У меня возникла вот такая проблема, не устанавливается Checkpoint 1.4(2000) SP2 под Windows 2000 Advanced Server SP3,появляется сообщение Checkpoint 2000 can not be installed on Winsows 2000. !!!!
Что делать?
Что делать?
» Настройка CheckPoint
Megauser
поддержка Windows 2000 server появилась только в 3-м сервис паке fw-1 4.1. А еще лучше сразу ставить 4-й, его можно найти по ссылкам тут
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=0330
Добавлено
Сорри, я кажется понял в чем проблема - ты ставь nt4 server, на него fw-1 sp2, потом sp4 для fw-1, а потом upgrade сервер до 2000
поддержка Windows 2000 server появилась только в 3-м сервис паке fw-1 4.1. А еще лучше сразу ставить 4-й, его можно найти по ссылкам тут
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=0330
Добавлено
Сорри, я кажется понял в чем проблема - ты ставь nt4 server, на него fw-1 sp2, потом sp4 для fw-1, а потом upgrade сервер до 2000
Megauser, EET не совсем прав. FW-1 поддерживает w2k начиная с sp2. Это был несовсем sp, а релиз включающий в себя обновленные файлы. Его достаточно для самомтоятельной установки.
Нашел один FAQ,тав вот что написано
FAQ0211: Trying to install the FireWall-1 management client v4.1 on NT2K generates some errors.
As in the download of FireWall-1/VPN-1 the management client (GUI) is not included, you need to install it from the "legacy" CDROM provided by Check Point. If you try to achieve this by the CDROM wrapper (see also FAQ0137) you will face an error saying this NT version is not supported yet.
The work around is by starting the setup for the management interface directly from the CDROM. Say therefore "<cd-drive>:\windows\CPMgmtClnt-41\setup.exe" and follow the installation screen.
Мне так удалось установить Checkpoint 2000 под win2k ,но он так каряво работает столько ошибок в Event Viewer'e , просто ужас.
Добавлено
Я думаю, что нет смысла устанавливать Checkpoint 2000 под Win2k .
FAQ0211: Trying to install the FireWall-1 management client v4.1 on NT2K generates some errors.
As in the download of FireWall-1/VPN-1 the management client (GUI) is not included, you need to install it from the "legacy" CDROM provided by Check Point. If you try to achieve this by the CDROM wrapper (see also FAQ0137) you will face an error saying this NT version is not supported yet.
The work around is by starting the setup for the management interface directly from the CDROM. Say therefore "<cd-drive>:\windows\CPMgmtClnt-41\setup.exe" and follow the installation screen.
Мне так удалось установить Checkpoint 2000 под win2k ,но он так каряво работает столько ошибок в Event Viewer'e , просто ужас.
Добавлено
Я думаю, что нет смысла устанавливать Checkpoint 2000 под Win2k .
Megauser, СР 2000 под w2k работает нормально начиная с sp2. Если ты про ошибки вида:
FW1: Informatory: the current VPN-1 & FireWall-1 lice-->
FW1: -->nce allow only xxx internal hosts.
FW1: If this is different from licence you intend-->
FW1: -->ed to purchace, enshure that you have the corr-->
FW1: -->ect licence.
и т.д (всего около 10 эвентов в Систем-логе). То это такой нестандартный ход СР продать анлимитед лицензии
FW1: Informatory: the current VPN-1 & FireWall-1 lice-->
FW1: -->nce allow only xxx internal hosts.
FW1: If this is different from licence you intend-->
FW1: -->ed to purchace, enshure that you have the corr-->
FW1: -->ect licence.
и т.д (всего около 10 эвентов в Систем-логе). То это такой нестандартный ход СР продать анлимитед лицензии
Просто у чувака ограниченный license.
после манипуляций одной конторы над нашим checkpoit началась бяка с докачкой по ФТП-протоколу: не работает REST
при загрузке после прохождения аутентификации вылазит
502 Security server inhibited REST command
как побороть? где копать?
при загрузке после прохождения аутентификации вылазит
502 Security server inhibited REST command
как побороть? где копать?
Pan Lexx, перефразируя вопрос, получаем "Сколько стоит батон колбасы ?"
Каков вопрос, таков и ответ: Копай где нибудь в настройках.
Каков вопрос, таков и ответ: Копай где нибудь в настройках.
