» Kerio WinRoute Firewall (часть 3)

Прошу помощи, господа.

Я запутался, почему то не хочет как положено работать моя настройка.
Имеется сервер, стоит на нем Винрут 6.1.4. Доменная сеть. В инет ходит 20 примерно пользователей, 30 почта и 50 аська.
стоит задача:
4 группы пользователей.
1. Только аська (ICQ Users)
2. Только почта (E-mail users)
3. Обычный доступ в Инет(HTTP + почта + аська) (Full Access)
4. Расширенный доступ в Инет(доп.сервисы) (Admin Access)

И несколько пользователей еще должны иметь доступ к ограниченному списку сайтов, в то время как у них доступ только к аське и почте. Ну это реализовывается в HTTP Policy, с этим все ясно.

Надо чтобы при попытке загрузки страницы пользователь автоматически авторизовывался. (Плохо что авторизация работает только по портам HTTP и HTTPS)

В HTTP Policy прописаны правила
1. Full access user - группам 3 и 4 доступ к *.
2. Autentification user - любому пользователю без регистрации редирект на страницу логина при доступе к *.


Проблемы след-е:
1.MS Exchange, что стоит на сервере, отправляет и принимает почту под аккаунтом администратора.
2.А также есть трафик от незалогиненных пользователей, который весьма некислый, не могу толком понять как его идентифицировать и каким правилом его урегулировать... Это за месяц текущий.

3.При текущем настройке аська работает у всех, что мне не нужно.
4.Не работает автоаутентификация пользователей.
Вот так у меня прописано сейчас, Хочу избавить от этого правила "New Rule"

Realmagnum
аська:
включи правило NoICQ, в Source укажи LAN.
ICQ Access подними выше правила NoICQ.

Unrecognised users:
обычно это почтовый трафик, естессно что корреспондент не будет авторизовываться у тебя на серваке. RemoteAdmin'ский траф, кстати, тоже туда считается.

автоаутентификация:
каким образом она настроена? Через AD/Kerberos и NT domain?
поставь юзверям просто домашней страницей http://firewall:4080


Exchange:
а разреши этому серваку лазать в инет без авторизации нехай на неопознанных пишется.

Есть такая трабла!
WinRoute не выпускает локалку по HTTPS,
C ПК где установлен WinRoute выход по HTTPS идет!
Что может быть?

INFOPLUS

Цитата:

Есть такая трабла!
WinRoute не выпускает локалку по HTTPS,
C ПК где установлен WinRoute выход по HTTPS идет!
Что может быть?

У меня вместе с этим еще и не работал банк-клиент Визави, что-то криво установилось в протокол-инспекторе, как я потом выяснил.
Проблема решилась банальной переустановкой Керио.

INFOPLUS
Версия Керио? Если 6.1.4 и ставить 6.3.0 не очешь, то включи непрозрачный прокси, разреши коннект на любой порт для него, а у клиентов для https протокола настрой заход через прокси

AlOne
С аськой все получилось, спасибо.
Правда вот можно сделать так, чтобы когда запускается аька, авторизация сама проходила? У нас везде стоит QIP. Я слышал, что официальный клиент аськи умеет сам проходить авторизацию NTLM.

Насчет Unrecognised users буду иметь ввиду, спасибо.

Ну у меня же домен. Через AD/Kerberos.
НУ поставить то можно... Но все равно чтобы запустить аську или получить почту, надо сначала открыть страничку Эксплорера... А это их напрягает. Раньше аська работала напрямую, без авторизации считай, никто не парился...

Как разрешить?

Realmagnum
Интересный вопрос, если решишь отпишись так как у меня тоже проблема с аутификацией доменных пользователей через AD/Kerberos!

Поглядев твой TP я предпологаю, что аутификация у тебя "не полностью" AD/Kerberos , так как при правильно настроеной аутификации через AD не получается настроить группы в Керио так как они тоже импортируются из AD, но может быть обратное, если ты эти групы создал в AD, тогда всё понятно и правильно!

Я тоже бы хотел чтоб каждый пользователь домена аутифицировался автоматом, а не через страницу браузера, так как и у тебя вообщем все виды аутификации работают у меня "правильно" кроме AD/Kerberos (может я и ошибаюсь, с удовольствием послушал бы ответ всех знающих людей)!

