» Настройка CheckPoint

Прошу помочь с настройкой FW-1 v.5.4. Необходимо, чтобы пользователи Windows Active Directory авторизовались в FW-1 прозрачно, т.е. без ввода пароля. Авторизация нужна для подсчета объема полученных каждым пользователем данных. Чего-то у меня такая авторизация не получается.

Нигде не нашел, как изменить номер порта внутреннего proxy-сервера. На сайте checkpoint подходящая статья закрыта от общего доступа. Установил fw-1 на secure platform. Помогите, кто может.

Добрый ВСЕМ!
Вот такое у меня пишется в логе практически в цикле

FW1: -->conds
FW1: FW-1: stopping debug messages for the next 56 se-->
FW1: FW-1: cookie_put_data_at: failed to put one cookie
FW1: -->ookie
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->
FW1: -->duplicate failed
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->
FW1: ndis_allocate_packet: Cannot allocate new packets
FW1: FW-1: fw_xlate: cannot restore data in packet
FW1: FW-1: cookie_put_data_at: failed to put one cookie
FW1: -->ookie
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->
FW1: -->duplicate failed
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->
FW1: ndis_allocate_packet: Cannot allocate new packets
FW1: FW-1: fw_xlate: cannot restore data in packet
FW1: FW-1: cookie_put_data_at: failed to put one cookie
FW1: -->ookie
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->
FW1: -->duplicate failed
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->
FW1: ndis_allocate_packet: Cannot allocate new packets
FW1: FW-1: fw_xlate: cannot restore data in packet
FW1: FW-1: cookie_put_data_at: failed to put one cookie
FW1: -->ookie
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->
FW1: -->duplicate failed
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->
FW1: ndis_allocate_packet: Cannot allocate new packets
FW1: FW-1: fw_xlate: cannot restore data in packet
FW1: FW-1: cookie_put_data_at: failed to put one cookie
FW1: -->ookie
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->
FW1: -->duplicate failed
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->
FW1: ndis_allocate_packet: Cannot allocate new packets
FW1: FW-1: fw_xlate: cannot restore data in packet
FW1: FW-1: cookie_put_data_at: failed to put one cookie
FW1: -->ookie
FW1: FW-1: one_cookie_put_data: failed to duplicate c-->
FW1: -->duplicate failed
FW1: FW-1: one_packet_duplicate_if_needed(859120ec): -->
FW1: ndis_allocate_packet: Cannot allocate new packets
FW1: FW-1: lost 1036 debug messages

Система W2k SP4 + все хотфиксы
Checkpoint Firewall 4.1 SP4
Канал 10 МБит
Машинка неслабая стоит 2хXeon 1Gb...

После перезагрузки работает дней 5-7 а потом вот такое начинается
Рестарт cервисов не помогает
Искал в инете и нашель что надо увеличить значения в реестре для буфера трансляции адресов и чото подобного
Увеличил - но результат не особо видимый - может просто пореже стало появляться

Может кто с таким сталкивался
ПОдскажите...

Добрый день
Стоит CheckPoint NG на Win2003
Все замечательно работало. Сейчас офис переехал, и у местного провайдера адреса сети раздаются динамически. Как в таком случае его нужно перенастроть чтобы все опять работало.

Здравствуйте, уважаемые!

Я админ недавно, поэтому полюбопытствую.
Одна фирма возжелала поставить себе сие чудо буржуазной мысли.
Дистру предоставили. Поставил. Сетка тотчас вырубилась. Что, впрочем, и ожидалось - файрволл же ))).
Создал хосты, подсеть, правило задал - Any source, Any destination, Any traffic, Any service - Accept. В общем All to All.
Вопреки ожиданиям - фигу. Ничего и никуда не пускает.
Отключаю компонент Check Point VPN-1 / Firewall-1 в свойствах сетевой карточки - всё работает.
Где копать? Подскажите, плиз!!! С голым задом в Инет сидеть тоже удовольствие сомнительное.
Всем ответившим заранее спасибо!

rabotah
Если в кратце...то читай доки, для начала.
Если по делу, то по пунктам:
1. Проверить логи- по какому правилу режутся пакеты и т.д.
2. Топологию (т.е. настройку антиспуфинга) сделал ?

rabotah
Попробуй еще посмотреть глобальные свойства... Может там что-то напортачил.... А так - смотри логи и думай.... Правило All to All не всегда корректно работает.
И отключи антиспуфинг с сетевых интерфесов....