Pan Lexx
Небось FP3 стоит?или FP2+smart defence?
Если да, то плавно идем в smartdefence options -> ftp -> ftp security server -> allowed ftp commands и медленно изучаем Blocked commands.
Небось FP3 стоит?или FP2+smart defence?
Если да, то плавно идем в smartdefence options -> ftp -> ftp security server -> allowed ftp commands и медленно изучаем Blocked commands.
Megauser
Я позавчера устанавливал CheckPoint 4.1 безо всяких сервис паков на Win2000, он установился без слов, потом не перезагружаясь поставил сверху sp4 и все стало работать.
to All
Кто работает с крэкнутой версией fw-1 4.1 sp4, подскажите, Reporting Module у кого-нибудь работает? В features есть строчка CPFW-RM-U-41, которая должна по идее означать лицензию на использование reporting tools, но при запуске клиента появляется ошибка "no valid license". Если ни у кого не работает, подскажите пожалуйста, чем можно воспользоваться для обработки логови вывода статистики по трафику, времени и т.д.?
Я позавчера устанавливал CheckPoint 4.1 безо всяких сервис паков на Win2000, он установился без слов, потом не перезагружаясь поставил сверху sp4 и все стало работать.
to All
Кто работает с крэкнутой версией fw-1 4.1 sp4, подскажите, Reporting Module у кого-нибудь работает? В features есть строчка CPFW-RM-U-41, которая должна по идее означать лицензию на использование reporting tools, но при запуске клиента появляется ошибка "no valid license". Если ни у кого не работает, подскажите пожалуйста, чем можно воспользоваться для обработки логови вывода статистики по трафику, времени и т.д.?
Bemep
Кажется, я поторопился с предыдущим высказыванием. Установка SP4 поверх обычного (без sp2) fw-1 4.1 приводит к синему экрану с ошибкой в NDIS.SYS (при запуске fw kernel), при перезагрузке - ошибка загрузки fw.sys. Нет ли каких-то лекарств кроме sp2 от этого?
Кажется, я поторопился с предыдущим высказыванием. Установка SP4 поверх обычного (без sp2) fw-1 4.1 приводит к синему экрану с ошибкой в NDIS.SYS (при запуске fw kernel), при перезагрузке - ошибка загрузки fw.sys. Нет ли каких-то лекарств кроме sp2 от этого?
EET, нет, я вообще удивляюсь как ты умудрился 4.1 без 2 сервис пака поставить на w2k. Он же в самом начале установки начинает орать, что на эту операционку он ставиться не будет.
Bemep
Возможно, это был 4.1 с sp2, но при установке нигде слова sp2 не было. Было написано installing Firewall-1/VPN-1 [vpn+des] в одном варианте, и то же самое но [strong] в другом. В обоих случаях ставил на windows 2000 advanced server sp3 на Pentium-IV. После установки получал набор Error в Event Log, в том числе FW0 и FW1 failed to start, что-то про невозможность подцепиться к Ndis_WANIp. В результате служба FW-1 не стартовала. После перезагрузки при установке sp4 вылетают два окна с ошибком fw_kern.exe -v -u CP_FW1 и CP_FW1MP, распаковываются фалы и при установке Firewall Kernel все падает в синий экран с fatal error в NDIS.SYS. Псоле рестарта - тоже синий экран, на этот раз фатал еррор fw.sys. Пытался убрать одну сетевую карту, оставить две (мне нужно вообще на три интерфейса), запускать и останавливать RRAS, прочие телодвижения - все напрасно. Может быть, есть какая-то тонкость в установке на fw-1 4.1 на Windows 2000? Подскажите, пожалуйста.
Возможно, это был 4.1 с sp2, но при установке нигде слова sp2 не было. Было написано installing Firewall-1/VPN-1 [vpn+des] в одном варианте, и то же самое но [strong] в другом. В обоих случаях ставил на windows 2000 advanced server sp3 на Pentium-IV. После установки получал набор Error в Event Log, в том числе FW0 и FW1 failed to start, что-то про невозможность подцепиться к Ndis_WANIp. В результате служба FW-1 не стартовала. После перезагрузки при установке sp4 вылетают два окна с ошибком fw_kern.exe -v -u CP_FW1 и CP_FW1MP, распаковываются фалы и при установке Firewall Kernel все падает в синий экран с fatal error в NDIS.SYS. Псоле рестарта - тоже синий экран, на этот раз фатал еррор fw.sys. Пытался убрать одну сетевую карту, оставить две (мне нужно вообще на три интерфейса), запускать и останавливать RRAS, прочие телодвижения - все напрасно. Может быть, есть какая-то тонкость в установке на fw-1 4.1 на Windows 2000? Подскажите, пожалуйста.
