» Kerio WinRoute Firewall (часть 2)

Цитата:

Sanserif
только в том случае если имена подключений будут совпадать..

Имена или divice id?

нет.. имена.. дальше то по именам идут правила... то есть
имя (в керио) локального адаптера - имя (в керио) интернет адаптера - permit (nat))если имена будут совпадать то всё ок ..
но мне кажется что всё же лучше как scatchi сказал сделать

Народ нужна помощь.
Интерне раздается по диалапу. все нормально живет до тех пор пока принудительно не разорвешь связь (как в самом керио, так и вручную из трея). после разрыва связи индикаторы модема гаснут ка ки положено, пиктограмма из трея исчезает, связь физически разрывается, но в "сетевых подключениях" иконка диалапа остается активной, как будто связь есть. если вызваться контекстное меню соединения, то пункты разорвать связь и начать дозвон неактивны и соответственно никак кроме перезагрузки связь не восстанавливается...

че делать?

Смотрю, все вопросы задают, дай думаю и я голову ломать не буду, друих помучаю.

1. Пользователи.
Я так понимаю, что пользователь привязывается к IP на основе статически приписанного к нему IP или ввода логин/пароль или другого способа авторификации. Т.е. авторизованный пользователь берет на себя весь траффик. Причем молча оговаривается, что только инетовкий трафик).
Как керио отличает его от локального? По диапазону адресов? Не 10.х.х.х и не 192.168.х.х?

Далее реальный пример, есть разрешающее правило из локалки в инет на определенные службы - почта, ася, пара рабочих серваков. Для желающих работать со всем инетом следующее правило, конкретный пользователь - весь инет. Т.е. человек работает, если надо, то авторизуется по вебу и работает со всем инетом. Неудобство в том, что он на себя грешного приписывает весь трафик. Если сначала первое правило было халявой, то активировав второе он подписался и на первое.
Как обойти? Потом задним числом в логах смотреть по правилам?

Вот еще заинтересовало. Продолжение примера. Если пользователю кончится квота, то первое правило работать будет? Разлогиниваться придется?

2. Еще вопрос на тему пользователи и принудительная авторизация
User and Groups / Users / Authentication Options
"Always require users to be authenticated when accessing web pages" что за?
Интуитивно понятно, что даже если в правилах у меня прописана внутренняя сеть (просто адреса), то все равно для работы в инет внутренние адреса должны быть авторизованы пользователями. Но зачем написали "web pages"?

3. HTTP фильтрация
Трафик идет согласно правил, инспектор шуршит и HTTP фильтрация позволяет наложить дополнительные ОГРАНИЧЕНИЯ. Но что-то я не понял:
Зачем в URL Rules разрешение пользователю быть не авторизованным (any-user / do not require athentication)?
Это на случай если я в в правилах трафика прописал внутренний адрес (не самого пользователя), стоит галка п.2. (адрес должен быть авторизован) и эта галка позволит авторизацию отключить?

4. Что лучше
Два разрешающих правила трафика:
а. Локалка - список серваков в инете.
б. Пользовали - весь инет.
Или
Одно разрешающее правило, локалка - весь инет.
Затем требование обязательной авторизации.
И для списка серваков URL правило - авторизация не нужна.

Второй вариант с https глючить не будет?

Спасибо, что дочитали до конца.

toster2

Цитата:

Как керио отличает его от локального? По диапазону адресов? Не 10.х.х.х и не 192.168.х.х?

инетвский трафик это тот который снимается с интерфейса смотрящего в инет.. без разницы какие там адреса


Цитата:

Я так понимаю, что пользователь привязывается к IP на основе статически приписанного к нему IP или ввода логин/пароль или другого способа авторификации.

один пользователь одновременно может заходить с нескольких IP


Цитата:

Как обойти?

никак...


Цитата:

Вот еще заинтересовало. Продолжение примера. Если пользователю кончится квота, то первое правило работать будет? Разлогиниваться придется?

