Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Открыть новую тему     Написать ответ в эту тему

Out



Full Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Народ!!!! Есть проблема..... Есть CheckPoint и.... как его настраивать никто не знает.... В сети нигде описалова конкретного нет.... Может кто помогёт личным опытом... или может кто кинет линку на доки (желательно по русски) по этому зверю!!!
Заранее спасибо....!
 
 

 
Добавляете, плиз, полезную информацию в шапку.
 
 
CheckPoint Firewall
смотреть

Цитата:
CheckPoitn встает под Linux нормально... Я даже по Solaris ставил  

 
Есть кое-какие доки на Ftp из варезной темы..
Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 18:55 09-07-2002 | Исправлено: Out, 18:06 15-08-2006
Out



Full Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
dshf21391
Вроде как да... Для х86 юзай SPLAT и т.п. )

----------
Кто страшиться упасть - тот недостоин неба
Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 10:00 11-05-2007
mrFeYsT

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые гуру, помогите советом!
 
Ситуация вот в чем. Очень хочется попользовать такую полезную фичу Checkpoint-a как ISP Redundancy. На сервере есть 3 интерфеса. Проблема вот в чем: этот сервак собираемся пользовать не только под чекпоинт, и вместе с этим хочется, чтобы работал ISP Redundancy. Когда ставим СПЛАТ, то все хорошо работает, только на сплат ничего не навернешь поверху, к тому же он совсем не хочет видеть raid. Когда ставим на Red Hat Enterprise 3.0, то ISPr не работает ни разу (даже закладки в "Топологиях" нет). Подскажите пожалуйста, в чем может быть проблем или какие подводные камни?
Всего записей: 1 | Зарегистр. 23-05-2007 | Отправлено: 14:58 23-05-2007 | Исправлено: mrFeYsT, 15:00 23-05-2007
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чекпоинт упрямо не считает трафик в байтах, а только конекшены. В отчётах даже колонки "байты" нет, только соединения. В демо-отчётах такие колонки присутствуют.
В чём может быть косяк? На сайте чекпоинта всё перерыл, ничего не нашёл
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 09:55 06-07-2007
senator14

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем здравствуйте! Возникла такая проблема - в сети стоит Checkpoint VPN-1 Edge. Сегодня возникла такая проблема - периодически выпадает Lan интерфейс... просто он тухнет и потом секунд через 10 поднимается... что это может быть? заранее благодарен
Всего записей: 89 | Зарегистр. 21-11-2006 | Отправлено: 21:33 11-07-2007
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может там скрутки в кабеле или помехи большие. В другой порт пробовал его втыкать? Прошивка какая там у тебя? Может обновить стоит?
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 09:25 12-07-2007
megase

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
senator14
для wan интерфейса Edge постоянно проверяет доступность шлюза (Probe Next Hop), посылая arp запросы, если ответа нет то он переиницилизирует свой интерфейс.
 
Начиная с firmware 6 у Edge есть sniffer, так что желаю удачи.
 
Всего записей: 30 | Зарегистр. 18-01-2005 | Отправлено: 14:45 27-07-2007
gnazar



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Неожиданно появилась проблема.
На сервере, гду установлен файерволл 4 сетевых интерфейса. До данной проблемы использовались только 3. Появилась необходимость задействовать 4 интерфейс. Пере настраиваю его ИП и маску. Начинаю конфигурировать политику, но при попытке обновить политику на новую (установить ее на файервол) выдаеться ошибка fw: no license for 'filter'
 
Через несколько часов файервол перестает работать - показывает, что на нем не установлена политика правил.
 
Что это может быть?
Всего записей: 41 | Зарегистр. 22-09-2006 | Отправлено: 17:58 16-08-2007 | Исправлено: gnazar, 17:59 16-08-2007
Artempv

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gnazar
 
Этот интерфейс был Enablе или Disable раньше?
Если Enablе, то была ли в нем заглушка, т.е. активный он был или нет?
 
В SmartDashboard  в свойствах объекта в разделе Topology этот новый интерфейс я так понимаею есть. Если сделать Get Topology, то определяется ли он?
 
Просто была схожая проблема, когда прицепил неиспользуемый интерфейс. Но в нем торчала заглушка, так что линк на нем был. Т.е. он активный был.  
При присвоении ему IP, Check Point отказывался корректно работать с этим интерфесом. Т.е. попросту не фиксировал и не обрабатывал пакеты с этого интерфейса.  
При этом визуально все было в норме - никаких ошибок в логах и при инсталляции политики.
 
