Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Открыть новую тему     Написать ответ в эту тему

Out



Full Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Народ!!!! Есть проблема..... Есть CheckPoint и.... как его настраивать никто не знает.... В сети нигде описалова конкретного нет.... Может кто помогёт личным опытом... или может кто кинет линку на доки (желательно по русски) по этому зверю!!!
Заранее спасибо....!
 
 

 
Добавляете, плиз, полезную информацию в шапку.
 
 
CheckPoint Firewall
смотреть

Цитата:
CheckPoitn встает под Linux нормально... Я даже по Solaris ставил  

 
Есть кое-какие доки на Ftp из варезной темы..
Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 18:55 09-07-2002 | Исправлено: Out, 18:06 15-08-2006
Artempv

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Managing and Deploying ClusterXL (2004)
hxxp://rapidshare.de/files/31541605/Managing.and.Deploying.ClusterXL.rar
 
Advanced Technical Reference Guide NG with Application Intelligence (2003)
hxxp://rapidshare.de/files/31542021/Advanced.Technical.Reference.Guide.NG.AI.rar
 
Добавлено:
Managing and Deploying Check Point InterSpect (2004)
hxxp://rapidshare.de/files/31544160/Managing.and.Deploying.InterSpect.rar
Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 14:19 01-09-2006
11mp

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос такой... Требуется перенаправлять ВЕСЬ траффик с клиента на конкретный порт удалённого компьютера (на прокси). Можно ли реализовать это в CheckPoint FW? Если можно, то как?
Возможно кто-нибудь подскажет реализацию форвардинга при помощи иного ПО.
 
Спасибо
 
Добавлено:
Да, на обоих компьютерах установлена WinXP
Всего записей: 35 | Зарегистр. 13-03-2006 | Отправлено: 13:58 14-09-2006
Artempv

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
11mp
Перенаправление сделать можно. Вот только сдается мне, что это не то, что тебе нужно. Если перенаправить весь исходящий трафик (т.е. обращения к внешним серверам по разным протоколам и портам соответственно) на прокси, то маловероятно, что прокси сумеет это все корректно переварить.
 
А так перенаправление трафика, проходящего через Check Point Firewall, сделать просто.
Закладка Address Translation
Создай такое правило:
В Original packet:
Source - твой "клиент"
Destination - Any
Service- Any  
В Translated packet:
Source - Original (если в качестве отправителя пакетов действительно надо видеть твоего "клиента", но при этом, если у тебя во внутренней сети fake-адреса, то наружу в Инет разумеется не выйдешь с этими адресами; тогда надо указывать тут твой внешний IP)
Destination - тот самый "удаленный компьютер" (Static)
Service - тот самый "порт удаленного компьютера" (Static)
 
Разумеется, что сами соединения "клиента" с внешним миром и другими сетями за Check Point Firewall должны быть разрешены в правилах (закладка Security).
 
На счет иного ПО - наверное это не в эту ветку. Не подскажу, к сожалению.
Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 18:30 14-09-2006
11mp

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Artempv, большое спасибо. Попробую.
Всего записей: 35 | Зарегистр. 13-03-2006 | Отправлено: 19:11 14-09-2006
Out



Full Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Artempv
Камрад... Имелось ввиду на определенный ПОРТ... Для порта NAT не совсем подходит...
Если нужно перенаправлять непосредственно http, https, ftp, pop3 и smtp трафика на конкретные порты, то для этого нужно использовать закладку ресурсов. Имеено тут настраивается трансляция на конкретный порт ))) Хотя.. Если пофиг что и куда... Тогда можно возъюзать НАТ и не парится (хотя остается вопрос зачем?)

----------
Кто страшиться упасть - тот недостоин неба
Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 11:10 15-09-2006
Artempv

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Out
 
Транслировать порты (PAT) можно через закладку Address Translation.
Check Point сознательно не стал вводить понятие PAT, подразумевая, что это часть Address Translation.
 
Т.е. Address Translation - это отличное средство перенаправления трафика на другие IP-адреса и порты. И перенаправить можно почти все.
 
Дргуое дело, что в вышенаписанном посте я допустил ошибочку, тут уважаемый Out прав.
 
Check Point не сможет протранслировать Any Destination (Original Packet) в Static Host (Translated Packets). И не сможет протранслировать Any Service (Original Packet) в Static Port (Translated Packets).
Будет еррор при проверке политики и ее инсталляции соответственно.
 
Т.е. перенаправить весь трафик одним правилом не получится. Это верно.
Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 11:39 15-09-2006
Out



Full Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Artempv
Вообще мне видится сложным ответ на вопрос
Цитата:
Требуется перенаправлять ВЕСЬ траффик с клиента на конкретный порт удалённого компьютера (на прокси). Можно ли реализовать это в CheckPoint FW?
в виду его непонятной постановки. Какой трафик на какой порт и т.п.
 
Уважаемый 11mp, опишите более подробно задачу, которыю вы хотите решить, ибо гадать что вы имеете ввиду как-то глупо.