при установке сложностей не должно быть, там все просто и без затей. Последовательность установки примерно такая. Устанавливаешь и настраиваешь w2k. Сеть. Накатываешь 3 сервис пак. Настраиваешь и проверяешь роутинг. Устанавливаешь СР. В твоем варианте (пиратка), видимо, надо выбирать установку всех модулей на одну машину (stand alone installation)... (не помню надо ли перегружаться в этом месте)... Накатываешь 4 сервис пак... (возможно нужна перезагрузка, если да, то сервис пак скажет об этом)... Регистришь лицензии. Настраиваешь файрволл. Запускаешь полиси едитор и настраиваешь политику безопастности. Подключаешь файрволл к сети. Останавливаешь сервисы файрволла. Прописываешь ARP'ы и (если надо) привязываешь айпишники к наружному интерфейсу. Стартуешь СР сервисы... Идешь отдыхать и вспоминаешь о СР только для того, что бы почитать логи или поправить политику безопастности... хотя последние 2 действия можно делать и удаленно. 
Bemep
В моем случае что-то кривое: либо железо, либо софт, либо руки. Потому что проблемы при установке есть, хорошо что хоть не только у меня. Вчера нашел в архивах это [ http://citadelle.intrinsec.com/mailing/current/HTML/ml_firewall-1/17602.html ]. Там речь идет о sp6, но все симптомы сходятся то точки. Есть похожие вопросы на других форумах, ясного ответа на них нигде нету. Буду биться дальше. Попутно хотел спросить - что значить "прописываешь ARP-ы", посредством чего и зачем? antispoof?
Спасибо за поддержку.
В моем случае что-то кривое: либо железо, либо софт, либо руки. Потому что проблемы при установке есть, хорошо что хоть не только у меня. Вчера нашел в архивах это [ http://citadelle.intrinsec.com/mailing/current/HTML/ml_firewall-1/17602.html ]. Там речь идет о sp6, но все симптомы сходятся то точки. Есть похожие вопросы на других форумах, ясного ответа на них нигде нету. Буду биться дальше. Попутно хотел спросить - что значить "прописываешь ARP-ы", посредством чего и зачем? antispoof?
Спасибо за поддержку.
EET, ARPы прописываются для того, чтобы файрволл знал, что делать с IP которые используются внутренними машинами для доступа к ним из инета, но не имеют реальных (внешних) интерфейсов. В 4.1 это прописывается в файл local.arp.
Bemep
Я правильно понял. это нужно для NAT? Я лишен удовольствия использовать address translation, у нас вся сеть потенциально "доступна" и имеет зарегистрированные адреса. Если я тебя еще не сильно достал, подскажи пожалуйста, по какой причине при рестарте сервера (собственно PC) fw-1 стартует с ошибкой "Fetching Security Policy from localhost failed" и "VPN-1 Acceleration Card not found" (ее действительно нет, но как указать что не нужно искать никакой акселератор?). При этом, рестарт службы (fwstop/fwstart) проходит вполне нормально, Fetchin Sec Pol. from localhost succeded". И еще, fw0 выдает ошибку "Failed to Copy NdisWanIp to FW_NdisWanIp", в Routing&RAS наглухо запрещены все dial-on-demand, входящие и исходящие, модемов нет, откуда берется NdisWan?
Конфигурация Win 2000 Server SP3 + FW-1/VPN 4.1 SP4 [vpn+des] c FloodGate-1 4.1 sp4 (имхо стандартный пиратский набор). Поставился он, кстати, с большим трудом, через 2 синих экрана и один откат на Last Known Good Conf.