Помогла простая перезагрузка сервака. После этого все подхватилось и стало работать.
Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 18:18 16-08-2007
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
+1
Я тоже когда добавил в сервер ещё одну сетевую, то пока её в топологию не внёс и ещё раз не перезагрузил сервер ничего не работало.
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 09:50 17-08-2007
BGPeR

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если внимательно посмотреть на конфигурацию ОС, то видно - CP к каждому сетевому интерфейсу прикручивает свои дрова. И сам процесс прикручивания требует ребута.
Причем это не зависит от ОС. По крайней мере на винде и линухе - точно. Механизмы установки шпионской прослойки а-ля CP от ОС к ОС конечно разные, но суть одна.
Поэтому, кстати, я склоняюсь ко мнению, что CP нужно юзать на отдельных серверах. И не только из соображений производительности.
Всего записей: 11 | Зарегистр. 20-05-2006 | Отправлено: 10:14 17-08-2007
gnazar



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Интерфейс не добавлялся, и уже был в топологии прописан. При нажатии Get - Interfaces определяется. Все начинается, когда я хочу сменить его ИП и маску (и не важно меняю ли я в ручную с клавиатуры сервака, или через веб-интерфейс). После смены ИП SmartDashboard в топологии определяет интерфейс и показывает измененные настройки. Но сохранить политику не дает и выпадает в ошибку (см. выше). Перезагрузка не помогает. Политика сбрасывается полностью и приходиться восстанавливать бэкап.
Всего записей: 41 | Зарегистр. 22-09-2006 | Отправлено: 11:15 17-08-2007
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Попробуй в IP объекта Чекпоинт прописать адрес, к которому у тебя лицензия прикручена.
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 13:49 17-08-2007
gnazar



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Действительно. Помогло.
Оказывается к этому ИП у меня прикручена лицензия, что и приводит к таким последствиям. По своей неосмотрительности и неопытности не заметил сразу. После генерации новой лицензии проблема ушла.  
Спасибо всем ответившим.
Всего записей: 41 | Зарегистр. 22-09-2006 | Отправлено: 14:08 17-08-2007
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тут с Eventia Reporter кто нибудь работал таки??? Ну почему ж он только в connection трафик считает, а в байтах не хочет? Нафига мне количество соединений? Я хочу узнать сколько байтов сожрано.
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 15:53 17-08-2007
Artempv

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dshf21391
 
Eventia Reporter строит свои отчеты на основе логов, которые собирает Check Point и пишет на Log Server.
 
Для того, чтобы в логи записывались значения полей "Bytes", "Client Inbound Bytes", "Client Outbound Bytes", "Server Inbound Bytes", "Server Outbound Bytes", надо чтобы в правилах (во всех, или только в части, в зависимости от того, что считать надо), значение TRACK было Account.  
Иначе если TRACK задано как Log, то попросту значения вышеуказанных полей в лог не пишутся и Eventia Reporter не может ничего проанализировать и построить отчет на основе этого.
Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 01:38 18-08-2007
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Artempv
Спасибо! Всё получилось! Действительно дело оказалось именно в этом.
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 11:03 19-08-2007
greenfox



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Hi all!
Пару вопросов:
1. При коннекте клиентом к чекпоиту-серваку пропадает вся лок. сеть на клиенте (в роут табле он прописывает почему то свои записи с теме же подсетями, хотя работает с другими физически подсетями)
2. Дружит ли сервак чекпоинта с исой? (т.е. можно ли их тунелем объеденить?)
 
Спасибо, сорри ели вопросы глупые Сегодня только с этим чудом столкнулся

----------
Три вещи вечны: смерть, налоги и потеря данных...
Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:34 23-08-2007
Artempv

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox
 
1. Вероятнее всего когда клиент получает топологию от сервера (т.е. все внутренние подсети, которые есть на Check Point Firewall), то получается, что подсеть с определенными адресами присутствует и на клиенте в виде локалки, и на удаленном Check Point Firewall, к которому коннектится клиент. Т.е. совпадают адреса подсетей.
Соответственно сам клиент Check Point SecureRemote/SecureClient при установлении VPN-соединения вносит изменения в таблицу маршрутизации на клиенте. И весь трафик, адресованный в локалку, заворачивает в VPN и отправляет на Check Point Firewall.
Выход из этой ситуации при совпадении адресов подсетей - использование на Check Point Firewall режима OfficeModе.
 
2. Имеется в виду поднятие Site-to-Site VPN между ISA Server и Check Point Firewall?
Есть статейка такая на сайте Check Point - Configuring a Site-to-Site IPSEC VPN between Check Point Embedded NGX and Microsoft ISA Server 2004.
Положил вот сюда - xttp://rapidshare.com/files/50776580/Configuring_Site-to-Site_with_ISA.pdf
Это для Safe@Office и VPN-1 Edge, но может пригодится...
 
А вот тут детальное описание процесса настройки - xttp://www.isaserver.org/articles/2004sitetositecpv2.html
Версии там правда чуть устаревшие, но не суть.
Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 17:12 23-08-2007 | Исправлено: Artempv, 17:21 23-08-2007
greenfox



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Artempv
1. в настройках клиента галка Office mode и так стоит
2. имеется ввиду сайт-ту-сайт, за статейки спасибо, почитаю!

----------
Три вещи вечны: смерть, налоги и потеря данных...
Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 17:25 23-08-2007
Artempv

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox
 
1. Надо смотреть настройки на сервере (на Check Point Firewal), т.к. клиент (Check Point SecureRemote/SecureClient) берет настройки Office Mode с сервера.
 
В SmartDashboard в свойствах Check Point Gateway - Remote Access -> Office Mode - там как раз настройки.
Не исключаю, что при подключении клиента в режиме Office Mode сам Firewall назначает клинту адреса именно из той же подсети, что используется в локалке клиента. Тогда вероятно симптомы будут такие, как описаны...
 
На странице настройки см. значение поля Allocate IP From Network.
Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 01:03 24-08-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru