Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Открыть новую тему     Написать ответ в эту тему

Out



Full Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Народ!!!! Есть проблема..... Есть CheckPoint и.... как его настраивать никто не знает.... В сети нигде описалова конкретного нет.... Может кто помогёт личным опытом... или может кто кинет линку на доки (желательно по русски) по этому зверю!!!
Заранее спасибо....!
 
 

 
Добавляете, плиз, полезную информацию в шапку.
 
 
CheckPoint Firewall
смотреть

Цитата:
CheckPoitn встает под Linux нормально... Я даже по Solaris ставил  

 
Есть кое-какие доки на Ftp из варезной темы..
Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 18:55 09-07-2002 | Исправлено: Out, 18:06 15-08-2006
Artempv

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
medet
 
Посмотрите этот пост на CPUG (The Check Point User Group) - hxxp://www.cpug.org/forums/installing-upgrading/5267-new-r60-installation-securemote-issues-need-create-ica-reset-sic.html
 
Описана аналогичная ситуация.
Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 14:40 13-08-2010
Aluf

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
доброго дня всем,
примите к сведению что ночью со вчера на сегодня все  UTM Edge appliances Checkpoint решили организованно сделать reboot по неясной пока причине (просто день такой тяжелый у них
 
http://www.cpug.org/forums/check-point-utm-1-edge-appliances/14606-all-edge-firewalls-rebooted-10-30-2010-8-58-p-m.html#post64014
Всего записей: 167 | Зарегистр. 28-12-2003 | Отправлено: 21:54 31-10-2010
Garryncha

Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Добрый день!
Прошу помощи в следующей ситуации.  
Есть шлюз CheckPoint R70 на Windows 2003.
У шлюза два интерфейса: внутренний и внешний (интернет).
Сделано одно правило типа: any any accept.
Сделана трансляция Automatic Hide  NAT.
Все остальные настройки после установки не изменялись.
Проблема заключается в том, что при обращении из внутренней сети к сайтам через браузер какие-то сайты нормально открываются, какие-то открываются, но медленно, какие-то совсем не открываются.
Те сайты, которые открывались быстро, через какое-то время перестают открываться совсем.
Проблем в сайтах и в интернет-канале нет, т.к. если подключаться в интернет с рабочей станции напрямую, таких проблем нет.
При этом, после перезагрузки шлюза с CheckPoint все сайты 1-2 минуты открываются нормально, после этого получается описанная выше картина.
При этом все сайты пингуются за 30-40 ms, даже если долго открываются или не открываются браузером.
Если запустить Wireshark на внутреннем интерфейсе шлюза, то он показывается SYN-пакеты, которые идут из внутренней сети, но к ним нет SYN-ACK и т.д.
Мне кажется, проблема с работой TCP-сессий через CheckPoint, но в чём конкретно не понятно.
Подскажите, пожалуйста, в чём может быть причина проблемы и как её устранить?
Если нужна дополнительная информация, то какая?
Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 16:50 01-11-2010
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipconfig /all и route print для полноты картины не помешали бы.
А так же инофрмация о том, как настроен объект чекпоинт, включен ли IPS, настроена ли правильно топология... пока всё.
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 19:31 01-11-2010
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Aluf
Статья на чекпоинте сегодня появилась
The cause of this problem is related to a specific counter that elapses every 13.6 years and is not expected to happen again in the life time of the device.
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 11:28 02-11-2010
Garryncha

Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вот дополнительная информация.
На шлюзе ChekPoint.
 
ipconfig -all
Настройка протокола IP для Windows
 
   Имя компьютера  . . . . . . . . . : go-to-internet
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : широковещательный
   IP-маршрутизация включена . . . . : да
   WINS-прокси включен . . . . . . . : да
 
WAN - Ethernet адаптер:
 
   DNS-суффикс этого подключения . . :
   Описание  . . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet Adapte
r
   Физический адрес. . . . . . . . . : 01-51-B1-B2-79-37
   DHCP включен. . . . . . . . . . . : нет
   IP-адрес  . . . . . . . . . . . . : 92.64.5.13
   Маска подсети . . . . . . . . . . : 255.255.255.128
   Основной шлюз . . . . . . . . . . : 92.64.5.1
   DNS-серверы . . . . . . . . . . . : 127.0.0.1
 
LAN - Ethernet адаптер:
 
   DNS-суффикс этого подключения . . :
   Описание  . . . . . . . . . . . . : NVIDIA nForce 10/100 Mbps Ethernet
   Физический адрес. . . . . . . . . : 43-5C-39-C4-EB-73
   DHCP включен. . . . . . . . . . . : нет
   IP-адрес  . . . . . . . . . . . . : 10.5.64.1
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз . . . . . . . . . . :
 