Я правильно понял. это нужно для NAT? Я лишен удовольствия использовать address translation, у нас вся сеть потенциально "доступна" и имеет зарегистрированные адреса. Если я тебя еще не сильно достал, подскажи пожалуйста, по какой причине при рестарте сервера (собственно PC) fw-1 стартует с ошибкой "Fetching Security Policy from localhost failed" и "VPN-1 Acceleration Card not found" (ее действительно нет, но как указать что не нужно искать никакой акселератор?). При этом, рестарт службы (fwstop/fwstart) проходит вполне нормально, Fetchin Sec Pol. from localhost succeded". И еще, fw0 выдает ошибку "Failed to Copy NdisWanIp to FW_NdisWanIp", в Routing&RAS наглухо запрещены все dial-on-demand, входящие и исходящие, модемов нет, откуда берется NdisWan?
Конфигурация Win 2000 Server SP3 + FW-1/VPN 4.1 SP4 [vpn+des] c FloodGate-1 4.1 sp4 (имхо стандартный пиратский набор). Поставился он, кстати, с большим трудом, через 2 синих экрана и один откат на Last Known Good Conf.
EET, вообще, все это смотреть и руками щупать надо. Но так на вскидку я бы сказал, что у тебя неправильно настроен роутинг. На w2k не надо настраивать роутинг через RRAS. Достаточно ключу реестра HKLM\System\CurrentControlSet\Services\Tcpip\Parameters IpEnableRouter присвоить значение 1 (в твоем случае, ессно, снести все настройки RRAS'a и рестартовать FW).
ARP надо прописывать как раз в твоем случае (у тебя же машины не торчат наружу интерфейсами, а сидят за файрволлом), для того, чтобы FW знал, что он должен реагировать на обращение не только к своему IP-адресу, но и к другим (скрытым за ним) адресам транслируя их в "серые" и отправляя машине-получателю, за которой и закреплен этот адрес... или я не правильно понял и у тебя машины в локалке имеют ликвидные адреса ? Если это так, то ИМХО - бред.
По поводу ошибок.
VPN-1 Acceleration Card not found - стандартная "ошибка", появляющаяся в системе при отсутствии этой самой VPN-1 Acceleration Card. На самом деле не ошибка, а ненавязчивый намек на то, что неплохо бы потратить немножко денюжек и купить ее. В общем, забей на нее.
Fetching Security Policy from localhost failed. Появляется из за того, что у тебя не установлена политика безопастности "по умолчанию". Это та политика которая грузится на FW в случае останова FW или до старта всех служб последнего. Ошибка появляется только если в CP FW Configuration стоит галка на "блокировать роутинг при выключении FW" (как то так это называется, сейчас под рукой нет 4.1, поэтому точнее посмотреть не могу). Лечится, по моему, созданием политики с именем "Standart" или "Default", точно не помню, если есть сильный интерес, могу полистать руководство по 4.1. В принципе, можно сильно с этим не заморачиваться, т.к. перегружать машину с FW или останавливать сам FW тебе придется нечасто.
Failed to Copy NdisWanIp to FW_NdisWanIp. Честно говоря не встречал, но думаю, что это связано с неправильной настройкой роутинга (см. выше).
ARP надо прописывать как раз в твоем случае (у тебя же машины не торчат наружу интерфейсами, а сидят за файрволлом), для того, чтобы FW знал, что он должен реагировать на обращение не только к своему IP-адресу, но и к другим (скрытым за ним) адресам транслируя их в "серые" и отправляя машине-получателю, за которой и закреплен этот адрес... или я не правильно понял и у тебя машины в локалке имеют ликвидные адреса ? Если это так, то ИМХО - бред.
По поводу ошибок.
VPN-1 Acceleration Card not found - стандартная "ошибка", появляющаяся в системе при отсутствии этой самой VPN-1 Acceleration Card. На самом деле не ошибка, а ненавязчивый намек на то, что неплохо бы потратить немножко денюжек и купить ее. В общем, забей на нее.
Fetching Security Policy from localhost failed. Появляется из за того, что у тебя не установлена политика безопастности "по умолчанию". Это та политика которая грузится на FW в случае останова FW или до старта всех служб последнего. Ошибка появляется только если в CP FW Configuration стоит галка на "блокировать роутинг при выключении FW" (как то так это называется, сейчас под рукой нет 4.1, поэтому точнее посмотреть не могу). Лечится, по моему, созданием политики с именем "Standart" или "Default", точно не помню, если есть сильный интерес, могу полистать руководство по 4.1. В принципе, можно сильно с этим не заморачиваться, т.к. перегружать машину с FW или останавливать сам FW тебе придется нечасто.