----------
Кто страшиться упасть - тот недостоин неба
Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 15:33 15-09-2006
11mp

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу прошения.
В первую очередь интересует реализация перенаправления http траффика на прокси. Варианты с указанием адресов в браузере или роутинг через sockscap не интересует.
Всего записей: 35 | Зарегистр. 13-03-2006 | Отправлено: 22:24 15-09-2006
Out



Full Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
11mp
Было бы не плохо, что бы ты объяснил, что значит
Цитата:
 В первую очередь интересует реализация перенаправления http траффика на прокси
?
 
Что и откуда нужно перенаправить? Или ты имеешь ввиду выпустить проки который находится во внутреней сети через чуку?

----------
Кто страшиться упасть - тот недостоин неба
Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 14:48 17-09-2006
11mp

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нужно пустить траф через локальный фильтрующий прокси так, чтобы не прописывать адреса этого прокси(или сокса) в каждой проге.
Всего записей: 35 | Зарегистр. 13-03-2006 | Отправлено: 12:53 18-09-2006
adonskoy

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
11mp
Что так что эдак непонятно. Трафик входящий или исходящий? Нарисуй схемку что ли. Что и куда там будет ходить.
Всего записей: 59 | Зарегистр. 12-07-2006 | Отправлено: 13:02 18-09-2006
11mp

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Система на примере браузера:
Браузер -> прокси -> интернет.
Только необходимо настроить соответствующее правило для всех приложений, чтобы не указывать адрес прокси в самом браузере.
Всего записей: 35 | Зарегистр. 13-03-2006 | Отправлено: 18:39 18-09-2006
volerko

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Transparent proxy ему нужно
Всего записей: 9 | Зарегистр. 01-09-2006 | Отправлено: 13:38 26-09-2006
11mp

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да не нужен мне никакой прокси. Мне надо настроить роутинг на прокс.
Всего записей: 35 | Зарегистр. 13-03-2006 | Отправлено: 18:01 27-09-2006
Diana_zuz

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
не могу загрузить политику фаервола с сервера на машину с установленным FW-1. выдает ошибку:
TCP connectivity failure (port 18191).
 
при этом на FW-1 запущен процесс cdp.exe, который слушает порт 18191.
SIC между сервером и машиной с FW-1 установился.
Всего записей: 2 | Зарегистр. 23-10-2006 | Отправлено: 10:59 24-10-2006 | Исправлено: Diana_zuz, 11:11 24-10-2006
Artempv

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diana_zuz
 
А ты случайно в Global Properties не снял галочку Accept VPN-1 & Firewall-1 control connections, а потом в политике в явном виде не разрешил эти соединения?
 
Если так и после этого ты накатил политику на модуль, то он естественно будет дропить  обращения по CPD (TCP 18191).
 
В этом случае надо либо командочками откатить (выгрузить) политику на модуле (локально) или переставить Check Point на модуле.
Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 11:51 24-10-2006
Diana_zuz

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Artempv,
 
Accept VPN-1 & Firewall-1 control connections - в Global Properties разрешено.
Более того, правила нормально установились на первый firewall-модуль, а на второй не хотят.
 
сейчас на моем втором firewall-е установлены первоначальные правила по умолчанию.
Всего записей: 2 | Зарегистр. 23-10-2006 | Отправлено: 15:52 24-10-2006 | Исправлено: Diana_zuz, 15:56 24-10-2006
Artempv

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diana_zuz
 
С дефолтовой политикой все должно работать.  
 
Попробуй сбросить SIC и заново установить его. Если не поможет, то попробуй переставить все-таки все на втором модуле. Корректно снести Check Point и поставить заново.
 
Может при установке что сбойнуло.
Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 10:33 25-10-2006
megase

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Вопрос такой... Требуется перенаправлять ВЕСЬ траффик с клиента на конкретный порт удалённого компьютера (на прокси). Можно ли реализовать это в CheckPoint FW? Если можно, то как?  
Возможно кто-нибудь подскажет реализацию форвардинга при помощи иного ПО.

 
Services => Other => Http_mapped = > Advanced => SRV_REDIRECT(80,proxy_adr,3128)  
 
Security rule
 
source (local_net)
destination (any)
service (Http_mapped)
Action (Accept)
 
Всего записей: 30 | Зарегистр. 18-01-2005 | Отправлено: 19:16 12-12-2006 | Исправлено: megase, 19:17 12-12-2006
merseed



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток
 
При установке NGX-R62 возникло несколько вопросов.  
 
Какие параметры и настройки интерфейса необходимо указывать?
 
Что указывать в имени машины? Eсли указать свое, то пишет, что не может найти подтверждение в сертификате Если отказаться, то при запуске конфигуратора и попытке изменить имя машины выдает следущее:
Failed to send the Internal CA name to the Internal CA.
Try later
 
При подключении через SmartDashboard (выбирал 3 сертификат для xxx.xxx.xxx.34)
Connection cannot be initiated.
Please make sure that the Server 'xxx.xxx.xxx.34' is up and running and that you are defined as a GUI Client.  
 
На машине установлен VMWarе, интернет через VPN. Конфигурация интерфейса для сертификата xxx.xxx.xxx.34/24 больше ничего не указывал, ни гейта ни dns.
 
Спасибо
Всего записей: 25 | Зарегистр. 10-04-2006 | Отправлено: 21:33 19-12-2006
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru