» Kerio WinRoute Firewall (часть 3)

Здравствуйте.
Не сочтите за проявление глупости, но то ли у меня что то не так в знаниях, то ли я что-то упустил. Есть машинка, на которой крутится KFW 6. У нее одна сетевая карта. Бывший админ, который настраивал эту машинку, утверждает, что она (машинка) так с одной сетевухой и работала. Меня сей факт сильно смущает, ибо я всю жизнь думал что для файрвола/прокси надо все таки две сетевухи. Я что-то пропустил в развити файрволостроения или человек просто снял сетевуху и не хочет в этом сознаваться?

Может кто ссылочку подкинет? Весь варезник перебирать некогда, пока обновляюсь ручками если какие базы попадаются. Может хотя бы есть место где их регулярно выкладывают на скачивание?

Добавлено:
Silencebehind
Что-то я склоняюсь ко второму варианту! А карточка не многопортовая случайно?... или как вариант одна сеть на встроенной в мать сетевой а другая на установленной.

Silencebehind
Да нет, все нормально. 2003 сервер совершенно точно позволяет работать с 2мя и более локальными сетями через один сетевой интерфейс. Просто настройка этого дела более геморойна и соответственно, черевата глюками. Но если кто жмется на покупку сетевой карты, то это вполне настраиваемо.
allhimik
В варезном топике открой версию для печати и поищи там по словам обновление и редайрект. Думаю, помогет...

Спасибо всем, разобрались. Он просто вынул вторую карту и забыл про это. Извините за беспокойство.

Люди!

Как на Керио сделать так чтобы часть пользователей могла пользоваться ICQ, а остальным запретить.

Вобщем как включить авторицацию для аськи? Клиенты QIP в сети установлены.

Во-первых я закрыл ICQ-порт.

а дальше что?

WinRoute установлен на терминальном сервере, нужно считать трафик пользователей, которые заходят на него. То есть привязка по IP не подходит (у всех один и тот же). Сервер не в домене, пользователи локальные. Кто-нибудь сталкивался с такой ситуацией?

reznik123
сталкивались... кто первый авторизовался тот "за всех и платит"...

Добавлено:
zx12r
создай правило, в котором Address Group, в которую входят все компы, которым надо разрешить Icq разрешается выход в инет через нат по порту аськи

reznik123
Почитай сначала здесь.
Задай поиск по слову "терминал" что-ли... Инфы много.

zx12r
Вопрос слишком общий (ни трафик полиси, ни описания сети), поэтому отвечаю в общем.
Как кому-то разрешить лезь куда-то: создать разрешающее правило, например так
Name - Source - Destination - Service - Action

<любое> - <те, кому можно> - <допустим Firewall, но можно иначе> - <тот сервис которому можно> - <Permit>

Остальные соответственно обломаются, поскольку в конце стоит полностью запрещающее правило.

Lovec

Те кому можно, это ты имеешь ввиду к примеру группу юзеров?
но они ж без ай-пишников, просто аккаунты у меня. Прокатит? как керио различит что это нужный юзер? Нада какая-нить аутентификация..

Я вроде придумал вот как:
У меня открыт non-transparency прокси сервер порт 3128 и включена обязательная аутентификация пользователей по HTTP(s)

Я закрыл порт аськи. На клиентских аськах включил логин через прокси.
На керио сделал правило "блокировать траффик на URL *icq* такой-то группе юзеров...

вроде работает....

zx12r
Выложил бы трафик полиси - было проще разговарить.
По IP происходит авторизация, по Kerberos или внутренняя база пользователей - не важно. Создаешь Address Groups или просто Groups, куда пихаешь нужных юзерей, и этой группе разрешаешь icq протокол в сторону инета.
Все остальные обломятся.

Lovec

Вот траффик полиси


и Ссылка на всякий случай:

добавил я правило. И себя добавил в группу "Разрешен ICQ"
но не работает аська. Что в аське может настраивать нужно?


ну и внизу ещё Default Rule


Код:
Name Source Destination Service Action
Default rule Any Any Any X Deny

Kerio WinRoute Firewall was unable to deliver message. Remote server's reply:
421 Try again later

Message headers follow:
...
Почтовый сервер работает через MDaemon.
Правила в керио настроены верно, 2-ве недели все работало нормаьно.
Что это за ошибка и как с ней бороться?
За ранее большое спасибо!!!

Цитата:

добавил я правило. И себя добавил в группу "Разрешен ICQ"
но не работает аська. Что в аське может настраивать нужно?