Там же на шлюзе CheckPoint.
route print
 
IPv4 таблица маршрута
=====================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...01 51 B1 B2 79 37 ...... D-Link DFE-520TX PCI Fast Ethernet Adapter - VPN
-1 / Firewall-1 Miniport
0x3 ...43 5C 39 C4 EB 73 ...... NVIDIA nForce 10/100 Mbps Ethernet  - VPN-1 / Fi
rewall-1 Miniport
=====================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0               0.0.0.0        92.64.5.1       92.64.5.13     20
           10.5.64.0     255.255.255.0        10.5.64.1        10.5.64.1     20
           10.5.64.1  255.255.255.255        127.0.0.1        127.0.0.1     20
   10.255.255.255  255.255.255.255        10.5.64.1        10.5.64.1     20
           92.64.5.0  255.255.255.128       92.64.5.13       92.64.5.13     20
         92.64.5.13   255.255.255.255        127.0.0.1        127.0.0.1     20
   92.255.255.255  255.255.255.255       92.64.5.13       92.64.5.13     20
           127.0.0.0            255.0.0.0        127.0.0.1        127.0.0.1      1
           224.0.0.0            240.0.0.0        10.5.64.1        10.5.64.1     20
           224.0.0.0            240.0.0.0       92.64.5.13       92.64.5.13     20
  255.255.255.255  255.255.255.255        10.5.64.1        10.5.64.1      1
  255.255.255.255  255.255.255.255       92.64.5.13       92.64.5.13      1
Основной шлюз:        92.64.5.1
===========================================================================
Постоянные маршруты:
  Отсутствует
 
Настройки шлюза (через CheckPoint SmartDashboard).
Имя шлюза: go-to-internet
IP-адрес: 10.5.64.1 (автоматически получен во вкладке)
Включен только Firewall (URL Filtering, IPSec, IPS и пр. выключены).
 
Вкладка Топология:  
Внешний интерфейс: 92.64.5.13  
Внутренний интерфейс: 10.5.64.1  
(автоматически получены во вкладке)
На оба интерфейса назначен Antispoofing.
На внутреннем интерфейсе выбраны адреса за ним - по его сетевому адресу и маске.
 
Вкладка NAT: пустая.
 
IPS выключен.
 
Сделан объект Internal - сеть 10.5.64.0.
На объекте Internal настроено NAT - Automatic Hide behind Gateway.
Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 12:07 02-11-2010
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По настройкам всё ок.
Симптомы очень странные и больше похожи на реакцию IPS, или антиспуфинга.
Smart Tracker смотрел? Попробуй отключить антиспуфинг.
Много хостов во внутренней сетке?
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 12:27 02-11-2010
Garryncha

Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Выключили Antispoofing на обоих интерфейсах, картина та же.
 
В Smart Tracker встречаются такие события:
Action: Drop
Rule: - (Current Rule, Rule Name, User - все прочерк)
Source: сайт (например, yandex.ru)
Destination: 92.64.5.13
Source port: 80 (http)
Information: TCP Packet out of state: first packet isn't SYN. TCP Flags: RST-ACK (а также бывает всё то же самое, только TCP Flags FIN+ACK).
 
Такое подозрение, что CheckPoint сбрасывает сессию, и ответные пакеты считает новой сессией, ждёт SYN. И тогда эти пакеты не пройдут из-за NAT.
Может быть, дело в том, что какие-то таймеры сбрасывают сессию? Где можно их посмотреть?
 
Во внутренней сети 10 хостов, сейчас при экспериментах 1-2 хоста используем.
Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 13:20 02-11-2010
sensemilya2

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
DNS-серверы . . . . . . . . . . . : 127.0.0.1  

 
В настройках объекта CP -> advanced -> configure servers -> DNS server галка стоит?
Всего записей: 12 | Зарегистр. 22-03-2007 | Отправлено: 14:45 02-11-2010
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Garryncha
Это настраивается в Global Properties -> Stateful Inspections. Но проблема странная. Ты в этих настройках не лазил? При установленных по умолчанию должно всё нормально работать, по идее. И нагрузки практически то нет, чтобы не хватало памяти ему и он сессии начинал терять....
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 14:51 02-11-2010
Garryncha

Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Галки не было.
Галку поставили, картина осталась та же.
 
Сначала сайт открывается быстро, потом медленнее, потом ещё медленнее, потом просто страница не доступна.
 
Добавлено:
Да, посмотрели Stateful Inspection. Там стояли настройки по умолчанию (которые и в документации описаны). Попробовали другие настройки (Agressive, тоже из документации, по идее с ними ещё хуже должно работать), получилось то же самое. Вернулись к настройкам по умолчанию, всё так же.
Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 15:06 02-11-2010
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Garryncha
Нее, попробуй наоборот там время увеличить, а если не поможет, то отключить дропы out of state пакетов на время и посмотреть, что будет.
Подозреваю дровишки могут быть кривые на сетевые карты. Либо сами сетевые глючные.
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 15:38 02-11-2010
Garryncha

Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Убирали drop пакетов в Stateful Inspection - не помогло.
Таймеры не пробовали увеличить.
Зато делали следующий эксперимент.
На встроенную сетевую карту, где был внутренний интерфейс, назначали внешний адрес, а на внешнюю - внутренний (т.е. наоборот по отношению к тому, что было).
Дальше запускали программку-авторизатор для подключения к провайдеру, CheckPoint был выключен - всё работало нормально.
Если запускали CheckPoint, то программка-авторизатор разрывала соединение.
Подозреваем, что дело во встроенной сетевой карте.
Драйвера на неё для Windows XP, для 2003 не нашли у производителя.
Дальше обратимся в техподдержку на компьютер, может быть, конкретно наша встроенная сетевая карта неисправна, и нам поменяют материнскую плату по гарантии.
Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 13:23 03-11-2010
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Если запускали CheckPoint, то программка-авторизатор разрывала соединение.
Подозреваем, что дело во встроенной сетевой карте.

Забавно =)) Ну и доступ в интернет...

Цитата:
Драйвера на неё для Windows XP, для 2003 не нашли у производителя.  

На такое железо ставить чекпоинт - это извращение.
Купите самый дешёвый сервер брэндовый. При немаленькой цене на чекпоинт экономить на железе - это жесть.
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 15:03 03-11-2010
Garryncha

Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
dshf21391,
Цитата:
Купите самый дешёвый сервер брэндовый. При немаленькой цене на чекпоинт экономить на железе - это жесть.

Это верно.  
Но я слушаюсь начальства, тем более, когда оно не право.
Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 12:10 06-11-2010
BiB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день! Прошу помочь.  
Checkpoint Firewall NGX R65 on SPLAT.
Для доступа к email серверу используется следующее:
 
source  destination                    service                   action
USERs  Firewall host               pop3_mapped            accept
                                            smtp_mapped
 
где  pop3_mapped и smtp_mapped services: SRV_REDIRECT(110,адрес Email сервера,11011 (pop3 порт Email сервера)) and SRV_REDIRECT(25,адрес Email сервера,2525 (smtp порт Email сервера))
 
Всё работает.
 
после включения антивируса (быда приобретена подписка), smtp pop3 mapping service не работает - когда я пытаюсь подключиться telnet к 110 порту Firewall host получаю ошибку" -ERR No POP3 service here"  
в SmartView Tracker 2 сообщения на каждую попытку отправить почту
 
Number: 21715
Date: 9Nov2010
Time: 10:30:33
Interface: POP3 transparent proxy
Origin: FW
Type: Log
Action: Reject
Service: pop-3 (110)
Source Port: 4126
Source: 10.33.6.67
Destination: FW (10.6.1.50)
Protocol: tcp
Rule: 38
Rule UID: {C72B7697-387E-43C5-B232-F1660D8B1913}
Current Rule Number: 38-Standard
Information: email_control: Security Server
email_session_id: {4CD906A9-5-3201060A-7B6}
email_recipients_num: 0
File Direction: to/from this gateway
Product: VPN-1 Power/UTM
Reason: Failed to connect to POP3 server
Policy Info: Policy Name: Standard
Created at: Tue Nov 09 10:29:35 2010
Installed from: FW
 
Number: 21716
Date: 9Nov2010
Time: 10:30:33
Interface: POP3 transparent proxy
Origin: FW
Type: Log
Action:  
Service: pop-3 (110)
Source Port: 4126
Source: 10.33.6.67
Destination: FW (10.6.1.50)
Protocol: tcp
Rule: 38
Rule UID: {C72B7697-387E-43C5-B232-F1660D8B1913}
Current Rule Number: 38-Standard
Information: email_control: Security Server
email_session_id: {4CD906A9-5-3201060A-7B6}
email_recipients_num: 0
File Direction: to/from this gateway
Product: VPN-1 Power/UTM
SmartDefense Profile: Default_Protection
Policy Info: Policy Name: Standard
Created at: Tue Nov 09 10:29:35 2010
Installed from: FW
читал Secureknowledge base articles sk34862
sk32198 но там проблема в использовании NAT, у меня NAT для Email сервера для внутренних пользователей не используется.
Заранее спасибо за помощь
 
Всего записей: 74 | Зарегистр. 18-01-2002 | Отправлено: 12:08 10-11-2010
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Портмаппинг - частный случай NAT. Попробуй сделать это через NAT - может заработает.
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 16:03 10-11-2010
BiB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
К сожалению полноценный NAT не могу сделать в данной конфигурации -  pop3 и smtp порты Email сервера маппируются к портам Security Gateway
Всего записей: 74 | Зарегистр. 18-01-2002 | Отправлено: 19:00 10-11-2010
dshf21391



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BiB2
Это без разницы. Создаёшь TCP-сервисы соответствующие портам 11011 и 2525.
В правиле нат пишешь:
source:any destination:your_firewall service:smtp транслируешь в source:original destination:original service:smtp_2525
Ну и с POP3 так же.
Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 20:08 10-11-2010 | Исправлено: dshf21391, 20:09 10-11-2010
BiB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так я делал. Тот же результат, что при port mapping... Что интересно, port mapping на самом Email сервере (25 порт на 2525 и 110 порт на 11011) работает. То есть проблема получается именно когда должен быть переброс на другой ip адрес - Failed to connect to POP3 server
Всего записей: 74 | Зарегистр. 18-01-2002 | Отправлено: 23:54 10-11-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru