» Настройка CheckPoint

Таки зафункциклировал Floodgate 4.1 SP4 под Win 2003.
Проблемы было две. Одна - не точный шэйпинг, причем не точность растет в зависимости от значений ограничений - чем меньше ограничения (выше скорость) тем меньше точность. Вторая - игнорирование Weight - ради которого собственно все и затевалось.
Первая так и не вылечилась, но надеюсь что это не окажется смертельным в полевых условиях.
А вторая решилась установокой родных драйверов для сетевухи (спасибо junkwire - подсказал) после этого Real Time Monitor - начал видеть разницу между различными видами траффика и Weight обрела силу. Правда максимальное соотношение (если судить по скорости) 1/10 а не 1/1000 как это отражают дефолтные установки

Цитата:

А вторая решилась установокой родных драйверов для сетевухи (спасибо junkwire - подсказал)

Пажалуйста...

У меня кстати проблемы тоже.

Итак, CP FW-1 SP6 + FG SP6 + RM SP5... Под NT4 Serv SP6

1) изредка слетает Client Aurh, при этом Session Auth продалжает работать. (подозрения на демона fwd, но причин я понять пока немогу).
2) часто (понесколько раз на день) вылетают сообщения от DR Watson про аксесс вайолэшн. 0000005 или что-то типа того. сервис не слетает. но неприятно. возможно связанно с 1) вопросом
3) Consolidation Engine после перезагрузки сервера теряет линк на манажемент сервер с ошибкой Engine current status: Trying to reconnect
The Engine is disconnected from the Management Server.

Лечится токо переустановкой репортинг модуля и импортом старых баз.

Если ктонть сталкивался с подобными проблемами и имеет какиенть соображения по поводу, откликнитесь.

Добавлено
Кстати, синий экран я обходил загрузкой 2K в сэйвмоде и остановкой сервисов.

Да, я тоже раньше 4.1 только в SAFE MODE (ан)инсталировал, правда не из-за синего экрана, а из-за некоректной работы программ отвечающих за установку.

Я установил Сheck Point FireWall-1 4.1 на win2k sp3. Но не "всё подряд", а выборочно вручную:
Сheck Point managment client 4.1 SP4,
Check Point VPN-1/FireWall 4.1 SP2, SP4
Flood Gate
GUI
Visual Police Editor

Мне от этого FireWall нужно только редактировать правила, а всё остальное я собирался отключить. Так вот при запуске редактора политики я ввожу логин и пароль администратора и хост. А он выдаёт сообщение, что не может подключиться к серверу. Может быть это из-за того что нет лицензии на его использование? Или без лицензии всётаки можно хотя бы увидеть редактор политики и эта ошибка возникает вследствии неправильно мной указанных настройках?

AntonRNB
Если у тебя не лицензионная версия и ты не крякал CP, то подключиться к нему ты не сможешь!!!!! Вот так....! Поэтому ставь SP4 и пользуй лекарство от DAMN...
А вообще, все вопросы по поводу взлома этой проги и поиска доп софта к CP сюда:
http://forum.ru-board.com/topic.cgi?forum=35&topic=0330&start=240#19

kroka
А что такое RTFM destionation static NAT?

Где посмотреть?

svserg
У Чекпоинта в доках, там все предельно ясно, плюс можешь покапаться тут:
http://www.phoneboy.com/
http://www.fixmyfirewall.com/

Всем привет... !
Есть одна проблема..., ставлю CP 4.1 на SPARC Solaris 8. Сама инсталяция проходит отлично. Чука подхватывает лицензию.. Вобщем все ОК... Проблема возникает при попытке сконфигурить чуку... Т.е. запускаю . /opt/CPfw1-41/bin/cpconfig, принимаю условия лицензионнго соглашения, выбираю конфигурацию.. VPN-1 & FireWall-1 Stand Alone Installation -> VPN-1 & FireWall-1 - Unlimited hosts и получаю сообщение об ошибке:
**************** VPN-1 & FireWall-1 kernel module installation ****************

mv: cannot access /etc/fw.boot/S25fw1boot
mv: cannot access /etc/fw.boot/S00fw1bootd
installing VPN-1 & FireWall-1 kernel module... Driver (fw) is already installed.
FAILING TO INSTALL FireWall-1 kernel module (maybe already installed)

Installation Aborted

Пробовал и перегрузить систему через boot -r осле чего получил кучу сообщений об ошибке установки дрйвера FW!!!!
Может кто знает, как побороть эту проблему...? Заранее спасибо...

