» Kerio WinRoute Firewall (часть 3)

Цитата:

Ты о чём?

пк используется не тока как шлюз поэтому и стоит ess для контроля приложений
к примеру какое-то ПО захочет выйти в инет по :80 или по другому который в кере закрыть незя ess не даст ему это сделать. в принципе в шапке и про фаер и антивирус написано. но это не главное вернёмся к керио

Цитата:

Его не надо ставить он по умолчанию включен

всё правильно ты говоришь о Protocol Inspector а я спутал с Proxy Inspector

Цитата:

Правило покажи.

вот такие , всё работает , но когда соединяется ssl доходит до авторизации аккунта и болт

Цитата:

Сертификат установлен на клиенте?
Хост керио должен быть в доверенных узлах.

сертификат (xxx.crt который в sslcert) импортирум в браузер на клиенте ???
в доверенных узлах должен стоять узел куда идёт соединение и адреса керио и его клиента ???
да и в продолжение темы ещё хочу спросить
cертификат куда импортировать в личные или ...
если я включу тунелирование и форвард на публикующиеся https прокси
то authentication надо в каких случаях включть
и какая разница между direct access и winroute proxy server

Господа подсобите с такой задачей:
есть доменная сетка на 2003 серваке,на домене стоит керио.
есть 4 группы юзверов - все должны ходить по локалке(внутри разграничение средствами домена)
1 група - ходит кругом+торенты
2 группа - ходит кругом но с ограниченной скоростью(пробывал бандвыдз - ставил
ограничилово по скорости 4 кБ - чет не работало для выбранных юзверов или не так настроил)
3 группа - токо пошта
4 группа - впавшие в немилость или злостные нарушители - токо по локалке

И еще вопрос - почему пошта не отправляется
Скорость передачи очень маленькая и в конце такой месадж
!20.06.2008, 09:25:51: FETCH - З'єднання з сервером перервано (останні передані команди: "DATA", "RSET")
Если можно побыстрее,очень срочно надо.
Заранее премного благодарен за помощь

MagistrAnatol

Цитата:

Господа подсобите с такой задачей:
есть доменная сетка на 2003 серваке,на домене стоит керио.

Я посылал вам ответ на ваш прошлый вопрос как раз по почте и торентам, он на 124 странице форума, вы его посмотрели?

vimaret
я извиняюсь не смотрел,торенті я настроил сам за почту сейчас посмотрю,пасиб.
А как насчет разграничения доступа по группам?

Добавлено:
ЖМайл тоже заработал.
У меня есть еще есть один ящик на сервере прова,и когда отправляю почту из него
такая вот хрень получается.Причем проблема в основном с письмами больше 100 к
По поводу статического айпишника - вопрос дохлый - кантора не проплатит корпоративное подключение на 2 гига - дороговато,я сижу на хоум пакете,пока-что на 128 буду переходить на 2 гига,как токо пров разродится на оптику.
И как правильно настроить бандвыдз чтобы резалось все кроме почты?

dawwab
А что ты хотел сказать первым правилом на картинке?

Цитата:

сертификат (xxx.crt который в sslcert) импортирум в браузер на клиенте ???

Да

Цитата:

в доверенных узлах должен стоять узел куда идёт соединение и адреса керио и его клиента ???

В доверенных ТОЛЬКО узел керио

Цитата:

cертификат куда импортировать в личные или ...

Пофик.

Цитата:

если я включу тунелирование и форвард на публикующиеся https прокси
то authentication надо в каких случаях включть

Я не уверен в работе авторизации в шифрованном протоколе.

Цитата:

и какая разница между direct access и winroute proxy server

Разница между NAT и Proxy тебе понятна?
MagistrAnatol

Цитата:

я извиняюсь не смотрел

А нафига смотреть! Можно достать всех вопросом.

Ruza
vimaret
еще такой вопрос- как правильно настроить ДНС форвард - у меня 2003 сервак+керио -
че где надо проставить?Подробно как для идиота я с серверами токо разбираюсь и могу тупить слегка


Добавлено:
Ruza
Ты не совсем прав - в том вопросе я спрашивал о жмайле - там ваще пошта не отправлялась,а сейчас не идет почта через прова,хотя раньше бегала без проблем.
И я не флудил задавая один и тотже вопрос

MagistrAnatol
...

Цитата:

В доверенных ТОЛЬКО узел керио

если правильно понимаю, то на клиенте в доверенный узел, добавляю пк с kerio winroute
а на самом kerio что не надо добавлять доверенный узел
и при добавлении узла надо ли вкл. пункт - Для вcex yзлoв этoй зoны тpeбyeтcя пpoвepкa cepвepoв ( https: ) ???
если вкл. forward на прокси и включаю direct access то запрос идёт сразу на прокси указаный в форвард а если вкл. winroute proxy то запрос идёт сначала на winroute а потом на прокси указаный в форвард ???

включил кеш везде где есть слово кеш кроме always validate files cache
не ставил галку Use server supplied TTL т.к. стоит HTTP protocol TTL 10 day(s) верно???
При повторном открытии страницы загрузка происходит значительно быстрей,
но если откл. от инета то страница не открывается. Но ведь если страница попала в кеш winroute то почему она не открывается пусть даже частично то что в кеше ???

snayper7
серва чет их сдох

Добавлено:
господа, не подскажете что за непонятки с подлючение PPPoE

Telekom - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 91.124.229.71
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 91.124.229.71
DNS-серверы . . . . . . . . . . . : 195.5.46.12
195.5.46.10
NetBIOS через TCP/IP. . . . . . . : отключен
в свойствах подключения в сетевом окружении NetBIOS через TCP/IP - стоит включен
а ДНС серверы в форвардах ДНС сервера 2003 винды не совсем ети адреса стоят ???

я себе сделал так, там где в настройках соединения DNS-серверы поставил ip пк с winroute и выкл. регистрировать имена
в керио вкл dns forwarding и вбил dns сервера (не обязательно провайдера)
всё работает, но иногда при подключении идёт атака DNS cache poisonig с dns серверов
но возможно что-то не так выставил хочу про dns почитать а керио рус в ауте

Ruza к тебе вопросы выше чирканул как прийдёшь ответь

MagistrAnatol


Цитата:

Ruza
vimaret
еще такой вопрос- как правильно настроить ДНС форвард - у меня 2003 сервак+керио

Ты форум читаешь? Нашёл у кого спросить!!! Поосторожней надо, а то опять несколько страниц жарких споров...
Почитай 3-5 последних странички по поводу ДНС. И определись что ты хочеш. Т.к. я сторонник настройки отдельного ДНС сервера, а не пересылки.
dawwab
Что ты хочеш от этого правила?

По поводу запрета передачи файлов через ICQ, обсуждали на форуме внутри региона, вот такие варианты к тому, что предложено выше:
1. Использовать клиент в котором отсутствует возможность передачи файлов, завести на прокси учетную запись которой разрешить доступ к серверам icq, остальным запретить. Пропускать клиентов к серверам icq только через эту запись.
2. Подрезать скорость по порту до 1 кб сек проблему не решит но попробовав пару раз пользователи сами перестанут

MagistrAnatol

Цитата:

как правильно настроить бандвыдз чтобы резалось все кроме почты?

Bandwidth Limiter>Advanced...>Вот там и рулите параметрами.

Цитата:

в свойствах подключения в сетевом окружении NetBIOS через TCP/IP - стоит включен

В свойствах Telekom - PPP адаптер или NET - Ethernet адаптер?

Цитата:

а ДНС серверы в форвардах ДНС сервера 2003 винды не совсем ети адреса стоят ???

Так PPPoE по умолчанию присваивает все параметры адаптеру динамически в процессе авторизации. Можно конечно повыначиваться с настройками TCP/IP в свойствах PPPoE звонилки, но лучший способ это маршрутизация сети. (Я уже писал.) Как правило с провом можно договориться о нестандартных подключениях. А PPPoE это решение для домашней сети. В корпоративной всегда какой-нить глюк на нем вылезит, причем неожиданно. То на банках, то на удаленных торговых точках с 1С-кой под цитрихом.

Цитата:

1 група - ходит кругом+торенты
2 группа - ходит кругом но с ограниченной скоростью....

