Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio Control (ex Kerio WinRoute Firewall)

Автор: JOLLYK
Дата сообщения: 20.08.2015 15:09
des2
Ну мне с картинками тыркаца неохота. В настройке пользователя установлена галочка "заданные IP хоста" ну и есно оный и прописан.
В правилах Трафика может быть загвоздка у вас. У меня для основных
источник = локальная сеть (у вас может быть авторизованные пользователи)
назначение = интернет интерфейсы
службы ну тут порты и допустимые протоколы
действие = разрешить
трансляция =распределение нагрузки

Автор: des2
Дата сообщения: 20.08.2015 17:26
JOLLYK, сделал как Вы сказали- теперь в "правилах трафика" стоит NATить не IP ,а имена пользователей, но результаты все равно неправильные...


- это вообще статистика... как видно, что-то качается..
- это сами правила..
Автор: JOLLYK
Дата сообщения: 20.08.2015 21:23
des2
А что получится если в правиле NAT в разделе источник поставить не пользователей с IP а просто сетевуху которая смотрит в локалку, а ваши IP и пользователей удалить? С картинками выкладывать тут такой гемор. Завтра посмотрю выложу настройку.
Автор: des2
Дата сообщения: 21.08.2015 09:22
идея неплоха, будет скорей сего считать трафик суммарный по сетевухе, но у меня это невозможно потому, что всего 1 сетевка, у меня на ней 2 ip, и задача керио просто переливать трафик НАТом из одной подсети в другую (просто граничный маршрутизатор) , а уж дальше пакеты разруливаются свичем с мозгами.... у меня под названием "интернет-интерфейсы" скрывается сразу и локалка вида 192.168.0.0 и другая подсеть вида 81.0.0.0, керио стоит виртуалкой, прекрасно справляется с переливом между подсетями, но вот начальству надо инфу по трафику от определенных пользователей, они просто бОльшую часть времени должны мониторить видео и их трафик должен быть не меньше 5 гиг в день, иначе считается что они сачкуют...
Автор: Tihon_one
Дата сообщения: 21.08.2015 10:44
des2
уважаемый, снимите отметку с принудительной авторизации на непрозрачном прокси сервере, и НЕ включайте, если точно не уверены зачем она нужна, а нужна она ТОЛЬКО для авторизации терминальных пользователей и необдуманное включение данной опции, для всей локальной сети, приведёт к тем косякам в ведении статистики. которые вы получили.

Добавлено:
Kkasock
Вы же сами всё поняли, логического И нет, только ИЛИ, привязывайте к МАК-адресам просто, неужели кто-то из пользователей может менять маки, а если может то по рукам такого, ещё можно сделать немного сложнее но интереснее и ближе к требуемому.

включить таки DHCP, чтобы раздавал адреса по макам хостов статически, в параметрах аккаунтов указываете только МАКи, а вот в параметрах безопасности ставите вот так настройку: http://prntscr.com/874yje
Автор: kaskad
Дата сообщения: 24.08.2015 17:54
Добрый день )
Ни у кого нету напринтскриненых наборов правил для Керио Контрол, чтобы отрабатывал непрозрачный прокси с обязательной аутентификацией пользователей из Microsoft AD? Пользователи из AD отлично считываются, но вот не получается сделать автоматическую аутентификацию пользователей через браузер на проксе никак (( Как следствие каждый раз вылетает окошко запроса логина-пароля при открытии браузера пользователем, а хочется чтобы "оно само" То есть чтобы прокся понимала отправленные на неё браузером логин и пароль пользователя из AD
Автор: kosfess
Дата сообщения: 24.08.2015 21:05
kaskad
у меня из AD прекрасно аутентифицируются
вот такие галочки посмотрите
Автор: kaskad
Дата сообщения: 25.08.2015 09:17
kosfess
Спасибо ) Но при такой конфигурации пользователь, уже авторизовавшийся на компе в AD, вынужден каждый раз при открытии браузера вводить логин с паролем. Круто, конечно, но не очень ) Хочется, чтобы пользователь вводил логин-пароль только при авторизации на комп в домене, а потом уже браузер по керберосу его на проксе авторизовывал сам, без дополнительных просьб ввода логина с паролем. Насколько я понимаю, для реализации подобной конфигурации необходимо отключить "прозрачный" прокси и прописать во всех браузерах пользователей корректные настройки прокси (это несложно, групповой политикой делается). Но никак не могу настроить "Правила трафика". В результате моих настроек вообще пользователей в инет Kerio не выпускает, хотя по логике вещей должен. Сейчас запринскриню свои настройки )



То есть очень хочу выпускать в интернет ТОЛЬКО аутентифицированных пользователей и чтобы браузер их аутентифицировал сам, без дополнительного запроса логина-пароля. Заранее спасибо за советы )
Автор: des2
Дата сообщения: 25.08.2015 09:49
"уважаемый, снимите отметку с принудительной авторизации на непрозрачном прокси сервере, и НЕ включайте, если точно не уверены зачем она нужна, а нужна она ТОЛЬКО для авторизации терминальных пользователей и необдуманное включение данной опции, для всей локальной сети, приведёт к тем косякам в ведении статистики. которые вы получили. " -сделано, галочка снята, принято к сведению зачем оно нужно, но проблема этим не решилась- статистика все равно не считается..
Автор: Yaromaxx
Дата сообщения: 25.08.2015 10:15
kaskad
В каком браузере надо настроить авторизацию? В Firefox делается без вопросов - в настройках находим network.automatic-ntlm-auth.trusted-uris, в значении пишем имя Вашего сервера с Kerio Control - я указывал FQN, т.е. server.domain.local.
Автор: kaskad
Дата сообщения: 25.08.2015 12:05
Yaromaxx
А по керберосу Керио не умеет? То есть когда в разделе прокси любого браузера указываешь имя сервера и порт? Например, в том же горячо любимом IE в разделе "Свойства браузера" - "Подключения" - "Настройка сети"?
Автор: wwladimir
Дата сообщения: 25.08.2015 12:31
kaskad
Вот самый точный ответ про аутентификацию, как ни страно в базе заний производителя продукта.
Автор: kaskad
Дата сообщения: 25.08.2015 13:40
wwladimir
Пичалька в том, что я эту ссыль давно нашёл, но тем не менее не достиг результата (
Сейчас пробую это и очень надеюсь, что поможет ) Точнее, наслаждаюсь чтением раздела Enabling automatic authentication по этой ссылке.

Update:
Очень помогло ) Наконец-то у меня всё заработало и пользователям нет необходимости вводить пароль каждый раз при открытии браузера. Ну и статистика радует ) Но в целом путь извращённый у Керио
Автор: kaskad
Дата сообщения: 25.08.2015 16:03
Ещё один вопрос к знатокам: есть ли возможность в актуальном Керио создать свои url-группы, а не пользоваться встроенным и не особо рабочим (потому что не покупали его ) Контент Фильтром? Например, запихнуть бы в Керио категории из Shallalist.
Переформулирую: я нашёл, как создавать группы и набивать в них по одному URL, а хотелось бы как-нить пачкой импортировать. Есть ли вариант? )
Автор: wwladimir
Дата сообщения: 25.08.2015 16:16
Группы то URL-ов руками кто мешает набивать и потом фильтровать ? Так и делаем.
Но фишка кериовского Веб-фильтра -автоматическое актуальное категорирование сайтов.
За это и отдельные деньги (у меня это не используется, так как в касперском уже есть похожий функционал, называется веб контроль).
Автор: kosfess
Дата сообщения: 25.08.2015 22:14

Цитата:
Но при такой конфигурации пользователь, уже авторизовавшийся на компе в AD, вынужден каждый раз при открытии браузера вводить логин с паролем

При такой конфигурации пользователь ничего не вводит и автоматически получает доступ в интернет при успешной аутентификации в AD
Но хорошо, что вы разобрались
Автор: YuraseK
Дата сообщения: 25.08.2015 22:17
Никто не обращал внимание на то, что последняя версия Kerio Control 8.6.0 p1 постоянно пытается обратиться по ip адресу 111.111.111.111 на 80-й порт? Только периодически уходят пакеты по 60 байт на попытки подключения, но в ответ конечно тишина. Может разработчики чего не отключили в своей Linux сборке?
Автор: ssi
Дата сообщения: 28.08.2015 11:18
Доброго времени суток!
Проверите у себя на контроле кто сможет следующее:

на рабочей станции с помощью Internet download manager или Download master пытаемся скачать вирусняк http://onepw.pw/Document_22_06_15.rar?W3yqgLAyaO64a12KEBue118878469423353594408. Там просто ZIP архив, зараза старая и давно всеми обнаруживается.

Так вот у меня drweb плагин на 7 версии контрола при скачивании файла с помощью IDM и DM отказывается его ловить. Точнее он его видит и по логам керио то все проходит, но файл прекрасно скачивается. Переключение качалки в однопоточный режим ничего не меняет. Получается потенциальная дыра. ТП drweb назвала это "неустранимой дырой на уровне технологий скачивания" и, как я их понял, на 8 версии контрола с их плагином тоже самое. Может софос на аплайнсе ведет себя по другому?
Автор: wwladimir
Дата сообщения: 28.08.2015 12:51
ssi
Вот, софос на керио его перехватывает.


Цитата:
Файл:          http://onepw.pw/Document_22_06_15.rar?W3yqgLAyaO64a12KEBue118878469423353594408.
Протокол:          HTTP
Информация о вирусе:          Sophos verdict: Mal/ElenDrp-A

Автор: Tihon_one
Дата сообщения: 28.08.2015 13:08
YuraseK
нет такого нет.
Автор: ssi
Дата сообщения: 28.08.2015 13:54
wwladimir

Цитата:
ssi
Вот, софос на керио его перехватывает.

