attaattaatta
сдалал. посмотрим - на сколько хватит
сдалал. посмотрим - на сколько хватит
» Kerio WinRoute Firewall (часть 5)
Как правильно написать правило, если ткое возможно, чтобы запретить локальный трафик от одого пользователя к другому (один user не мог залезть по сети в компьютер к другому)???? Пожалуйсто помогите, очень нужно!!!!!
Походу совсем не умеет Винроут нормально обрабатывать имена хостов в группах адресов (соответственно, ни разрешение ни блокировка по именам тоже не работают).
В качестве эксперимента поставил триал на чистую систему, ничего не изменилось - все как и писал раньше.
Помогает только непосредственное занесение имен хостов в ТП, в результате чего она превращается в простыню (но и так иногда подглюкивает).
М-да... А в доке черным по белому указано - "Type of the new item: Host (IP address or DNS name of a particular host)"
В качестве эксперимента поставил триал на чистую систему, ничего не изменилось - все как и писал раньше.
Помогает только непосредственное занесение имен хостов в ТП, в результате чего она превращается в простыню (но и так иногда подглюкивает).
М-да...
А в доке черным по белому указано - "Type of the new item: Host (IP address or DNS name of a particular host)"reshx
с помощью керио никак, ибо локальный трафик в локалке не идет через шлюз. Хотя м.б. у вас нестандартное построение сети?
это делается средствами самой винды, закрываешь все шары и открываешь нужное нужным пользователям..остальные сасут сасангу (с)
с помощью керио никак, ибо локальный трафик в локалке не идет через шлюз. Хотя м.б. у вас нестандартное построение сети?
это делается средствами самой винды, закрываешь все шары и открываешь нужное нужным пользователям..остальные сасут сасангу (с)
reshx,noloved совершенно прав, локальный трафик потому и локальный, но в принципе можешь прописать маршрут, через дхцп, к этому компу и пустить весь локальный трафик через шлюз и уже там его резать правилами, но это ни есть хорошо.
Цитата:
но это ни есть хорошо.
это ваще жесть...керио сразу ляжет по под такой нагрузкой
Цитата:
это ваще жесть...керио сразу ляжет по под такой нагрузкой
почему он должен лечь ?
Цитата:
noloved, сразу не сразу, но я у себя таким образом ограничил доступ "левых" клиентов в сети к локальной файло-помойке...и знаешь не сильно грузит.
attaattaatta
Tihon_one
есть три компа в локалке + шлюз
как пустить всю локалку через шлюз
только елси все три компа в локалке будут в разных подсетях, т.е. в шлюзе будут 3 LAN сетвеки + 1 WAN, тогда можно, а если компов 50? а если 200?
не надо заставлять делать керио то, что он не может
Tihon_one
Цитата:
а почему не сделал общепринятным способом?
Tihon_one
есть три компа в локалке + шлюз
как пустить всю локалку через шлюз
только елси все три компа в локалке будут в разных подсетях, т.е. в шлюзе будут 3 LAN сетвеки + 1 WAN, тогда можно, а если компов 50? а если 200?
не надо заставлять делать керио то, что он не может
Tihon_one
Цитата:
сразу не сразу, но я у себя таким образом ограничил доступ "левых" клиентов в сети к локальной файло-помойке
а почему не сделал общепринятным способом?
Подскажите. В Пользователи - параметры аутентификации настроена принудительная аутентификация пользователей. Это все устраивает.
Но есть специфический сервис, который должен ходить за обновлениями в инет. Адрес и порт прокси (Керио) указан, но пользователя/пароль в настройках этого сервиса указать нельзя - нет такой фичи. Создаю отдельное правило для выхода в инет для конкретного внутреннего IP на конкретный внешний - не работает.
Как проще решить эту задачу, не сильно меняя текущий конфиг?
Но есть специфический сервис, который должен ходить за обновлениями в инет. Адрес и порт прокси (Керио) указан, но пользователя/пароль в настройках этого сервиса указать нельзя - нет такой фичи. Создаю отдельное правило для выхода в инет для конкретного внутреннего IP на конкретный внешний - не работает.
Как проще решить эту задачу, не сильно меняя текущий конфиг?
Цитата:
а почему не сделал общепринятным способом?
а как это если не секрет?
локальный фтп сервер, который должны использовать только авторизованные на квф пользователи.
Markes
тебе надо авторизовать этот хост на шлюзе, у тебя есть возможность привязать конкретную учётку к этому ипу который юзает специфический сервис?
Цитата:
Но есть специфический сервис, который должен ходить за обновлениями в инет.
Какой протокол использует сервис ?
vogan
может у тебя в автозагрузке анинсталлер стоит?) Вообще, заюзай утилиту Process Monitor от sysinternals, и посмотри что вызывает удаление файлов. Я имею ввиду первоисточник.
может у тебя в автозагрузке анинсталлер стоит?) Вообще, заюзай утилиту Process Monitor от sysinternals, и посмотри что вызывает удаление файлов. Я имею ввиду первоисточник.
Tihon_one
Цитата:
Понятно, что надо авторизовать. Возможность привязать может и есть, но как это сделать?
attaattaatta
Цитата:
80-ый вроде + еще какой-то.
P.S. После ISA не все логично с этим Kerio
Цитата:
тебе надо авторизовать этот хост на шлюзе, у тебя есть возможность привязать конкретную учётку к этому ипу который юзает специфический сервис?
Понятно, что надо авторизовать. Возможность привязать может и есть, но как это сделать?
attaattaatta
Цитата:
Какой протокол использует сервис ?
80-ый вроде + еще какой-то.
P.S. После ISA не все логично с этим Kerio
Markes
Привязывается в настройках пользователя в керио, а вобще ман тебе поможет там это описано.
и попробуй инспектор протоколов выключить для этого правила.
Привязывается в настройках пользователя в керио, а вобще ман тебе поможет там это описано.
и попробуй инспектор протоколов выключить для этого правила.
В сети уже начинают выкладывать версию 6.7.0 может уже кто пробовал?
стоит работает уже.
Недавече в логах обнаружил:
(8300) Starting of avir_nod plugin has failed, next try is planned after 300 seconds.
(8300) Antivirus Server error: Initialization failed: Error loading scanner DLL (998)
(8302:24) AvPlugin failed to initialize: Error loading scanner DLL (998)
как побороть?
(8300) Starting of avir_nod plugin has failed, next try is planned after 300 seconds.
(8300) Antivirus Server error: Initialization failed: Error loading scanner DLL (998)
(8302:24) AvPlugin failed to initialize: Error loading scanner DLL (998)
как побороть?
Vadimka_DDD
Останови kwf, удали avir_nod.dll из директории avirplugins потом переставь kwf. должно помочь.
Останови kwf, удали avir_nod.dll из директории avirplugins потом переставь kwf. должно помочь.
Tihon_one
Цитата:
Пользователя Kerio? Так мне как раз надо разрешить доступ наружу без указания какого-либо пользователя.
Цитата:
Привязывается в настройках пользователя в керио
Пользователя Kerio? Так мне как раз надо разрешить доступ наружу без указания какого-либо пользователя.
блин!! привяжи к имени пользователя ip адрес этого хоста.
Цитата:
80-ый вроде + еще какой-то.
Вот про "ещё какой-то" тебе виднее конечно, я имел ввиду протокол, а не порт, если прога лазит по http, то ниже см. рис. + правила в естественно в политике трафика.
Цитата:
Пользователя Kerio? Так мне как раз надо разрешить доступ наружу без указания какого-либо пользователя.
При подсчете статистики, трафик сервиса будет выглядеть как от пользователей не прошедших проверку. На будущее, чтобы не пугался =)
помогите с мапингом портов
нужно на почтовый сервер внутри локалки замапить 110 и 25
и еще на один локальный замапить RDP
сделал два правила
1.
source = WAN
destination = Firewall
service = POP3,SMTP
ALLOW
MAP to 192.168.0.17
connection.log
[05/Aug/2009 16:58:04] [ID] 766 [Rule] Служба POP3 [Service] POP3 [Connection] TCP wimax-client.yota.ru:1773 -> 192.168.0.17:110 [Duration] 121 sec [Bytes] 144/0/144 [Packets] 3/0/3
[05/Aug/2009 16:58:04] [ID] 764 [Rule] Служба SMTP [Service] SMTP [Connection] TCP wimax-client.yota.ru:1771 -> 192.168.0.17:25 [Duration] 122 sec [Bytes] 544/670/1214 [Packets] 11/8/19
[05/Aug/2009 16:58:09] [ID] 767 [Rule] Служба SMTP [Service] SMTP [Connection] TCP wimax-client.yota.ru:1774 -> 192.168.0.17:25 [Duration] 122 sec [Bytes] 464/670/1134 [Packets] 9/8/17
filter.log
[05/Aug/2009 16:56:08] PERMIT "Служба SMTP" packet from WAN, proto:TCP, len:40, ip/port:94.25.179.91:1774 -> 82.138.222.111:25, flags: ACK , seq:1754127579 ack:1327279413, win:65193, tcplen:0
[05/Aug/2009 16:56:08] PERMIT "Служба SMTP" packet from WAN, proto:TCP, len:40, ip/port:94.25.179.91:1774 -> 82.138.222.111:25, flags: FIN ACK , seq:1754127579 ack:1327279413, win:65193, tcplen:0
[05/Aug/2009 16:56:08] PERMIT "Служба SMTP" packet to WAN, proto:TCP, len:40, ip/port:192.168.0.17:25 -> 94.25.179.91:1774, flags: ACK , seq:1327279413 ack:1754127580, win:65439, tcplen:0
[05/Aug/2009 16:56:12] PERMIT "Служба POP3" packet from WAN, proto:TCP, len:48, ip/port:94.25.179.91:1773 -> 82.138.222.111:110, flags: SYN , seq:1037328579 ack:0, win:65535, tcplen:0
2.