Failed to Copy NdisWanIp to FW_NdisWanIp. Честно говоря не встречал, но думаю, что это связано с неправильной настройкой роутинга (см. выше).
Bemep
Спасибо за подсказки. Я нашел руководства и нынче же начну читать сам. ARP мне прописывать кажется не надо, у меня "серых" адресов нет, все "белые" (если я правильно понял лексику, - серые это 192.168.х.х, а белые (ликвидные) - например 212.160.х.х.)
Default policy сегодня написал, загрузил, (и standart.w и default.w) все равно при рестарте
ошибка вылазит, и хрен с ней, т.к. по-моему на последующую работу не влияет.
Проблемы с NDIS_Wan тоже побоку, т.к. у нас модемов и прочих wan-ов на брандмауэре нету.
Самая главная проблема: отказывается авторизовать пользователей через OS password из Active Directory. Я специально ввел сервер в домен, хотя и не советовали, но он по прежнему не читает пароли из AD. Возможно, будет работать с локальным SAM но мне такое не подходит. Ты не подскажешь, как подружить fw-1 4.1 sp4 с Windows 2000 Active Directory? Спасибо за помощь.
Спасибо за подсказки. Я нашел руководства и нынче же начну читать сам. ARP мне прописывать кажется не надо, у меня "серых" адресов нет, все "белые" (если я правильно понял лексику, - серые это 192.168.х.х, а белые (ликвидные) - например 212.160.х.х.)
Default policy сегодня написал, загрузил, (и standart.w и default.w) все равно при рестарте
ошибка вылазит, и хрен с ней, т.к. по-моему на последующую работу не влияет.
Проблемы с NDIS_Wan тоже побоку, т.к. у нас модемов и прочих wan-ов на брандмауэре нету.
Самая главная проблема: отказывается авторизовать пользователей через OS password из Active Directory. Я специально ввел сервер в домен, хотя и не советовали, но он по прежнему не читает пароли из AD. Возможно, будет работать с локальным SAM но мне такое не подходит. Ты не подскажешь, как подружить fw-1 4.1 sp4 с Windows 2000 Active Directory? Спасибо за помощь.
Цитата:
Самая главная проблема: отказывается авторизовать пользователей через OS password из Active Directory. Я специально ввел сервер в домен, хотя и не советовали, но он по прежнему не читает пароли из AD. Возможно, будет работать с локальным SAM но мне такое не подходит. Ты не подскажешь, как подружить fw-1 4.1 sp4 с Windows 2000 Active Directory?
Сразу говорю - подобной фигней не страдал, поэтому пишу то, что сразу на ум пришло. Для начала посмотри разрешено ли авторизовывать пользователей по OS Password. Делается это в свойствах файрвольной машины (объекта в policy editor'e), закладка Authentication, там галку надо поставить напротив OS Passwords.
Теперь по поводу этого:
Цитата:
ARP мне прописывать кажется не надо, у меня "серых" адресов нет, все "белые" (если я правильно понял лексику, - серые это 192.168.х.х, а белые (ликвидные) - например 212.160.х.х.)
по поводу адресов то ты понял правильно, только вот я не понял - у тебя что юзвери не через файрволл в инет бегают ?
Все-таки буду пробовать поставить сабж без "синих экранов", т.к. по-моему в процессе откатов и переустановок слетают какие-то незаметные настройки и дальше сервер идет "вразнос". Может ли кто-нибудь из присутствующих поделиться личным опытом установки CP Firewall-1 4.1 sp2 + sp4 на Windows 2000 server? Спасибо.
Bemep
Опять пришел тебя тревожить, о Гуру. =)
С авторизацией я немножко поразбирался, и вышло следующее - срабатывает только первое в списке правило ClientAuth, и через него авторизуются и доменные, и локальные, и s\key ные пользователи. А все остальные правила дают три попытки (при авторизации Part Automatic открытие наугад любой станицы по http), а затем пишут Authentication method - unknown. Если использовать fw1client еще от версии 4.0 - все авторизуется без вопросов, но приучать пользователей к новой утилитке для выхода в Интернет - дело муторное и сложное, поэтому ищу решение "как по старому" - открыл браузер, зашел на страничку, авторизовался и пошел дальше. Перемещение ЛЮБОГО из 3-х различных rules с ClientAuth приводит к тому, что действовать начинает именно верхнее (первое по счету среди авторизаций). Сразу оговорюсь - мне нужны все три, т.к. там совершенно разные сервисы и время доступа. Не подскажешь ли, почему всегда срабатывает верхний Rule и никогда - все остальные? На старом сервере (NT4) работали все правила, принципиальное отличие в конфигурации - появился третий интерфейс для DMZ. Очень надеюсь на помощь.
