Tag: checkpoint

checkpoint – rename interfaców

Jak zmienić nazwy interfejsów sieciowych w checkpoincie, bardzo pomocne gdy robimy upgrade np.  z UTM1 na nowszy urządzenie w mym przypadku jest to model z serii 2200:

wyświetlamy nazwy interfejsów na  starym urządzeniu:

odnajdujemy plik zaczynający się do 00-*.rules w katalogu /etc/udev/rules.d/ na nowym urządzeniu

przechodzimy do edycji jego zmieniamy tak jak chcemy aby było:

ipconfig -a przed zmianą:

Wykonujemy reboot, po uruchomieniu mamy już interfejsy zgodnie ze zmianą.

ipconfig -a po zmianie:

 

 

 

CheckPoint pierwsze uruchomienie

Poniżej przedstawię krok po kroku jak wygląda pierwsze uruchomienie w wersji Gaia 77.30. Aby dostać się do urządzenia musimy podłączyć się do interfejsu MGMT, w mym przypadku będzie to port 8. Przy pierwszym uruchomieniu interfejs jest zaadresowany adresem 192.168.1.1. Musimy podłączyć się PC do tego portu i z poziomu przeglądarki uruchamiamy stronę urządzenia

https://192.168.1.1

login i password to admin admin

cp1

po zalogowaniu pojawi się okno wizardu który przeprowadzi nas przez podstawowe parametry, również możemy wyjść z niego

cp2

kolejnym krokiem jest wybór skąd mamy zainstalować system. oraz w jakim trybie będziemy konfigurować. Mamy możliwość odtworzenie się ze snapshotu.

cp3

Kolejnym krokiem jest konfiguracja sieci mgmt. Fajnie zrobione jest to gdy nadamy nowe ip z innej podsieci to utworzy się alias ze starym który będziemy mogli usunąć po zakończeniu konfiguracji.

cp4

Możemy zaadresować dodatkowo jeszcze jeden interfejs, gdy wybierzemy kolejny z list to wcześniejszy kasuje ustawienia.

cp5

Teraz konfigurujemy Host name oraz DNS’y

cp6

Ustawienia czasy, jeżeli mamy serwery NTP warto ustawić je.

cp7

Wybieramy jakie moduły mają być zainstalowane:

Security Gataway – jest to sam FW z modułami zgodnie z licencją

Security Managament – to Samrt Center do zarządzania FW

Clustering:

w mym przypadku urządzenie urządzenie będzie pierwszym nodem w klastrze wybieramy:

Typ: Najpopularniejszy w CP tryb ClusterXL

Cluster ID musi zgadzać się w obu nodach, oraz czy urządzenie ma być primary czy secendary w Managament. jeżeli nie mamy zewnętrznej konsoli zarządzającej warto również zrobić Klaster.

cp8

ustawiamy login i hasło dla smart center

cp9

określamy skąd możemy zalogować się do konsoli

cp10

Jeżeli mamy dostęp do Internetu warto wybrać Activate now from UserCenter, ja nie mam wybrałem drugą opcję.

cp11

podsumowanie.

cp12

po kliknięciu Finish będziemy zapytani o rozpoczęcie konfiguracji.

cp13

po zakończeniu procesu możemy cieszyć się gotowym urządzeniem.

cp14

 

 

 

Checkpoint SIP NAT – problem

Ostatnio miałem problem z przepuszczenie SIP’a gdzie na Checkpoint’cie miałem skonfigurowany static nat – zachodził pre nat.Który nie pozwala na poprawne zestawienie się komunikacj SIP, Jak to sę objawia – zamiast komunikacji SRC IP i DST IP zachodziło po porcie SRC PORT 5060 to Chceckpoint podmienia port ten powyżej 10000.

Poniżej na szybko przedstawię rozwiązanie problemu – tak jak ja poradziłem sobie z problemem. wszystkie działanie są w smartdashboard

1. Utworzyłem usługę UDP_5060 tak jak poniżej:

udp_5060_1

 

Klikamy w Advanced i w polu Protocol Type wybieramy None

udp_5060_2

2.  Utworzyłem usługę udp_10000_65000 jako RTP

 

udp_5060_3

Klikamy w Advanced w polu Protocole Type wybieramy None

 

 

udp_5060_4

3. Usunąłem wszystkie usługi SIP które są automatycznie tworzone przez checkpoint została tylko ta z punktu 1

4 Tworzymy regułę FW z wykorzystaniem obiektów z punktu 1 i 2

udp_5060_6

 

Mam nadzieję ze moja krótka i treściwa notatka przyda się komuś.

 

Checkpoint [Splat] – upgrade_export – brakuje miejsca na partycji /

ostatnio miałem do wykonania export konfiguracji przy podnoszeniu wersji checkpoint ale miałem za mało miejsca na partycji /

co możemy zrobić gdy temp procesu migrate mamy na partycji /

z pomocą przy chodzi na dowiązanie symboliczne. Poniżej kilka kroków które pozwoliły mi na wykonanie pracy.

1. cd /var/log/ [przechodzimy w miejsce gdzie ma być utworzony katalog do dowiązania symbolicznego w mym  przypadku jest to katalog /var/log 
2. mkdir migrate [tworzymy katalog migrate]
3. cd $FWDIR/tmp [przechodzimy do katalogu w którym będziemy tworzyć link, jest to katalog tmp]
4. ln -s /var/log/migrate [tworzymy link]
5. CD $FWDIR/tmp/migrate [przechodzimy do katalogu gdzie jest skrypt migrate_export]
6. ./migrate_export /var/log/upgrdae_to_77_20 [wywołujemy proces migrate_export ze wskazaniem gdzie ma być zapisany plik exportu] 

Referencje:

sk54100