Для начала нужно правильно настроить авторизацию пользователей/групп, а затем уже раздать им права.
См. Help, там все есть, но к сожалению разбросано по темам, Нужно начать с User Authentication и пройтись по всем гиперссылкам. Народ выкладывал сдесь ссылки на другие ресурсы, но я их не помню, поищите по форуму.

vimaret
юзеры у меня тупо авторизируються по айпишнику.
Доменная сетка ето конечно хорошо,но при авторизации по АД нифига не видно кто куда полез, а у меня в народа есть маничка пересесть за чужой свободный комп.

Цитата:

В свойствах Telekom - PPP адаптер или NET - Ethernet адаптер?

PPPoE адаптер.Просто пров мне продиктовал одни ДНСи а подключение в динамике
схватывает другие,хотя ето конечно вопрос больше к прову.
По поводу бандвыдза -какой именно размер подразумевает разработчик после которого срабатывает обрезка?Если я ставлю ограничилово по квоте,то как там и написано - режеться все,а моя задача обрезать нафик все кроме почты.

MagistrAnatol

Цитата:

но при авторизации по АД нифига не видно кто куда полез, а у меня в народа есть маничка пересесть за чужой свободный комп.

Ну почему-же, наоборот в статистике керио подсчет идет на пользователя. А переседание юзверов на другой комп, это вопрос административный, а не сисадминский. Каждый авторизованный пользователь ответственен за свой траф и должен бдить, чтобы никто другой под ним не работал, т.е. корректно разлогиниваться, иначе всех собак на него.

Цитата:

По поводу бандвыдза -какой именно размер подразумевает разработчик после которого срабатывает обрезка?Если я ставлю ограничилово по квоте,то как там и написано - режеться все,а моя задача обрезать нафик все кроме почты.

Это вообще сложная тема. Если вы хотите выделить почту в отдельную категорию, или даже хотите резать HTTP, но не трогать почту по HTTP, то поройтесь поиском по форуму. Здесь много об этом говорили, где-то в начале года. Если у вас почта по POP3/SMTP, то просто поставьте их в исключения в , бандвич лимитере и сделайте отдельные правила в трафик полисах, чтобы почта ходила без авторизации пользователей.

vimaret
у меня все идут по поп3 протоколу.
пасиб щас будем мутить

MagistrAnatol

Цитата:

По поводу бандвыдза -какой именно размер подразумевает разработчик после которого срабатывает обрезка?Если я ставлю ограничилово по квоте,то как там и написано - режеться все,а моя задача обрезать нафик все кроме почты.

HTTP-Policy - > правило deny all object
pop3, smtp, icq и много другого можно разрешить в Trafic policy

З.Ы. не изящно, но должно работать, клиенты по HTTP ходить не будут, а почту и аську юзать смогут...

Добрый день.
Ситуация такая, Стоит КВФ 6.4.2 "честный". Включен непрозрачный прокси, у юзеров в настройках браузера соответственно на него стоит ссылка. Приложения, типа Аськи, ДрВеба, апдейтов всяких, авторизуются через этот же непрозрачный прокси под своими учетными данными.
Однако в статистике по трафику весь трафик сыплется на "unrecognized user".
Почему?

ArChIvarIuS
а авторизация то по логину и паролю включена?

ArChIvarIuS

Цитата:

Однако в статистике по трафику весь трафик сыплется на "unrecognized user".
Почему?

Скорее всего где-то ошибка в трафик полисах и ваши "типа Аськи, ДрВеба, апдейтов всяких" идут в инет не через те правила, которые вы для них написали, а через какие-то общие, типа Any Any Permit. Надо посмотреть в Connections, что и через какие правила ходит. А также включить сбор статистики на правилах, и смотреть в Status.

ArChIvarIuS
для адекватной оценки ситуёвины в студию:
1. Trafic policy
2. HTTP polycy
3. Проверить наличие количества юзверей (их количество должно быть отлично от 1)
4. Наличие у пользователей логина пароля (или автологина на фаерволи либо по IP)

ArChIvarIuS

Проблема в том, что твои пользователи не авторизуются. У меня у самого стоит такой же керио и я тоже мучался с это проблемой. Ты лучше скажи как у тебя аутентификация проходит? Пользователи из АД берутся или ручками всех вбил в БД Керио?

1. Авторизация идет только по логину и паролю. Выскакивает диалог виндовой.
2. ПОльзователей более 1 (30 человек), вбиты руками, пароли есть у всех. АД не поднята, домена нет.