source = WAN
destination = Firewall
service = RDP
ALLOW
MAP to 192.168.0.1
connection.log
[05/Aug/2009 18:57:59] [ID] 899 [Rule] Служба RDP [Service] RDP [Connection] TCP ppp-111-222.utech.ru:4977 -> 192.168.0.1:3389 [Duration] 90 sec [Bytes] 144/0/144 [Packets] 3/0/3
[05/Aug/2009 18:58:46] [ID] 901 [Rule] Служба RDP [Service] RDP [Connection] TCP ppp-111-222.utech.ru:1060 -> 192.168.0.1:3389 [Duration] 91 sec [Bytes] 144/0/144 [Packets] 3/0/3
filter.log
[05/Aug/2009 18:57:25] PERMIT "Служба RDP" packet from WAN, proto:TCP, len:48, ip/port:80.86.111.222:1060 -> 82.138.222.111:3389, flags: SYN , seq:1255127010 ack:0, win:65535, tcplen:0
[05/Aug/2009 18:57:25] PERMIT "Служба RDP" packet to LAN, proto:TCP, len:48, ip/port:80.86.111.222:1060 -> 192.168.0.1:3389, flags: SYN , seq:1255127010 ack:0, win:65535, tcplen:0
не мапятся
нужно на почтовый сервер внутри локалки замапить 110 и 25
и еще на один локальный замапить RDP
сделал два правила
1.
source = WAN
destination = Firewall
service = POP3,SMTP
ALLOW
MAP to 192.168.0.17
connection.log
[05/Aug/2009 16:58:04] [ID] 766 [Rule] Служба POP3 [Service] POP3 [Connection] TCP wimax-client.yota.ru:1773 -> 192.168.0.17:110 [Duration] 121 sec [Bytes] 144/0/144 [Packets] 3/0/3
[05/Aug/2009 16:58:04] [ID] 764 [Rule] Служба SMTP [Service] SMTP [Connection] TCP wimax-client.yota.ru:1771 -> 192.168.0.17:25 [Duration] 122 sec [Bytes] 544/670/1214 [Packets] 11/8/19
[05/Aug/2009 16:58:09] [ID] 767 [Rule] Служба SMTP [Service] SMTP [Connection] TCP wimax-client.yota.ru:1774 -> 192.168.0.17:25 [Duration] 122 sec [Bytes] 464/670/1134 [Packets] 9/8/17
filter.log
[05/Aug/2009 16:56:08] PERMIT "Служба SMTP" packet from WAN, proto:TCP, len:40, ip/port:94.25.179.91:1774 -> 82.138.222.111:25, flags: ACK , seq:1754127579 ack:1327279413, win:65193, tcplen:0
[05/Aug/2009 16:56:08] PERMIT "Служба SMTP" packet from WAN, proto:TCP, len:40, ip/port:94.25.179.91:1774 -> 82.138.222.111:25, flags: FIN ACK , seq:1754127579 ack:1327279413, win:65193, tcplen:0
[05/Aug/2009 16:56:08] PERMIT "Служба SMTP" packet to WAN, proto:TCP, len:40, ip/port:192.168.0.17:25 -> 94.25.179.91:1774, flags: ACK , seq:1327279413 ack:1754127580, win:65439, tcplen:0
[05/Aug/2009 16:56:12] PERMIT "Служба POP3" packet from WAN, proto:TCP, len:48, ip/port:94.25.179.91:1773 -> 82.138.222.111:110, flags: SYN , seq:1037328579 ack:0, win:65535, tcplen:0
2.
