Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Открыть новую тему     Написать ответ в эту тему

Out



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Народ!!!! Есть проблема..... Есть CheckPoint и.... как его настраивать никто не знает.... В сети нигде описалова конкретного нет.... Может кто помогёт личным опытом... или может кто кинет линку на доки (желательно по русски) по этому зверю!!!
Заранее спасибо....!
 
 


 
Добавляете, плиз, полезную информацию в шапку.
 
 
CheckPoint Firewall
смотреть

Цитата:
CheckPoitn встает под Linux нормально... Я даже по Solaris ставил  

 
Есть кое-какие доки на Ftp из варезной темы..

Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 18:55 09-07-2002 | Исправлено: Out, 18:06 15-08-2006
EET

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bemep
Кажется, я поторопился с предыдущим высказыванием. Установка SP4 поверх обычного (без sp2) fw-1 4.1 приводит к синему экрану с ошибкой в NDIS.SYS (при запуске fw kernel), при перезагрузке - ошибка загрузки fw.sys. Нет ли каких-то  лекарств кроме sp2 от этого?

Всего записей: 162 | Зарегистр. 30-01-2002 | Отправлено: 11:57 04-04-2003
Bemep



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
EET, нет, я вообще удивляюсь как ты умудрился 4.1 без 2 сервис пака поставить на w2k. Он же в самом начале установки начинает орать, что на эту операционку он ставиться не будет.


----------
Тут и сказочке Esc... Кто не понял F1.

Всего записей: 254 | Зарегистр. 20-11-2002 | Отправлено: 13:25 04-04-2003
EET

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bemep
Возможно, это был 4.1 с sp2, но при установке нигде слова sp2 не было. Было написано installing Firewall-1/VPN-1 [vpn+des] в одном варианте, и то же самое но [strong] в другом. В обоих случаях ставил на windows 2000 advanced server sp3 на Pentium-IV. После установки получал набор Error в Event Log, в том числе FW0 и FW1 failed to start, что-то про невозможность подцепиться к Ndis_WANIp. В результате служба FW-1 не стартовала. После перезагрузки при установке sp4 вылетают два окна с ошибком fw_kern.exe -v -u CP_FW1 и CP_FW1MP, распаковываются фалы и при установке Firewall Kernel все падает в синий экран с fatal error  в NDIS.SYS. Псоле рестарта - тоже синий экран, на этот раз фатал еррор fw.sys. Пытался убрать одну сетевую карту, оставить две (мне нужно вообще на три интерфейса), запускать и останавливать RRAS, прочие телодвижения - все напрасно. Может быть, есть какая-то тонкость в установке на fw-1 4.1 на Windows 2000? Подскажите, пожалуйста.

Всего записей: 162 | Зарегистр. 30-01-2002 | Отправлено: 17:38 04-04-2003
Bemep



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
при установке сложностей не должно быть, там все просто и без затей. Последовательность установки примерно такая. Устанавливаешь и настраиваешь w2k. Сеть. Накатываешь 3 сервис пак. Настраиваешь и проверяешь роутинг. Устанавливаешь СР. В твоем варианте (пиратка), видимо, надо выбирать установку всех модулей на одну машину (stand alone installation)... (не помню надо ли перегружаться в этом месте)... Накатываешь 4 сервис пак... (возможно нужна перезагрузка, если да, то сервис пак скажет об этом)... Регистришь лицензии. Настраиваешь файрволл. Запускаешь полиси едитор и настраиваешь политику безопастности. Подключаешь файрволл к сети. Останавливаешь сервисы файрволла. Прописываешь ARP'ы и (если надо) привязываешь айпишники к наружному интерфейсу. Стартуешь СР сервисы... Идешь отдыхать и вспоминаешь о СР только для того, что бы почитать логи или поправить политику безопастности... хотя последние 2 действия можно делать и удаленно.

----------
Тут и сказочке Esc... Кто не понял F1.

