Une des commandes très utiles pour troubleshooter un flux sur les firewalls Check Point est fw monitor.
Pour caputure le traffic sur un host spécifique:
fw monitor -e "accept host(y.y.y.y);"
Pour capturer tous les traffic sur un range:
fw monitor -e "accept net(y.y.y.y,28);"
Pour les firewalls virtuels, la commande devient:
fw monitor -v X -e "accept host(y.y.y.y);"
Pour envoyer tous les paquets icmp dans un fichier:
fw monitor -e 'accept ip_p=1;' -o icmp.cap
Pour capturer tous le traffic entre 2 serveurs sur le port 80:
fw monitor -e 'accept host(y.y.y.y) and host(x.x.x.x) anf port(80);'