» Kerio WinRoute Firewall (часть 3)

11dima1982
ё моё! А это ещё что такое?
Что такое вообще DMZ? Эта группа находится в инете? Почему траф из локалки NATится в неё через внешний интерфейс?
Так... кранты. Ваще запутался.
объясни топологию своей сети (походу у тебя их 2) И где что находится.

Добавлено:
Lovec

Цитата:

Да, будет.

и даже если юзер не авторизовался?
я чего заинтересовался-то... может таким образом можно избавится от Unknown'ов?

Добавлено:

Цитата:

В DHCP есть резервация, можно привязать IP к МАКу компа.

и даже к имени компа.

Цитата:

где правило, разрешающее ей выход в инет? в серверах DMZ?

не понимаю, подскажи какое правило должно быть для этого.
спасибо!!!

11dima1982

Цитата:

объясни топологию своей сети (походу у тебя их 2) И где что находится.

пойми уже, что я просто не знаю (ну не оракул, увольте уж ) где что у тебя находится. Я полагаю что у тебя сети 172.21.7.0/24 и 192.168.15.0/24. Есть такое?
Что в какой из них находится я не в курсе. Но поскольку в Local DMZ походу находятся сервера... Короче, объясняй поподробнее, а не как "с белого компьютера не пингуется чёрный"

AlOne
Если в свойствах юзера стоит IP с которым этот юзер ассоциируется, то траф с этого IP ложится на данного юзера. А что ты имеешь ввиду под "юзер не авторизовался"? Авторизация же может пройти и незаметно для юзера, по его IP.


Цитата:

и даже к имени компа.

Только к имени не получится, МАК нужен полюбому.

172.21.7.0/24 и 192.168.1.0/24
2 сети одна Local Network, другая DMZ все находятся в одной сети

11dima1982
Local DMZ - интерфейс - что за сеть?
Local Area Connection - интерфейс - что за сеть?
Local Network - группа - кто в ней?
172.21.7.1 - что за тачка?
Provider - и так ясно
AVT - в принципе пофиг, что за группа. Но всё равно рассказывай.
Где Firewall? В какой из сетей? (так... фегню сморозил. ясное дело, что в обеих)
Где почтовик?

Цитата:

Local DMZ - интерфейс - что за сеть?

вней находятся все серваки (165.168.15.*)

Цитата:

Local Area Connection - интерфейс - что за сеть?

это остальная сеть (172.21.7.*)

Цитата:

Local Network - группа - кто в ней?

вся сеть кроме DMZ

Цитата:

172.21.7.1 - что за тачка?

proxy где стоит KWF

Цитата:

AVT

автоматизация, кроме остальных

Цитата:

Где почтовик?

почтовик в DMZ (192.168.15.2)

Цитата:

Где Firewall? В какой из сетей?

во всех (192.168.15.1 и 172.21.7.1)

11dima1982
Уже понятнее
Ну, по первой части TP замечаний вроде нет кроме Firewall'а в "юзерском интернете" и в ISS добавь сервис HTTPS.
А вот во второй каша:
1) RDP.
а) с 172.21.7.252 в DMZ NAT'им через внешний интерфейс? Оригинально.
б) AVT в Local DMZ - то же самое.
-- NAT'ь через интерфейс Local DMZ
2) 172.21.7.1 - нафига указывать так, а не как Firewall host?
3) "Local Network - группа - кто в ней?
вся сеть кроме DMZ"
Нафига дублировать Local Area Connection?
4) Создай правило Local Traffic 1:
Firewall+LAN -> Firewall+LAN -> Any -> Permit
5) -//- Local Traffic 2:
Firewall+DMZ -> Firewall+DMZ ->Any ->Permit
6) -//- Firewall Traffic:
Firewall -> Provider -> Any -> Permit
7) LAN на DMZ также NAT'иться должен через интерфейс DMZ, а не через внешний.
8) Что указывается в качестве SMTP и POP серверов в почтовых клиентах? Попробуй не MAP'ить их через Firewall, а задать напрямки - 192.168.15.2

Добавлено:
ЗЫЖ как вариант попробуй вообще не NAT'ить трафик между локальными сетями (кажется оно вообще ни к чему)

спасибо за корректировку TP.
но с почтой все равно проблемы!
письма не уходятна на некоторые ящики такие как mail.ru,(bk.ru) ваще (|)

11dima1982
Чтобы не было проблем с почтой надо сделать ряд телодвижений:
- выделить почту в отдельное правило и у него выключить Протокол Инспектор. У меня после этого стали корректно приходить ответы от внешних почтовиков, о невозможности доставки почты. До этого ни ответа, ни привета.
- у прова должны быть корректно настроены записи А, MX, а также зона PTR.