спасибо. ТО есть файл к вам на машину не попадает? Какая версия контрола у вас?
Автор: korn3r
Дата сообщения: 28.08.2015 14:58
Добрый день.
Есть Kerio Control 7.4.2 Build 5136, на нем есть небольшая периодически проявляющаяся проблема с DNS:

Цитата:

[28/Aug/2015 14:29:45] DNS forwarder: reply came from another DNS server 172.20.17.* (sent to 172.20.19.*); reply discarded
[28/Aug/2015 14:36:14] DNS forwarder: reply came from another DNS server 172.20.17.* (sent to 172.20.19.*); reply discarded

Есть способ заставить керио не игнорировать ответы с другого сервера? Ставить сторонний днс очень не хочется.
Антиспуфинг и Intrusion Prevention выключены.
Автор: Tihon_one
Дата сообщения: 28.08.2015 15:07
korn3r
ну а как бы чего вам отвечает не то кого запросили? сложно сделать нормальные ответы?
зачем такая схема?


Добавлено:
ssi
тут дело не в версии контрола, у меня финальная, к слову, работает, тут дело в антивире, походу старый плагин доктора веба не справляется...а новых нету, его можно только с конектом сейсчас использовать, т.к. в контрол доустановить сторонние плагины нельзя.
Автор: korn3r
Дата сообщения: 28.08.2015 15:11
Tihon_one
Вопрос хороший, но доступа к ДНС у меня нет.
Гуглоднс иногда делает так же

Цитата:

[17/Aug/2015 09:53:03] DNS forwarder: reply came from another DNS server 8.8.8.8 (sent to 8.8.4.4); reply discarded
[17/Aug/2015 09:53:05] DNS forwarder: reply came from another DNS server 8.8.8.8 (sent to 8.8.4.4); reply discarded
Автор: ssi
Дата сообщения: 28.08.2015 15:45
Tihon_one

Цитата:
ssi
тут дело не в версии контрола, у меня финальная, к слову, работает, тут дело в антивире, походу старый плагин доктора веба не справляется...а новых нету, его можно только с конектом сейсчас использовать, т.к. в контрол доустановить сторонние плагины нельзя.

ну как бы http://products.drweb.com/gateway/kerio/?lng=ru
"Операционная система Kerio Control VMware Virtual Appliance или Kerio Control Software Appliance"

Что касается меня то да, я еще юзаю виндовую и DRWEB плагин для нее не устарел.

Автор: Tihon_one
Дата сообщения: 28.08.2015 18:06
ssi
а ну да, на заборе тоже написали, установить этот плагин НЕЛЬЗЯ ни в апплианс софтовый НИ в виртуальный... 8))
Автор: ssi
Дата сообщения: 28.08.2015 19:41
Tihon_one

Цитата:
ssi
а ну да, на заборе тоже написали, установить этот плагин НЕЛЬЗЯ ни в апплианс софтовый НИ в виртуальный... 8))

кхм.. странно. Надо проверить. В вебе же не идиоты сидят.

Цитата:
ssi
на рабочей станции с помощью Internet download manager или Download master пытаемся скачать вирусняк http://onepw.pw/Document_22_06_15.rar?W3yqgLAyaO64a12KEBue118878469423353594408. Там просто ZIP архив, зараза старая и давно всеми обнаруживается.
Так вот у меня drweb плагин на 7 версии контрола при скачивании файла с помощью IDM и DM отказывается его ловить. Точнее он его видит и по логам керио то все проходит, но файл прекрасно скачивается. Переключение качалки в однопоточный режим ничего не меняет. Получается потенциальная дыра. ТП drweb назвала это "неустранимой дырой на уровне технологий скачивания" и, как я их понял, на 8 версии контрола с их плагином тоже самое. Может софос на аплайнсе ведет себя по другому?

проверил на 7 версии контрола с плагином софос - абсолютно та же самая история. Файл нормально скачивается Download Master`ом. В алерте есть сообщение. Так что кривые руки тут похоже не у вебовцев. Если по вашим словам на 8-ке НЕ скачивается значит видимо исправили.
Автор: Tihon_one
Дата сообщения: 29.08.2015 14:42
ssi
ты ещё на 6ке квф проверь...

а то что веб иногда пишет, что не совсем истинно, ну чтож бывает...
Автор: ssi
Дата сообщения: 29.08.2015 17:06

Цитата:
ssi
ты ещё на 6ке квф проверь...
а то что веб иногда пишет, что не совсем истинно, ну чтож бывает...

проверил бы да ни к чему мне это. 7 много кто еще пользует, а это потенциальная дыра. 8 поставлю на виртуалку и обязательно проверю вебовский плагин. Если не будет работать то это их проблемы.
Автор: Yaromaxx
Дата сообщения: 29.08.2015 20:50
Настроен и работает 7.4.2 под Windows, вопрос - есть ли vpn клиент под Android?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117

Предыдущая тема: Права доступа NTFS


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.