Optional Arguments:
  -b   blades: in one of the following formats
              1_1,1_4 or 1_1-1_4 or 1_01,1_03-1_08,1_10
              all (default)
              chassis1
              chassis2
              chassis_active
  -a        : Force execution on all SGMs (incl. down SGMs).
  -l        : Execute only on local blade.
  -r        : Execute only on remote SGMs.
 

Command list:

cplic cpstart cpstop netstat fw vpn fwaccel ls reboot clusterXL_admin tail cat tcpdump cp dmesg md5sum ethtool fwaccel_m mv update_conf_file unlock fwaccel6_m snapshot_recover snapshot_show_current asg

[Global] HostName-ch01-01>

説明

これらのコマンドは、コンフィギュレーションファイルのパラメータを追加、更新、および削除するために使用します。

重要- 設定ファイルを変更した後は、"reboot -b all"コマンドを使用してSecurity Groupを再起動する必要があります。

構文

シェル

構文

Gaia gClish

update_conf_file <File Name> <Parameter Name>=<Parameter Value>

エキスパートモード

g_update_conf_file <File Name> <Parameter Name>=<Parameter Value>

重要:

  • 等号(=)の前にスペースがあってはならない。

  • 等号(=)の後にスペースを入れてはいけない。

パラメータ

パラメータ

説明

<File Name>

更新する設定ファイルのフルパスとファイル名

これらのファイルについては、フルパスを指定する必要はありません(ファイル名のみ指定)。

  • $FWDIR/boot/modules/fwkern.conf

  • $PPKDIR/conf/simkern.conf

<Parameter Name>

設定するパラメータ名。

<Parameter Value>

設定するパラメータの新しい値。

注:

  • これらのコマンドは、指定された形式の設定ファイルを操作します。

    行で構成され、各行で1つのパラメータを定義する。

    <Parameter Name>=<Parameter Value>

    $FWDIR/boot/modules/fwkern.conf$PPKDIR/conf/simkern.conf のファイルがこの形式を使用しています。

  • 指定された設定ファイルが存在しない場合、これらのコマンドはそれを作成します。

  • これらのコマンドは、すべてのセキュリティグループメンバに必要な変更を加えます。

    更新されたファイルは、"asg_cp2blades"コマンドで他のセキュリティグループメンバにコピーする必要はありません。

 
[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01>
[Global] HostName-ch01-01> update_conf_file /home/admin/MyConfFile.txt var1=hello
[Global] HostName-ch01-01>
[Global] HostName-ch01-01> cat /home/admin/MyConfFile.txt
-*- 3 blades: 2_01 2_02 2_03 -*-
var1=hello
 
[Global] HostName-ch01-01> update_conf_file /home/admin/MyConfFile.txt var2=24h
[Global] HostName-ch01-01> 
[Global] HostName-ch01-01> cat /home/admin/MyConfFile.txt
-*- 3 blades: 2_01 2_02 2_03 -*-
var2=24h
var1=hello
 
[Global] HostName-ch01-01> update_conf_file /home/admin/MyConfFile.txt var1=goodbye
[Global] HostName-ch01-01> 
[Global] HostName-ch01-01> cat /home/admin/MyConfFile.txt
-*- 3 blades: 2_01 2_02 2_03 -*-
var2=24h
var1=goodbye
 
[Global] HostName-ch01-01> update_conf_file /home/admin/MyConfFile.txt var2=
[Global] HostName-ch01-01>
[Global] HostName-ch01-01> cat /home/admin/MyConfFile.txt
-*- 3 blades: 2_01 2_02 2_03 -*-
var1=goodbye
[Global] HostName-ch01-01>

