» Настройка CheckPoint

admSpotting

Сталкивался с подобной проблемой.
Схема такая же - во внутренней сети за NAT стоит сервер c внутренним IP, на 221 порту поднят FTP-сервер.
Задача - обращаться на внешний IP Check Point'а на 221 порт и пробросить обращения на внутренний FTP-сервер на тот же 221 порт.
Добиться работы по FTP с Active mode мне сходу не удалось, меня устроил Passive mode. Поэтому решение для FTP Passive mode.
Создаете новый порт TCP в Services, называете его как-нибудь, допустим FTP_Port_221.
В свойствах порта (кнопка Advanced) выбираете Protocol Type FTP-PASV.
Создаете правило, что на внешний IP Check Point'а можно обращаться по протоколу (порту) FTP_Port_221.
Создаете правило NAT:
Any | External_IP | FTP_Port_221 | Original | Internal_FTP_Server | Original
Если Smart Defense будет ругаться, то надо понять на какую атаку он ругается и сделать соответствующую настройку.

admSpotting
Цитата:

люблю такие ответы)))

А что плохого в таких ответах? Я считаю, в первую очередь важна конечная цель, а способ ее реализации - дело десятое. Иногда люди долбятся головой в стену, пытаясь обойти чуть ли не законы природы, и не видят самого простого решения, лежащего на поверхности.

Вообще-то я всегда делаю отладку смотря в трекере на ошибки и отлупы и уже их потом исправляю. 99.9% всех проблем решается таким способом.

Artempv
сделал как написано, к сожалению так пробросить не получается и что самое удевительное в логах не фиксируется даже попытка соединения. Log Implied Rules включено и лог остальных событий тоже...
попытался пробросить 21 порт на 21 порт внутри, FTP работает, но разрешает только чтение файлов, но не запись... причем конект сначала идет на Secure FTP CheckPoint'a, а потом внутрь...

Вообще реально вытащить наружу FTP, который за CheckPoint? Такое впечатление, что там работает какое-то правило публикации и фильтрации, которое все режет.

admSpotting
Не видя как там у тебя всё настроено, трудно что-то предполагать. Если не работает запись - это может и IPS блокировать. Странно, что в логах у тебя ничего нет... какие то прямо чудеса ты описываешь.

admSpotting

FTP по стандартному 21 порту на сервере во внутренней сети с внутреннем IP работает без проблем на R65. Все обращения извне проходят, FTP работает в Active mode.
На счет невозможности записи - это вообще что-то странное. Так может отрабатывать только Smart Defense или IPS, но запись в логе в любом случае должна быть.
Может дело просто в правах на запись на самом сервере с FTP?

коллеги
Может кто помочь, после выключения CheckPoint пользователи не могут подключиться по VPN дает ошибку
VPN-1 Server could not find any certificate to use for IKE

medet
"...после выключения CheckPoint пользователи не могут подключиться..."

Не совсем понял суть вопроса. Сформулируйте поточнее.
И версию желательно указать, т.к. на NG, например, такая ошибка была связана с pre-shared secret между NG/VPN-1 GW и клиентом с SecuRemote.

При подключение пользователя подключение обрывается и выдается ошибка VPN-1 Server could not find any certificate to use for IKE

версия NG 60

Может срок действия сертификата закончился?

medet

Посмотрите этот пост на CPUG (The Check Point User Group) - hxxp://www.cpug.org/forums/installing-upgrading/5267-new-r60-installation-securemote-issues-need-create-ica-reset-sic.html

Описана аналогичная ситуация.

доброго дня всем,
примите к сведению что ночью со вчера на сегодня все UTM Edge appliances Checkpoint решили организованно сделать reboot по неясной пока причине (просто день такой тяжелый у них

http://www.cpug.org/forums/check-point-utm-1-edge-appliances/14606-all-edge-firewalls-rebooted-10-30-2010-8-58-p-m.html#post64014

Добрый день!
Прошу помощи в следующей ситуации.
Есть шлюз CheckPoint R70 на Windows 2003.
У шлюза два интерфейса: внутренний и внешний (интернет).
Сделано одно правило типа: any any accept.
Сделана трансляция Automatic Hide NAT.
Все остальные настройки после установки не изменялись.
Проблема заключается в том, что при обращении из внутренней сети к сайтам через браузер какие-то сайты нормально открываются, какие-то открываются, но медленно, какие-то совсем не открываются.
Те сайты, которые открывались быстро, через какое-то время перестают открываться совсем.
Проблем в сайтах и в интернет-канале нет, т.к. если подключаться в интернет с рабочей станции напрямую, таких проблем нет.
При этом, после перезагрузки шлюза с CheckPoint все сайты 1-2 минуты открываются нормально, после этого получается описанная выше картина.
При этом все сайты пингуются за 30-40 ms, даже если долго открываются или не открываются браузером.
Если запустить Wireshark на внутреннем интерфейсе шлюза, то он показывается SYN-пакеты, которые идут из внутренней сети, но к ним нет SYN-ACK и т.д.
Мне кажется, проблема с работой TCP-сессий через CheckPoint, но в чём конкретно не понятно.
Подскажите, пожалуйста, в чём может быть причина проблемы и как её устранить?
Если нужна дополнительная информация, то какая?

ipconfig /all и route print для полноты картины не помешали бы.
А так же инофрмация о том, как настроен объект чекпоинт, включен ли IPS, настроена ли правильно топология... пока всё.