Всего записей: 254 | Зарегистр. 20-11-2002 | Отправлено: 19:19 04-04-2003
EET

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bemep
В моем случае что-то кривое: либо железо, либо софт, либо руки. Потому что проблемы при установке есть, хорошо что хоть не только у меня. Вчера нашел в архивах это [ http://citadelle.intrinsec.com/mailing/current/HTML/ml_firewall-1/17602.html ]. Там речь идет о sp6, но все симптомы сходятся то точки. Есть похожие вопросы на других форумах, ясного ответа на них нигде нету. Буду биться дальше. Попутно хотел спросить - что значить "прописываешь ARP-ы", посредством чего и зачем? antispoof?
Спасибо за поддержку.

Всего записей: 162 | Зарегистр. 30-01-2002 | Отправлено: 10:54 05-04-2003
Bemep



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
EET, ARPы прописываются для того, чтобы файрволл знал, что делать с IP которые используются внутренними машинами для доступа к ним из инета, но не имеют реальных (внешних) интерфейсов. В 4.1 это прописывается в файл local.arp.

----------
Тут и сказочке Esc... Кто не понял F1.

Всего записей: 254 | Зарегистр. 20-11-2002 | Отправлено: 10:09 07-04-2003
EET

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bemep
Я правильно понял. это нужно для NAT? Я лишен удовольствия использовать address translation, у нас вся сеть потенциально "доступна" и имеет зарегистрированные адреса. Если я тебя еще не сильно достал, подскажи пожалуйста, по какой причине при рестарте сервера (собственно PC) fw-1 стартует с ошибкой "Fetching Security Policy from localhost failed" и "VPN-1 Acceleration Card not found" (ее действительно нет, но как указать что не нужно искать никакой акселератор?). При этом, рестарт службы (fwstop/fwstart) проходит вполне нормально, Fetchin Sec Pol. from localhost succeded". И еще, fw0 выдает ошибку "Failed to Copy NdisWanIp to FW_NdisWanIp", в Routing&RAS наглухо запрещены все dial-on-demand, входящие и исходящие, модемов нет, откуда берется NdisWan?
Конфигурация Win 2000 Server SP3 + FW-1/VPN 4.1 SP4 [vpn+des] c FloodGate-1 4.1 sp4 (имхо стандартный пиратский набор). Поставился он, кстати, с большим трудом, через 2 синих экрана и один откат на Last Known Good Conf.

Всего записей: 162 | Зарегистр. 30-01-2002 | Отправлено: 06:16 08-04-2003
Bemep



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
EET, вообще, все это смотреть и руками щупать надо. Но так на вскидку я бы сказал, что у тебя неправильно настроен роутинг. На w2k не надо настраивать роутинг через RRAS. Достаточно  ключу реестра HKLM\System\CurrentControlSet\Services\Tcpip\Parameters IpEnableRouter присвоить значение 1 (в твоем случае, ессно, снести все настройки RRAS'a и рестартовать FW).
 
ARP надо прописывать как раз в твоем случае (у тебя же машины не торчат наружу интерфейсами, а сидят за файрволлом), для того, чтобы FW знал, что он должен реагировать на обращение не только к своему IP-адресу, но и к другим (скрытым за ним) адресам транслируя их в "серые" и отправляя машине-получателю, за которой и закреплен этот адрес... или я не правильно понял и у тебя машины в локалке имеют ликвидные адреса ? Если это так, то ИМХО - бред.
 
По поводу ошибок.
 VPN-1 Acceleration Card not found - стандартная "ошибка", появляющаяся в системе при отсутствии этой самой VPN-1 Acceleration Card. На самом деле не ошибка, а ненавязчивый намек на то, что неплохо бы потратить немножко денюжек и купить ее. В общем, забей на нее.
 Fetching Security Policy from localhost failed. Появляется из за того, что у тебя не установлена политика безопастности "по умолчанию". Это та политика которая грузится на FW в случае останова FW или до старта всех служб последнего. Ошибка появляется только если в CP FW Configuration стоит галка на "блокировать роутинг при выключении FW" (как то так это называется, сейчас под рукой нет 4.1, поэтому точнее посмотреть не могу). Лечится, по моему, созданием политики с именем "Standart" или "Default", точно не помню, если есть сильный интерес, могу полистать руководство по 4.1. В принципе, можно сильно с этим не заморачиваться, т.к. перегружать машину с FW или останавливать сам FW тебе придется нечасто.
 Failed to Copy NdisWanIp to FW_NdisWanIp. Честно говоря не встречал, но думаю, что это связано с неправильной настройкой роутинга (см. выше).


