» Kerio WinRoute Firewall (часть 5)

Kerio 6.6.0. build 5729

Я тут правило в HTTP POLUCY создал : Группа X может лазить на URL (Группа Y)

Не работает правило , не могу понять что такое ! Группа X лазает куда хочет !!!

Mistique
лучше банить по порту 5190

vov4ikH
в правиле на вход сделай мапинг на ip компа с банк-клиентом
А вообще, уверен что не нужны другие средства для данной программы?

Добавлено:
bartenev
ну собственно о чем и говорили. Поддержка только с версии 6.7.0

Цитата:

Добрый день ВСЕМ!!! Помогите пожалуйста! Ситуация следующая: есть программулина из банка для получения выписок, ей необходим порт 24555, его нужно открыть. В политике прописываю
"выход" LAN>Internet>24555>Permit>translate IP adress outgoing interface
"вход" Internet>LAN>24555>Permit

Вход то на кой прописывать?.. а если прописываешь то и туннель делай..
метода диагностики банковских программ проста..
делаешь правило:
Машина с клиент-банком>Internet>*>Permit>translate IP adress outgoing interface +и пакеты и соединения
пытаешься зайти...
заходишь-смотришь по логам что нужно реально оставить, обрезаешь, повтор захода..
НЕ ЗАШЕЛ если-то это уже веселее... принцип хотя тот же.. вообще входящие соединения используют сравнительно мало сервисов,а уж банк клиентов вообще ни одного не видел...


Добавлено:

Цитата:

Я тут правило в HTTP POLUCY создал : Группа X может лазить на URL (Группа Y)

ага... а ниже правило небось ВСЕ ВСЕМ.
лог на правила поставьте, и идите от клиента из группы X на адрес НЕ ИЗ группы Y...
посмотрите что будет в filter-лог падать... то есть увидите какое правило отрабатывает с ALLOW...
увидите ошибку и исправите.

vov4ikH
я бы сделала так, например:
"вход" Internet>firewall>24555>Permit - translate IP...

Цитата:

Mistique
лучше банить по порту 5190

ага... даже 2005 аська умела ходить и через прокси и по НТТР, матчасть учите... это фуфло а не способ

Цитата:

vov4ikH
в правиле на вход сделай мапинг на ip компа с банк-клиентом

клевый банк клиент с технологией PUSH!...)


Добавлено:

Цитата:

vov4ikH
я бы сделала так, например:
"вход" Internet>firewall>24555>Permit - translate IP...

опять двадцать пять...
вы в логику вникните! это правило подразумевает что БАНК вам ШЛЕТ пакеты! ни один банк так не работает. они не почтовый сервер, чтобы всем рассылать... да и ваш клиент тоже, чтобы слушать платежки от банка ПОСТОЯННО...
ну бред же..

Mistique
Сор.. точно бред.
Это мы запрашиваем у банка... и на вход правила вообще не нужно.

Так как мне быть, как открыть этот порт?
Может быть проблема в том, что у меня не прозрачный прокси, с авторизацией по http, хотя в программулине ставлю авторизацию.

Цитата:

Так как мне быть, как открыть этот порт?

ну правильно же все по идее.

"выход" LAN>Internet>24555>Permit>NAT по умолчанию. программа вообще не по HTTP бегает. на крайний случай авторизуйте отдельным логином, логи посмотрите... ну тривиальная же задача. вы таких по 10 за день должны уметь делать

что тривиальная, это факт, но неработает, телнет тож не конектится на 24555 порт...

логи настройте и смотрите там... это не госбюджет, пакеты никуда пропасть не могут...

progmike


Цитата:

остается только керио. рекомендую сделать так:
в таблице правил керио, самое нижнее правило (запрещающее) в колонке Журналирование включи регистрацию пакетов.

