» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Цитата:

IP-адреса постоянно меняются, поэтому по ним исключение не сделать

Явно они меняются в каком-то диапазоне/подсети. Вот подсеть и добавь в исключения.

прошу помочь закрыть доступ терминальным пользователям в интернет.
пробовал по разному, не вышло. у кого есть наработки, расскажите плз.

snayper7
Где? Чего? Кого? Когда? - попробуй уточнить.

adjuster
в локалке в терминале люди работают на сервере, надо чтобы через терминал не могли выйти в интернет.

snayper7
Уточню вопрос:
где стоит KWF относительно терминала?

Доброго времени суток, господа.
Сижу вот тут удаленно админю Керио фаервол - сложность в том, что из списка пользователей, импортируемых из АД, в "Активные Хосты" не все пользователи определены. Толи аутентификация на фаерволе не проходит, толи ещё фиг знает что.
Подскажите как мне побороть Керио!

все на одной машине

snayper7, включи встроенный http прокси в керио и пускай людей только через него, используя авторизацию для каждой браузерной сессии.

Johny_x3mal

Цитата:

Толи аутентификация на фаерволе не проходит, толи ещё фиг знает что.

У меня тоже такое бывает, я научил всех принудительно авторизироваться на фаэрволле.

ArgonOL
нихочу принудительно, хочу автоматом.
Принудительно - слишком геморно, прошу простить за мой нехороший русский.

Johny_x3mal
Должна быть вклчена аутентификация средствами браузера и должен использоваться поддерживающий это браузер. Также прокатит авторизация по ай-пи. Пересмотри активные правила фаэрвола, пока не сработает правило, в котором явно упоминаются авторизировыанные пользователи, весь трафик неавторизован.

куда ещё тут залезть? и что тут не верно?

Добавлено:
на местах пока не посмотрю, ехать туда надо, а времени не хватает, пока не хватает

ArgonOL
спасибо, а по другому никак?

snayper7

Цитата:

спасибо, а по другому никак?

Лучше всего перенести керио на другую машину, хоть виртуальную.

Если хочется париться, то можно очень тонко задать только нужные для керио сервисы типа днс, которые будут уходить от firewall на интерфейс интернета, не используя нат.

Добавлено:
Johny_x3mal
Вот именно то, про что я тебе говорил. У тебя к нату имеет доступ вся локалка без требования авторизации. Замени источник LOCAL на Auth Users и посмотри, что будет. Вот тока с этого момента могут начаться хныки и рёвы со стороны пользователей и бездушных сереров, для которых не очень хорошо настроена авторизация.

ArgonOL
возможности нет переносить, виртуалка если только на этом же компе, а это не выход.
не очень понял пост про тонкую настройку
так все таки, с ната надо слазить? для того чтобы по терминалу не могли выйти в интернет? как быть? можно последовательно

snayper7
Если терминал на той же машине, что и керио, то на терминальных юзеров действует только правило, в котором указан источник Firewall, получатель инет и нат не используется. По умолчанию для этого правила доступны все протоколы. Ты можешь тонко ограничить по протоколам и удаленным адресам. Например, если днс, то тока на провайдерские адреса и тп.

Добавлено:
snayper7, кста виртуалке пофиг, на этом же она компе или нет, так что ты можешь в виртуалке организовать отличную выделенную ОС исключительно под керио. Это значительно повысит надежность и безопасность.

стоит обяз. аутентификация, сам с него когда захожу в интернет - авторизуюсь, а терминальные учетки бегут в интернет без авторизации, получается по моей аутентификации?. дай плз. пример правила, чтобы они не ходили по терминалу в интернет.

snayper7
[img=http://img121.imageshack.us/img121/5460/testq.th.gif]


Цитата:

получается по моей аутентификации?

Верно. Единственный выход, чтобы ты с терминала мог ходить в инет, а остальные юзеры нет -- использовать автризации каждой сессии браузера через прокси.

ArgonOL
Да я тож об этом подумал...
Спс. уже делаю, ждемс результата

Добавлено:

ArgonOL
В общем все раскидал, а автоматом аутентификация не проходит.
В правилах выставил группы пользователей. - теперь без настроенного прокси на програх и браузерах никто не может никуда пойти.
ставил галку - вкл авто выполнение аутентификации пользователя веб-обозревателем.
Захожу в Активные хосты - вижу комп, вижу что с него идет сеанс, но не вижу какой пользователь сейчас там. А ведь всё должно работать....
Скажите, может я где-то что-то пропустил???

Добавлено:
Подскажите, может ли это быть из-за того, что пароль в домене был вбит на русской раскладке клавиатуры и не цифровой?

На пароль должно быть пофиг, но посльзователь должен был залогиница от доменного имени и использовать IE при доступе к какой-нить вебстраничке. У керио в хелпе описан трюк, который с помощью HTTP Rules позволяет абсолютно всем пользователям при доступе к веб выдавать окно авторизации (если автоматическая не проходит).

ArgonOL
Спасибо, бум искать.

Кто нибуть пробовал ставить NOD32 v4 на машину с керио?
Что нужно отключить в NOD32 v4 чтобы эти две программулены мирно жили на одном компе!