Более полная инфа на http://www.winroute.ru/forum/viewforum.php?f=1 в поиске.

11dima1982
только на некоторые ящики или на целые сервера?
попробуй отослать письмо мне (адрес см. в личке) - посмотрю, что за беда.

на целые сервера!
на гугли маил приходят только падают в нежелательные письма

11dima1982
таки отошли мне мессагу, я посмотрю, что мой почтовик на это скажет.

у тебя @nail2k.ru

11dima1982
смотри свои личные сообщения (наверху справа Личный ящик, а под этой строчкой должен мигать конвертик типа "Проверь почту")

вроде ушло на *@....service.ru

до меня дошло /не в том смысле/
а вот к тебе не уходит:

Цитата:

[06/Sep/2007 18:31:59] Sent: Queue-ID: 46e00ef5-00001dec, Recipient: <*****@*****.ru>, Result: delayed, Status: 4.4.2 No greeting from remote host

Добавлено:
млин... в правиле получения почты поставь Firewall в Destination.
/Кстати, походу для всех входов надо так /

походу мы его теряем

Повторюсь с вопросом от ak545:

Привет.
Кто нибудь сталкивался с такой проблемой:
Имеется сервер 2003 НЕ принадлежащий ни к какому домену. На нем стоит KWF (6.3).
Имеется домен и в нем контроллер домена. KWF успешно маппит пользователей и группы из AD контроллера домена, но, при этом не производит аутентификацию по базе пользователей из AD, когда, например, вызывается страничка статистики, т.е. имеем "Authentication: WebInterface: Client: XXX.XXX.XXX.XXX Invalid passwd for NT/Kerberos user YYYYYYY".
Я понимаю, что для разрешения этой проблемы проще всего ввести сервер с KWF в этот домен, но специфика работы такова, что это сделать нельзя.

Вопрос: Возможно ли все таки как-то заставить KWF корректно проверять пароли пользователей из AD котроллера домена? Может надо что-то подкрутить в самом контроллере домена или в KWF?...

PS KWF и контроллер домена находятся в одном IP сегменте...


Вопрос повис...

Друзья подскажите может есть подробный мануал по добавлению портов программ в керио для их доступа в нет очень нужно пожалуйста помогите разобратся

Народ! интересует вопрос такой, у кого стоит 6,4,0 рц1, пашет ли у вас шейпер, ибо у меня он дохлый...

Olezka
в сервисы залезь и клепай скока хошь

Mistique
И как ты себе это представляешь? машина, не являющаяся членом домена, спрашивает у DC аутенификационные данные доменного пользователя... Единственный реальный вариант - авторизация по IP. Если раздача идёт от DHCP - настрой резервирование по мак-адресам.

Цитата:

Mistique
И как ты себе это представляешь? машина, не являющаяся членом домена, спрашивает у DC аутенификационные данные доменного пользователя... Единственный реальный вариант - авторизация по IP. Если раздача идёт от DHCP - настрой резервирование по мак-адресам.

Легко представляю. Хотя бы потому что список доменных пользователей спокойно опрашивает.
DHCP в домене болтается. хочется чтобы пользователи могли StaR пользоваться. А для этого собстно и нужен сабж.

SHRIKE74
а как открыть все порты для заданой группы

Olezka
в сервисах поставить Any, а само правило повыше

all
В логе filter на прокси постоянно такая вот строчка стала появляться:
DROP "Default traffic rule" packet to <сетевой_интерфейс>, proto:TCP, len:48, ip/port:<наш_IP>:4520 -> 190.12.12.26:57, flags: SYN , seq:1460703148 ack:0, win:65535, tcplen:0
1) Что может быть за херня? По nslookup выдает "blackenedentity.info".
2) flags: SYN - в остальных строках лога такой очень редко встречается
3) Как узнать сам ли прокси лезет или кто-через него? Какой прогой может состояние портов просмотреть... Пробовал portmon от sysimternals - ничего вообще не кажет... Может из-за KWF?

AlOne
SHRIKE74
ткныте мня носом я чет так запутался немогу ничего собразить с этими сервисами дайте скрин плиз

Olezka
раздел Difinitions - Services в консоли администрирования

Возможно, банальность, порылся - не нашел. Какой VPN-клиент/демон лучше всего подходит в Debian для соединения с удаленным Winroute? Документация по настройке какая-нибудь существует?