Aluf
Статья на чекпоинте сегодня появилась
The cause of this problem is related to a specific counter that elapses every 13.6 years and is not expected to happen again in the life time of the device.

Вот дополнительная информация.
На шлюзе ChekPoint.

ipconfig -all
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : go-to-internet
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : широковещательный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

WAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet Adapte
r
Физический адрес. . . . . . . . . : 01-51-B1-B2-79-37
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 92.64.5.13
Маска подсети . . . . . . . . . . : 255.255.255.128
Основной шлюз . . . . . . . . . . : 92.64.5.1
DNS-серверы . . . . . . . . . . . : 127.0.0.1

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce 10/100 Mbps Ethernet
Физический адрес. . . . . . . . . : 43-5C-39-C4-EB-73
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.5.64.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

Там же на шлюзе CheckPoint.
route print

IPv4 таблица маршрута
=====================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...01 51 B1 B2 79 37 ...... D-Link DFE-520TX PCI Fast Ethernet Adapter - VPN
-1 / Firewall-1 Miniport
0x3 ...43 5C 39 C4 EB 73 ...... NVIDIA nForce 10/100 Mbps Ethernet - VPN-1 / Fi
rewall-1 Miniport
=====================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 92.64.5.1 92.64.5.13 20
10.5.64.0 255.255.255.0 10.5.64.1 10.5.64.1 20
10.5.64.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.5.64.1 10.5.64.1 20
92.64.5.0 255.255.255.128 92.64.5.13 92.64.5.13 20
92.64.5.13 255.255.255.255 127.0.0.1 127.0.0.1 20
92.255.255.255 255.255.255.255 92.64.5.13 92.64.5.13 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.5.64.1 10.5.64.1 20
224.0.0.0 240.0.0.0 92.64.5.13 92.64.5.13 20
255.255.255.255 255.255.255.255 10.5.64.1 10.5.64.1 1
255.255.255.255 255.255.255.255 92.64.5.13 92.64.5.13 1
Основной шлюз: 92.64.5.1
===========================================================================
Постоянные маршруты:
Отсутствует

Настройки шлюза (через CheckPoint SmartDashboard).
Имя шлюза: go-to-internet
IP-адрес: 10.5.64.1 (автоматически получен во вкладке)
Включен только Firewall (URL Filtering, IPSec, IPS и пр. выключены).

Вкладка Топология:
Внешний интерфейс: 92.64.5.13
Внутренний интерфейс: 10.5.64.1
(автоматически получены во вкладке)
На оба интерфейса назначен Antispoofing.
На внутреннем интерфейсе выбраны адреса за ним - по его сетевому адресу и маске.

Вкладка NAT: пустая.

IPS выключен.

Сделан объект Internal - сеть 10.5.64.0.
На объекте Internal настроено NAT - Automatic Hide behind Gateway.

По настройкам всё ок.
Симптомы очень странные и больше похожи на реакцию IPS, или антиспуфинга.
Smart Tracker смотрел? Попробуй отключить антиспуфинг.
Много хостов во внутренней сетке?

Выключили Antispoofing на обоих интерфейсах, картина та же.

В Smart Tracker встречаются такие события:
Action: Drop
Rule: - (Current Rule, Rule Name, User - все прочерк)
Source: сайт (например, yandex.ru)
Destination: 92.64.5.13
Source port: 80 (http)
Information: TCP Packet out of state: first packet isn't SYN. TCP Flags: RST-ACK (а также бывает всё то же самое, только TCP Flags FIN+ACK).

Такое подозрение, что CheckPoint сбрасывает сессию, и ответные пакеты считает новой сессией, ждёт SYN. И тогда эти пакеты не пройдут из-за NAT.
Может быть, дело в том, что какие-то таймеры сбрасывают сессию? Где можно их посмотреть?

Во внутренней сети 10 хостов, сейчас при экспериментах 1-2 хоста используем.

Цитата:

DNS-серверы . . . . . . . . . . . : 127.0.0.1

В настройках объекта CP -> advanced -> configure servers -> DNS server галка стоит?

Garryncha
Это настраивается в Global Properties -> Stateful Inspections. Но проблема странная. Ты в этих настройках не лазил? При установленных по умолчанию должно всё нормально работать, по идее. И нагрузки практически то нет, чтобы не хватало памяти ему и он сессии начинал терять....

Галки не было.
Галку поставили, картина осталась та же.

Сначала сайт открывается быстро, потом медленнее, потом ещё медленнее, потом просто страница не доступна.

Добавлено:
Да, посмотрели Stateful Inspection. Там стояли настройки по умолчанию (которые и в документации описаны). Попробовали другие настройки (Agressive, тоже из документации, по идее с ними ещё хуже должно работать), получилось то же самое. Вернулись к настройкам по умолчанию, всё так же.