Решил и я спросить про настройку Checkpoint.
Имеется честно купленный Checkpoint FW1 NGX 60. Установлен на SequrePlatform.
Имеется несколько внутренних сетей. Допустим внешний интерфейс 84.200.200.16
Внутренний 10.1.1.1, и несколько сетей 10.1.2.0, 10.1.3.0 и т.д.

Все сети имеют маску 255.255.255.0, кроме внутреннего интерфейса Chekpoint. Если на внутреннем интерфейсе ставлю маску 255.255.0.0 - все работает нормально, как только 255.255.255.0 - он пересает пинговаться из всех сетех, кроме собственной.

Сети соеденены через маршрутизатор и взаимно ping`уются без проблем, кроме непосредственно адреса CheckPoint. Где рыть? Мне надо, чтобы на CheckPoint стояла маска 255.255.255.0.

Возможно виноват NAT, потому что в свойствах General Property->NAT я поставил Hide all connection from internal to external interface...

Народ, как настроить отображение кириллицы (напрягают комментарии SmartDashboard R55) под winxp ?
При редактировании комментария текст отображается нормально, а общее отображение с крокозябрами.

Сносить лицензионную xp ставить пиратскую лень. На пиратской ОС всё было нормально.

Всем привет
Как обстоит дело у сабжа с авторизацией? Меня интересует возможность доменной авторизации

Имеется в виду идентификация/аутентификация юзеров? Через LDAP отлично работает.

в случае работы на терминальном сервере нескольких пользователей бедет вестись статистика отдельно по доменным пользователям или авторизация происходит периодически с временной привязкой пользователя к адресу, как это реализовано например в керио?
хотя и он тоже типа работает по kerberos авторизации
есть ли у него какой-то Firewall Client?

Можно проводить авторизацию пользователей на уровне Check Point Firewall-1 и использовать для этого AD (через LDAP) - тогда можно говорить о статистике на Check Point на уровне пользователей.
Но в этом случае пользователя придется авторизоваться 2 раза - при подключении на уровне Check Point Firewall-1 и в терминальной сесии.

Клиент есть, но это Check Point SecureClient/SecureRemote - клиентская часть для организации VPN и персональный МСЭ для конечного пользователя с функцией централизованного администрирования и сбора логов на Check Point Firewall-1.

а что представляет из себя подключении на уровне Check Point Firewall-1 и что такое МСЭ?


Добавлено:
меня интересует следующее... возможна ли авторизация по LDAP протоколу подобной авторизации в ISA Server, которая авторизует приложения, не умеющие это делать
при этом нет никакого подключении на уровне ISA Server, просто подгружается ISA Server Firewall Client и берет инициативу в свои руки.... доменный пользователь, авторизовавшись в начале рабочего дня и не догадывается ни о какой авторизации в работе, в случае, если ему разрешен доступ в Internet

enver
короче чекпоинт работает как клиент с базой AD и берет оттуда список пользователей. Вся эта приблуда сделана только для того чтобы не забивать весь список пользователей не чекпоинте заново. Никаких дополнительных опций при работе пользователей с терминалом не будет вообще. Причем пользователям прийдется и на терминале еще раз авторизацию проходить. Т.е. подключение на уровне чекпоинта это всего лишь доступ во внутреннюю сеть, а чтобы работать с ресурсами сети надо еще что-то. Если бы у тебя был CheckPoint user authority , то тогда можно было бы обойтись и одной авторизацией(SSO от чекпоинта), но стоит эта весчь ой как дорого.
Поддерживает чекпоинт LDAP от следующих вендоров: Microsoft, Novell, Netscape
При некоторой прикрутке можно заводить пользователей на чекпоинте а они будут появляться в самой базе.
вроде фсе

где-то можно поподробнее узнать о CheckPoint user authority?
а в варезнике разве не раздается такая весч?

enver
Да ты что . Даже если и умудришся его найти(в чем я очень сильно сомневаюсь).
Лицезии тебе подавно не найти. Насколько я помню существовал генератор ключей для версии 4.1, ну и может в инете валялись ключики на NG, но это такое старье, что тебе от них не защита периметра будет а гемморой. Сейчас актуальны версии NG AI R55, NGX R61.
Доку-то user authority я тебе могу дать, но вот нужна ли она тебе ?

