» Kerio WinRoute Firewall (часть 3)

BadCaT

Цитата:

наверное она стара уже.

Конечно! Она для 6.0, а уже 6.4.2.
А у тебя какая?

websochi
а по айпишникам авторизация не катит?

Цитата:

авторизация юзверей по мак адресу

нет.

Цитата:

Наверное неверно был понят тобой.
Юзер принадлежит домену и в правилах прописываю его (vpupkin@domain.ru). У юзера vpupkin'a прописан в керио статический ip 192.168.0.25.
я НЕ указываю ИМЯ машины.
иль я не понял и где-то кроется тайный смысл.

+

Цитата:

...то установливая галоку specific host ip addresses я наоборот по сути снижаю безопасность, т.к. пользователь аутентифицируется по IP-адресу.

BadCaT
Нет. Это просто "привязка" пользователя к конкретному IP-адресу. Т.е. при выборе (и соотв.настройке) схемы доменной аутентификации а не локальной, пользователь будет аутентифицироваться, как ты выразился, не по IP-адресу, а по домену (Kerberos,NTLM)... но только с конкретного IP-адреса. Так корректнее.

Потом, нужно помнить, что "...в этом случае будет происходить АВТОМАТИЧЕСКАЯ АВТОРИЗАЦИЯ и весь трафик от указанного IP (компа) будет ассоциироваться с данным пользователем и начисляться в его (пользовательскую) статистику". Оригинал

И все-таки, мой совет: проверить ДНС запрос/ответ со стороны сервера и клиента. Возможно, это твой случай.

Кстати, какая версия версия софта?

Цитата:

И все-таки, мой совет: проверить ДНС запрос/ответ со стороны сервера и клиента. Возможно, это твой случай.

Кстати, какая версия версия софта?

Версия софта 6.4.0.3176.
Там, сама машина, на которой установлен винроут нормально резолвит имена, корректно определяет ip.
Но за совет спасибо, в любом случае дело так не оставлю, не нравится мне при живом домене юзать ip-адреса, просто на пока ещё живых в будни юзерах проверять не хочется

ссылку завтра изучу, сегодня уже пиво легло )

Цитата:

Harmss
Есть еще вариант, если уж так важно разделить почтовый трафик, поставить Kerio mail server и всю почту пустить через него. На него поставить отдельную квоту, как на юзера. А юзверам запрететь ходить на сайты почтовых хостов, как полисами в керио, так и приказом по предприятию. У такой схемы работы почтовой системы есть еще и приемущества по безопасности.

Это вообще самый правильный вариант со всех сторон, тк если почт клиент настроен на этот почт сервер, а в полисях зарубить все наши почтовые сайты для юзеров, то и проблема учета решиться, и безопастность увеличиться. Кстати, именно об этом написано в древнючей инструкции по организации доступа к почте "... для корпоративных целей доступ сотрудников к почте осуществляется исключительно через выделенный корпоративный сервер..."

Подскажите, как правильно и безопасно разрешить прослушивание Интернет-радио юзерам за NAT?

Понятно, что:
LAN | WAN | Any | Permit | NAT
не выход, ибо где тут безопасность?

Смотрел через какие и на какие порты ломится AIMP, дык они всегда разные, как у источника, так и у пункта назначения.

Прокси не используется, всё идёт через NAT.

PS: Кстати, я так и не понял, начерта функция прокси вообще может быть нужна, кроме как для кэша? Без прокси ведутся все логи, работают любые правила, настройки и т.д. и т.п. Так в чём смысл её использования в WinRoute?

LINKnv

Цитата:

LAN | WAN | Any | Permit | NAT
не выход, ибо где тут безопасность?

а где тут НЕбезопасность?

Цитата:

начерта функция прокси вообще

дома значит юзаешь..

Цитата:

а где тут НЕбезопасность?

Каждый лишний разрешённый сервис (порт) - это не повышение ли возможного риска? А тут разрешается вообще всё!

Цитата:

дома значит юзаешь..

Ну объясни тогда, чем же таким необходимым обладает прокси в рамках предприятия?

Цитата:

Каждый лишний разрешённый сервис (порт)

точно - дома

Цитата:

необходимым обладает прокси в рамках предприятия

оффтопик здесь.

привет.
много вчитывался в темы про kerio winroute firewall и не нашел ничего похожего с моей проблемой... у меня проблемка такая: пропадает инет у компов в локальной сети(инет раздаётся KWF), когда пропадает инет с машин в локалке, с компа который роутер инет не пропадает(!!!) все работает как обычно(на роутерском компе)! локальные все ресурсы все видятся (пингуется роутер ото всюду), даже ICQ работает с компов где пропал инет (???) лечится ребутом роутерского компа. пробовал лечить перезапуском KWF - не помогает... тока ребут ( и на пару дней тишина, потом опять пропадает инет на компах... хэлп ми! (в логах ничего в еррорсах, алярмах да и вообще нет ничего нигде)
спасиб!

Цитата:

Цитата:всё настроено так как написано, и всё равно выкидывает пользователей на аутентификацию на KWF. Что делать? Может это связано с тем что домен работает в основном режиме 2003 server и в нём ntlm отключена?


Не думаю. У меня тоже 2003 в нэтиве, но работает.
Посмотрите вот где: если пользователь работает не через кериковский прокси, а на прямую, то нужно для авторизации пользователя зайти в Users and Group > Users, выделить пользователя, нажать Edit и в окне Edit User на вкладке IP addresses в разделе Automatic login прилепить к пользователю его комп или просто указать все адреса локалки. Вот тогда не будет выпадать аутентификацию на KWF.
Как альтернатива, можно настроить работу пользователя через прокси, но автоматическая NTLM аутентификацию поддерживается не всеми браузерами. см:
Automatic user authentication using NTLM в Administrator's Guide> Troubleshooting.

