» Kerio WinRoute Firewall (часть 4)

AlexRT

Цитата:

Подскажите пожалуйста, что это значит?
http://s60.radikal.ru/i169/0902/44/803e12e7d163.jpg

Судя по всему у вас внешние пользователи входят через виндовый VPN в локальную сеть? Тогда не обращайте внимание на эти сообщения, я уже года четыре их игнорирую, и ни чего...


Цитата:

PS и каждый час-два рвется связь, куда смотреть? подключен через adsl модем к стримму, модем вроде не глючит.

Это никак не связано с теми сообщениями. Если у вас adsl модем подключается к провайдеру через авторизацию pppoe, то такой глюк в ряде случаев имеет место быть(например отваливаются удаленные подключения). Скорей всего это что-то у провайдера. Чтобы этого не было нужно подключиться к провайдеру через маршрутизацию. Другими словами заказать у него сеть из минимального количества IP адресов. Обычно провайдеры меньше 16 адресов не выделяют, хотя достаточно 4.


Добавлено:
rumasyan

Цитата:

проблема осталось и после переустановки керио

У вас интересная проблема. Я только не совсем вьехал, вы хотите выпустить пользователей в инет без залогинивания, но при этом считать трафик с привязкой к пользователям? Или вы хотите чтобы клиенты обязательно авторизовались, но на автомате?
Вот если первый случай, то для выпуска в инет пользователей за которыми жестко закреплены IP адреса, я бы в правиле kiosk вместо пользователей написал их адреса, попробуйте. А в пользователях сделал привязку к IP, это вы уже сделали.
Второй случай это целая тема и прокся должна быть включена. Если понадобится, поговорим.

Приветствую!

Два вопросика по квф.

1. Обновил квф с версии 6.2.3 до последнего свежего билда. Стар не заводит поюзерную статистику - т.е. в списке пользователей в интерфейсе КериоСтар есть только один пользователь - "Вход в систему не выполнен". Это очень удивительно, так как на прошлой работе с точно такой же конфигурацией КВФ нормально считал поюзерную статистику. Сильно подозреваю "наследие" от старых версий КВФ. Можно ли как-то почистить это дело, чтобы КериоСтар запустился без переустановки всей системы?

Юзеры у меня включены принудительно, с привязкой к домену 2003.

2. Опять же, после обновления Firefox юзеров не хочет автоматом отправлять на прозрачную проксю-она-же-шлюз данные NTLM. Я вообще часто наблюдаю этот глкюк КВФ - то система прозрачной аутентификации с привязкой КВФ к домену работает нормально, то криво. В чем, собственно, затык и какие именно настройки должны правильно быть выставлены, не известно. В итоге в появляющемся запросе на вводе пароль юзер вводит пароль от компа и нормально продолжает работу в Интернете.

Опыт в настройке КВФ у меня - 5 лет, поэтому я могу гарантировать на сто процентов, что в самом КВФ все настройки стоят правильно. Я на одной из работ даже умудрился добиться идеальной работы этого механизма, но там я принудительно перевел все рабстанции на абсолютно одинаковые виндовсы, установленные с одного дистрибутива, где абсолютно все настройки рулились через ГПО.

Но все равно периодически всплывает косяк с доменной авторизацией через шлюз. Да еще и глюк Стара в придачу. И вообще непонятно, откуда взялся "неизвестный пользователь вход не выполнен", если стоит галочка "принудительная аутентификация", к хосту файера привязан локальный юзер.

Заранее благодарю за помощь.

vimaret
локалка у нас напрямую по DHCP, инет появляется автоматом.
ADSl подключен тоже напрямую, выбит IP (1один IP), шлюз и DNS ручками.
вот скрин интерфейса, не знаю говорит ли он о чем нибудь или нет. http://s44.radikal.ru/i103/0902/0c/86994b490551.jpg

Склоняюсь к косяку провайдера))

AlexRT

Цитата:

Подскажите пожалуйста, что это значит?
http://s60.radikal.ru/i169/0902/44/803e12e7d163.jpg

Отключи нетбиос в настройках сети и не будет стучатся в 137 порт

ToAll

Ко всем своим проблемам понадобилось привязать пользователя интернета к конкретному рабочему месту, т.е., например, пользователь с логином 1 должен логиниться в интернет ТОЛЬКО с компьютера с IP 10.0.0.31, а с на соседних компах его связка логин-пароль работать не должны. Можно ли как-нить это реализовать?

AlexRT

Цитата:

Склоняюсь к косяку провайдера))

Это еще может быть косяк питания. Модем, как правило, обычная мыльница с внешним адаптером. UPS может помочь, а может и нет, все зависит от помех по питанию. Если они очень короткие (миллисекунды), то UPS их не отрабатывает. При этом вся стабилизация питания ложится на само устройство, а адаптеры у (бытовых) модемов "никакие". Попробуйте для эксперимента запитать модем от батарей (аккумуляторов).


Добавлено:
kaskad

Цитата:

Ко всем своим проблемам понадобилось привязать пользователя интернета к конкретному рабочему месту, т.е., например, пользователь с логином 1 должен логиниться в интернет ТОЛЬКО с компьютера с IP 10.0.0.31, а с на соседних компах его связка логин-пароль работать не должны. Можно ли как-нить это реализовать?

Да, но не в Керио, а в Актив Директори, в свойсвах пользователя, на вкладке Account, есть кнопка Logon On To... Вот там можно привязать Юзя к Компу.

kaskad
Можно. Создай группу с IP 10.0.0.31. И группу с усером твоим
Создай правило, что можно ходить в инет с 10.0.0.31 и задай в свойствах что оно справедливо только для группы в которой твой усер. И ниже правило, что нельзя ходить в инет, без привязки по IP но опять же справедливое только для усера.
Нет сейчас Керива под руками - сделал бы картинки и точно назвал менбшки. Если что - послезавтра буду на работе - скажу точнее, если никто не поможет.

HotPaganini

Цитата:

периодически всплывает косяк с доменной авторизацией через шлюз. Да еще и глюк Стара в придачу. И вообще непонятно, откуда взялся "неизвестный пользователь вход не выполнен", если стоит галочка "принудительная аутентификация", к хосту файера привязан локальный юзер.

Я думаю, вы уже это проверили, но на всякий случай, пишу: перебейте пароль на вкладке ActiveDirectory для учетной записи с которой Керио подключается к домену. Возможно он слетел при апгрейде. И еще попробуйте переподключить сервер на котором КВФ к домену, может что-то с доверием случилось.

Коллеги кто можеть дать этому разумное объяснение? Файервол сканирует свою же локалку!!!. Это происходит практически ежедневно 1 - 2 раза в день, время произвольное, подсети и порты разные. Такая байда уже давно, но никаких троянов поймать не могу.
[05/Feb/2009 14:34:26] PORTSCAN firewall="intergate.хххх.ru" hostip="10.0.11.1" hostname="intergate.хххх.ru" log="protocol: TCP, source: 10.0.11.1, destination: 10.0.11.2, ports: 4162, 4164, 4165, 4166, 4167, 4169, 4172, 4181, 4182, 4199, ..." time="Thu Feb 05 14:34:26 2009" username="Admin"
[05/Feb/2009 14:50:29] PORTSCAN firewall="intergate.хххх.ru" hostip="10.0.11.1" hostname="intergate.хххх.ru" log="protocol: TCP, source: 10.0.11.1, destination: 10.0.11.2, ports: 4879, 4882, 4902, 4903, 4906, 4912, 4917, 4918, 4921, 4935, ..." time="Thu Feb 05 14:50:29 2009" username="Admin"

vimaret
как вариант - обновится пытается что нибудь или аська или подобный софт пытаются достучаться до родных серверов

NegoroX

Цитата:

как вариант - обновится пытается что нибудь или аська или подобный софт пытаются достучаться до родных серверов

У меня на сервере нет Асек. Кроме стандартного комплекта 2003 сервака, еще установлены Керио, MySQL, MS Access, ТМетр. А мысль интересная, помониторю MySQL и ТМетр. Может они куда стучат. Я все-таки грешу на сам Керио, но не понимаю зачем ему на самого себя выбрасывать алерты.

vimaret

Цитата:

Да, но не в Керио, а в Актив Директори, в свойсвах пользователя, на вкладке Account, есть кнопка Logon On To... Вот там можно привязать Юзя к Компу.

Сорри, у меня тупо рабочая группа ) AD нет

Germanus

Цитата:

И ниже правило, что нельзя ходить в инет, без привязки по IP но опять же справедливое только для усера.

Суровое правило... Пока не понял, как сделать... Но спасибо за совет, буду пробовать.


Цитата:

Если что - послезавтра буду на работе - скажу точнее, если никто не поможет.