Так а страница авторизации самого Керио выскакивает? Или сначала виндовый диалог, а потом керио?

Выскакивает виндовый диалог. Страница Веб-интерфейса керио не выскакивает. Это если есть у юзера прямое указание на прокси в настройках подключения.
З.Ы. не пинайте сильно, как вставить картинку? (policies показать)

ArChIvarIuS

Мутно у тебя все как-то. Вот ссылка по настройке Керио без домена http://kerio-rus.ru/index.php?option=com_content&task=view&id=34&Itemid=44

Вкратце. Advanced Options - Web Interface ставим галочку Enable HTTP Inteface. Порт можно не менять. Указываешь имя сервака, она не обязательно должно совпадать с именем машины, на которой стоит керио. Юзер должен будет зайти на страницу http://server:4080 для того что пройти авторизацию. В настройках Authentication Options поставить галочки на Enbale user authentication automatically... и Always require users to be... После этого должно заработать все. Да и в трафик полиси в NAT-Source: подключение по локальной сети замени на Autheticated Users. Если виндовое окошко продолжит выскакивать то в свойствах ие безопасность-местная интрасеть-узлы-дополнительно-добавь имя сервака керио (не машины, а сервера, в данном примере server)

spartak1935

Подскажи, пожалуйста, каким образом мне выложить скриншоты traffic pollicies.
Если логиниться через веб-интерфейс, как ты предлагаешь, тогда, почему-то весь траффик с данной машины падает на пользователя, который первый залогинится через
http://server:4080. При этом не имеет значения, что в настройках, например апдейта DrWeb черным по белому прописано 192.Х.Х.Х:3128 user password.
Enable HTTP Inteface - галка стоит изначально, но задача стоит сейчас использовать непрозрачный прокси.
Enable user authentication automatically - это зачем?
Always require users to be... - стоит галка

Цитата:

Подскажи, пожалуйста, каким образом мне выложить скриншоты traffic pollicies.

Выложи ее на какой-нить общедоступный ресурс и дай ссылку.


Цитата:

Если логиниться через веб-интерфейс, как ты предлагаешь, тогда, почему-то весь траффик с данной машины падает на пользователя, который первый залогинится через
http://server:4080.

А как ты хочешь? Я что-то не очень понимаю. Либо пусть пользователь сам разлогинивается в керио, либо можно написать скрипт и повесить его на логофф, чтобы при выходе из системы выполнялось разлогинивание, либо автоматичекий таймаут логофф поставить.
Потом у нас с тобой ситуация изначально разная, у меня поднят домен и пользователи ходят через нат. У меня все работает на ура. Юзеры при заходе на _http://server:4080 автоматически авторизуются благодаря NTLM, переходят на страницу своей и статистики и дальше ходят бродят по инету, а у меня в логах корректно отображается куда и зачем.

"А как ты хочешь? Я что-то не очень понимаю. "

Я хочу, чтобы при каждом открытии браузера у пользователя запрашивались учетные данные на доступ в инет. Добиться я этого могу, тока если ходить в инет через непрозрачный прокси-сервер. Но в такой конфигурации у меня статистика по объему трафика не работает в разрезе пользователей, при этом статистика по ресурсам и количеству посещений в разрезе юзеров работает отлично.
Еще, я хочу, чтобы хождение пользователя по инету было под одной учетной записью, обновление ДрВеба под другой, Электронная отчетность по третьей. Причем учет должен вестись одновременно для каждого из процессов, для этого на закладке Autentification options стоит галка "Force non-transparent proxy autentification..."
Эта галка мне необходима, т.к. есть тонкие клиенты, работающие в терминале на одном сервере.
Для этого я в каждой проге настроки прописал для доступа с ее личной учеткой.
Проги авторизуются через непрозрачный прокси-сервер и нормально работают. Но в логи не попадают. В логи попадает правило NAT (по нату для локалки открыто только POP3 и SMTP), либо Firewall Traffic.

Цитата:

Я хочу, чтобы при каждом открытии браузера у пользователя запрашивались учетные данные на доступ в инет. Добиться я этого могу, тока если ходить в инет через непрозрачный прокси-сервер.

Это работает и через нат, и через проксю.

Трафик полиси выложи.