Garryncha
Нее, попробуй наоборот там время увеличить, а если не поможет, то отключить дропы out of state пакетов на время и посмотреть, что будет.
Подозреваю дровишки могут быть кривые на сетевые карты. Либо сами сетевые глючные.

Убирали drop пакетов в Stateful Inspection - не помогло.
Таймеры не пробовали увеличить.
Зато делали следующий эксперимент.
На встроенную сетевую карту, где был внутренний интерфейс, назначали внешний адрес, а на внешнюю - внутренний (т.е. наоборот по отношению к тому, что было).
Дальше запускали программку-авторизатор для подключения к провайдеру, CheckPoint был выключен - всё работало нормально.
Если запускали CheckPoint, то программка-авторизатор разрывала соединение.
Подозреваем, что дело во встроенной сетевой карте.
Драйвера на неё для Windows XP, для 2003 не нашли у производителя.
Дальше обратимся в техподдержку на компьютер, может быть, конкретно наша встроенная сетевая карта неисправна, и нам поменяют материнскую плату по гарантии.

Цитата:

Если запускали CheckPoint, то программка-авторизатор разрывала соединение.
Подозреваем, что дело во встроенной сетевой карте.

Забавно =)) Ну и доступ в интернет...

Цитата:

Драйвера на неё для Windows XP, для 2003 не нашли у производителя.

На такое железо ставить чекпоинт - это извращение.
Купите самый дешёвый сервер брэндовый. При немаленькой цене на чекпоинт экономить на железе - это жесть.

dshf21391,
Цитата:

Купите самый дешёвый сервер брэндовый. При немаленькой цене на чекпоинт экономить на железе - это жесть.

Это верно.
Но я слушаюсь начальства, тем более, когда оно не право.

Добрый день! Прошу помочь.
Checkpoint Firewall NGX R65 on SPLAT.
Для доступа к email серверу используется следующее:

source destination service action
USERs Firewall host pop3_mapped accept
smtp_mapped

где pop3_mapped и smtp_mapped services: SRV_REDIRECT(110,адрес Email сервера,11011 (pop3 порт Email сервера)) and SRV_REDIRECT(25,адрес Email сервера,2525 (smtp порт Email сервера))

Всё работает.

после включения антивируса (быда приобретена подписка), smtp pop3 mapping service не работает - когда я пытаюсь подключиться telnet к 110 порту Firewall host получаю ошибку" -ERR No POP3 service here"
в SmartView Tracker 2 сообщения на каждую попытку отправить почту

Number: 21715
Date: 9Nov2010
Time: 10:30:33
Interface: POP3 transparent proxy
Origin: FW
Type: Log
Action: Reject
Service: pop-3 (110)
Source Port: 4126
Source: 10.33.6.67
Destination: FW (10.6.1.50)
Protocol: tcp
Rule: 38
Rule UID: {C72B7697-387E-43C5-B232-F1660D8B1913}
Current Rule Number: 38-Standard
Information: email_control: Security Server
email_session_id: {4CD906A9-5-3201060A-7B6}
email_recipients_num: 0
File Direction: to/from this gateway
Product: VPN-1 Power/UTM
Reason: Failed to connect to POP3 server
Policy Info: Policy Name: Standard
Created at: Tue Nov 09 10:29:35 2010
Installed from: FW

Number: 21716
Date: 9Nov2010
Time: 10:30:33
Interface: POP3 transparent proxy
Origin: FW
Type: Log
Action:
Service: pop-3 (110)
Source Port: 4126
Source: 10.33.6.67
Destination: FW (10.6.1.50)
Protocol: tcp
Rule: 38
Rule UID: {C72B7697-387E-43C5-B232-F1660D8B1913}
Current Rule Number: 38-Standard
Information: email_control: Security Server
email_session_id: {4CD906A9-5-3201060A-7B6}
email_recipients_num: 0
File Direction: to/from this gateway
Product: VPN-1 Power/UTM
SmartDefense Profile: Default_Protection
Policy Info: Policy Name: Standard
Created at: Tue Nov 09 10:29:35 2010
Installed from: FW
читал Secureknowledge base articles sk34862
sk32198 но там проблема в использовании NAT, у меня NAT для Email сервера для внутренних пользователей не используется.
Заранее спасибо за помощь

Портмаппинг - частный случай NAT. Попробуй сделать это через NAT - может заработает.

К сожалению полноценный NAT не могу сделать в данной конфигурации - pop3 и smtp порты Email сервера маппируются к портам Security Gateway

BiB2
Это без разницы. Создаёшь TCP-сервисы соответствующие портам 11011 и 2525.
В правиле нат пишешь:
source:any destination:your_firewall service:smtp транслируешь в source:original destination:original service:smtp_2525
Ну и с POP3 так же.

Так я делал. Тот же результат, что при port mapping... Что интересно, port mapping на самом Email сервере (25 порт на 2525 и 110 порт на 11011) работает. То есть проблема получается именно когда должен быть переброс на другой ip адрес - Failed to connect to POP3 server