» Настройка CheckPoint

Managing and Deploying ClusterXL (2004)
hxxp://rapidshare.de/files/31541605/Managing.and.Deploying.ClusterXL.rar

Advanced Technical Reference Guide NG with Application Intelligence (2003)
hxxp://rapidshare.de/files/31542021/Advanced.Technical.Reference.Guide.NG.AI.rar

Добавлено:
Managing and Deploying Check Point InterSpect (2004)
hxxp://rapidshare.de/files/31544160/Managing.and.Deploying.InterSpect.rar

Вопрос такой... Требуется перенаправлять ВЕСЬ траффик с клиента на конкретный порт удалённого компьютера (на прокси). Можно ли реализовать это в CheckPoint FW? Если можно, то как?
Возможно кто-нибудь подскажет реализацию форвардинга при помощи иного ПО.

Спасибо

Добавлено:
Да, на обоих компьютерах установлена WinXP

11mp
Перенаправление сделать можно. Вот только сдается мне, что это не то, что тебе нужно. Если перенаправить весь исходящий трафик (т.е. обращения к внешним серверам по разным протоколам и портам соответственно) на прокси, то маловероятно, что прокси сумеет это все корректно переварить.

А так перенаправление трафика, проходящего через Check Point Firewall, сделать просто.
Закладка Address Translation
Создай такое правило:
В Original packet:
Source - твой "клиент"
Destination - Any
Service- Any
В Translated packet:
Source - Original (если в качестве отправителя пакетов действительно надо видеть твоего "клиента", но при этом, если у тебя во внутренней сети fake-адреса, то наружу в Инет разумеется не выйдешь с этими адресами; тогда надо указывать тут твой внешний IP)
Destination - тот самый "удаленный компьютер" (Static)
Service - тот самый "порт удаленного компьютера" (Static)

Разумеется, что сами соединения "клиента" с внешним миром и другими сетями за Check Point Firewall должны быть разрешены в правилах (закладка Security).

На счет иного ПО - наверное это не в эту ветку. Не подскажу, к сожалению.

Artempv, большое спасибо. Попробую.

Artempv
Камрад... Имелось ввиду на определенный ПОРТ... Для порта NAT не совсем подходит...
Если нужно перенаправлять непосредственно http, https, ftp, pop3 и smtp трафика на конкретные порты, то для этого нужно использовать закладку ресурсов. Имеено тут настраивается трансляция на конкретный порт ))) Хотя.. Если пофиг что и куда... Тогда можно возъюзать НАТ и не парится (хотя остается вопрос зачем?)

Out

Транслировать порты (PAT) можно через закладку Address Translation.
Check Point сознательно не стал вводить понятие PAT, подразумевая, что это часть Address Translation.

Т.е. Address Translation - это отличное средство перенаправления трафика на другие IP-адреса и порты. И перенаправить можно почти все.

Дргуое дело, что в вышенаписанном посте я допустил ошибочку, тут уважаемый Out прав.

Check Point не сможет протранслировать Any Destination (Original Packet) в Static Host (Translated Packets). И не сможет протранслировать Any Service (Original Packet) в Static Port (Translated Packets).
Будет еррор при проверке политики и ее инсталляции соответственно.

Т.е. перенаправить весь трафик одним правилом не получится. Это верно.

Artempv
Вообще мне видится сложным ответ на вопрос
Цитата:

Требуется перенаправлять ВЕСЬ траффик с клиента на конкретный порт удалённого компьютера (на прокси). Можно ли реализовать это в CheckPoint FW?

в виду его непонятной постановки. Какой трафик на какой порт и т.п.

Уважаемый 11mp, опишите более подробно задачу, которыю вы хотите решить, ибо гадать что вы имеете ввиду как-то глупо.

Прошу прошения.
В первую очередь интересует реализация перенаправления http траффика на прокси. Варианты с указанием адресов в браузере или роутинг через sockscap не интересует.

11mp
Было бы не плохо, что бы ты объяснил, что значит
Цитата:

В первую очередь интересует реализация перенаправления http траффика на прокси

?

Что и откуда нужно перенаправить? Или ты имеешь ввиду выпустить проки который находится во внутреней сети через чуку?

Нужно пустить траф через локальный фильтрующий прокси так, чтобы не прописывать адреса этого прокси(или сокса) в каждой проге.

11mp
Что так что эдак непонятно. Трафик входящий или исходящий? Нарисуй схемку что ли. Что и куда там будет ходить.

Система на примере браузера:
Браузер -> прокси -> интернет.
Только необходимо настроить соответствующее правило для всех приложений, чтобы не указывать адрес прокси в самом браузере.

Transparent proxy ему нужно

Да не нужен мне никакой прокси. Мне надо настроить роутинг на прокс.

не могу загрузить политику фаервола с сервера на машину с установленным FW-1. выдает ошибку:
TCP connectivity failure (port 18191).

при этом на FW-1 запущен процесс cdp.exe, который слушает порт 18191.
SIC между сервером и машиной с FW-1 установился.

Diana_zuz

А ты случайно в Global Properties не снял галочку Accept VPN-1 & Firewall-1 control connections, а потом в политике в явном виде не разрешил эти соединения?

Если так и после этого ты накатил политику на модуль, то он естественно будет дропить обращения по CPD (TCP 18191).

В этом случае надо либо командочками откатить (выгрузить) политику на модуле (локально) или переставить Check Point на модуле.

Artempv,

Accept VPN-1 & Firewall-1 control connections - в Global Properties разрешено.
Более того, правила нормально установились на первый firewall-модуль, а на второй не хотят.

сейчас на моем втором firewall-е установлены первоначальные правила по умолчанию.

Diana_zuz

С дефолтовой политикой все должно работать.

Попробуй сбросить SIC и заново установить его. Если не поможет, то попробуй переставить все-таки все на втором модуле. Корректно снести Check Point и поставить заново.

Может при установке что сбойнуло.

Цитата:

Вопрос такой... Требуется перенаправлять ВЕСЬ траффик с клиента на конкретный порт удалённого компьютера (на прокси). Можно ли реализовать это в CheckPoint FW? Если можно, то как?
Возможно кто-нибудь подскажет реализацию форвардинга при помощи иного ПО.

Services => Other => Http_mapped = > Advanced => SRV_REDIRECT(80,proxy_adr,3128)

Security rule

source (local_net)
destination (any)
service (Http_mapped)
Action (Accept)

Доброго времени суток

При установке NGX-R62 возникло несколько вопросов.

Какие параметры и настройки интерфейса необходимо указывать?

Что указывать в имени машины? Eсли указать свое, то пишет, что не может найти подтверждение в сертификате Если отказаться, то при запуске конфигуратора и попытке изменить имя машины выдает следущее:
Failed to send the Internal CA name to the Internal CA.
Try later

При подключении через SmartDashboard (выбирал 3 сертификат для xxx.xxx.xxx.34)
Connection cannot be initiated.
Please make sure that the Server 'xxx.xxx.xxx.34' is up and running and that you are defined as a GUI Client.

На машине установлен VMWarе, интернет через VPN. Конфигурация интерфейса для сертификата xxx.xxx.xxx.34/24 больше ничего не указывал, ни гейта ни dns.

Спасибо

Цитата:

Services => Other => Http_mapped = > Advanced => SRV_REDIRECT(80,proxy_adr,3128)

Security rule

source (local_net)
destination (any)
service (Http_mapped)
Action (Accept)

ну и будет ли работать ? у меня нет!

Насколько я знаю
SRV_REDIRECT применим только к определенным адресам, а не к destination (any)...

У кого есть опыт организации transparent proxy при наличии checkpoint firewall - расскажите как сделать. Заранее спасибо.

То есть, я так понимаю, никто transparent proxy не юзает...

Цитата:

SRV_REDIRECT применим только к определенным адресам, а не к destination (any)...

да, мапится на конкретный ip (или много proxy серверов?), читаем внимательней,
далее правило, кот. говорит что, если идут на 80 порт to any dst то перенаправлять

Цитата:

transparent proxy

В том -то и дело, что с dest any правило такое не работает перенаправление не происходит. если на один адрес, то перенаправляет.

Есть вопрос.
Как возможно просмотреть уже установленную политику правил (просмотреть какие сейчас правила задействованы и работают), желательно с помощью софта SmartDashboard, если это невозможно, то через консоль?

Сможешь кто-нибудь помочь с несколькими правилами?
Мне нужно опубликовать в ВЕБ веб-сервер и майл-сервер, был бы очень признателен если бы объяснили построение этих правил.

Канал в интернет на одном интерфейсе Checkpoint
На другом висит ДМЗ зона (172.20.1.0)
На третьем внутреняя сеть (192.168.0.0)
Оба сервера находятся в ДМЗ. Как должны выглядеть правила?

для почты (http тоже только порт 80)

source destination service action

mail_ip any 25 accept (для http не надо )
any mail_ip 25 accept

затем на ноде mail_ip выбираем detail => NAT
выбираем static и указываем ip на кот. будет натиться
(на вкладке Adres Translation появится 2 правила).

инсталим политику

ps
по поводу обьяснений, в правилах сp нет привязки к интерфейсам (это д.б. описано в тополгии),
просто пишется откуда, куда, сервис и вид действия.

День добрый.
Кто-нибудь может подсказать, какой компонент в СheckPoint R60 может подсчитывать трафик?
И есть ли такая функциональная возможность вообще?

megase писал:
для почты (http тоже только порт 80)

source destination service action

mail_ip any 25 accept (для http не надо )
any mail_ip 25 accept

затем на ноде mail_ip выбираем detail => NAT
выбираем static и указываем ip на кот. будет натиться
(на вкладке Adres Translation появится 2 правила).

такое построение правила слегка неправильное, потому как не дает ожидаемій результат. Объясню почему.
Если задавать статический НАТ в свойствах объекта, то мы можем перехватить лишь трафик, что идет от какого либо определенного объекта, а не поступает на шлюз (сам CheckPoint). Если же нужно отсеивать трафик, что поступил на шлюз, а оттуда уже с ИП адресом внешнего интерфейса шлюза транслируется во внутреннюю сеть, возникают сложности. мы не можем сослаться на этот ИП так как он определен в таблице объектов.
ВЫВОД:
Делаем вручную статическую трансляцию трафика.
Как мы это делаем? Просто... Заходим на страницу "Address Tranlation" и создаем новое правило и забиваем:
ORIGINAL PACKET TRANSLATD PACKET
source destination service source destination service
ANY F-WALL 80 original WEB-SERVER original
ANY F-WALL 25 original MAIL-SERVER original

Где F-WALL - наш фаервол (CheckPoint)

НА странице "Security" создаем два правила для ходящего трафика для WEB-SERVER и MAIL-SERVER и для отсылки почты в интернет:

source destination service action
ANY WEB-SERVER 80 accept
ANY MAIL-SERVER 25 accept
MAIL-SERVER Any 25 accept

После этого все работает.

И еще один вопросик.
Как ставить продукты(комопоненты) на SecurePlatform понятно.
А вот как можно сделать uninstall уже установленных продуктов?
Кто-нибудь сталкивался с такой проблемой?