fw monitor de filtre kullanmak
fw monitor komutunda ek filtreler kullanılabilir. Bu filtreler aslında tcpip.def dosyasında ki değişkenlere birer refaranstır. Bu dosyayı checkpoint içerisinde /lib klasörünün altında bulabilirsiniz. Dosyalar menüsü altında da bu dosyanın bir kopyasına ulaşabilirsiniz. Bu dosyayı incelediğimizde gerekli bir çok filtreleme opsiyonunun olduğunu bunları kullanarak bir çok filtreleme seçeneğimizin oluştuğunu görebiliriz. fw monitor komutunun aldığı parametreleri görmek için
# fw monitor -h
komutunu verdiğimizde aşağıda ki çıktıyı alırız.
Usage: fw monitor [- u|s] [-i] [-d] [-T] <{-e expr}+|-f
Bu parametrelerden -e parametresi kullanıcı tanımlı filtrelerinde oluşturulabilmesini sağlar.
#fw monitor –e “accept [12, b]=192.168.126.1 or [16, b]=192.168.126.1;”
ip_src # define [12, b]
ip_dst # define [16, b]
komut çözümlemesi de şu şekilde olacaktır. src ip si 192.168.126.1 veya
dst ipsi 192.168.126.1 olan paketleri filtrele.
#fw monitor –e “accept src=192.168.126.1 or dst=192.168.126.1;” yukarıda ki komut yerine bunuda kullanabiliriz.
#define ip_p [ 9 : 1] protokol numarası filtresi verir.
çok kullanılan protokol numaraları
1 ICMP
6 TCP
17 UDP daha ayrıntılı görmek için
-e “accept ip_p=6;” tcp protokolünü verir.
-e “accept ip_p=17;” udp protokülü
-e “accept ip_p=1;” icmp protokolü
-e “accept ip_p=6 and [12, b]=192.168.126.1;” -tcp protokolünden bağlantıları ve scr adresi 192.168.126.1 olan paketleri getir.
#define ip_len [ 2 : 2, b] -ip başlık uzunluğu
-e “accept ip_len=60;”
-e “accept [2:2,b]=60;” 60 byte olan paketleri gösterecektir.
-e “accept [2:2,b]<60;” 60 byte dan küçük olan paketleri gösterecektir.
-e “accept ip_len > 60 and ip_len<70;” 60 byte dan büyük 70 bytedan küçük paketleri gösterecektir.(61 ve 69 arası paketler)
#define th_sport [ 20 : 2, b] src port
#define th_dport [ 22 : 2, b] dst port
-e “accept sport=21;”
-e “accept th_sport=21;”
-e “accept [20:2,b]=21;” olarak kullanabiliriz.
#fw monitor -e “accept [22:2,b]=80;” komutu dst portu 80 olan bağlantıları listeler.