Добавлено
кстати, я таки установил cp-fw 1 4.1 без всяких сисних экранов. Таким вот немножко варварским методом: убрал все сетевые интерфейсы, кроме одного (будущего "внешнего"), поставил win2k server+sp3, поставил cp fw-1 4.1 sp2 и не перезагружаясь сверху fw-1 SP3. Перезагрузка, сверху SP4 и далее по сценарию - floodgate-1, fg-1 sp4, gui, ivanopulo patch_keygen и все начало работать. Сетевые карты воткнул в уже полностью пропатченную машину, установил галочки "CheckPoint firewall-1 Miniport" в параметрах сетевых интерфейсов, и все стало работать. Если у кого-то возникнут проблемы с "синим экраном" во время установки cp fw-1 4.1 на win2000 server, попробуйте "раздеть" машину от лишних сетевых карт.
Опять пришел тебя тревожить, о Гуру. =)
С авторизацией я немножко поразбирался, и вышло следующее - срабатывает только первое в списке правило ClientAuth, и через него авторизуются и доменные, и локальные, и s\key ные пользователи. А все остальные правила дают три попытки (при авторизации Part Automatic открытие наугад любой станицы по http), а затем пишут Authentication method - unknown. Если использовать fw1client еще от версии 4.0 - все авторизуется без вопросов, но приучать пользователей к новой утилитке для выхода в Интернет - дело муторное и сложное, поэтому ищу решение "как по старому" - открыл браузер, зашел на страничку, авторизовался и пошел дальше. Перемещение ЛЮБОГО из 3-х различных rules с ClientAuth приводит к тому, что действовать начинает именно верхнее (первое по счету среди авторизаций). Сразу оговорюсь - мне нужны все три, т.к. там совершенно разные сервисы и время доступа. Не подскажешь ли, почему всегда срабатывает верхний Rule и никогда - все остальные? На старом сервере (NT4) работали все правила, принципиальное отличие в конфигурации - появился третий интерфейс для DMZ. Очень надеюсь на помощь.
Добавлено
кстати, я таки установил cp-fw 1 4.1 без всяких сисних экранов. Таким вот немножко варварским методом: убрал все сетевые интерфейсы, кроме одного (будущего "внешнего"), поставил win2k server+sp3, поставил cp fw-1 4.1 sp2 и не перезагружаясь сверху fw-1 SP3. Перезагрузка, сверху SP4 и далее по сценарию - floodgate-1, fg-1 sp4, gui, ivanopulo patch_keygen и все начало работать. Сетевые карты воткнул в уже полностью пропатченную машину, установил галочки "CheckPoint firewall-1 Miniport" в параметрах сетевых интерфейсов, и все стало работать. Если у кого-то возникнут проблемы с "синим экраном" во время установки cp fw-1 4.1 на win2000 server, попробуйте "раздеть" машину от лишних сетевых карт.
довольно сложно понять, что там у тебя с настройками и правилами... Для начала, что за правила инсталлированы ? (можно в ПМ кинуть, а то ... народ он разный бывает 
) Вот это:
Цитата:
наводит на мысль, что у тебя выставлены счетчики на колличество обрабатываемых в одной сессии ресурсов.
По поводу авторизации с помощью клиента. Можно использовать авторизацию через браузер (по умолчанию: 900 порт) или телнет (по умолчанию: 259 порт). Схема работы выглядит следующим образом:
1. пользователь коннектится к файрволу из браузера или телнетом.
2. в ответ на запрос сервера, вводит логин/пароль
3. выбирает способ работы
4. работает с соответствующими правилами
5. по завершении работы снова коннектится к файрволу
6. в ответ на запрос сервера, вводит логин/пароль
7. выбирает логофф
Логофф, так же, наступает по тайм-ауту или счетчику.