説明

エキスパートモードでは、これらのコマンドを使用して、指定したFirewallカーネルパラメータの値を表示または設定します。

カーネルパラメータの現在値を表示するための構文

g_fw ctl get <Parameter Type> <Parameter Name>

カーネルパラメータの値を設定するための構文

g_fw ctl set <Parameter Type> <Parameter Name> <Parameter Value>

パラメータ

パラメータ

説明

get

指定されたパラメータとその値を表示する。

set

パラメータの値を指定した値に変更する。

<Parameter Type>

パラメータの種類。

  • int - 整数値を受け取る

  • str - 文字列の値を受け取る

:パラメータの種類は正しく入力する必要があります。

<Parameter Name>

設定するパラメータ名。

<Parameter Value>

設定するパラメータ値。

- 変更を永続化するには、$FWDIR/boot/modules/fwkern.conf ファイルに該当するカーネルパラメータとその値を手動で追加する必要があります。

エキスパート モードでg_update_conf_fileコマンドを実行します。

設定ファイルの更新(update_conf_file))を参照してください。

詳細については、R81.10 Quantum Security Gateway Guide > Working with Kernel Parameters on Security Groupsの章を参照してください。

説明

Gaia gClish または Expert モードで "asg_cp2blades" コマンドを使用すると、現在のセキュリティグループメンバから別のセキュリティグループメンバにファイルをコピーすることができます。

構文(Gaia gClishとExpertモード用)

asg_cp2blades [-b <SGM IDs>] [-s] <Source Path> [<Destination Path>]

パラメータ

パラメータ

説明

-b <SGM IDs>

<SGM IDs>で指定されたセキュリティグループメンバに適用されます。

<SGM IDs>には:

  • <SGM IDs>が指定されていない、またはall

    すべてのセキュリティグループメンバとすべてのMaestroサイトに適用されます。

  • 1セキュリティグループメンバ(例:1_1)

  • カンマで区切られたセキュリティグループメンバのリスト(例: 1_1,1_4

  • セキュリティグループメンバの範囲(例: 1_1-1_4

  • Dual Siteの場合、1つのMaestro Site (chassis1, orchassis2)。

  • Dual Siteでは、Active Maestro Site(chassis_active)。

-r

ファイルを含むフォルダーやディレクトリをコピーする。

-s

各Security Group Memberに古いファイルのローカルコピーを保存します。

コピーは、新しいファイルと同じディレクトリに保存されます。

旧ファイルは同名で末尾にこれがついています。

*.bak.<date>.<time>

<Source Path>

コピーするファイルのフルパスとファイル名。

<Destination Path>

保存先のフルパス。

指定しない場合は、相対的なソースファイルの場所にファイルをコピーします。

 
[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01 > asg_cp2blades /home/admin/note.txt
Operation completed successfully
[Global] HostName-ch01-01 >
[Global] HostName-ch01-01 > cat /home/admin/note.txt
-*- 3 blades: 2_01 2_02 2_03 -*-
hello world
[Global] HostName-ch01-01>

説明

Gaia gClish または Expert モードで "asg_clear_table" コマンドを使用し、Security Group Members の Connections テーブルから接続を削除します。

このコマンドは、最大15回、または残りの接続数が50未満になるまで実行されます。

重要- SSHでSecurity Groupに接続している場合、接続は切断されます。

構文(Gaia gClishとExpertモード用)

asg_clear_table [-b <SGM IDs>]

パラメータ

パラメータ

説明

-b <SGM IDs>

<SGM IDs>で指定されたセキュリティグループメンバに適用されます。

<SGM IDs>には:

  • <SGM IDs>が指定されていない、またはall

    すべてのセキュリティグループメンバとすべてのMaestroサイトに適用されます。

  • 1セキュリティグループメンバ(例:1_1)

  • カンマで区切られたセキュリティグループメンバのリスト(例: 1_1,1_4

  • セキュリティグループメンバの範囲(例: 1_1-1_4

  • Dual Siteの場合、1つのMaestro Site (chassis1, orchassis2)。

  • Dual Siteでは、Active Maestro Site(chassis_active)。

- このオプションでは、1つのサイトからしかセキュリティグループメンバを選択できません。

説明

Gaia gClishの"show interface"コマンドで、Security Group Membersのインターフェイスの情報を見ることができます。

詳細については、R81.10 Gaia Administration Guide >Network Managementの章 > Network Interfacesのセクション.を参照してください。

構文

show interfaces all

show interface <Options> 

[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01> show interface eth1-01 ipv4-address
1_01:
ipv4-address 4.4.4.10/24
 
1_02:
ipv4-address 4.4.4.10/24
 
1_03:
ipv4-address 4.4.4.10/24
 
1_04:
ipv4-address 4.4.4.10/24
 
1_05:
Blade 1_05 is down. See "/var/log/messages".
 