----------
Тут и сказочке Esc... Кто не понял F1.

Всего записей: 254 | Зарегистр. 20-11-2002 | Отправлено: 13:05 08-04-2003
EET

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bemep
Спасибо за подсказки.  Я нашел руководства и нынче же начну читать сам. ARP мне прописывать кажется не надо, у меня "серых" адресов нет, все "белые" (если я правильно понял лексику, - серые это 192.168.х.х, а белые (ликвидные) - например 212.160.х.х.)
Default policy сегодня написал, загрузил, (и standart.w и default.w) все равно при рестарте
ошибка вылазит, и хрен с ней, т.к. по-моему на  последующую работу не влияет.
Проблемы с NDIS_Wan тоже побоку, т.к. у нас модемов и прочих wan-ов на брандмауэре нету.  
Самая главная проблема: отказывается авторизовать пользователей через OS password из Active Directory. Я специально ввел сервер в домен, хотя и не советовали, но он по прежнему не читает пароли из AD. Возможно, будет работать с локальным SAM но мне такое не подходит. Ты не подскажешь, как подружить fw-1 4.1 sp4 с Windows 2000 Active Directory? Спасибо за помощь.

Всего записей: 162 | Зарегистр. 30-01-2002 | Отправлено: 18:12 08-04-2003
Bemep



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Самая главная проблема: отказывается авторизовать пользователей через OS password из Active Directory. Я специально ввел сервер в домен, хотя и не советовали, но он по прежнему не читает пароли из AD. Возможно, будет работать с локальным SAM но мне такое не подходит. Ты не подскажешь, как подружить fw-1 4.1 sp4 с Windows 2000 Active Directory?

Сразу говорю - подобной фигней не страдал, поэтому пишу то, что сразу на ум пришло. Для начала посмотри разрешено ли авторизовывать пользователей по OS Password. Делается это в свойствах файрвольной машины (объекта в policy editor'e), закладка Authentication, там галку надо поставить напротив OS Passwords.  
Теперь по поводу этого:
Цитата:
ARP мне прописывать кажется не надо, у меня "серых" адресов нет, все "белые" (если я правильно понял лексику, - серые это 192.168.х.х, а белые (ликвидные) - например 212.160.х.х.)

по поводу адресов то ты понял правильно, только вот я не понял - у тебя что юзвери не через файрволл в инет бегают ?

----------
Тут и сказочке Esc... Кто не понял F1.

Всего записей: 254 | Зарегистр. 20-11-2002 | Отправлено: 20:38 08-04-2003
EET

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Все-таки буду пробовать поставить сабж без "синих экранов", т.к. по-моему в процессе откатов и переустановок слетают какие-то незаметные настройки и дальше сервер идет "вразнос". Может ли кто-нибудь из присутствующих поделиться личным опытом установки CP Firewall-1 4.1 sp2 + sp4 на Windows 2000 server? Спасибо.

