【求助】有人會Check Point NG FireWall-1嗎

iamapo

大家好,小弟剛來到一家新公司擔任MIS的工作，好死不死剛來的第一天公司Check Point的防火牆就掛了，從此每天躲在機房重建防火牆，好不容易找到原始光碟也弄了台測試PC終於灌好了CP,但就是不Work！不work的情形是client不能連上網，而CP這台Server本身則是可以正常上網.

我的環境如下
OS:W2K Server SP4
HW:P4-2.8G 512MBRam 40GBHDD 3片3Com網卡
Inside:192.168.12.10/24
DMZ:192.168.1.254/24
Outside:61.x.y.z/16
連外頻寬2M/512K
rule目前只有兩條
InsideNet any any accept
Any any any Drop

raytracy

您好像沒有設定 NAT 的 Rule 喔?...沒有 NAT 的話, 裡面的用戶會出不去...

iamapo

引用:

最初由 raytracy 發表
您好像沒有設定 NAT 的 Rule 喔?...沒有 NAT 的話, 裡面的用戶會出不去...

我有在Network Object的InsideNet設定NATㄚ(Hide Mode)

rushoun

給個建議，有時簡單的事情不一定要複雜化。
也許不一定非要使用原來的系統，既然您本身是位MIS，
我想應該有非常多不同的解決方案，不要被原來的東西綁住了。
養成一個習慣，旁邊一定要在放一套臨時備援的系統，不管是怎樣的硬體。
防止系統突然掛掉時就完蛋了，會被老闆盯到爆的。

raytracy

那麼 Client 端去 ping Firewall 的 IP 是否可以通? 至少 192.168.12.10 要能通....

然後把最後一條 any any drop 後面設成 Log, 這樣可以把所有被拒絕的封包都 log 下來, 讓 client 端連外面幾次, 然後取消 log 恢復成 drop (不要一直維持 log, 免得記下一大堆垃圾, 反而不容易找資料).

再看一下 log 下來的資料, 看看 client 聯外面時, 被 log 的原因是什麼? 就知道還有什麼地方沒有改到.....

iamapo

我從Log Viewer上有看到一連串drop的訊息如下
message_into address spoofing
Source add都是我的Client
而Dest add則是extranet add

iamapo

引用:

最初由 rushoun 發表
給個建議，有時簡單的事情不一定要複雜化。
也許不一定非要使用原來的系統，既然您本身是位MIS，
我想應該有非常多不同的解決方案，不要被原來的東西綁住了。
養成一個習慣，旁邊一定要在放一套臨時備援的系統，不管是怎樣的硬體。
防止系統突然掛掉時就完蛋了，會被老闆盯到爆的。

大大說的真是肺腑之言，小弟深有同感
公司目前是有用零壹的AF400當做備援系統,所以網路還可以使用
只是老闆總是希望可以恢復原來的防火牆
阿聽到廠商報價2hr7000元
就當場叫我搞定...真是歹命ㄚ..又不是我搞壞的

raytracy

您在設定 NAT 時, 有沒有把: Add automatic address translation rule 選項打勾?
您的 Hiding Address 是否設定為 Firewall 的 External IP? (這裡不能錯!!)

please refer to:
http://www.sans.org/rr/papers/20/733.pdf

查一下您的 Address Translate 畫面上顯示是否跟文件中一樣?....

看一下 Internal (Hiding address) 裡面的設定, 是否與您的 Local net 相同: 192.168.12.0/255.255.255.0 ?

若您忘了勾的話, 會少了上面這個設定, 請您再重設一次即可....

iamapo

引用:

最初由 raytracy 發表
那麼 Client 端去 ping Firewall 的 IP 是否可以通? 至少 192.168.12.10 要能通....

然後把最後一條 any any drop 後面設成 Log, 這樣可以把所有被拒絕的封包都 log 下來, 讓 client 端連外面幾次, 然後取消 log 恢復成 drop (不要一直維持 log, 免得記下一大堆垃圾, 反而不容易找資料).

再看一下 log 下來的資料, 看看 client 聯外面時, 被 log 的原因是什麼? 就知道還有什麼地方沒有改到.....

Client 端去 ping Firewall 的 IP 192.168.12.10可以通
tracert 168.95.1.1則是第一點就* * *

iamapo

Log Viewer的畫面

類似的主題
主題	主題作者	討論版	回覆	最後發表
【求助】POWER POINT	xyzp14	-- OFFICE 相關軟體討論版	0	2004-08-11 01:10 PM
Check Point Firewall-1 SecuRemote 區域網路 IP 洩露漏洞	TAIWAN	-- 防駭 / 防毒版	1	2003-10-04 10:53 PM
【求助】無法使用high point	ficnoeo	-- Windows 討論版	4	2003-07-03 06:52 PM
【求助】P4PE完整版的SATA有支援Raid 0+1嗎?	lihsing	-- 電腦硬體討論版	1	2003-04-27 10:01 PM
請問聯強無線網路acess point??	aurther	-- 網路硬體版	3	2001-09-27 03:02 AM

raytracy CM Board Moderator	您好像沒有設定 NAT 的 Rule 喔?...沒有 NAT 的話, 裡面的用戶會出不去...
	回覆

rushoun 散人	給個建議，有時簡單的事情不一定要複雜化。也許不一定非要使用原來的系統，既然您本身是位MIS，我想應該有非常多不同的解決方案，不要被原來的東西綁住了。養成一個習慣，旁邊一定要在放一套臨時備援的系統，不管是怎樣的硬體。防止系統突然掛掉時就完蛋了，會被老闆盯到爆的。
	回覆

iamapo 會員	我從Log Viewer上有看到一連串drop的訊息如下 message_into address spoofing Source add都是我的Client 而Dest add則是extranet add
	回覆