Я вроде эту проблему решил.... Теперь еще возникла одна... Как запустить FW!!!!! Просто ума не приложу!!! Может кто подскажет...?

Уважаемый All
Не сталкивался ли кто с проблемой CP FW-1 4.1 SP4 на Win2k serv - периодически в system event log появляются тонны ошибок ndis_cannot_allocate - Ndis cannot allocate packet, после чего fw дохнет до перезагрузки машины. Если кто-нибудь знает пути исправления этого явления, подскажите, please

EET
это с сайта Checkpoint
Solution ID: skI4710
Symptoms

Error message in Event Viewer: "FW1: ndis_allocate_packet: Cannot allocate new packets"
FireWall Module stops forwarding traffic after several hours
fwstop/fwstart doesn't solve the problem


Cause

The MIMEsweeper software is configured by default to permit unlimited concurrent connections


Solution

Configure the MIMEsweeper software to limit concurrent connections, to accommodate the performance limits of the VPN-1/FireWall-1 machine.

jokerv
К сожалению, у меня нету ПО MIMEsweeper. По предварительным прикидам, эту ошибку устраивает Floodgate-1 при значительных нагрузках (более 100 юзеров одновременно бегут за погодой и т.д.). Кстати, в связи с этим еще один вопрос: кто знает какое-нибудь средство кэширования ресурсов, хорошо совместимое с CPFW?
И второй вопрос без всякой связи: пытаюсь упихнуть DNS за файрвол (ну фактически в DMZ), открываю в правилах
1.DNSSERV->Any->Any
2.Any->DNSSERV->dns_udp,dns_tcp
после чего DNS перестает работать. Видимо, нужно открыть еще какие-то порты снаружи на мой сервер, но какие?

EET
Solution ID: skI4788
Symptoms

Flood of error messages in the Event Viewer
Error:"FW1: FW-1: one_cookie_put_data: failed"
Error:"FW1: -->duplicate failed one_packet_duplicate_if_needed(ffbd70ec): -->"
Error:"FW1: ndis_allocate_packet: Cannot allocate new packets"
Error:"FW1: FW-1: lost 13905 debug messages"


Solution

Increase the following parameters by a factor of 1.5:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\FW1\Parameters\PacketPoolSize
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\FW1\Parameters\BufferPoolSize

or
Solution ID: 10043.0.6997190.2645730
Symptoms

FloodGate-1 doesn't forward packets
Error: "FW1: ndis_allocate_packet: Cannot allocate new packets"
Error messages while FloodGate-1 machine is under heavy load


Cause
The user is running out of packets in the pre-allocated fw packet pool because of a bottleneck condition


Solution
Increase the packet pool using the FireWall-1 registry parameter PacketPoolSize (default is 1024). If you increase this you should also increase the BufferPoolSize (double the size of PacketPoolSize):

For example:

In the Windows registry:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/FW1/Parameters
Add the following :
PacketPoolSize - type DWORD Value 2048, Decimal
BufferPoolSize - double what you configure for PacketPoolSize

jokerv
Огромное спасибо. Буду чаще рыться на Checkpoint-овском сайте.
All
Кто устанавливал DNS внутри firewall, "спасите, помогите!". Сервер win2000, соответственно DNS тоже MS-овский. Краем глаза слышал, что нужно настроить его на использование non-privileged ports (>1023), как это сделать в ms windows 2000? Nat у меня не используется, DNS прописан в InterNIC, т.е. используется и клиентами сети и внешними серверами.

ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ЛЮДИ PLS!!! Помогите найти CheckPoint Firewall-1. Дайте ссыылочку где скачать. Я просто уже замучался искать его. ПОМОГИТЕ!!! Заранее очень-приочень благодарен.

Цитата:

jokerv
Огромное спасибо. Буду чаще рыться на Checkpoint-овском сайте.
All
Кто устанавливал DNS внутри firewall, "спасите, помогите!". Сервер win2000, соответственно DNS тоже MS-овский. Краем глаза слышал, что нужно настроить его на использование non-privileged ports (>1023), как это сделать в ms windows 2000? Nat у меня не используется, DNS прописан в InterNIC, т.е. используется и клиентами сети и внешними серверами.