Всего записей: 162 | Зарегистр. 30-01-2002 | Отправлено: 16:45 09-04-2003
EET

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bemep
Опять пришел тебя тревожить, о Гуру. =)  
С авторизацией я немножко поразбирался, и вышло следующее - срабатывает только первое в списке правило ClientAuth, и через него авторизуются и доменные, и локальные, и s\key ные пользователи. А все остальные правила дают три попытки (при авторизации Part Automatic открытие наугад любой станицы по http), а затем пишут Authentication method - unknown. Если использовать fw1client еще от версии 4.0 - все авторизуется без вопросов, но приучать пользователей к новой утилитке для выхода в Интернет - дело муторное и сложное, поэтому ищу решение "как по старому" - открыл браузер, зашел на страничку, авторизовался и пошел дальше. Перемещение ЛЮБОГО из 3-х различных rules с ClientAuth приводит к тому, что действовать начинает именно верхнее (первое по счету среди авторизаций). Сразу оговорюсь - мне нужны все три, т.к. там совершенно разные сервисы и время доступа. Не подскажешь ли, почему всегда срабатывает верхний Rule и никогда - все остальные? На старом сервере (NT4) работали все правила, принципиальное отличие в конфигурации - появился третий интерфейс для DMZ. Очень надеюсь на помощь.
 
Добавлено
кстати, я таки установил cp-fw 1 4.1 без всяких сисних экранов. Таким вот немножко варварским методом: убрал все сетевые интерфейсы, кроме одного (будущего "внешнего"), поставил win2k server+sp3, поставил cp fw-1 4.1 sp2  и не перезагружаясь сверху fw-1 SP3. Перезагрузка, сверху SP4 и далее по сценарию - floodgate-1, fg-1 sp4, gui, ivanopulo patch_keygen и все начало работать. Сетевые карты воткнул в уже полностью пропатченную машину, установил галочки "CheckPoint firewall-1 Miniport"  в параметрах сетевых интерфейсов, и все стало работать. Если у кого-то возникнут проблемы с "синим экраном" во время установки cp fw-1 4.1 на win2000 server, попробуйте "раздеть" машину от лишних сетевых карт.

Всего записей: 162 | Зарегистр. 30-01-2002 | Отправлено: 18:43 14-04-2003
Bemep



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
довольно сложно понять, что там у тебя с настройками и правилами... Для начала, что за правила инсталлированы ? (можно в ПМ кинуть, а то ... народ он разный бывает ) Вот это:
Цитата:
А все остальные правила дают три попытки (при авторизации Part Automatic открытие наугад любой станицы по http), а затем пишут Authentication method - unknown.

наводит на мысль, что у тебя выставлены счетчики на колличество обрабатываемых в одной сессии ресурсов.
По поводу авторизации с помощью клиента. Можно использовать авторизацию через браузер (по умолчанию: 900 порт) или телнет (по умолчанию: 259 порт). Схема работы выглядит следующим образом:
1. пользователь коннектится к файрволу из браузера или телнетом.
2. в ответ на запрос сервера, вводит логин/пароль
3. выбирает способ работы
4. работает с соответствующими правилами
5. по завершении работы снова коннектится к файрволу
6. в ответ на запрос сервера, вводит логин/пароль
7. выбирает логофф
Логофф, так же, наступает по тайм-ауту или счетчику.
Можно упростить эту схему использую Waiting Mode. В этом случае, схема выглядит так:
1. пользователь коннектится к файрволу из браузера или телнетом.
2. в ответ на запрос сервера, вводит логин/пароль
3. выбирает способ работы
4. работает с соответствующими правилами
Сессия остается открытой до тех пор пока не произошло одно из следующих событий:
1. тайм-аут
2. сработал счетчик
3. пользователь закрыл окно в котором авторизовался.
Недостаток этого способа в том, что в этом случае сервер постоянно пингует клиента, что создает некоторую, неприятную, сетевую активность. Кроме того, из за задержек пакетов сервер может отключить клиента (это особенно сильно чувствуется на дайлапе).
 
PS: вообще, связка w2k+fw-1 4.1, в плане авторизации, работает несколько криво :-\ Загляни в логи сервера, при авторизации там такое творится

----------
Тут и сказочке Esc... Кто не понял F1.