Можно упростить эту схему использую Waiting Mode. В этом случае, схема выглядит так:
1. пользователь коннектится к файрволу из браузера или телнетом.
2. в ответ на запрос сервера, вводит логин/пароль
3. выбирает способ работы
4. работает с соответствующими правилами
Сессия остается открытой до тех пор пока не произошло одно из следующих событий:
1. тайм-аут
2. сработал счетчик
3. пользователь закрыл окно в котором авторизовался.
Недостаток этого способа в том, что в этом случае сервер постоянно пингует клиента, что создает некоторую, неприятную, сетевую активность. Кроме того, из за задержек пакетов сервер может отключить клиента (это особенно сильно чувствуется на дайлапе).
PS: вообще, связка w2k+fw-1 4.1, в плане авторизации, работает несколько криво :-\ Загляни в логи сервера, при авторизации там такое творится
) Вот это: Цитата:
А все остальные правила дают три попытки (при авторизации Part Automatic открытие наугад любой станицы по http), а затем пишут Authentication method - unknown.
наводит на мысль, что у тебя выставлены счетчики на колличество обрабатываемых в одной сессии ресурсов.
По поводу авторизации с помощью клиента. Можно использовать авторизацию через браузер (по умолчанию: 900 порт) или телнет (по умолчанию: 259 порт). Схема работы выглядит следующим образом:
1. пользователь коннектится к файрволу из браузера или телнетом.
2. в ответ на запрос сервера, вводит логин/пароль
3. выбирает способ работы
4. работает с соответствующими правилами
5. по завершении работы снова коннектится к файрволу
6. в ответ на запрос сервера, вводит логин/пароль
7. выбирает логофф
Логофф, так же, наступает по тайм-ауту или счетчику.
Можно упростить эту схему использую Waiting Mode. В этом случае, схема выглядит так:
1. пользователь коннектится к файрволу из браузера или телнетом.
2. в ответ на запрос сервера, вводит логин/пароль
3. выбирает способ работы
4. работает с соответствующими правилами
Сессия остается открытой до тех пор пока не произошло одно из следующих событий:
1. тайм-аут
2. сработал счетчик
3. пользователь закрыл окно в котором авторизовался.
Недостаток этого способа в том, что в этом случае сервер постоянно пингует клиента, что создает некоторую, неприятную, сетевую активность. Кроме того, из за задержек пакетов сервер может отключить клиента (это особенно сильно чувствуется на дайлапе).
PS: вообще, связка w2k+fw-1 4.1, в плане авторизации, работает несколько криво :-\ Загляни в логи сервера, при авторизации там такое творится
Юзаю Win 2003
Поставил Floodgate SP4 - по крайней мере стал запускатся.
Хотел оттестить - вроде даже чтто шэйпилось поначалу, но под конец обратил внимание на тот факт что время от времени реальные скорости раза в 4 отличаются от тех что стоят в правилах. Например:
Правила пустые.
Ставлю ограничение на интерфейс 100 кбайт. Качается 100 кбайт.
Ставлю ограничение 2000 кбайт. Ftp Качается 500 кбайт. Netbios качается 1500 кбайт (не одновременно)
Снимаю ограничение. Все качается 5Мбайт.
Комуто удавалось оседлать этого дикого жеребца?
Добавлено
Пробую NG.
Установил Evalution license.
Сразу захожу в SmartDashboard NG FP3 и применяю правила а он мне говорит
QoS Error No License for FloodGate-1 Managment.
Долбался долбался и один раз както удалось добится того что заработало, но не понял почему - теперь опять не работает.
Кто нибудь сталкивался ?
Добавлено
Оказывается "получилось" при нажатии отмены правил (кнопки рядом - легко промахнутся).
Вообще Evalution лизензия подразумевает использование FloodGate ?
Поставил Floodgate SP4 - по крайней мере стал запускатся.
Хотел оттестить - вроде даже чтто шэйпилось поначалу, но под конец обратил внимание на тот факт что время от времени реальные скорости раза в 4 отличаются от тех что стоят в правилах. Например:
Правила пустые.
Ставлю ограничение на интерфейс 100 кбайт. Качается 100 кбайт.
Ставлю ограничение 2000 кбайт. Ftp Качается 500 кбайт. Netbios качается 1500 кбайт (не одновременно)
Снимаю ограничение. Все качается 5Мбайт.
Комуто удавалось оседлать этого дикого жеребца?
Добавлено
Пробую NG.
Установил Evalution license.
Сразу захожу в SmartDashboard NG FP3 и применяю правила а он мне говорит
QoS Error No License for FloodGate-1 Managment.
Долбался долбался и один раз както удалось добится того что заработало, но не понял почему - теперь опять не работает.
Кто нибудь сталкивался ?
Добавлено
Оказывается "получилось" при нажатии отмены правил (кнопки рядом - легко промахнутся).
Вообще Evalution лизензия подразумевает использование FloodGate ?
А разве на win2003 есть support ?IMHO Нет.
В каком смысле ?
Добавлено
ну действительно - при запуске сервис FW1 ругается, что 'Running on Build 3790 is not supported!' и 'Build 2600 is required!' но при этом все сервисы стартуют, и вроде даже нормально работают.
4.1 SP4 тоже работала и даже проблем с лицензией небыло только там он скорость неточно резал, почемуто, временами.
Добавлено
Еще раз попробовал FloodGate 4.1 SP4
До мегабайта в кекунду система работает еще боле или менее стабильно, но если поставить более высокоей ограничение скорости (например 2 мегабайта) то качет все равно 1000-1500 килобайт.
Очень похоже что системе не хватает производительности, но загрузка процессора низкая и дополнитеное повышение лимита часто дает увеличение скорости. Поставил например 5мегабайт и скорость возросла до двух.
Где узкое место системы ?
Это кривость чек поинта или програмного решения проблемы в целом ?
Наблюдается ли этот же эффект под линуксом ?
Добавлено
ну действительно - при запуске сервис FW1 ругается, что 'Running on Build 3790 is not supported!' и 'Build 2600 is required!' но при этом все сервисы стартуют, и вроде даже нормально работают.
4.1 SP4 тоже работала и даже проблем с лицензией небыло
только там он скорость неточно резал, почемуто, временами. Добавлено
Еще раз попробовал FloodGate 4.1 SP4
До мегабайта в кекунду система работает еще боле или менее стабильно, но если поставить более высокоей ограничение скорости (например 2 мегабайта) то качет все равно 1000-1500 килобайт.
Очень похоже что системе не хватает производительности, но загрузка процессора низкая и дополнитеное повышение лимита часто дает увеличение скорости. Поставил например 5мегабайт и скорость возросла до двух.
Где узкое место системы ?
Это кривость чек поинта или програмного решения проблемы в целом ?
Наблюдается ли этот же эффект под линуксом ?
4.1 с июля умирает.Нет смысла в ней копаться.
Переходи на NG и доки читай.
Переходи на NG и доки читай.
2kroka
Я бы рад, но лишних пары килобаксов к сожалению нету
может проспонсируешь или лицензией поделишся ?
Я бы рад, но лишних пары килобаксов к сожалению нету
может проспонсируешь или лицензией поделишся ?
Народ, есть вопрос. очень простой. Стоит В2к+FW1 SP4
Все работает. НАТ транслирует, но если машине 192,168,1,1 разрешено ходить во внешний мир с НАТ (195.28.44.23) трансляцией (к примеру СМТП трафик) и с внешнего мира по СМТП трафику на 195.28.44.23 (странсляцие сервиса СМПТ на адрес 192,168,1,1) - то получается и разрешено из внешнего мира ходить и на 192,168,1,1
Вот ведь какая засада. У меня не получилось насовсем скрыть 192,168,1,0 сеть
Мож кто че посоветует?
Все работает. НАТ транслирует, но если машине 192,168,1,1 разрешено ходить во внешний мир с НАТ (195.28.44.23) трансляцией (к примеру СМТП трафик) и с внешнего мира по СМТП трафику на 195.28.44.23 (странсляцие сервиса СМПТ на адрес 192,168,1,1) - то получается и разрешено из внешнего мира ходить и на 192,168,1,1
Вот ведь какая засада. У меня не получилось насовсем скрыть 192,168,1,0 сеть
Мож кто че посоветует?
svserg
RTFM destination static NAT
RTFM destination static NAT
Страницы: 1234567891011121314151617
Предыдущая тема: Win2000Pro! Помогите через нее раздать И-нет
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.