NAT трансляцию в аськино правило поставь.

2 All кто помогал

спасибо заработало. Только вот не знаю каким образом...

Т.е. как Керио определеят юзера, который ломиться по ICQ порту???
подскажите плиз. Оч. интересно. Ну или линку киньте.
Спасибо.

Kerio WinRoute Firewall was unable to deliver message. Remote server's reply:
421 Try again later

Message headers follow:

Ошибка приходит когда пытаются оправить письмо с Outlookа или другого почтовика.
в правилах NAT стоит правильно, что делать ума не приложу! еще раз спасибо!

А можно керио со винснортом связать ?

11dima1982
Ошибка идет с любой машины в сети? При отправлении любым почтовиком? При отправлении на любое мыло? И трафик полиси не были бы лишними.

Lovec


Цитата:

2 All кто помогал

спасибо заработало. Только вот не знаю каким образом...

Т.е. как Керио определеят юзера, который ломиться по ICQ порту???
подскажите плиз. Оч. интересно. Ну или линку киньте.
Спасибо.

По поводу написанного ^^^^

Сегодня выяснил, что аська все-таки не работает у народа, до тех пор пока они на Керио не залогиняться через браузер по HTTP.

т.е. что делать, чтобы люди могли работать без авторизации на керио? или так нельзя....

да с любой машины! внутреннее мыло ходит нормально, без проблем из вне приходит мыло номально а ответить или отправить на внешний адресс такая ошибка!
полиси щас выложу!

zx12r

Цитата:

что делать, чтобы люди могли работать без авторизации на керио? или так нельзя....

Можно конечно. Сделать привязку пользователя к его IP или через юзеров или через адрес групс. Я когда делал трафик полиси именно отталкивался от того, чтобы юзерам ничего не приходилось дополнительно вводить.\
Тебе в своей группе "Разрешен ICQ" надо сделать привязку каждого юзера к его IP (последняя вкладка свойств пользователя).

zx12r

Цитата:

аська все-таки не работает у народа, до тех пор пока они на Керио не залогиняться

И правильно, что не работает. KWF же ещё не знает, кто ломится в аську и, соответственно, можно ли ему это.
Lovec, а таким образом траф с данного IP будет записан на юзера, привязанного к нему? Пока что-то как-то не пробовал делать сию привязку

полиси
http://rc.foto.radikal.ru/0709/b0/2d0646b05ac0.jpg

11dima1982
Трафегполисю в студию. Так мы будем до 2го пришествия гадать.
успел

вторая половина олиса
http://rc.foto.radikal.ru/0709/d8/f5e0b9cf381b.jpg

11dima1982
1) Firewall из "пользовательского интернета" можно убрать. Должно быть правило "Firewall traffic" без NAT трансляции (видимо оно где-то ниже).
2) У тебя, я так понял, внутренний почтовик. Где? На машине с KWF или на другой? Если ли правило, позволяющее ей ходить в инет?
3) Юзеры авторизуются перед отправкой почты? Через какой SMTP сервер они отправляют мыло? Через твой или через внешний?

у меня внутрений почтовик на другой машине.

Alone, Lovec

Я привязываться к IP не могу. У меня много компов DHCP сервер, адреса на компах частенько меняются.

"сделал" я в аськах подключение через прокси HTTP с аутентификацией. так видимо лучше всего будет

11dima1982
где правило, разрешающее ей выход в инет? в серверах DMZ?
домен прописан в зоне обратного просмотра DNS у прова?

Цитата:

в правилах NAT стоит правильно, что делать ума не приложу

это правило тут ни при чём. Оно будет работать только при отправке письма через внешний SMTP сервер.

Добавлено:
11dima1982
и ещё...
Трафик Firewall к DMZ сделай разрешённым в обоих направлениях (и в Source, и в Destination должно быть Firewall и Local DMZ)
Из Интернет трафика серверов DMZ убери Firewall нафик. А то какая-то фигня получается - траф от серверов к Firewall'у NATится во внешний интерфейс

Цитата:

домен прописан в зоне обратного просмотра DNS у прова?

да!
я не очень понимаю в этом, не могу понять почему перестало работать, работало же все нормально! без проблем!

AlOne

Цитата:

а таким образом траф с данного IP будет записан на юзера, привязанного к нему?

Да, будет.

zx12r

Цитата:

Я привязываться к IP не могу. У меня много компов DHCP сервер

Точнее не хочешь В DHCP есть резервация, можно привязать IP к МАКу компа. Но это уже дело вкуса...