» Настройка CheckPoint

Народ!!!! Есть проблема..... Надыбали CheckPoint и.... как его настраивать никто не знает.... В сети нигде описалова конкретного нет.... Может кто помогёт личным опытом... или может кто кинет линку на доки (желательно по русски) по этому зверю!!!
Заранее спасибо....!

не уж-то все так плохо?

Хмм.. если контора серьезная, и софт купили, то почему не вызвать специалиста? Не знаю на каких условиях совершалась покупка, но може в нее входила хотя бы первичная установка и настройка?
Из-за одного, не совсем правилного rule может много чего случится, о чем думать даже не хочется...

Crash Master
Покупка этого зверя производилась через левые источники и поэтому настройка и установка не входила в цену..., а платить за настройку контора не хочет, вот и надо настроить это чудо....

Out
Во-первых объясни сначала что ты конкретно хочешь получить в итоге. Потому это продукт не просто брэндмауэр он может выполнять множество различных задач суть которых сводится к защите ЛВС, аутонтефикации и пр.
Во-вторых укажи хоть какую нибудь информацию о своей системе, как-то: какая версия CP FW-1, какая платформа, какой тип установки используется, какой ключ используется (от типа ключа зависят возможности).
Документация есть, только естественно на английском. Вообще если ты английский не знаешь (хотя бы читать/понимать чего написано), то даже связываться несоветую . Поставь себе что-нибудь попроще - для этого будет достаточно.
В-третьих если ваша компания действительно его купила, то Вам должны были выдать код тех. поддержки для доступа на сайт www.checkpoint.com там есть множество инфы и доков. Если такого кода нет, тогда два варианта: либо вас надул продавец и тогда ни лицензию сгенерить не сможете, ни помощи никакой вы неполучите, либо у вас триальная версия, что тоже хреново т.к. после активации она действует всего 30 дней и все . Словом если есть конкретные вопросы пиши или в ПМ или сюда.

MadBear
зачем нужно вытаскивать тему от ИЮЛЯ 2002 года?
если и были вопросы, то они решены.

Прошу прощения Widok, я уверен, что все вопросы были решены (я не принимал тогда участия в обсуждении) и, надеюсь, это не будет поставлено мне в вину , но этот гражданин - Out - скачал (или пытается скачать) левую версию, а потом удивляется почему у него ничего неработает. в качестве доказательства см. здесь. И потом, тебе не кажется, что надо было сразу отправить человека в поиск фильтром? Однако никто (в том числе и я) об этом не обмолвился. Так что извини, если я неправ.

Цитата:

зачем нужно вытаскивать тему от ИЮЛЯ 2002 года?
если и были вопросы, то они решены.

Widok Если появились вопросы по Checkpoint'у сейчас ,то что нельзя обсуждать их здесь?

Руководство администратора CheckPoint FireWall-1 4.1 на русском языке:
http://www.npp-bit.ru/download/cp/doc_cpfw_4_1.zip

All
Сколько сервис-паков было выпущено для CheckPoint FireWall-1 4.1? Шесть?

AndreyMVT
Да... Бадо ровно шесть Sp под чуку... =)

All
IMHO, так как Сheck Point 4.1 был создан для ОС WinNT 4.0, то не все его возможности корректно работают в Win2k. Например мой опыт показывает, что в CP 4.1 SP4 на Win2k:
1) не работает статический NAT;
2) VPN между двумя фаерволами можно построить только с использованием FWZ-шифрования (при попытке использовать другие алгоритмы шифрования пакеты не расшифровываются).
Хотя также возможно, что вышеописанные проблемы появляются из-за использования крэка.

Ворос:
Перед установкой CP FW-1 под Win2000 надо:
1) В файле hosts следует указать ip адрес внешнего интерфейса, на котором будет МСЭ
2) разрешить IP адресацию
3) Отключить не нужные сервисы
Еще что делать?

проблема с НАТ, она вообще в Чек пойнте работает?

turbo78
И еще как... =)

Out
помоги плиз по настройкам Check point (работает как шлюз) , есть ДМЗ, там находится MailServer, адрес, например 192.32.42.32. Задача такая, когда пингуешь данный IP адрес с локалки, то пинг был не доступен, а когда пингуешь сервак по хост name, он показывал какой нибудь несуществующий внутренний адрес локальной сети, такое реально сделат в Check point?

turbo78
ЗЫ... Я не совсем понимаю твою задачу, но постараюсь что-то объяснить.... =)

1. Не держи Mail в DMZ...
2. В DMZ находится ТОЛЬКО SMTP gate!!!!
3. Твой Mail Server ДОЛЖЕН находится в локалке...
4. Соответственно на Mail серваке ты пропишешь, что в лучае если адрес получателя xxx@you_local_host.gdetotam, то слать не используя SMTP gate, а во всех остальных случаях слать через него.
5. Из локалки пинг запретить легко... Пишешь правило в котором твоей локалке разрешено обращаться к Mail ТОЛЬКО по pop3 и smtp (ну imap если нужно)...
6. С подменой ип это конечно интересно.. Но это скорее на уровне ДНС копать нужно, а не на уровне чуки...