ясно
будем мучаться с ISA Server
спасибо за ответы!

Залил книгу по NGX от Syngress
Configuring Check Point NGX VPN-1 FireWall-1
hxxp://rapidshare.de/files/29486080/Config_CP_NGX.rar.html

+ есть книги и учебные курсы по NG в CHM и PDF (eng)
Куда удобнее все это залить?

Artempv
Заливай на рапиду, а я перезалью на ftp

Syngress (2003) Check Point NG Security Administration
hxxp://rapidshare.de/files/29714621/Syngress_-_CP_NG_Security_Administration.rar

Syngress (2003) Check Point NG VPN-1 FireWall-1 Advanced Configuration
hxxp://rapidshare.de/files/29714988/Syngress_-_CP_NG_Advanced_Configuration.rar

Managing and Deploying Check Point Secure Client
hxxp://rapidshare.de/files/29715227/Deploying_CP_SecureClient.rar

VPN-1/FireWall-1 NG FP3 Management I
hxxp://rapidshare.de/files/29715658/CP_NG_Management_I.rar

VPN-1/FireWall-1 NG FP3 Management II
hxxp://rapidshare.de/files/29716018/CP_NG_Management_II.rar

VPN-1/FireWall-1 NG FP3 Management III
hxxp://rapidshare.de/files/29716109/CP_NG_Management_III.rar

Essential Check Point FireWall-1 NG: An Installation, Configuration, and Troubleshooting Guide
hxxp://rapidshare.de/files/29716229/Addison_Wesley_Essential_CP_FireWall-1_NG.rar

SYBEX - CCSA NG: Check Point Certified Security Administrator Study Guide
hxxp://rapidshare.de/files/30440319/SYBEX_CP_FW_CCSA_NG_Study_Guide.rar

Syngress (2004) Check Point NG/AI: Next Generation with Application Intelligence Security Administration
hxxp://rapidshare.de/files/30440953/Syngress__CP_NGAI_Security_Admin.rar

Managing Check Point SecurePlatform
hxxp://rapidshare.de/files/30679126/Managing_CP_SPLAT.rar

Есть вообще хоть какой то русский ман для сего сабжа ??

Artur2005
Ну вы и обленились батенька!!!

adonskoy
а вот и нет !! искал долго но не х.. не нашлось .......
Наставте меня на путь истинный !!!!

Artur2005
Обленились это не в том смысле что русскую доку не можете найти(ее кстати вообще нет. за 4 года работы с чекпоинтом ни разу не видел. был один какой-то мерзкий учебник, написанный непонятно кем, но версия там была совсем неактуальная). Обленились в том смысле что англицкую ленитесь читать !!!

Artur2005

Есть. Почему же нет?

_http://www.ozon.ru/context/detail/id/1597029

Только это перевод того, что я выложил несколькими постами выше. И это по версии NG FP3.

Но сомневаюсь, что найдешь это в электронном виде.

Так что учим английский

Artempv
Хехе.. Вроде где-то пролетало в электронном виде.. Но я даже не качал... ИМХО бесполезная книжка... Лучшая книга по чуке это
Essential Check Point FireWall-1® NG: An Installation, Configuration, and Troubleshooting Guide
By Dameon D. Welch-Abernathy

to Artur2005
Русская книжка - это действительно перевод Syngress (2003) Check Point NG Security Administration. Я её даже в руках держал в магазине.
У меня лично сложилось ощущение, что половина книги - скриншоты Хотя надо отдать должное - местами интересно. Перевод вполне вменяемый, правда я полистал на скорую руку.
Короче полезной инфы не очень много. Не стал платить 1500 рэ.