да.. прийдётся


Цитата:

Интуитивно понятно, что даже если в правилах у меня прописана внутренняя сеть (просто адреса), то все равно для работы в инет внутренние адреса должны быть авторизованы пользователями. Но зачем написали "web pages"?  

потому что эта штука 100% работает только для http https ftp и тд и тп...

например oline игры иногда могут проходить и без авторизации.. хотя галочка стоит.. а вот http никогда ...


Цитата:

Что лучше

первое лучше

Цитата:

И для списка серваков URL правило - авторизация не нужна.

первое лучше
если второе то тогда это будет действовать на всех пользователей.. не важно залогинились они или нет

Народ всем привет и вот такой вопрос, прочитал оба форума не нашел. С главной страницы вебинтерфейса пользователь может коннектить диалап и отключать его. Когда сидел на чистом диалапе, так и было, и все мне нравилось. Но вот теперь работаю со спутником через VPN, исходящий интерфейс - Скайлинк. Он отваливается через восемь часов, и его надо снова соединять. Так вот не удается запустить юзеру с веб-интерфейса тот самый скайлинк. При этом отключать можно. Приходиться народу ждать, када я доползу до сервака, и запущу его оттуда. Таким вот образом теряю свободу!!! Соединяй его каждые 8 часов!!! Что же делать? Кто знает, подскажите плиз.

Mikes

Цитата:

инетвский трафик это тот который снимается с интерфейса смотрящего в инет.. без разницы какие там адреса

1. и где мне интернетовский интерфес отметить? снять? т.е. какой ифейс инетовский?
2. а если локальный/инетовский общий? (хотя согласен, маразм)


Цитата:

потому что эта штука 100% работает только для http https ftp и тд и тп...
например oline игры иногда могут проходить и без авторизации.. хотя галочка стоит.. а вот http никогда

Интуитивано это понятно по названию. Но получается что эта фишка зависит от инспектора трафика, а галка находится не в разделе фильтраций. Вот это нелогично.


Цитата:

первое лучше если второе то тогда это будет действовать на всех пользователей.. не важно залогинились они или нет

Всяких привелегированных пользователей можно по IP авторизовывать.
Хотя ты прав, первое лучше, со вторым какой-нибудь умница запустит bittorrent и выкачает полинета...

Спасибо за ответ.

popopo777
1. Консоль администратора керио работает И по сети.
2. Radmin.

Есть необходимость использовать на одной машине KWF и KVC. Как известно, при запуске, KVC видит что запущен KWF и требует остановить его. Меня это не устраивает. Я хочу чтоб KVC и KWF работали одновременно. Пожалуйста, помогите мне аргументировать это разработчику. Желательно по-английски

я не про консоль и не про Радмина. Я про то, что юзер любой может со своей машины запустить диалап, а это перестало работать. Включить удаленно конечно можно, и это не обсуждается. Еще раз повторю, нужно чтоб юзер мог запустить соединение со своей юзерской машины.

Venchik
Просто впн туннель средствами винрута не сутьба поднять?

toster2

Цитата:

1. и где мне интернетовский интерфес отметить? снять? т.е. какой ифейс инетовский? 2. а если локальный/инетовский общий? (хотя согласен, маразм)

инетовский интерфейс определяется правилами.. куда то же ты NAT делаешь .. так?
и мастер в начале спрашивает чего у тя в инет смотрит
пункта 2 быть не может.. в системных требованиях чётко указано что надо 2 интерфейса


Цитата:

Всяких привелегированных пользователей можно по IP авторизовывать. Хотя ты прав, первое лучше, со вторым какой-нибудь умница запустит bittorrent и выкачает полинета...

немного не в том смысле.. если второе.. то правило будет действоавть на всех.. и на авторизованных и на не авторизованных пользователей

toster2

Цитата:

2. Еще вопрос на тему пользователи и принудительная авторизация
User and Groups / Users / Authentication Options
"Always require users to be authenticated when accessing web pages" что за?

керио будет запрашивать авторизацию даже если юзер открывает локальную страницу со своего компа.