Всего записей: 254 | Зарегистр. 20-11-2002 | Отправлено: 11:14 15-04-2003
kempston



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Юзаю Win 2003
Поставил Floodgate SP4 - по крайней мере стал запускатся.
Хотел оттестить - вроде даже чтто шэйпилось поначалу, но под конец обратил внимание на тот факт что время от времени реальные скорости раза в 4 отличаются от тех что стоят в правилах. Например:
Правила пустые.
Ставлю ограничение на интерфейс 100 кбайт. Качается 100 кбайт.
Ставлю ограничение 2000 кбайт. Ftp Качается 500 кбайт. Netbios качается 1500 кбайт (не одновременно)
Снимаю ограничение. Все качается 5Мбайт.
Комуто удавалось оседлать этого дикого жеребца?
 
Добавлено
Пробую NG.
Установил Evalution license.
Сразу захожу в SmartDashboard NG FP3 и применяю правила а он мне говорит
QoS Error No License for FloodGate-1 Managment.
Долбался долбался и один раз както удалось добится того что заработало, но не понял почему - теперь опять не работает.
Кто нибудь сталкивался ?
 
Добавлено
Оказывается "получилось" при нажатии отмены правил (кнопки рядом - легко промахнутся).
Вообще Evalution лизензия подразумевает использование FloodGate ?

Всего записей: 124 | Зарегистр. 11-02-2003 | Отправлено: 22:35 22-06-2003
kroka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А разве на win2003 есть support ?IMHO Нет.

Всего записей: 81 | Зарегистр. 19-10-2002 | Отправлено: 09:45 23-06-2003
kempston



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
В каком смысле ?
 
Добавлено
ну действительно - при запуске сервис FW1 ругается, что 'Running on Build 3790 is not supported!' и 'Build 2600 is required!' но при этом все сервисы стартуют, и вроде даже нормально работают.
4.1 SP4 тоже работала и даже проблем с лицензией небыло только там он скорость неточно резал, почемуто, временами.
 
Добавлено
Еще раз попробовал FloodGate 4.1 SP4
До мегабайта в кекунду система работает еще боле или менее стабильно, но если поставить более высокоей ограничение скорости (например 2 мегабайта) то качет все равно 1000-1500 килобайт.
Очень похоже что системе не хватает производительности, но загрузка процессора низкая и дополнитеное повышение лимита часто дает увеличение скорости. Поставил например 5мегабайт и скорость возросла до двух.
Где узкое место системы ?
Это кривость чек поинта или програмного решения проблемы в целом ?
Наблюдается ли этот же эффект под линуксом ?

Всего записей: 124 | Зарегистр. 11-02-2003 | Отправлено: 10:32 23-06-2003 | Исправлено: kempston, 10:56 23-06-2003
kroka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4.1 с июля умирает.Нет смысла в ней копаться.
Переходи на NG и доки читай.

Всего записей: 81 | Зарегистр. 19-10-2002 | Отправлено: 22:43 23-06-2003
kempston



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
2kroka
Я бы рад, но лишних пары килобаксов к сожалению нету
может проспонсируешь или лицензией поделишся ?

Всего записей: 124 | Зарегистр. 11-02-2003 | Отправлено: 02:52 24-06-2003 | Исправлено: kempston, 02:54 24-06-2003
svserg

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, есть вопрос. очень простой. Стоит В2к+FW1 SP4
Все работает. НАТ транслирует, но если машине 192,168,1,1 разрешено ходить во внешний мир с НАТ (195.28.44.23) трансляцией (к примеру СМТП трафик) и с внешнего мира по СМТП трафику на 195.28.44.23 (странсляцие сервиса СМПТ на адрес 192,168,1,1) - то получается и разрешено из внешнего мира ходить и на 192,168,1,1  
Вот ведь какая засада. У меня не получилось насовсем скрыть 192,168,1,0 сеть
 
 
Мож кто че посоветует?

Всего записей: 393 | Зарегистр. 11-12-2001 | Отправлено: 17:39 24-06-2003
kroka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
svserg
RTFM destination static NAT

Всего записей: 81 | Зарегистр. 19-10-2002 | Отправлено: 18:11 24-06-2003
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru