Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio Control (ex Kerio WinRoute Firewall)

Автор: Ant0ni0n
Дата сообщения: 21.03.2013 13:13
Добрый день!!!
Помогите пожалуйста с проблемкой... Стоит Kerio Control 7.2.0. Работает исправно и косяков вроде как нет, но существует один сайт, на котором иногда появляются некоторые обновления для софта. На сам сайт захожу нормально, но когда необходимо скачать обновления, то не получается.
Процесс следующий: захожу на сайт, вижу, что обновления есть, нажимаю скачать, выскакивает форма, в которую вносится № подписки, после указания номера подписки нажимаю скачать и все. Вижу, что сначала отрабатывает PHP скрипт, затем еще и asp. В результате всего этого (если бы все работало) формируется письмо и отправляется на почту.
Если заходить на сайт мимо Kerio, то все нормально работает...
Грешу на блокировку самого kerio php и asp скриптов, хоты уже пробовал и отключать все фильтры для хоста во внутренней сети, с которого лезу на сайт, и антивирус и систему предотвращения вторжений (сигнатуры) и антиспуфинг... Ничего не помогло...
Может кто сталкивался с такой проблемой?

Заранее, спасибо!!!
Автор: stinger996669
Дата сообщения: 21.03.2013 13:14

Цитата:
Хорошо, объясните пожалуйста как к примеру компьютеру в сети с ip 192.168.0.2 закрыть доступ в интернет но чтобы ему были доступны эти три сайта.
Заранее благодарю!


В идеале лучше запустить прокси сервер на Керио и управлять интернетом пользователей именно оттуда.

В твоем примере Правило My Rule

Задай явно интерфейсы, не высталяй "любой"

То есть:
Источник
Локальные интерфейсы

Назначение:

ххх.ру (нужные тебе сайты)

сервис:
http, если нужно то и https
DNS (так как ты выдал доменные имена а не айпи адреса )

не забудь разшение выставить в следующей графе и поставить НАТ по умолчанию.

Думаю все должно работать.


П.С.

Не забудь правила файрвола нормально донастроить, так как он у тебя сейчас открыт, как причинное место у девушки стоящей вечерами на Тверской
Автор: borisdenis
Дата сообщения: 21.03.2013 13:17
Ant0ni0n

А попробуйте отключить кеширование.
Автор: stinger996669
Дата сообщения: 21.03.2013 14:20

Цитата:
Ant0ni0n
 
А попробуйте отключить кеширование.


+ 1
Автор: maxapet
Дата сообщения: 21.03.2013 14:58
Вроде бы, разобрался с VPN - теперь подключение есть. Но не могу с удалённого компьютера удалённым рабочим столом зайти на машины в домене, хотя из локальной сети все компьютеры доступны по RDP.
В чём может быть дело?

Вообще, при использовании Windows VPN домен указывается при входе, а в KerioControl про домен ничего нет. С другой стороны, захожу пользователем, зарегистрированным в домене. Куда я захожу, фактически, в таком случае? В домен?

Добавил вот такое правило:
Источник: Клиенты VPN
Назначение: Доверенные/локальные интерфейсы
Служба: Любая
Действие: Разрешить
Трансляция: Включить NAT /настройка по умолчанию

Не помогло.

P.S. А как картинки вставлять в сообщение?
Автор: stinger996669
Дата сообщения: 21.03.2013 15:26
maxapet

Цитата:
Вроде бы, разобрался с VPN - теперь подключение есть. Но не могу с удалённого компьютера удалённым рабочим столом зайти на машины в домене, хотя из локальной сети все компьютеры доступны по RDP.
В чём может быть дело?
 
Вообще, при использовании Windows VPN домен указывается при входе, а в KerioControl про домен ничего нет. С другой стороны, захожу пользователем, зарегистрированным в домене. Куда я захожу, фактически, в таком случае? В домен?


VPN - это что, ВПН подключение юзера к керио или это ВПН туннель между двумя серверами ???

Если это 1 вариант создай правило
Источник
ВПН Юзерс

Назначение
Локальная сеть

сервисы:
можно ANY

Действие:
Разрешить


Для туннеля просто в источнике указываешь интерфейс туннеля.
Автор: Ant0ni0n
Дата сообщения: 21.03.2013 15:56
Кеширование отключил, но эффекта нет... Может надо перезапустить полностью Kerio? Просто когда выключал кеширование в закладке HTTP он предупредил что перегрузит ядро, только я не понял, самому мне это делать или сам Kerio перегрузится?
Автор: flayx
Дата сообщения: 21.03.2013 16:57

Цитата:
Подскажите, какую версию Software Appliance можно поставить на машину с 512мб оперативки и целероном 1,7 чтоб оно работало без особых проблем.