далее устанавливай ВПН подключение с клиента и запусти вечный пинг с клиента на:
1. адрес ВПН адаптера на сервере (172.27.178.1)
2. адрес локального интерфейса сервера (10.24.1.15)
3. адрес любого компа в сети (например 10.24.1.20)

и смотри в керио протокол filter. по идее будешь видеть все свои пинги со словом DENY. а там уже смотри откуда они приходят и почему адрес-источник не попал в разрешающие правила

Вот лог пинга.
[13/Jul/2009 14:29:34] PERMIT "Локальный трафик" packet from VPN client Admin, proto:ICMP, len:60, ip:172.27.178.2 -> 10.24.1.12, type:8 code:0
[13/Jul/2009 14:29:34] PERMIT "Локальный трафик" packet to lan, proto:ICMP, len:60, ip:172.27.178.2 -> 10.24.1.12, type:8 code:0
судя по нему всё разрешено, а тачка не пингуется... я вообще в ступоре..
может как-то маршрутизацмя влияет всё-таки?

Цитата:

ага... даже 2005 аська умела ходить и через прокси и по НТТР, матчасть учите... это фуфло а не способ

с таким же успехом обойдут и твою блокировку по
Цитата:

*.blue.aol.com

. Собственно даже проще найти альтернативный сервер icq.
имхо, лучший вариант по порту


Цитата:

Цитата:
vov4ikH
в правиле на вход сделай мапинг на ip компа с банк-клиентом
клевый банк клиент с технологией PUSH!...)

клевый. а что самое главное рабочий.


Цитата:

Цитата:
Я тут правило в HTTP POLUCY создал : Группа X может лазить на URL (Группа Y)

ага... а ниже правило небось ВСЕ ВСЕМ.

при чем здесь ВСЕ ВСЕМ?
А технология поиска ошибки верна.

Вот скрин

123CZ123

Цитата:

Собственно даже проще найти альтернативный сервер icq.
имхо, лучший вариант по порту

Аська работает и по 21, и по 80, и по 443 портам.
На 100% никак не закрыть.
При этом остаются еще и онлайновые альтернативки типа meebo.

vov4ikH

Цитата:

что тривиальная, это факт, но неработает, телнет тож не конектится на 24555 порт

Правила покажи. Возможно:

выше стоит правило, запрещающее/перебивающее нижележащее
пользователь не авторизован на проксе/фаере
неправильно настроена служба bank


Добавлено:
vov4ikH
проще нужно быть. одного правила с нат'ом достаточно. лишнее затрудняет понимание и поиск ошибок. Особенно непонятно, что ты хотел выделенным правилом сделать? Тут, вроде, уже приводили пример правила. Вот и создай его. А ещё полезно открыть справку и набрать поиск "NAT"

Добавлено:
в этой или предыдущей ветке уже объясняли про правила и банк

Правило кайфовое...
Из интернета с "белыми" адресами, модно ходить в твою "серую" сетку...
так и представляю- ping 192.168.0.10 и попадаю к тебе...)
Destination-Firewall, + туннель до машины в твоей сетке.
а вообще хрень, у меня 5 клиент банков, никому конусного не надо, а тут выпендрелись...


Цитата:

На 100% никак не закрыть.

солидарен, хотя сильно прижать можно, банить анонмные прокси, смотреть в HTTP Headers на предмет ICQ пакетов, накрыть все сервера авторизации AOL...
meebo косячит с кодировкой как и Icq2Go...

и это.. 21 - это SMTP...) эту "аську" я думаю надо оставить...)

надеюсь ты опечатался


Цитата:

и это.. 21 - это SMTP...) эту "аську" я думаю надо оставить...)

21 File Transfer Protocol, 25 Simple Mail Transfer (//port) Protocol

lol... опечатался, глаз замылился...)

Цитата:

Аська работает и по 21, и по 80, и по 443 портам.
На 100% никак не закрыть.
При этом остаются еще и онлайновые альтернативки типа meebo.

не понимаю зачем изобретать велосипед. Если юзер способен додуматься сменить порт подключения, то он с таким же успехом способен найти другую точку подключения. Тут придется уже сидеть, смотреть логи, банить все что движется)

Из всех моих контор, только в одной пытались обойти блокировку. Дал по шапке, все прекратилось.

а неделю все равно сидеть мониторить и особо одаренных по рукам бить.. увы...

