會員 | 【求助】有人會Check Point NG FireWall-1嗎 大家好,小弟剛來到一家新公司擔任MIS的工作,好死不死剛來的第一天公司Check Point的防火牆就掛了,從此每天躲在機房重建防火牆,好不容易找到原始光碟也弄了台測試PC終於灌好了CP,但就是不Work!不work的情形是client不能連上網,而CP這台Server本身則是可以正常上網. 我的環境如下 OS:W2K Server SP4 HW:P4-2.8G 512MBRam 40GBHDD 3片3Com網卡 Inside:192.168.12.10/24 DMZ:192.168.1.254/24 Outside:61.x.y.z/16 連外頻寬2M/512K rule目前只有兩條 InsideNet any any accept Any any any Drop |
回覆 |
CM Board Moderator | 您好像沒有設定 NAT 的 Rule 喔?...沒有 NAT 的話, 裡面的用戶會出不去... |
回覆 |
會員 | 引用:
| |
回覆 |
散人 | 給個建議,有時簡單的事情不一定要複雜化。 也許不一定非要使用原來的系統,既然您本身是位MIS, 我想應該有非常多不同的解決方案,不要被原來的東西綁住了。 養成一個習慣,旁邊一定要在放一套臨時備援的系統,不管是怎樣的硬體。 防止系統突然掛掉時就完蛋了,會被老闆盯到爆的。 |
回覆 |
CM Board Moderator | 那麼 Client 端去 ping Firewall 的 IP 是否可以通? 至少 192.168.12.10 要能通.... 然後把最後一條 any any drop 後面設成 Log, 這樣可以把所有被拒絕的封包都 log 下來, 讓 client 端連外面幾次, 然後取消 log 恢復成 drop (不要一直維持 log, 免得記下一大堆垃圾, 反而不容易找資料). 再看一下 log 下來的資料, 看看 client 聯外面時, 被 log 的原因是什麼? 就知道還有什麼地方沒有改到..... |
回覆 |
會員 | 我從Log Viewer上有看到一連串drop的訊息如下 message_into address spoofing Source add都是我的Client 而Dest add則是extranet add |
回覆 |
會員 | 引用:
公司目前是有用零壹的AF400當做備援系統,所以網路還可以使用 只是老闆總是希望可以恢復原來的防火牆 阿聽到廠商報價2hr7000元 就當場叫我搞定...真是歹命ㄚ..又不是我搞壞的 | |
回覆 |
CM Board Moderator | 您在設定 NAT 時, 有沒有把: Add automatic address translation rule 選項打勾? 您的 Hiding Address 是否設定為 Firewall 的 External IP? (這裡不能錯!!) please refer to: http://www.sans.org/rr/papers/20/733.pdf 查一下您的 Address Translate 畫面上顯示是否跟文件中一樣?.... 看一下 Internal (Hiding address) 裡面的設定, 是否與您的 Local net 相同: 192.168.12.0/255.255.255.0 ? 若您忘了勾的話, 會少了上面這個設定, 請您再重設一次即可.... |
回覆 |
會員 | 引用:
tracert 168.95.1.1則是第一點就* * * | |
回覆 |
會員 | Log Viewer的畫面 |
回覆 |
|
類似的主題 | ||||
主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
【求助】POWER POINT | xyzp14 | -- OFFICE 相 關 軟 體 討 論 版 | 0 | 2004-08-11 01:10 PM |
Check Point Firewall-1 SecuRemote 區域網路 IP 洩露漏洞 | TAIWAN | -- 防 駭 / 防 毒 版 | 1 | 2003-10-04 10:53 PM |
【求助】無法使用high point | ficnoeo | -- Windows 討 論 版 | 4 | 2003-07-03 06:52 PM |
【求助】P4PE完整版的SATA有支援Raid 0+1嗎? | lihsing | -- 電 腦 硬 體 討 論 版 | 1 | 2003-04-27 10:01 PM |
請問聯強無線網路acess point?? | aurther | -- 網 路 硬 體 版 | 3 | 2001-09-27 03:02 AM |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。