Дождусь, думаю ) Что-то не могу пока логику керио осилить...

kaskad

Цитата:

Сорри, у меня тупо рабочая группа ) AD нет

Ну тогда на каждом компе создать учетную запись только одного Юзя и админа (для Вас) вход строго по паролю. IP на сетевухах прописать или в DHCP привязать по МАС адресу. т.е. все тоже, как и в домене только бегать ногами, а не мышкой.
В керио в правилах выход по IP, а не по пользователям, а в пользователях привязка к IP компьютера для подсчета статистики. У меня и такая схема есть, работает.

kaskad
Можно попробовать с vpn клиентами замутить.
Разрешить выходить только с vpn интерфейса. Написать простенькую инструкцию как настраивать vpn клиента. Эти настройки охраняются в профиле пользователя, т.е. если другой залогинится то ему придетя вводить свой логин.

pilotro
ВПН клиент керио
не предназначен для раздачи Интернета

как правильно закрыть одноклассников?? создал такое правило http://*.odnoklassniki.ru/* , может кто еще что то предложит?

Liderdomofon
ВПН клиент керио предназначен для авторизованного и безопасного соединения с ВПН сервером керио, а раздавать интернет можно хоть черту лысому.
Главное что бы он подключен был к серверу.

AlexRT

Цитата:

как правильно закрыть одноклассников?? создал такое правило http://*.odnoklassniki.ru/* , может кто еще что то предложит?

У меня так: *odnoklassniki* на вкладке URL Groups в HTTP полисах

AlexRT
HTTP Policy
добавить правило
URL начинается с *odnoklassniki.ru*
Deny
В закладке "Дополнительно" можно также переадресовать их на что-нить более соответствующее. Например на http://lleo.aha.ru/na

Здравствуйте .
Вот задался вопросом ,загрузка процессора на шлюзе ,с последним Керио ,колеблится от нулю до почти 20 процентов - это нормально ?!?
Высокая загрузка ЦП появляеться когда с меня тянут по FTP со скорость 10 МБайт/Сек .
Процессор Intel Q9400 ,инспектор протокола на локальный правилах выключен ,включен только на правиле для FTP .
П.С. Рекомендации читал . Сканирование антивирусом выключено ,правила локально траффика в верху списка .

Одноклассники закрывал по диапазону IP.

вот мои правила http://fotki.yandex.ru/users/unetla2/view/21280/
подскажите где возможные ошибки

интерфейс inet смотрит в городскую сеть провайдера
vpn интерфейс 1 при поднятии смотрит в интернет
Как только его поднимаю сразу начинает все тупить работает через раз пинги выростают в общем полный дурдом
что мне от всего этого нужно :
Групе анлим смотреть в inet и в vpn 1
машине с керио смотреть куда угодно
групе админов и серверов смотреть inet
Групе юзеров смотреть в inet по определенным сервисам
Все это в принципи работает но как поднимаю vpn скорость падает и настает полный ппц
Кагбудто машина с керио переключается польностью на vpn 1
что я делаю не так?

Лет 5 назад в конторе ставили файервол, вроде бы Kerio(?). Там можно было посмотреть в виде графика, какая машина сколько сожрала трафика и кто где лазил. Не помните, что за прога может быть. График был в виде круга с разноцветными секторами и адресами машин.

kos

Цитата:

Лет 5 назад в конторе ставили файервол....
что за прога может быть. График был в виде круга с разноцветными секторами и адресами машин.

Вспомнила бабушка про первую ночь, это мог быть MS ISA 2000 или выше, там была хорошая статистика пользователей уже тогда.

Такое дело.... две карты А и Б =)
А инет, В сеть...
мне нужно что бы определенные компы в сети не имели доступ к HTTP
как это реализовать? если обсуждалось, то ткните носом (всю тему не осилил)
Скрин

vimaret
Ты не понял, дедушка, в Kerio есть такое?

kos

Цитата:

Ты не понял, дедушка, в Kerio есть такое?

Да есть, но в старых версия до 6.3 было представлено весьма хило, а вот в ISA даже 2000 весьма не слабо. У меня еще крутится 6.2.2, там конечно, есть этот круг, но графической статистике кто-где лазил, и как часто, там нет, есть только нарезка "пирога" по виду трафика.
Я думал вас интересует хорошая статистика, но давно...
Извините, ежль мал не догнал.

vimaret

Ту прогу ставил мужичек от провайдера, шеф посмотрел, что "сожрал" 80% трафика и сказал снести. Теперь, спустя 5 лет просит вернуть именно ту прогу (у каждого свои за...бы). Попробую ISA 2000. Спасибо за совет.

Можно ли и где/как прописать такое правило, чтобы никто, кроме определенного пользователя (или группы пользователей), сидящих за винроутом не имел доступа к сервису http://maps.google.com ??? Очень нужно!

relictus
Читай здесь!