Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Открыть новую тему     Написать ответ в эту тему

Out



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Народ!!!! Есть проблема..... Есть CheckPoint и.... как его настраивать никто не знает.... В сети нигде описалова конкретного нет.... Может кто помогёт личным опытом... или может кто кинет линку на доки (желательно по русски) по этому зверю!!!
Заранее спасибо....!
 
 


 
Добавляете, плиз, полезную информацию в шапку.
 
 
CheckPoint Firewall
смотреть

Цитата:
CheckPoitn встает под Linux нормально... Я даже по Solaris ставил  

 
Есть кое-какие доки на Ftp из варезной темы..

Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 18:55 09-07-2002 | Исправлено: Out, 18:06 15-08-2006
PolarBear



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bemep
внутри firewall - нет такого термина
это -что-то вроде буду сказать на бумажке
 
да и udp траффик в DMZ еще то удовольствие

Всего записей: 259 | Зарегистр. 20-12-2002 | Отправлено: 12:49 09-10-2003
Bemep



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
PolarBear. Я эту фразу понял именно так как написал, что же касается "нет такого термина", то

Цитата:
2. Утверждение что один сервер M$ ДНС находящийся на FW не умеет делать split подтверждено статьёй

звучит еще более нелепо (какой статьей ? УК РФ ?), тем не менее, тебя поняли. Так что не придирайся к словам.
 
Короче, флуууд пошел...

----------
Тут и сказочке Esc... Кто не понял F1.

Всего записей: 254 | Зарегистр. 20-11-2002 | Отправлено: 15:12 09-10-2003
jokerv



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос
в одной очень "умной" организации решили поставить FW после того как сеть (150 удаленных отделений подключены к главному офису) работает много лет и мало кто знает как именно. Подключив комп я получил пробный 90 меговый лог за 10 часов от всего лишь от 5 (!) отделений. Этот лог включает ~500 000 строчек. После недельной работы по ручному анализу осталось 500 из которых можно сделать rule base.
и так вопрос
может кто либо знает програму для авт. построения топологии сети/rule base на основании лога FW?
 

Всего записей: 163 | Зарегистр. 22-11-2002 | Отправлено: 22:50 26-10-2003
EET

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bemep
PolarBear
Огромное спасибо и респект за участие .  Мой DNS установлен именно в DMZ (в сетке, к к-рой подключен на третий сетевой интерфейс сервера с FW-1, но не на той же машине). Проблема решилась открытием UDP трафика портов >1023 с any на DNSServ. Согласен, что это не лучшее решение, но по другому я не смог.  Еще раз спасибо за советы.

Всего записей: 162 | Зарегистр. 30-01-2002 | Отправлено: 07:29 28-10-2003
EET

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Опять появились вопросы к спецам по FW-1. С некоторых пор наш FW-1 стал работать как прокси на 80-м порту (http). Внешне это выглядит таким образом, что все запросы по http происходят от имени внешнего интерфейса fw-1, все скрипты по проверке IP в и-нете это подтверждают. Я НЕ включал NAT, поскольку в сети настроены нормальные IP, полученные от провайдера. Это причиняет некоторые неудобства, т.к. невозможно например попасть на некоторые "склады warezа", использовать внешние прокси на 80-м порту и т.д. Основное неудобство - в мониторе активных соединений ВСЕ http-соединения происходят от имени внешнего интерфейса fw-1, а не от реального source IP. Не можете ли вы посоветовать, как избавиться от этого режима? Буду очень благодарен

Всего записей: 162 | Зарегистр. 30-01-2002 | Отправлено: 09:07 28-11-2003
f0zzz

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jokerv:
 
по Rulebase топологию умеет строить Visula Policy Editor...

Всего записей: 4 | Зарегистр. 08-01-2003 | Отправлено: 17:30 28-11-2003
JohniGo

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если сюда кто-нить еще заходит, подскажите плиз, как настроить CVP сервак (вроди все элементарно, а трафик не идет).
в логе пишет в поле destination - пустую строку... не могу понять, что я не доделал...
прогу поставил (пробовал панду и касперского), сервер определил, ресурс определил, в правилах прописал, чтоб http  шел через ресурс...
нуторм чую, что малость какую-то не доганяю, но вот какую.
 
хочу еще floodgate попробовать...  но тоже пока не совсем внятно...

Всего записей: 4 | Зарегистр. 05-01-2004 | Отправлено: 14:55 05-04-2004
Flexner

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем добрый вечер!
почитал темку и возникло пару вопросов...
тут все пишут про сервера, а если поставить этот фаер на машинку в сети? СтОит ли или нет? Замечу, что у меня в сети есть 2 выхода в инет - через общий прокси и по ВПН с присвоением реального IP со всеми вытекающими... Да и юных хакеров в сетке море...
И есть ли русская версия?

Всего записей: 469 | Зарегистр. 15-03-2003 | Отправлено: 19:44 26-05-2004
Out



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Flexner
Руской версии НЕТ и НЕБУДЕТ.... Ставить на внутреннюю машину смысла нет... Это как поставить Cicso PIX во внутреннюю сеть.. Работать будет, а толку нет....

----------
Кто страшиться упасть - тот недостоин неба

Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 09:00 27-05-2004
kroka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ставить во внутреннююю сеть можно и нужно: например  так делают  ставя FW против  
datawarehouse или вообще между отделами.

Всего записей: 81 | Зарегистр. 19-10-2002 | Отправлено: 18:11 28-05-2004
testtest123456



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу помочь с настройкой FW-1 v.5.4. Необходимо, чтобы пользователи Windows Active Directory авторизовались в FW-1 прозрачно, т.е. без ввода пароля. Авторизация нужна для подсчета объема полученных каждым пользователем данных. Чего-то у меня такая авторизация не получается.

Всего записей: 96 | Зарегистр. 02-06-2004 | Отправлено: 23:07 20-08-2005
testtest123456



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нигде не нашел, как изменить номер порта внутреннего proxy-сервера. На сайте checkpoint подходящая статья закрыта от общего доступа. Установил fw-1 на secure platform. Помогите, кто может.

Всего записей: 96 | Зарегистр. 02-06-2004 | Отправлено: 19:53 24-08-2005
terek1972

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый ВСЕМ!
Вот такое у меня пишется в логе практически в цикле
 
FW1: -->conds  
FW1: FW-1: stopping debug messages for the next 56 se-->  
FW1: FW-1: cookie_put_data_at: failed to put one cookie  
FW1: -->ookie  
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->  
FW1: -->duplicate failed  
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->  
FW1: ndis_allocate_packet: Cannot allocate new packets  
FW1: FW-1: fw_xlate: cannot restore data in packet  
FW1: FW-1: cookie_put_data_at: failed to put one cookie  
FW1: -->ookie  
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->  
FW1: -->duplicate failed  
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->  
FW1: ndis_allocate_packet: Cannot allocate new packets  
FW1: FW-1: fw_xlate: cannot restore data in packet  
FW1: FW-1: cookie_put_data_at: failed to put one cookie  
FW1: -->ookie  
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->  
FW1: -->duplicate failed  
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->  
FW1: ndis_allocate_packet: Cannot allocate new packets  
FW1: FW-1: fw_xlate: cannot restore data in packet  
FW1: FW-1: cookie_put_data_at: failed to put one cookie  
FW1: -->ookie  
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->  
FW1: -->duplicate failed  
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->  
FW1: ndis_allocate_packet: Cannot allocate new packets  
FW1: FW-1: fw_xlate: cannot restore data in packet  
FW1: FW-1: cookie_put_data_at: failed to put one cookie  
FW1: -->ookie  
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->  
FW1: -->duplicate failed  
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->  
FW1: ndis_allocate_packet: Cannot allocate new packets  
FW1: FW-1: fw_xlate: cannot restore data in packet  
FW1: FW-1: cookie_put_data_at: failed to put one cookie  
FW1: -->ookie  
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->  
FW1: -->duplicate failed  
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->  
FW1: ndis_allocate_packet: Cannot allocate new packets  
FW1: FW-1: lost 1036 debug messages  
 
Система W2k SP4 + все хотфиксы
Checkpoint Firewall 4.1 SP4
Канал 10 МБит
Машинка неслабая стоит 2хXeon 1Gb...
 
После перезагрузки работает дней 5-7 а потом вот такое начинается
Рестарт cервисов не помогает
Искал в инете и нашель что надо увеличить значения в реестре для буфера трансляции адресов и чото подобного
Увеличил - но результат не особо видимый - может просто пореже стало появляться
 
Может кто с таким сталкивался
ПОдскажите...

Всего записей: 15 | Зарегистр. 25-08-2003 | Отправлено: 23:34 04-09-2005
dyp777

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день
Стоит CheckPoint NG на Win2003
Все замечательно работало. Сейчас офис переехал, и у местного провайдера адреса сети раздаются динамически. Как в таком случае его нужно перенастроть чтобы все опять работало.

Всего записей: 2 | Зарегистр. 12-10-2004 | Отправлено: 16:58 27-11-2005
rabotah

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте, уважаемые!
 
Я админ недавно, поэтому полюбопытствую.
Одна фирма возжелала поставить себе сие чудо буржуазной мысли.  
Дистру предоставили. Поставил. Сетка тотчас вырубилась. Что, впрочем, и ожидалось - файрволл же ))).
Создал хосты, подсеть, правило задал - Any source, Any destination, Any traffic, Any service - Accept. В общем All to All.
Вопреки ожиданиям - фигу. Ничего и никуда не пускает.
Отключаю компонент Check Point VPN-1 / Firewall-1 в свойствах сетевой карточки - всё работает.
Где копать? Подскажите, плиз!!! С голым задом в Инет сидеть тоже удовольствие сомнительное.  
Всем ответившим заранее спасибо!

Всего записей: 23 | Зарегистр. 12-05-2004 | Отправлено: 21:34 19-04-2006
dixinet



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rabotah
Если в кратце...то читай доки, для начала.
Если по делу, то по пунктам:
1. Проверить логи- по какому правилу режутся пакеты и т.д.
2. Топологию (т.е. настройку антиспуфинга) сделал ?

Всего записей: 591 | Зарегистр. 19-11-2002 | Отправлено: 17:42 22-04-2006
Out



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
rabotah
Попробуй еще посмотреть глобальные свойства... Может там что-то напортачил.... А так - смотри логи и думай.... Правило All to All не всегда корректно работает.
И отключи антиспуфинг с сетевых интерфесов....

----------
Кто страшиться упасть - тот недостоин неба

Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 21:28 09-05-2006
nickrias

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Решил  и я спросить про настройку Checkpoint.
Имеется честно купленный Checkpoint FW1 NGX 60. Установлен на SequrePlatform.
Имеется несколько внутренних сетей. Допустим внешний интерфейс 84.200.200.16
Внутренний 10.1.1.1, и несколько сетей 10.1.2.0, 10.1.3.0 и т.д.  
 
Все сети имеют маску 255.255.255.0, кроме внутреннего интерфейса Chekpoint. Если на внутреннем интерфейсе ставлю маску 255.255.0.0 - все работает нормально, как только 255.255.255.0 - он пересает пинговаться из всех сетех, кроме собственной.  
 
Сети соеденены через маршрутизатор и взаимно ping`уются без проблем, кроме непосредственно адреса CheckPoint. Где рыть? Мне надо, чтобы на CheckPoint стояла маска 255.255.255.0.
 
Возможно виноват NAT, потому что в свойствах General Property->NAT я поставил Hide all connection from internal to external interface...
 

Всего записей: 1 | Зарегистр. 10-05-2006 | Отправлено: 11:38 22-05-2006
Vqaws

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, как настроить отображение кириллицы (напрягают комментарии SmartDashboard R55) под winxp ?
При редактировании комментария текст отображается нормально, а общее отображение с крокозябрами.
 
Сносить лицензионную xp ставить пиратскую лень. На пиратской ОС всё было нормально.

Всего записей: 1 | Зарегистр. 25-05-2006 | Отправлено: 08:31 25-05-2006
enver



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет
Как обстоит дело у сабжа с авторизацией? Меня интересует возможность доменной авторизации

Всего записей: 595 | Зарегистр. 21-11-2004 | Отправлено: 12:36 12-07-2006
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru