【求助】有人會Check Point NG FireWall-1嗎

  • 【求助】有人會Check Point NG FireWall-1嗎

    • 第 1 頁,共 2 頁 1 2 末頁末頁
    顯示結果從第 1 筆 到 10 筆,共計 14 筆
    1. 2004-09-22, 03:59 PM #1
      iamapo
      iamapo 目前未上線
      會員
      註冊日期
      2001-07-30
      所在地區
      光纖
      討論區文章
      109

      【求助】有人會Check Point NG FireWall-1嗎

      大家好,小弟剛來到一家新公司擔任MIS的工作,好死不死剛來的第一天公司Check Point的防火牆就掛了,從此每天躲在機房重建防火牆,好不容易找到原始光碟也弄了台測試PC終於灌好了CP,但就是不Work!不work的情形是client不能連上網,而CP這台Server本身則是可以正常上網.

      我的環境如下
      OS:W2K Server SP4
      HW:P4-2.8G 512MBRam 40GBHDD 3片3Com網卡
      Inside:192.168.12.10/24
      DMZ:192.168.1.254/24
      Outside:61.x.y.z/16
      連外頻寬2M/512K
      rule目前只有兩條
      InsideNet any any accept
      Any any any Drop


      回覆時引用此文章 回覆時引用此文章
    2. 2004-09-22, 04:16 PM #2
      raytracy
      raytracy 目前未上線
      CM Board Moderator raytracy 的大頭照
      註冊日期
      2004-05-21
      討論區文章
      714
      您好像沒有設定 NAT 的 Rule 喔?...沒有 NAT 的話, 裡面的用戶會出不去...
      - Ray Tracy -
      回覆時引用此文章 回覆時引用此文章
    3. 2004-09-22, 04:24 PM #3
      iamapo
      iamapo 目前未上線
      會員
      註冊日期
      2001-07-30
      所在地區
      光纖
      討論區文章
      109
      最初由 raytracy 發表
      您好像沒有設定 NAT 的 Rule 喔?...沒有 NAT 的話, 裡面的用戶會出不去...
      我有在Network Object的InsideNet設定NATㄚ(Hide Mode)
      回覆時引用此文章 回覆時引用此文章
    4. 2004-09-22, 04:30 PM #4
      rushoun
      rushoun 目前未上線
      散人 rushoun 的大頭照
      註冊日期
      2001-07-29
      討論區文章
      5,920
      給個建議,有時簡單的事情不一定要複雜化。
      也許不一定非要使用原來的系統,既然您本身是位MIS,
      我想應該有非常多不同的解決方案,不要被原來的東西綁住了。
      養成一個習慣,旁邊一定要在放一套臨時備援的系統,不管是怎樣的硬體。
      防止系統突然掛掉時就完蛋了,會被老闆盯到爆的。
      ========================================
      用智慧處理事情,用慈悲對待他人。(節錄 聖嚴法師與人文對話一書內容)
      回覆時引用此文章 回覆時引用此文章
    5. 2004-09-22, 04:32 PM #5
      raytracy
      raytracy 目前未上線
      CM Board Moderator raytracy 的大頭照
      註冊日期
      2004-05-21
      討論區文章
      714
      那麼 Client 端去 ping Firewall 的 IP 是否可以通? 至少 192.168.12.10 要能通....

      然後把最後一條 any any drop 後面設成 Log, 這樣可以把所有被拒絕的封包都 log 下來, 讓 client 端連外面幾次, 然後取消 log 恢復成 drop (不要一直維持 log, 免得記下一大堆垃圾, 反而不容易找資料).

      再看一下 log 下來的資料, 看看 client 聯外面時, 被 log 的原因是什麼? 就知道還有什麼地方沒有改到.....


      - Ray Tracy -
      回覆時引用此文章 回覆時引用此文章
    6. 2004-09-22, 04:36 PM #6
      iamapo
      iamapo 目前未上線
      會員
      註冊日期
      2001-07-30
      所在地區
      光纖
      討論區文章
      109
      我從Log Viewer上有看到一連串drop的訊息如下
      message_into address spoofing
      Source add都是我的Client
      而Dest add則是extranet add
      回覆時引用此文章 回覆時引用此文章
    7. 2004-09-22, 04:43 PM #7
      iamapo
      iamapo 目前未上線
      會員
      註冊日期
      2001-07-30
      所在地區
      光纖
      討論區文章
      109
      最初由 rushoun 發表
      給個建議,有時簡單的事情不一定要複雜化。
      也許不一定非要使用原來的系統,既然您本身是位MIS,
      我想應該有非常多不同的解決方案,不要被原來的東西綁住了。
      養成一個習慣,旁邊一定要在放一套臨時備援的系統,不管是怎樣的硬體。
      防止系統突然掛掉時就完蛋了,會被老闆盯到爆的。
      大大說的真是肺腑之言,小弟深有同感
      公司目前是有用零壹的AF400當做備援系統,所以網路還可以使用
      只是老闆總是希望可以恢復原來的防火牆
      阿聽到廠商報價2hr7000元
      就當場叫我搞定...真是歹命ㄚ..又不是我搞壞的
      回覆時引用此文章 回覆時引用此文章
    8. 2004-09-22, 04:45 PM #8
      raytracy
      raytracy 目前未上線
      CM Board Moderator raytracy 的大頭照
      註冊日期
      2004-05-21
      討論區文章
      714
      您在設定 NAT 時, 有沒有把: Add automatic address translation rule 選項打勾?
      您的 Hiding Address 是否設定為 Firewall 的 External IP? (這裡不能錯!!)

      please refer to:
      http://www.sans.org/rr/papers/20/733.pdf

      查一下您的 Address Translate 畫面上顯示是否跟文件中一樣?....

      看一下 Internal (Hiding address) 裡面的設定, 是否與您的 Local net 相同: 192.168.12.0/255.255.255.0 ?

      若您忘了勾的話, 會少了上面這個設定, 請您再重設一次即可....
      - Ray Tracy -
      回覆時引用此文章 回覆時引用此文章
    9. 2004-09-22, 05:17 PM #9
      iamapo
      iamapo 目前未上線
      會員
      註冊日期
      2001-07-30
      所在地區
      光纖
      討論區文章
      109
      最初由 raytracy 發表
      那麼 Client 端去 ping Firewall 的 IP 是否可以通? 至少 192.168.12.10 要能通....

      然後把最後一條 any any drop 後面設成 Log, 這樣可以把所有被拒絕的封包都 log 下來, 讓 client 端連外面幾次, 然後取消 log 恢復成 drop (不要一直維持 log, 免得記下一大堆垃圾, 反而不容易找資料).

      再看一下 log 下來的資料, 看看 client 聯外面時, 被 log 的原因是什麼? 就知道還有什麼地方沒有改到.....
      Client 端去 ping Firewall 的 IP 192.168.12.10可以通
      tracert 168.95.1.1則是第一點就* * *
      附加圖片 附加圖片 testfw.jpg  
      回覆時引用此文章 回覆時引用此文章
    10. 2004-09-22, 05:20 PM #10
      iamapo
      iamapo 目前未上線
      會員
      註冊日期
      2001-07-30
      所在地區
      光纖
      討論區文章
      109
      Log Viewer的畫面


      附加圖片 附加圖片 logviewer.jpg  
      回覆時引用此文章 回覆時引用此文章
    « 上一個主題 | 下一個主題 »

    類似的主題

    1. 有人會vb+access
      作者:miniguy 所在討論版:-- 其 他 軟 體 討 論 版
      回覆: 6
      最後發表: 2004-06-18, 11:30 PM
    2. 有人會HP-UX嗎?
      作者:ctchao 所在討論版:-- 網 路 技 術 版
      回覆: 0
      最後發表: 2004-03-16, 05:03 PM
    3. Check Point Firewall-1 SecuRemote 區域網路 IP 洩露漏洞
      作者:TAIWAN 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 1
      最後發表: 2003-10-04, 10:53 PM
    4. 請教一下,還有人會dos嗎?
      作者:goodmike 所在討論版:-- HELP ME 電 腦 軟 硬 體 急 救 版
      回覆: 16
      最後發表: 2003-02-11, 04:41 PM
    5. 請問有人會MAYA嗎?
      作者:AEN 所在討論版:-- 繪 圖 軟 體 討 論 版
      回覆: 4
      最後發表: 2002-06-06, 12:59 AM

     

    此網頁沒有從搜尋引擎而來的訪客

    書籤

    發表文章規則

    • 不可以發表新主題
    • 不可以回覆文章
    • 不可以上傳附加檔案
    • 不可以編輯自己的文章
    •  

    討論版規則