Поэтому я пока извратился с настройками, (не хотел с этим сильно разбираться и меня полностью устраивает как сейчас работает) и сделал так:
Система Win2003SrvEnEdSP2 со всеми обновами на сегодня + Kerio WinRoute Firewall ™ 6.3.0.2683 с лекарством plagiarism, такое же пробывал и на другой системе (канале инета) Kerio WinRoute Firewall ™ 6.3.1 build 2906+ лекарртство от Farby \ Win2003SrvEnEdSp2R2 со всеми обновами на сегодня!
1 привезал каждого пользователя к IP адресу,
2 Импортировал все учётки из AD в Local User Database, а не в свой Домен!!!
3 Создал правило в TP:
Name (Правило Пинг_Local)---Source (Local)---Destition (INET)---Service (PING)---Action (Permit)--Translation (NAT Default...)
4 поставил программкуNetMap (правда это программа у меня стояла давно, так как пользователи привыкли к ней от прежнего админа, да и мне она понравилась, она наглядно показывает есть ли "инет" у данного пользователя) и в ней указал пинг на mail.ru (вообщем не обязательно сюда, главное чтоб на мир пинговалось), в результате аутификация проходит автоматом!
5 В HTTP Policy правило User NAT --- Permit ---All objects--- Block..

6 Если делаю импорт в Керио в свой домен, допустим domen.com, то у меня даже после того что описано віше автоматическая аутификация пользователей не происходит, а вот пинги проходят и весь траффик начисляется Unrecognised users!!! Что ещё интересное у себя обнаружил, если ввести имя пользователя и пароль в браузере, то естественно аутификация проходит успешно, но если потом в консоле админ KWF сделать логоф этому пользователю, то пинги проходят (через несколько сек) и юзер опять аутифицируется и может пользоваться инетом! Но после перезагрузки всёравно нужно вводить пароль и имя в браузере! Вывод из этого я сделал, что хоть раз пользователь должен аутифицироваться на странице аутификации, когда я использовал базу данных домена!

ALL Мне теперь просто интересно как же всё таки сделать правильно аутификацию через домен! Так как у некоторых работает, но у большинства нет, сколько я читал по нету!

Saftor
Если мне не изменяет память, аутентификация (автоматом) происходит при первой попытке доступа к ресурсам Инета, т.е к ДНС. Следовательно, копать надо в направлении кэширования ДНС и Кериовского форвардера. В ТР одно из первых правил должно стоять allow DNS, HTTP, HTTPS для локалки, за ним - разрешение на нужные сервисы для залогинившихся юзеров. Во всяком случае, у меня трафика по Unrecognised users нет совсем. И ещё. старайтесь не сваливать все сервисы (у которых есть и у которых нет протокол-инспектора) в одно правило. ПИ в этом случае может ОЧЕНЬ дурить

andrejvb
У меня тоже нет Unrecognised users совсем (точнее там всё по нулям в статистике), это сегодня появилось, просто прочёл пост Realmagnum и решил ещё раз попробывать может получиться с аутификацией автоматом из AD!

В TP у меня разбито по направлениям (бухгалтерия, инженеры и так далее) так вот у них разрешено всё что нужно им каждому а это (DNS HTTP HTTPS POP3 SMTP ICQ FTP Ping)
Правило на всю локалку делать не хочу!

Всем привет.
Поставил сегодня сабж, врубил НАТ, и, есессно, вся локалка получила доступ в инет. НО мне этого не нужно. а НАТ нужен .
как сделать так, чтобы определенные юзеры не могли ломиться в инет с включенным НАТом?
Спасибо

sk0l
Сегодня поставил, значит сегодня и мануал прочти из шапки!

Name (User можно в инет, те что тебе нужны)---Source (Local)---Destition (INET)---Service (DNS HTTP HTTPS POP3 SMTP ICQ FTP Ping)---Action (Permit)--Translation (NAT Default...)

В HTTP Policy правило User NAT --- Permit ---All objects--- Block..
Ну и обратное этому правилу сделаешь, если хочешь принудительно сделать кто не должен выходить в инет!

Saftor

Цитата:

Правило на всю локалку делать не хочу

Тогда просто сделай правило на всю локалку только с ДНС и поиграй с кэшем

Имеем почти стандартные настройки (2 интерфейса, 1 в инет, 1 в локалку), но поскольку я не являюсь администратором сети, а траффик немного лишний, раздаю его VPN-клиентам, подключающимся со стороны локалки стандартными средствами RAS Windows. Сама же локалка выхода в инет не имеет (ибо нефиг)
При подключении VPN клиенты получают адреса 10.0.100.2-254, VPN-сервер имеет IP 10.0.100.1

Имеем проблему, выражающуюся в следующем: с firewall всё ходит отменно во все стороны, VPN-клиент свободно попадает на firewall (по крайней мере, свободно подключается к прокси), но не попадает в инет через NAT.

В логе filter пишется следующее:
при успешном подключении к прокси:

Код: [28/Jun/2007 02:47:38] PERMIT "VPN ко мне" packet from Dial-In, proto:TCP, len:48, ip/port:10.0.100.3:1463 -> 10.0.100.1:8080, flags: SYN , seq:2103082841 ack:0, win:65280, tcplen:0
[28/Jun/2007 02:47:38] PERMIT "VPN ко мне" packet to Dial-In, proto:TCP, len:48, ip/port:10.0.100.1:8080 -> 10.0.100.3:1463, flags: SYN ACK , seq:1092907514 ack:2103082842, win:16384, tcplen:0
[28/Jun/2007 02:47:38] PERMIT "VPN ко мне" packet from Dial-In, proto:TCP, len:40, ip/port:10.0.100.3:1463 -> 10.0.100.1:8080, flags: ACK , seq:2103082842 ack:1092907515, win:65280, tcplen:0

lordmalder
Аналогичная проблема и то решение что привел snayper7 не помогло. Что делать не знаю
В принципе передернуть сервер не проблема. Но очень беспокоит - не видит ли кто-то из Kerio мой адрес реальный? То есть не пасут ли меня?

vipperpda
lordmalder
sorry, вспомнил
при запуске появилось окно инсталла и пропало через n-секунд, после в temp'e я инсталл запустил и установилось

Меня вот отослали в эту тему с моим вопросом: Как установить в kerio WinRoute Firewall квоту для юзеров на месяц? Обьясните если не сложно и хотябы укажите где конкретно про ето можно почитать. Заранее благодарен!

bober139, в свойствах юзера закладка Quote. Там всё ясно.

Для всех у кого настройки по умолчанию, делаешь так:
Заходишь - users and groups/users/ жмеш кнопку Template.... на закладке Quota ставиш как тебе надо.
Можно индивидуально см - AlOne

застрял на redirecte на страницу в инете переходит а на страницу на диске нет
указываю в керио redirect _www.tyda.ru работает
а если указать C:/etu.html то не пашет (файл на С etu.html есть)

Всем привет и респект. Ребята, как сбросить эту долбаную статистику STAR? В консоли обнуляю трафик по всем пользователям и интерфейсам, вырубаю кабана, а в вебе все равно остабтся прежние данные.
Не пинайте, но правда не нашел...

NegoroX, а это разве похоже на инет-адрес?

Добавлено:
John Smirnov, а логи не пробовал почистить?

AlOne
Непохож, я хотел что бы редирект открывал мой файл с С:\my.html - зто возможно?
Керио версии 6.2.3 2027

народ, будте добры объясните в чем грабли... никак не могу допереть...
разжуйте если не сложно, только сильно ногами не пинайте, пожалуйста...

вобщем есть сетка, сервак-шлюз в инет, на котором стоит керио 6.2.1 build 2906...
на фаере как бы разрешено почти все...
косяк в том, что!
когда в аутлуке вбиваешь мыло на mail.ru или пофигу где, аутлук не может че-то там сделать с smtp серваком...не помню уже... толи не может его найти, толи зайти на него не может...
сами грабли в том, что когда на серваке делаю то же самое - все норм... на локальной тачке - нихера...

нужно отдельное правило для smtp?
как оно должно выглядеть?

Source - Firewall, Lan
Destination - Inet
Services - SMTP
Action - Permit

Так?или нет?или косяк в чем-то еще?

если можете подскажите плиз...что я не учел?
мозги уже закипают=(
заранее благодарен...

Dasky
| pop.mail.ru | pop.mail.ru | permit | nat (default...)
| smtp.mail.ru | smtp.mail.ru |
| user | user |
таким правилом юзер, через NAT будет ходить на mail.ru

Цитата:

John Smirnov, а логи не пробовал почистить?

Пробовал, все логи сносил подчистую. Не помогает. Star-статистика отдельно сохраняется, но как, черт возьми, ее обнулить??

Народ, реально никто не знает, у кого и где бы не спрашивал. Как вариант - снести файлы, в которых все хранится, но это криво. Неужели никому не нужно было сбросить эту статистику? Как решили? Помогите pls.

snayper7
неа, все равно не хочет...
пишет

отправка тестового электронного сообщения: не удается войти на сервер исходящей почты SMTP. Неправильно указано имя сервера, либо сервер требует проверки подлинности или не поддерживает SSL. и тд...

Dasky
| IP компа с аутлуком | интернет | permit | nat (default...)
Работает?

NegoroX
неа...
тоже самое...

Dasky
Встань мышкой на строку которую добавил правой кнопкой кликни
и выбери modifi columns добавь галку протокол инспектор.
опять встаем на строку где прот. инсп. правой кнопкой - отключить
Подними зто правило на самый верх

NegoroX
протокол инспектор я выставил none...
эффект тот же самый...

не, ребят... нихрена я понять не могу...