Для отладки процесса рекомендую смотреть в Status > Hosts/Users. Если справа от имени хоста написано имя пользователя, то он аутентифицирован, если пусто - то нет. Вы можете его логаутить, после этого менять настройки и снова пытаться аутентифицироваться на автомате.

Дело всё в том, что в сети пользователи не привязаны к конкретному компу, поэтому нужна аутентификация через NTLM. Не прозрачную прокси не очень хотелось бы использовать, т. к. нужно будет дополнительно настраивать проки в прогах.

Когда-нибудь пробовал двум пользователям в керио прописать один и тот же диапазон ip-адресов? Понимая что это полная ерунда я всётаки решил попробовать (надежда умирает последней), прописал одного и все копы стали сразу работать под одним юзером, прописал второго и KWF вылетел с ошибкой. Хорошо что юзеры мапировались из AD, удалил в AD одного из них, и KWF запустился.

В общем снёс я KWF, поставил Trafic Inspector на сервер, на машины юзеров поставил агента TI и всё стало работать как мне и требовалось, без дополнительных аутентификаций.

voodhouse
версия KWF какая?
windows какая?
антивирус стоит?

найден косяк в 64-х битной версии... если делать подключение в интернет через pptp, и указывать настройки ip руками, КВФ всё равно берёт по DHCP. Хотя если это подключение набирать через винду - всё ок...

Win XP
KWF v. 6.4.2 build 3672
антивирь встроенный МакКафи стоит обновляется, работает...

Цитата:

антивирь встроенный МакКафи стоит обновляется, работает

Не могу заставить обновляться, хоть убей.

sibcol
это уже в варезник

Я случайно удалил аккаунт юзера с админскими правами, теперь не могу войти в консоль. Как мне его вернуть?

bytehunter
Ссылка

Yips
Спасибо, но это когда забыт пароль. У меня же удален юзер, наделенный правами администрирования консоли.

Цитата:

<list name="LocalUsers">
<listitem>
<variable name="UUID">900c43c4-1733-47ec-95c1-ade4c1ea2e59</variable>
<variable name="Name">Admin</variable>
<variable name="FullName"></variable>
<variable name="Description"></variable>
<variable name="EMail"></variable>
<variable name="AuthType">0</variable>
<variable name="Password">NUL:</variable>
</listitem>
</list>

Создай что то подобное в UserDB.cfg. Только с UUID не совсем понятно...

Добавлено:
Можеш ещё добавить сторчку

Цитата:

<variable name="Rights">507</variable>

Ruza
Спасибо, попробую. Это из вашего конфига?

Имеется сеть, Wi - Fi точка доступа. Хочу сделать следущее: комп с Kerio смотрит в инет, к нему подключена точка, к точке все остальные компы. Вопрос будет ли керио видеть адреса машин за точкой ?

Цитата:

Вопрос будет ли керио видеть адреса машин за точкой ?

Если на точке не поднимать NAT - то будет видеть.

bytehunter

Цитата:

Это из вашего конфига?

Да. Можно и так сказать.

GufinHalyGaly
Да.

BlackDeveloper
NAT на обычной точке???

Киньте плиз работающий трафик-полиси с интернет провайдером через впн(КОРБИНА).

Никак не врублюсь как настроить трафик-полиси:
обычную выделенку понимаю,
обычный диалап понимаю,
а диалап через впн соединение не понимаю.

Хочется НАТа для локалки, если нет то согласен на прокси с портмапингами...

Итак что имею: сервак с двумя сетевухами -
локалка (LAN - 192.168.*) и внеший от корбины (WAN - 10.2.*).
Имеется сетевое подключение (внешний динамический ip - 74.107.*.*)
через vpn.corbina.net

Вроде всё банально просто для тех кто это настроил.
Так киньте мне или ссылку на готовый трафик-полиси или хоть в текстовом варианте.

Ruza
Да сейчас там стоит нат

GufinHalyGaly
А на фуя??? Зачем керио тогда если можно точкой вырулить или зачем NAT на точке если есть керио?

Тогда если нат поднят на точке доступа то керио них видеть внутри сети не будет.

Ruza
Ну на точке я не смогу расписать квоты, скорости и тд и тп. Я просто пока не в курсе ( не на работе щас) можно ли отключить NAT на точке ( сейчас все компы смотрят в инет через неё)

Добавлено:
Еще вопрос. Что бы не парится с привязками по ip, хочу седлать авторизацию при NAT, делаю все как в хелпе http://kerio-rus.ru/index.php?option=com_content&task=view&id=35&Itemid=47
при этом на клиентской машине инет проходит без проблем, а на машине с креио начинает конектится к веб серваку, но ничего не находит ну и инета нет =(

Добавлено:
разобралсо )

А можно ли настроить WinRoute Firewall так, чтобы, находясь абсолютно в другой подсети, подключаясь через этот прокси, пользоваться всеми возможными протоколами. Пример ситуации: в одном месте имеется машина, подключённая через одного провайдера к интернету с тарификацией по трафику, а в другом месте - через другого провайдера имеется нелимитированный доступ (здесь и установлен WinRoute Firewall). Трафик от(ко) второго(му) провайдера(у) для первого считается внутренним и не тарифицируется. Реально ли полноценно пользоваться трафиком 2-го провайдера посредством WinRoute Firewall?