Добрый день, у меня такой вопрос, стоит KWF 5.2, настроен все нормально, на этой же машине есть папка расшареная, можно ли с помощью керио гораничить к ней доступ по IP адресам??

lavren
http://kerio-rus.ru/forum/showthread.php?t=4317 - вот здесь посмотри.

AlexRT
Конечно можешь сделать, создай 2 правила и поставь их в самом верху:
сурс Избранные компы
дест Firewall
протокол microsoft-ds
пермит

Ниже еще одно:
сурс ANY
дест Firewall
протокол microsoft-ds
Deny

adjuster
а зачем 2? может достаточно только те, которые хочу запретить?
PS Чего то не получается..


PS Если в службах (протокол) поставить любой, то работает)) Спасибо за наводку, сам я в этом вопросе профан.

AlexRT
Ну можешь и одним обойтись - только я не знаю, какие правила у тебя ниже - может у тебя правило Локал - дает всем и все...
Ты с машины 0,2 сделай telnet на firewall по порту 445 - если есть телнет, тогда ищи проблему по сообщению, что винда выдает

adjuster
спасибо, действительно надо 2 правила.

Доброго времени суток. Помогите разобраться с работоспособностью Kerio.
Сетка из 25 комп. На всех XP(SP2). 192.168.141.х
Имеется отдельный сервер (Win 2003), 192.168.141.1
используется, как сервер баз данных 1С 7.7, Terminal Server, Сервер лицензирования терминалов, DNS сервер.


В пятницу впервые установил Kerio WinRoute Firewall 6.6.0.5729 НА ДРУГОЙ КОМПЬЮТЕР В СЕТИ (мой рабочий компьютер). 192.168.141.2

Настроил исходя из этой статьи.
_____________________________________________________________________________
Внутренняя сетевая:

192.168.141.2
255.255.255.0
Шлюз пустой

Предп. DNS:    192.168.141.1
_____________________________________________________________________________
Внешняя сетевая:

Указал только DNS провайдера.
Так же убрал галочки:
Клиент для сетей Microsoft
Служба доступа к файлам и принтерам сетей Microsoft
Зарегистрировать адреса этого подключения в DNS
Включить просмотр LMHOST

Отключил NetBIOS через TCP/IP
_____________________________________________________________________________

В локальном DNS указал пересылку на машину с керио (192.168.141.2), зоны *.* не было.
В квф убрал в «Пользователи» аутентификацию пользователей.
Никаких запретов в квф не устанавливал.
Исходя из статьи ввел данные TCP/IP на некоторых компьютерах в сети. Запустил все это дело ВСЕ ЗАРАБОТАЛО!
Комп. с квф работал два дня без перезагрузки и выключения.
Пришел в понедельник, перезагрузил комп. с квф, ВСЕ СТАЛО КОЛОМ! В ИНТЕРНЕТ НЕ ПУСКАЕТ НИКОГО. Но почему то на машине с квф работает майл агент (от mail.ru), на других компьютерах не проверял.

Пробовал в локальном DNS указать пересылку на DNSы провайдера, безрезультатно…

В чем может быть причина?????????????????????

Это мой первый файерволл, не судите строго…

Доброе утро товарищи!

Столкнулся с такой проблемой, стоит Windows 2003 , Winroute Kerio 6.7.0. на нем поднят VPN сервер ...
пытаюсь сконнектится с вне, все ок работает вроде но некоторые в сети не видет может првило не так написал.... вопрос в другом ...

Поставил я на другом сервере Kerio VPN client на Windows 2003 c Winroute Kerio 6.5.1 , после перезапуска KWF не запускается , думал версия, обновил до Winroute Kerio 6.7.0
после попробовал отключить службу Клиент Керио ВПН все ок Winroute Kerio запускается .., а как же мне сконнектится с VPN!? если служба Client Kerio VPN откл .. ...

Опишу ситуацию. Понадобилось внедрить несколько тонких клиентов, понравился 2x cthinclientserver. Но для его работы, надо в сервер dhcp прописать дополнительный параметр - 193 thinsrv
внутри его указывается один IP сервера

при использовании встроенного в win2003 проблем нет вообще с этим. Как побороть керио, возможно ли добавить в его dhcp новый параметр?

dddimmm

Цитата:

Пришел в понедельник, перезагрузил комп. с квф, ВСЕ СТАЛО КОЛОМ! В ИНТЕРНЕТ НЕ ПУСКАЕТ НИКОГО

Проверь все правила фаэрвола и настройки ип сетевых карт, маршрутизацию. Воспользуйся мастером настройки правил керио, если будет ступор.

procesha

Цитата:

а как же мне сконнектится с VPN!?

На одной машине может быть только либо сам керио, либо клиент. Ничего удивительного. Если хочешь впн через kwf, создай в его настройках vpn-туннель до керио-впн-сервера.

Projex

Цитата:

Как побороть керио, возможно ли добавить в его dhcp новый параметр?

Низя, поэтому в серьёзных сетях дхцп сервер от керио бесполезен. Используй виндовый.