2_01:
ipv4-address 4.4.4.10/24
 
2_02:
ipv4-address 4.4.4.10/24
 
2_03:
ipv4-address 4.4.4.10/24
 
2_04:
ipv4-address 4.4.4.10/24
 
2_05:
ipv4-address 4.4.4.10/24
[Global] HostName-ch01-01>

グローバルなオペレーティングシステムコマンド

グローバルOSコマンドは、すべてのセキュリティグループメンバまたは指定されたセキュリティグループメンバで実行されるLinuxの標準コマンドです。

Gaia gClishでグローバルコマンドを実行すると、OSはSecurity Group Members上でLinux標準コマンドであるグローバルスクリプトを実行します。

エキスパートモードでコマンドを実行すると、Linuxの標準コマンドとして動作します。

エキスパートモードでグローバルコマンドを使用するには、この表に示すようにグローバルコマンドスクリプト版を実行します。

Gaia gClishコマンド

エキスパート モードで次のコマンドを実行します。

arp

g_arp

cat

g_cat

cp

g_cp

dmesg

g_dmesg

ethtool

g_ethtool

ifconfig

asg_ifconfig

ls

g_ls

md5sum

g_md5sum

mv

g_mv

netstat

g_netstat

reboot

g_reboot

tail

g_tail

tcpdump

g_tcpdump

top

g_top

注:

  • Linux標準コマンドのパラメータとオプションは、globalコマンドで利用可能です。

  • フラグは1つ以上使用することができます。

  • この2つのフラグは、同じコマンドで一緒に使わないでください。

    • -l" フラグ - ローカルセキュリティグループメンバにのみコマンドを実行します。

    • -r" フラグ - リモートのセキュリティグループメンバにのみコマンドを実行します。

構文

  • Gaia Clish:

    <Gaia gClish Command> [-b <SGM IDs>] <Command Options>]

  • エキスパートモード:

    <Global Expert mode Command> [-b <SGM IDs>] <Command Options>]

パラメータ

パラメータ

説明

<Gaia gClish Command>

Gaia gClishの標準コマンドは上の表の通りです。

<Global Expert mode Command>

上表のように、エキスパートモードで Global コマンドを実行します。

-b <SGM IDs>

<SGM IDs>で指定されたセキュリティグループメンバに適用されます。

<SGM IDs>には:

  • <SGM IDs>が指定されていない、またはall

    すべてのセキュリティグループメンバとすべてのMaestroサイトに適用されます。

  • 1セキュリティグループメンバ(例:1_1)

  • カンマで区切られたセキュリティグループメンバのリスト(例: 1_1,1_4

  • セキュリティグループメンバの範囲(例: 1_1-1_4

  • Dual Siteの場合、1つのMaestro Site (chassis1, orchassis2)。

  • Dual Siteでは、Active Maestro Site(chassis_active)。

- このオプションでは、1つのサイトからしかセキュリティグループメンバを選択できません。

<Command Options>

指定されたコマンドの標準コマンドオプション。

以下は、グローバルコマンドの一部についての説明です。

説明

グローバルls コマンドは、指定されたディレクトリにあるファイルをすべてのセキュリティグループメンバに表示します。

構文

  • Gaia Clish:

    ls [-b <SGM IDs>] <Command Options>]

  • エキスパートモード:

    g_ls [-b <SGM IDs>] <Command Options>]

この例では、エキスパートモードで「g_ls 」コマンドをセキュリティグループメンバ1_1、1_2、1_3に対して実行します。

出力例では、これらのセキュリティグループメンバの結果を組み合わせて表示しています。

[Expert@HostName-ch0x-0x:0]# g_ls -b 1_1-1_3,2_1 /var/
-*- 4 blades: 1_01 1_02 1_03 -*-
CPbackup    ace    crash  lib   log   opt       run    suroot
CPsnapshot  cache  empty  lock  mail  preserve  spool  tmp
[Expert@HostName-ch0x-0x:0]#

説明

globalreboot コマンドは、すべてのセキュリティグループメンバを再起動させます。

構文

  • Gaia Clish:

    reboot [-a]

  • エキスパートモード:

    g_reboot [-a]

パラメータ

パラメータ

説明

パラメータなし

状態"UP"にあるすべてのセキュリティグループメンバを再起動します。

-a

DOWN 状態と UP 状態にあるすべての Security Group メンバを再起動します。

説明

グローバルなtop コマンドです。

  • セキュリティグループメンバのCPU使用率をリアルタイムで表示します。

  • ローカルセキュリティグループメンバ設定ファイル(~/.toprc)を使用して、リモートセキュリティグループメンバの出力をフォーマットします。

    このコマンドは、このファイルをリモートの Security Group Members にコピーします。

構文

  • Gaia Clish:

    top -h

    top [local] [-f [-o <Output File>] [-n <Number of Iterations>]] -b <SGM IDs> [<Command Options>]

    top [local] [s <Output File>] -b <SGM IDs> [<Command Options>]

  • エキスパートモード:

    g_top -h

    g_top [local] [-f [-o <Output File>] [-n <Number of Iterations>]] -b <SGM IDs> [<Command Options>]

    g_top [local] [s <Output File>] -b <SGM IDs> [<Command Options>]

パラメータ

パラメータ

説明

-h

内蔵のヘルプを表示します。

local

ローカルセキュリティグループメンバの「top 」設定ファイル(~/.toprc)を使用します。

-f

出力をファイルに出力する。

デフォルト: /vat/log/gtop.<Time>

-o <Output File>

出力ファイルのパスと名前を指定する。

-f" パラメータと一緒に使用する必要があります。

-n <Number of Iterations>

指定された回数だけ出力を保存するコマンドです。

デフォルト:1

-f" パラメータと一緒に使用する必要があります。

-s <Output File>

コマンドが以前に出力を保存した出力ファイル<Output File> の内容を表示します。

<Command Options>

標準のtop コマンドのパラメータです。

詳しくは、top コマンドのドキュメントをご覧ください。

g_top' 出力の設定

ステップ

手順

1

Security Groupでコマンドラインに接続します。

2

 エキスパートモードにログインします。

3

次を実行します:

top

4

希望のビューを設定する(h を押すと、内蔵のヘルプが表示されます)。

5

Shift+W を押して、'top' の設定を保存します。

6

次を実行します:

g_top

説明

グローバルarp コマンドは、すべてのセキュリティグループメンバの ARP キャッシュテーブルを表示します。

構文

  • Gaia Clish:

    arp [-b <SGM IDs>] <Command Options>]

  • エキスパートモード:

    g_arp [-b <SGM IDs>] <Command Options>]

例 - すべてのセキュリティグループメンバのすべてのインターフェイスのARPテーブル

[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01 > arp
1_01:
Address     HWtype  HWaddress           Flags Mask   Iface
192.0.2.2   ether   00:1C:7F:02:04:FE   C            Sync
172.23.9.28 ether   00:14:22:09:D2:22   C            eth1-Mgmt4
192.0.2.3   ether   00:1C:7F:03:04:FE   C            Sync
1_02:
Address     HWtype  HWaddress           Flags Mask   Iface
192.0.2.3   ether   00:1C:7F:03:04:FE   C            Sync
172.23.9.28 ether   00:14:22:09:D2:22   C            eth1-Mgmt4
192.0.2.1   ether   00:1C:7F:01:04:FE   C            Sync
1_03:
Address     HWtype  HWaddress           Flags Mask   Iface
192.0.2.1   ether   00:1C:7F:01:04:FE   C            Sync
172.23.9.28 ether   00:14:22:09:D2:22   C            eth1-Mgmt4
192.0.2.2   ether   00:1C:7F:02:04:FE   C            Sync
[Global] HostName-ch01-01 >