source = WAN
destination = Firewall
service = RDP
ALLOW
MAP to 192.168.0.1
connection.log
[05/Aug/2009 18:57:59] [ID] 899 [Rule] Служба RDP [Service] RDP [Connection] TCP ppp-111-222.utech.ru:4977 -> 192.168.0.1:3389 [Duration] 90 sec [Bytes] 144/0/144 [Packets] 3/0/3
[05/Aug/2009 18:58:46] [ID] 901 [Rule] Служба RDP [Service] RDP [Connection] TCP ppp-111-222.utech.ru:1060 -> 192.168.0.1:3389 [Duration] 91 sec [Bytes] 144/0/144 [Packets] 3/0/3
filter.log
[05/Aug/2009 18:57:25] PERMIT "Служба RDP" packet from WAN, proto:TCP, len:48, ip/port:80.86.111.222:1060 -> 82.138.222.111:3389, flags: SYN , seq:1255127010 ack:0, win:65535, tcplen:0
[05/Aug/2009 18:57:25] PERMIT "Служба RDP" packet to LAN, proto:TCP, len:48, ip/port:80.86.111.222:1060 -> 192.168.0.1:3389, flags: SYN , seq:1255127010 ack:0, win:65535, tcplen:0
не мапятся
Цитата:
не мапятся
Все пакеты идут куда надо ? Проблем нет судя по логам, единственное можно предположить, что обратные пакеты не знают куда или просто не разрешено
attaattaatta
спасибо что откликнулись
я по аналогии с тем правилом что он создал - сделал свои
нужны еще какие-то дополнительные?
Цитата:
на той машине откуда пакеты достаточно указать в качестве шлюза компьютер с kerio?
Цитата:
это правило вроде разрешает им:
source = Firewall, доверенный/локальный
destination = Firewall, доверенный/локальный
service = любой
ALLOW
спасибо что откликнулись
я по аналогии с тем правилом что он создал - сделал свои
нужны еще какие-то дополнительные?
Цитата:
пакеты не знают куда
на той машине откуда пакеты достаточно указать в качестве шлюза компьютер с kerio?
Цитата:
или просто не разрешено
это правило вроде разрешает им:
source = Firewall, доверенный/локальный
destination = Firewall, доверенный/локальный
service = любой
ALLOW
t1amat
Цитата:
да!
скорее всего на компе на котором крутиться почтовик шлюз по умолчанию неправильно прописан, если не разберешься сам выкладывай ipconfig /all с него
Цитата:
на той машине откуда пакеты достаточно указать в качестве шлюза компьютер с kerio?
да!
скорее всего на компе на котором крутиться почтовик шлюз по умолчанию неправильно прописан, если не разберешься сам выкладывай ipconfig /all с него
Цитата:
скорее всего на компе на котором крутиться почтовик шлюз по умолчанию неправильно прописан, если не разберешься сам выкладывай ipconfig /all с него
на почтовике шлюз правильно прописан
попробовали на него маппнуться по RDP - работает
на другом компьютере, куда хотели по RDP мапиться до этого - действительно не тот шлюз был
а с почтовиком пока засада, когда мы пытаемся извне получить с него почту через outlook он считает что это relay через firewall и не отдает
Привет всем! такой вопрос, провайдер дал основной айпишник(реальный) и три дополнительных в другой подсети(тож реальные), и на один из них прописал обратную зону(на основной они типа не прописывают), на шлюзе стоит kerio раздает инет в сеть и mdaemon почтарь. (все стоит на одном компе т.к. другой провайдер раньше обратную зону прописывал на основной айпишник). Вопрос заключается в том как раздать керио реальные айпи в сеть или как можно все на одном компе замутить (больше всего хотелось бы)?
t1amat попробуй нестандартный порт какой-нибудь, и промапить его на норм. порт почтовика.
Народ, никто не замечал такой проблемы: версия 6.5.2 нормально авторизует доменных пользователей ч/з NTLM, а v6.6.0 и 6.7.0 - нет? Выскакивает виндовое окошко "подключение к серверу %server%". Если отменяю обязательную регистрацию - то проходит, но пользователь не определяется.
Знаю, что тема замусолена, не бейте больно...
Народ, никто не замечал такой проблемы: версия 6.5.2 нормально авторизует доменных пользователей ч/з NTLM, а v6.6.0 и 6.7.0 - нет? Выскакивает виндовое окошко "подключение к серверу %server%". Если отменяю обязательную регистрацию - то проходит, но пользователь не определяется.
Знаю, что тема замусолена, не бейте больно...
ta_chi, читай базу знаний на сайте керио....а по быстрому, на клиентах добавь в зону интранета хост квф.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: CISCO ROUTER Проброс группы портов
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.