Есть проблема, написал правило запрещающее ICQ: источник-группа пользователей, назначение-группа IP адрессов авторизации ICQ, служба любая и запретить. ICQ все ровно выходит в инет. так как пользователи не запускали браузеров и не авторезировались.. в подключениях источником является не пользователь а хост (либо IP, либо имя хоста).. Это как пример проблемы...(проблема не в запрете аськи а в не работе правил политики трафика для пользователей, в подключениях видно что пользователи продолжали конектится к запрещенным IP)А вот во что все вытекает правила политики трафика не работают с пользователями а только с хостами. Дальше больше.. доступ в интернет настроен через непрозрачный прокси сервер порт 3128. пользователи авторезируются на прокси через окна авторизации винды или браузера и выходят в интернет..(а авторизация фаервола на портах 4080 и 4081 они не проходят) они не авторезированы фаерволом и в подключениях в источники опять хосты и какие пользователи сних выходят в интернет фаервол не понимает и правила не работают также и статистика и многое другое.. Такое наблюдалось на 5 рахзных версиях керио.. что не так.. какие соображения будут????

По блокировке ICQ из личного опыта:
1. Создать URL Группу "ICQ" и забить туда следующие:

2. В траффик полисити создать вот такое правило:

где
источник - IP "плохих" изверов
назначение - URL Группа "ICQ"
понятно - сервис любой, ну и конечно Permit, если мы закрываем

alex_zelenskiy
Так и сделано, вопрос почему не работает все тоже самое только источник не ip а пользователи .. мне надо чтоб правило привязывалось не к машинам а к пользователям

Alexean
посмотри тут блокировку аськи :
h--p://kerio-rus.ru/index.php?option=com_content&task=view&id=82&Itemid=74

Цитата:

надо чтоб правило привязывалось не к машинам а к пользователям

создай группу этих пользователей и в блокируй

так я ж писал если создать группу то правило не работает! пользователи не авторезируются они в инет не заходят а аськой пользуются так как источником является не пользователь а хост правило с группами не работает

Alexean
Я не могу понять? у Вас за 1-м ПК несколько пользователей? Если да, то сделайте авторизацию для этих ПК при каждом выходе и сеть!
И ыло бы не плохо знать версию Керио!

Alexean

Цитата:

так я ж писал если создать группу то правило не работает!

для того что б блокировать всех я ссылку дал, а про группы сказал это как щедящий режим может кому понадобится для работы, ну и действительно что так без авторизации ? пусть пользователи привыкают, а то у них всё само по себе должно работать, а как что так "мы не причем ОНО само"

напишу другой пример.. мне нужна работающая статистика пользователи в интернет выходят и авторизируются на прокси а в керио нет и весь трафик падает на незарегистрированных пользователей Керио вообще не видит ниодного зарегистрировавшегося пользователя хотя вся сеть сидит в инете.
У нас за компьютерами может сидеть несколько пользователей и все имеют разные рова.. если я в политике трафика сделаю правила на ip то все пользователи на этом компьютеры будут иметь одинаковые права а если сделать правило где источник пользователь то оно не работает! так как пользователи регистрируются на прокси а в керио нет
есть подключние источник ip назначение ip однокласники например.. делаю правило источник пользователь вася назначение Ip однокласники запретить и правило не работает так как источником явсляется ip а не вася. статистика по васе весьтись не будет

Я плакаю


Junior Member    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модераторуKerio 6.6.0. build 5729

Я тут правило в HTTP POLUCY создал : Группа X может лазить на URL (Группа Y)

Не работает правило , не могу понять что такое ! Группа X лазает куда хочет !!!

Alexean

Цитата:

весь трафик падает на незарегистрированных пользователей Керио вообще не видит ниодного зарегистрировавшегося пользователя хотя вся сеть сидит в инете

Цитата:

так как пользователи регистрируются на прокси а в керио нет

ну так как пользователи не регистрируются в керио то оно и будет сыпать статистику на анрега.

Цитата:

авторизируются на прокси а в керио нет

Что ты называешь "прокси" что это кто это ? - я не невкурил

Добавлено:
JohnSilver182
ты своё сообшение видел X Y - это что хромосомы