P.S. Никогда подменой ип не занимался на чуке =( И насколько мне известно - это сделать нельзя.... Ты можешь это делать для определенных хостов.. Типа если пинг, тогда отсылать их не на MAil а на какую-нибудь несуществующую машину... Но тут нужно быть вниматьльным, а то он и остальные запросы отправит туда же... =) По идее должно сработать... Просто для такой подмены тебе придется описать каждый хост, а это утомительно (если у тебя их конечно больше 10)...

Out
насчет P.S. хочу узнать
[q][/q]
Ты можешь это делать для определенных хостов.. Типа если пинг, тогда отсылать их не на MAil а на какую-нибудь несуществующую машину... Но тут нужно быть вниматьльным, а то он и остальные запросы отправит туда же... =) По идее должно сработать... Просто для такой подмены тебе придется описать каждый хост, а это утомительно (если у тебя их конечно больше 10)...

У меня хостов всего 3. Могу описать каждый хост, Поподробнее можно пжлста, покажи какой нибудь пример

turbo78
Ну если у тебя 3 хоста.. =) Тогда задача проще... =) Приблизительно сделать нужно так...
1. Прописываешь эти машины в базе чуки и объединяешь в группу.
2. Говоришь, что icmp сервис на Mail SErver с этих хостов запрещен...
3. Потом смотришь, какой сервис используется для пинга по имени.. (скорее всего, что-то отличное от icmp_standart).
4. Создаешь "виртуальную машину" с нужным тебе ипом.
4. Идешь в NAT таблицу и пишешь правило, в котором говоришь что все запросы с группы хостов по такому-то протоколу транслировать на "виртуальную машину"
Вот и все. Идея такая.. Ну а дальше - по месту доводить руками... =)

Out
пасиб, если еще вопросы будут можно обращаться?

turbo78
Спрашивай... Чем смогу.. =)

Out
Подскажи плиз, как настроить майл сервер через чек пойнт,
сервер на Лотусе. Сам сервак стоит внутри локальной сети, за чек пойтом, почту отправляет нормально, но не принимает, для решения этой задачи необходим почтовый шлюз, который будет стоят во внешний сети или есть другой выход?

turbo78
Ставь шлюз в DMZ и настраивай трансляцию (короче пропускай в инет) на Lotus прописывай адресс шлюза. Можешь настроить как прямое соединение сервака со шлюзом, так и транслировать запросы.. Эт уж как тебе нравится... У меня таким образом шлюз собирает почту с 5 серваков. Если не хочешь использовать шлюз, то можешь транслировать запросы прямо из сетки в инет... Такакя схема тоже возможна.

Out
например, локалка 10.5.0.0, почтовый сервак 10.5.5.2, ДМЗ 192.32.42.0, почтовый шлюз 192.32.42.2, чек пойнт 3 адреса (внешний, внутренний, ДМЗ-ный)
Покажи пжлста, примерно какая правила политики должна быть написано и трансляция адресов, если можно в табличном виде, очень важно, помоги

turbo78
Ну внутрений адрес давать чуке не стоило.. =) Лишнее это...

1. Вариант (без использования шлюза)
Содаешь машину в базе с внешним ипом (например mail_ext). Потом в правила трансляции создаешь два правила
LOTUS -> any -> (Mail_Request) | mail_ext -> Original -> Original
Any -> Mail_ext -> (Mail_Request) | Any -> LOTUS -> Original

В базе правил прописывай что
Any -> LOTUS -> (Mail_Request) accept
LOTUS -> Any -> (Mail_Request) accept

2. Вариант 2.
Трансляцию для гейта можешь сделать автоматической (галачка в свойствах объекта =))
Потом в базе пропиши что
LOTUS -> Gate -> (Mail_Request) -> accept
Gate -> LOTUS -> (Mail_Request) -> accept

Out
почему чуку не нужений внутренний адрес? ведь в мануале в примерах есть же

turbo78
Я не знаю в какй книжке, но могу сказать одно, что с точки зрения безопасности НЕЖЕЛАТЕЛЬНО давать чуке доступ в локальную сеть... Если нет необходимости прямого коннекта на него из сети...

Out
Многоуважаемый Out, ваши рецепты не помогают, почта уходит, но не приходит, как думаете проблема в настройках Лотуса или CPoint-a, может еще какие то подводные камни есть в настройках чука?

Out
аууууууууууууууууу

turbo78

Ну смотри логи.. Может какой-то неоходимый сервис банится... =) Тут могут быть ошибки как чуки так и самого шлюза....