Цитата:

Зачем в URL Rules разрешение пользователю быть не авторизованным (any-user / do not require athentication)?

может быть чтобы пускать на какие-то адреса, например, на локальный сайт, без авторизации.

Добавлено:
popopo777
как-то дико звучит, что пров рубит коннект, каждые 8 часов. а если я качаю что-то большое с ресурса, где нет докачки.
может проще посмотреть на других провов. к тому же например подключение через globax может сэкономить трафик.

прошу спецов всеже ответить по сути, если, конечно, возможно. По объективным причинам выбран данный вариант конфигурации системы, и со многими косяками пришлось смириться. Но вот дисконнект Скайлинка не победим и не зависит от меня. А когда он случается, то приходиться отвлекаться, бросать все, и соединять его заново. Оно конечно не сложно, но ведь парит по полной программе! А раз в проге есть нужная функция, то не стоит ли побороться за неё? Спасибо всем, спасибо.

AnLe, имеется ввиду - тунель от KFW до KWF?

Venchik
Ну да.

Вот такой туннель если кто знает как делать, то очень бы многим пригодился. В свое время я не мало нервов потратил, пытался запустить несколько серверов с KWF со спутниковым оператором от одного исходящего интерфейса Скайлинка. Решение задачи существует с помощью NAT, но вот тунель построить я так и не смог, а было-бы интересно узнать, как его сделать.

AnLe, спасибо что подсказал, но я пока что не смог настроить. Делаю так.
На первой машине (сервере) работает уже как месяц Kerio VPN Server. Я лишь должен подключиться к нему, а дальше - разбирусь.
Подключаюсь так. На второй машине (клиенте) в KWF в Interfaces: Add VPN Tunnel. Ввожу имя соединения, IP первой машины, получаю и принимаю сертификат. Жму ОК. Напротив нового интерфейса написано Disconnected.
Пробовал с включеным и выключеным VPN Server'ом на второй машине. Как я понимаю, он не нужен для того, чтобы подключиться к другой машине-серверу.
Подскажите пожалуйста что не так сделал.

Добавлено:
Надо на машине-сервере в KWF добавить точно так же туннель, но выбрать Passively accept the connection only?
Если к этому серверу удачно подключаются KVC-клиенты - это не значит что мой KWF к нему удачно подключится? То есть получается что если я подключаюсь "KWF to KWF", то надо на сервере делать Passively accept the connection only, а на клиенте Actively connect to the remote endpoint? А как обстоят дела с адресным пространствами и сертификатами?
Если можно, опишите как нужно правильно делать.
Спасибо.

Скажите пожалуйста, какие правила и порты нужно задать в KWF 6.1.4, что-бы всё работало (интернет и игры). Впиринципе почти всё работает. Вот что у меня разрешено:
"DNS" "FTP" "HTTP" "HTTPS" "ICQ" "IMAP" "Mail" "POP3" "SMTP" "Telnet" tcp:28805 tcp:4000 tcp:443 tcp:8000 tcp:8038 tcp:8080 tcp:8081
Что ещё разрешить ? Пожалуйста помогите.

Garik_Lugansk

Цитата:

Что ещё разрешить ?

Или смотри манулы к игрушкам, там , возможно, будет написано какие порты игрушке необходимы или смотри по логам Kerio какое приложение в какой порт стучится. Но!!!
Запускать игрушки на сервере не рекомендуется, минздравом.

Garik_Lugansk
Проще всего от себя разрешить все, а к себе ничего. А если что-то конкретное уже не работает, тада читайте к этому чему-то юзергад и смотрите, какими портами оно пользуется...

Ну а кто-то может показать как у кого настроен керио, я показал что у меня открыто, что мне ещё добавить для нормальной работы интернета. Чёрт с теми играми.

Garik_Lugansk
создай правила с помощью мастера, разрешив все из локалки (там есть такая ф-я) и включи NAT. И усе у тебя будет работать (если сама сеть конечно правильно настроена). А еще лучше сходи на _http://kerio-rus.ru/ Там все хорошо для новичков разжевано.