тебе нужен split DNS a не non-privileged ports (>1023), правда MS это не умеет ;-(

mrxman
http://forum.ru-board.com/topic.cgi?forum=35&topic=0330&start=320#7

PolarBear

Цитата:

тебе нужен split DNS a не non-privileged ports (>1023), правда MS это не умеет ;-(

ну зачем же так категорично ? Все он умеет: Split-Brain DNS Server Configuration for ISPs

Цитата:

тебе нужен split DNS a не non-privileged ports (>1023), правда MS это не умеет ;-(

ну зачем же так категорично ? Все он умеет: Split-Brain DNS Server Configuration for ISPs

1. Split отличается таки от Split-Brain
2. Утверждение что один сервер M$ ДНС находящийся на FW не умеет делать split подтверждено статьёй
3. Вполне вероятно, что используемый ЕЕТ термин "внутри firewall" может означать в сети защищаемой FW, тогда ему сможет помочь MS, но не в каком другом

PolarBear

Цитата:

1. Split отличается таки от Split-Brain
2. Утверждение что один сервер M$ ДНС находящийся на FW не умеет делать split подтверждено статьёй
3. Вполне вероятно, что используемый ЕЕТ термин "внутри firewall" может означать в сети защищаемой FW, тогда ему сможет помочь MS, но не в каком другом

никто и не оспаривает первые 2-а пункта.

Написано же "внутри firewall", а не "на сервере с firewall", т.е. внутренний DNS находящийся в DMZ (т.е. прикрытый со всех сторон) и split-brain, в данном случае, ИМХО самое мудрое решение.

Bemep
внутри firewall - нет такого термина
это -что-то вроде буду сказать на бумажке

да и udp траффик в DMZ еще то удовольствие

PolarBear. Я эту фразу понял именно так как написал, что же касается "нет такого термина", то

Цитата:

2. Утверждение что один сервер M$ ДНС находящийся на FW не умеет делать split подтверждено статьёй

звучит еще более нелепо (какой статьей ? УК РФ ?), тем не менее, тебя поняли. Так что не придирайся к словам.

Короче, флуууд пошел...

Вопрос
в одной очень "умной" организации решили поставить FW после того как сеть (150 удаленных отделений подключены к главному офису) работает много лет и мало кто знает как именно. Подключив комп я получил пробный 90 меговый лог за 10 часов от всего лишь от 5 (!) отделений. Этот лог включает ~500 000 строчек. После недельной работы по ручному анализу осталось 500 из которых можно сделать rule base.
и так вопрос
может кто либо знает програму для авт. построения топологии сети/rule base на основании лога FW?

Bemep
PolarBear
Огромное спасибо и респект за участие . Мой DNS установлен именно в DMZ (в сетке, к к-рой подключен на третий сетевой интерфейс сервера с FW-1, но не на той же машине). Проблема решилась открытием UDP трафика портов >1023 с any на DNSServ. Согласен, что это не лучшее решение, но по другому я не смог. Еще раз спасибо за советы.

Опять появились вопросы к спецам по FW-1. С некоторых пор наш FW-1 стал работать как прокси на 80-м порту (http). Внешне это выглядит таким образом, что все запросы по http происходят от имени внешнего интерфейса fw-1, все скрипты по проверке IP в и-нете это подтверждают. Я НЕ включал NAT, поскольку в сети настроены нормальные IP, полученные от провайдера. Это причиняет некоторые неудобства, т.к. невозможно например попасть на некоторые "склады warezа", использовать внешние прокси на 80-м порту и т.д. Основное неудобство - в мониторе активных соединений ВСЕ http-соединения происходят от имени внешнего интерфейса fw-1, а не от реального source IP. Не можете ли вы посоветовать, как избавиться от этого режима? Буду очень благодарен

jokerv:

по Rulebase топологию умеет строить Visula Policy Editor...

Если сюда кто-нить еще заходит, подскажите плиз, как настроить CVP сервак (вроди все элементарно, а трафик не идет).
в логе пишет в поле destination - пустую строку... не могу понять, что я не доделал...
прогу поставил (пробовал панду и касперского), сервер определил, ресурс определил, в правилах прописал, чтоб http шел через ресурс...
нуторм чую, что малость какую-то не доганяю, но вот какую.

хочу еще floodgate попробовать... но тоже пока не совсем внятно...

всем добрый вечер!
почитал темку и возникло пару вопросов...
тут все пишут про сервера, а если поставить этот фаер на машинку в сети? СтОит ли или нет? Замечу, что у меня в сети есть 2 выхода в инет - через общий прокси и по ВПН с присвоением реального IP со всеми вытекающими... Да и юных хакеров в сетке море...
И есть ли русская версия?

Flexner
Руской версии НЕТ и НЕБУДЕТ.... Ставить на внутреннюю машину смысла нет... Это как поставить Cicso PIX во внутреннюю сеть.. Работать будет, а толку нет....

ставить во внутреннююю сеть можно и нужно: например так делают ставя FW против
datawarehouse или вообще между отделами.