Здесь официальные требования
по твоей конфигурации получается любую, память будет жрать от количества пользователей и атак извне.
У меня памяти 768, но до 512 еще ни разу не доползало, отжирается в основном при атаках типа

[more=пример]ET SCAN LibSSH Based Frequent SSH Connections Likely BruteForce Attack!
IPS: Port Scan, protocol: TCP
Anti-spoofing: Packet from eth4, proto:TCP, len:64, 172.22.28.140:49453 -> 98.137.201.232:80, flags:[ SYN ], seq:3435368824 ack:0, win:65535, tcplen:0 7c:11:be:82:94:6e[/more]

Когда долбятся по несколько сотен раз в минуту.
Автор: stoun
Дата сообщения: 22.03.2013 06:22
проблема снята)
Автор: Markes
Дата сообщения: 22.03.2013 08:50
Kerio стоит на виртуалке Hyper-V, дефолтовые правила трафика. Инет работает, но IP внешнего интерфейса изнутри локальной сети не пингуется. Делал отдельное правило - не помогает.
В чем может быть проблема?
Автор: borisdenis
Дата сообщения: 22.03.2013 08:53
flayx

Спасибо, буду наблюдать)
Автор: stinger996669
Дата сообщения: 22.03.2013 13:31
Markes

Тут больше похоже на проблему c Hyper-V.
Автор: PAV2
Дата сообщения: 22.03.2013 14:54
На словах объяснить сложно, вот набросал небольшую картинку.
На данный момент у работает только следующая схема: инет - керио - локалка, синенькие стрелочки

А теперь подскажите, как настроить все это дело правильно, что бы заработала желтая или зеленая стрелочка?))

Автор: stinger996669
Дата сообщения: 22.03.2013 16:39
PAV2

А можно скриншот правил ?? желательно иметь и скриншот интерфейсов.

По схеме скажу следующее:

Если на Hyper-V кроме Керио есть и другие бизнес-критичные сервисы, то посоветую данную схему пересмотреть, так как в она достаточно рискованная.
Автор: Yaromaxx
Дата сообщения: 22.03.2013 16:43
PAV2 Вот хоть убей не понимаю - на кой тут Hyper-V? Берем более-менее живой комп, даже не серверного уровня, втыкаем вторую сетевую, ставим Kerio Control, немного совсем простых настроек - и дальше оно просто работает. Зачем усложнять себе жизнь и добавлять лишние тормоза в системе?
Автор: stinger996669
Дата сообщения: 22.03.2013 16:45
Yaromaxx,

Полностью согласен.
Автор: icydrago
Дата сообщения: 22.03.2013 20:47
Подскажите, в каком направлении копать.
server 2012. В hyper-v подняты kerio 8 и http-сервак.
Сделал правило проброса с интернета запросов на 80 и 8080 порты с мапом на http-сервак 80 порт.
Дальше пытаюсь зайти по 80 порту - нет ответа, в то же время по 8080 всё работает и страница с http-сервака отображается.
Автор: coder666
Дата сообщения: 22.03.2013 22:52

Цитата:
Вот хоть убей не понимаю - на кой тут Hyper-V


1. Удобная миграция в последующем на другой сервер
2. Экономия на железе для второго, третьего... и т.д. компа
3. Сокращение занимаемой площади
4. Уменьшение коммуникаций
5. Банальная экономия электроэнергии

Продолжать?
Автор: stinger996669
Дата сообщения: 22.03.2013 23:33
Установка прикладного файрвола на hyper-v это даже не дыра, это дырища в информационной безопасности.
Если простой сервера на минуту может оцениваться убытками для компании даже хотя бы в десятки у.е. то кому нужны все эти ваши 5 пунктов + "продолжать?"...
Лучше уж файрвол вообще не ставить - мороки меньше + все те же вышеперечисленные 5 пунктов + нет потраченного времени на поиски в форумах.

П.С. Имеется ввиду не Hyper-V вообще, а именно Керио на Hyper-V !!!
Автор: Gera81
Дата сообщения: 23.03.2013 00:51
stinger996669
О боже какой маразм!
Автор: coder666
Дата сообщения: 23.03.2013 12:54
Да... такую хренотень написал - что я до сих пор пытаюсь сложить слова по смыслу и понять что он имел в виду
Автор: icydrago
Дата сообщения: 23.03.2013 13:05
Пипец, 4 ответа, а на мой вопрос....
Автор: coder666
Дата сообщения: 23.03.2013 13:19
Я не знаю как проброс будет себя вести если 80 порт на Керио Hyper-V используется тоже
Автор: Gera81
Дата сообщения: 23.03.2013 14:17
icydrago
http сервер это виртуальная машина, или хост машина hyper-v?
Автор: maximka8899
Дата сообщения: 23.03.2013 14:26
stinger996669

Чем тебе так сильно неугодила эта УДОБНАЯ технология? Неумение пользоватся не значит что
Цитата:
это дырища в информационной безопасности
лично я юзаю Hyper-V очень давно и этот на самом деле очень удобно!!! Зачем мне запускать мощный сервер под аплянс? если у меня есть возможность запустить на нем множество нужных мне систем!!! В результате я получаю экономию на железе+стабильная работа+экономия электричества (что не маловажно для окружающей нас среды )+ при достаточных ресурсах можно юзать настраивать а потом запускать в работу тот же самый аплянс (без бубна, установил пропатчил настроил и запустил в работу, не портя нервы людям которым нужен интернет!!!)
Автор: Frose
Дата сообщения: 23.03.2013 15:10
Всем Доброго Дня, возникла проблема , настроено резервирование каналов, два разных провайдера , один канал через PPoE , другой витая пара со статическим адресом, так вот у второго канала через несколько минут отваливается шлюз, его просто нет , соответственно канал становится полностью нерабочим. Наблюдается только при работе с Керио, может кто что подскажет??? Спасибо
Автор: coder666
Дата сообщения: 23.03.2013 16:18
прописать шлюз в интерфейс ручками?
В керио при работе с интерфейсами есть такая возможность
Автор: stinger996669
Дата сообщения: 23.03.2013 22:27
Gera81

Цитата:
О боже какой маразм!

maximka8899

Цитата:
Чем тебе так сильно неугодила эта УДОБНАЯ технология? Неумение пользоватся не значит что


Ребят Вы мой постскриптум читали ??? Я специально подчеркнул, что я не против Hyper-V, я против установки файрвола на сервере с Hyper-V. Корпоративный файрвол - это обязательно выделенное устройство (машина), которая стоит перед серверами.
Маразм ставить Корпоративный файвол на машину, на которой бегают другие сервисы, так как при падении самого файвола слетают все остальные критичные сервисы.

Еще раз, если ставить Керио на Hyper-V, то лучше ничего другого на этот Hyper-V не ставить, это неправильно и опасно.
Я сам активно и успешно юзаю эту технологию у меня 2 сервера виртуализации, на которых, в обшем, 8 различных серверов. Эти 2 сервера Hyper-V стоят за Керио.

И кто сказал, что для Appliance версии нужен обязательно мощный сервер???

С каких пор машина с нижеследуюшими параметрами считается мощной, офигеваю.

CPU: 500 MHz
Memory: 1 GB RAM
Hard drive: 8 GB HDD space for OS, product, logs and statistics data
Network interface: 2 Ethernet (10/100/1000 Mbit)
Автор: progmike
Дата сообщения: 23.03.2013 23:09
stinger996669

Цитата:
Маразм ставить Корпоративный файвол на машину, на которой бегают другие сервисы, так как при падении самого файвола слетают все остальные критичные сервисы.



Простите, Вы бредите. Или не знаете принципов виртуализации. Описанная Вами ситуация не возможна.


Цитата:
Еще раз, если ставить Керио на Hyper-V, то лучше ничего другого на этот Hyper-V не ставить


Не понял Ваш совет - ставить сервер виртуализации, что бы виртуализированть не более одного файервола??



Цитата:
Я сам активно и успешно юзаю эту технологию у меня 2 сервера виртуализации, на которых, в обшем, 8 различных серверов.


И что, зависание любой одной виртуальной машины приводит к краху всех других? Вы не умеете их готовить (с)


________

И вообще. Не в той ветке спор затеяли. Kerio Control (как любой другой продукт аналогичного назначения) прекрасно работают под Hyper-V и не создают никакой опасности для производительности любого количества (по возможностям железа, ессно) других виртуальных машин.

Опасность взлома виртуальной машины с Kerio Control и получение доступа к другим виртуальным машинам вероятно на столько же, на сколько вероятен взлом отдельной железки с Kerio Control.
Автор: stinger996669
Дата сообщения: 23.03.2013 23:46
progmike

Цитата:
Простите, Вы бредите.  Или не знаете принципов виртуализации.  Описанная Вами ситуация не возможна.


Уважаемый, я где-нибудь написал "зависание"?
Я рассматриваю данный пример в ракурсе информационной безопасности. Не надо разводить демагогию.
Под словом падение я подразумеваю, взлом. Если зломушленнику каким либо образом удастся взломать машину с Hyper-V с файрволом, он автоматически получает доступ к другим виртуальным машинам. Он может их просто остановить (в лучшем случае). Если сервер виртуализации находится за выделенным файрволом, то у сисадмина хотя-бы остается время для контрмер.


Цитата:
Не понял Ваш совет - ставить сервер виртуализации, что бы виртуализированть не более одного файервола??


Я привел пример, что у меня в организации стоит выделенный Appliance firewall Kerio, а серверы виртуализации, отдельно за ним. Фронт Энд файрвол на Виндовс я не поставлю, несмотря на все свое уважение к данной системе, так как виндовс более подвержен уязвимостям по сравнению с *NIX системами.


Цитата:
И что, зависание любой одной виртуальной машины приводит к краху всех других? Вы не умеете их готовить (с)


Никак не приводит. Скорее всего Вы меня привратно поняли.

-----------------------------

Еще раз я против установки виртуального файрвола только из за соображений Информационной безопасности, а не по причине прерывания бизнесс процессов изза криворукости админа.

С уважением.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117

Предыдущая тема: Права доступа NTFS


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.