Garik_Lugansk

Цитата:

Ну а кто-то может показать как у кого настроен керио

Цитата:

DNS" "FTP" "HTTP" "HTTPS" "ICQ" "IMAP" "Mail" "POP3" "SMTP" "Telnet" tcp:28805 tcp:4000 tcp:443 tcp:8000 tcp:8038 tcp:8080 tcp:8081

При условии
Цитата:

Чёрт с теми играми

то у тебя вроде все в порядке.
Хотя насчет порта 8038 я не уверен, что он нужен.

Добавлено.
Да и насчет порта 28805...
Например, тебе зачем нужен порт Telnet (23/tcp)?

Вот, с другого форума перекинул.

Народ, я тут кое-что вроде как сам смог сделать, но остались вопросы. Рассказываю как делал.
1-й комп - 10.0.3.1 - условно назовем его "сервер":
Запускаю сервер VPN - чтоб могли подключаться клиенты с помощью KVC.
Создаю VPN туннель "VPN Tunnel-1", который пассивно принимает подключения. В этом туннеле указываю только отпечаток клиентской машины.
В политиках разрешаю любому компу из нашей локалки (10.0.0.0/255.0.0.0) подключаться к Firewall Host, используя сервис Kerio VPN.
Создаю правило: соурс - VPN Clients, VPN Tunnel-1, дестинейшн - внешний интернет - Permit+NAT to внешний интернет.

2-й комп - 10.0.3.2 - условно назовем его "клиент":
Запускаю сервер VPN - чтоб могли подключаться клиенты с помощью KVC.
Создаю VPN туннель, который активно соединяется с 10.0.3.1. В этом туннеле указываю только отпечаток серверной машины.
В политиках, конечно же, разрешил исходящий коннект на любой хост с помощью Kerio VPN.
Все работает отлично!

Теперь некоторые детали. Когда я на 1-ой машине создавала туннель "VPN Tunnel-1", то я копировал отпечаток со второй машины. Грубо говоря - я его на листик записал и принес на первый комп - вбил ручками.
А когда я на 2-ом компе делал туннель, то я просто нажал кнопочку "Detect Remote Certificate..." и согласился принять сертификат сервера.

Теперь представим такой вариант:
Какой-то посторонний злоумышленник из нашей сети 10.0.0.0/255.0.0.0 ставит себе KWF, создает у себя такой же туннель как я создал на 2-ом компе. Вот на этом месте у меня в голове возникает несколько возможных вариантов и поэтому я задаю всем вот такой вопрос:
Каким образом избежать того, чтобы появился такой посторонний злоумышленник?
Он что не сможет узнать отпечаток? Объясните пожалуйста на чем завязана авторизацию туннеля, если айпишник клиента из диапазона дозволенных?


Теперь вторая часть.
Каким образом ограничить траффик туннеля по объему и скорости? Ведь туннель - это не пользователь.

Спасибо всем, кто дочитал до конца.

Банеры замучили просто...
Имеются в виду flash банеры.Кто как борется?
пробовал в список ad/banners просто *.swf вставлять, захожу на rambler все равно прогружаются.
пока составил black-list, но неправильно это как-то.
Может можно как нибудь запретить по http файлы swf скачивать?

Добавлено:
Сорри просто кеш в проксе забыл почистить...
вопрос снимается..

Venchik

1. вот мне не совсем понятен глубинный смысл такой настройки... В чем прелесть хождения в интернет из локалки через шлюз KWF посредством VPN-соединения, устанавливаемого из локалки и терминируемого локальным же шлюзом?
2. Клиенты не должны устанавливать "тунельные" подключения. Если же есть необходимость в VPN, пусть используют клиентские подключения с явной авторизацией.

Проблема тоже не совсем понятна - при установке VPN-тунеля всегда учавствует пара отпечатков: "локального" сертификата и "удаленного". Явно указать можно только "удаленный" отпечаток. Что бы сработала схема злоумышленника, ему прийдется еще озаботится подменой локального сертификата. На форуме керио тема VPN получила широкое обсуждение и говорилось, что в один момент времени любая пара сертификатов может учавствовать только в одном VPN-соединении (тунельном или клиентском). За тунельные утверждать не буду - как-то не проверял, а то, что VPN-сервер от одного клиента более одного клиентского соединения не позволяет установить - проверено.

Про квоты - любой VPN-пользователь устанавливающий соединение со шлюзом через KVC будет отождествлен со своей учетной записью. Иначе просто не установит соединение. Квоту на объем задать для любого авторизованного пользователя можно afair.

2All

А кто может подскажет, можно ли KWF заставить "на лету" перечитать конфиги, если они изменились внешним компонентом?

Привет всем.
ПРОФИ, разложите по полочкам настройку smtp realey (у меня почта ***@list.ru на сервере mail.ru)
из-за чего может изредко WR 6,2,0 загружать проц на 95 и выше процентов?
СПАСИБО.

RemComm
1. Смысл в том, что на одном компе есть инет, а на другом его нет. Использовать обычный NAT не хочется из-за того, что VPN является более безопасным.

2. Клиентов нет. Клиент - это машина с KWF. Сервер - тоже машина с KWF. Во всем деле учавствуют всего две машины и на обоих стоит KWF.

Вопрос остается в силе: как ограничить скорость и объем траффика по VPN туннелю между двумя KWF'ами?

Venchik

на тунелях этого не сделаешь средствами KWF. Но можно решить вопрос почредством симбиоза KWF и TMeter, который гармонично дополняет функцоинал KWF своим.

Эти две машины у тебя в одной локале, иначе интернет был бы на обоих. я не мойму вот чего: вот с той машины, которая смотрит наружу, ты куда прокидываешь впн? И как это ты там не используешь НАТ? Такое возможно только при наличии глобов с непосредственным роутингом.

Хм... т.е. впн не терминируется пограничным шлюзом? А с "внешнего" интерфейса этот самый впн устанавливаетс я между клиентом и любым, произвольно выбранным хостом? Немного нелогично. Поэтому я и спросил, какой смысл использовать впн в локале, потому как перед выходом наружу все локальные тунели терминируются и трафик декапсулируется и наружу идет в самом чистом виде. Иначе терминировать его должен внешний хост. А вот я что-то не припоминаю, что б какой-то гугле.ру или аппорт.ру или ру-боард.ком или вообще любой произвольный хост вот так вот взял и затерминировал твой впн. Опять же, непонятно зачем KWF на обоих машинах при всего одном внешнем подключении.

и насчет мотивации и обоснований разработчику - они не могут быть особенно сильными. Продукт KWF позиционируется как отдельно стояший шлюз, т.е. всякие там комбинации типа "gateway + user workstation" по мнению разработчика - от лукавого. imho небезосновательно.

Опиши задачу толком - из предыдуших постов я не особо много почерпнул. Всегда можно найти правильное и изящное решение. И не обязательно "в лоб"...

Много вопросов и много ответов, но нужного мне не нашел.
Итак. Имеем :
- KWF 6.2.0 1323
- инет по выделенке (примерно ip 133.133.133.133)
- локальная сеть, в которой живет пара web-серверов (192.168.1.5 и 192.168.1.6)

Необходимо, чтобы был доступ к web-серверам со всех сторон (и из инета и из внутренней подсети).

Делаю правило :
Source Destination Service Translation Protocol Inspector
External Net Firewall HTTP MAP 192.168.1.5 None
Internal Net

Из инета нормально заходится и читается. Вроде нет проблем. А вот при попытке подключиться из локальной сети не на локальный IP, а с использованием внешнего адреса выдает :
"Соединение с сервером www.xxx.xxx.xxx сбой (Запрос на установление соединения отклонен сервером.)"

Как сделать так, чтобы можно было подключиться к WEB-серверу не через 192.168.1.5, а через www.xxx.xxx.xxx ?

Спасибо.