» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

ArgonOL

Цитата:

А какжеш с инетом быть, он ведь не ходит через KerioVPN? Да и не оптимально это.

Все зависит от маршрутов, прописанных в KWF в настройках VPN интерфейса.

altpas
Сделай принудительно заворот трафика для Firewall на определенный интерфейс.

adjuster
все бы ничего, если бы не прокси
хочу всех посадить на прокси на нужном интерфейсе, но не получаецца из-за маршрута в системе

Добрый день.
Есть такая задача, подскажите.
Сетка в домене с W2K3, там же DHCP сервер. При настройке KWF 6.7 указал пользователей, которым разрешил доступ к интернету. Но если они в браузере в настройках указывают использовать прокси, то да, происходит аутентификация. Но если в настройках браузера указывается прямое подключение к интернету (без прокси), то пользователи, которым я ЗАПРЕТИЛ доступ к нету, спокойно загружают страницы и пользуются сетью.
Вопрос, как сделать так, чтобы запретить доступ с конкретных компьютеров (хостов), помимо запрета доступа конкретным пользователям?
Спасибо.

maku

Цитата:

Но если в настройках браузера указывается прямое подключение к интернету (без прокси), то пользователи, которым я ЗАПРЕТИЛ доступ к нету, спокойно загружают страницы и пользуются сетью.

Это скорее из-за того, что в правиле NAT в сурсах стоит Доверенный/локальный.
Либо привязывай пользователей к IP, либо настраивай правила и аутентификацию

Есть ADSL модем (роутер), сеть провайдера (dhcp) и локальная сеть с dhcp и dns
Если отключить сеть провайдера инет от adsl есть. Если включить инета нет.
Чего делать? %(

protestf
маршруты прописывать - так как у тебя 2 интерфейса со шлюзами.
Маршрут такой 0,0,0,0 по маске 0,0,0,0 через iP роутера.

Кто знает, подскажите почему у меня Kerio cj страшной силой обрезает скорость
с запущеным керио

и вот скорость с остановленным


ТП

работает прокси и нат
когда пользак заходит на страницу инета через нат - то сначала появляется авторизация по прокси (маленькое окошко) , нажимаешь отмена - появляется нормальная страница авторизации по нату...
как сделать чтобы если у пользователя не прописано в настройках ходить по проксе вылазила только страница с авторизацией именно ната

правило для skype кто знает как сделать? в traf p или в http p?

Цитата:

страница авторизации по нату...

Такого нет в KWF.

Добавлено:
snayper7
Если запретить, то никак, если же разрешить то можно просто открыть прокси - и скайп сам дырку найдет.

adjuster
а может в hp разрешить только на *skype*
по имени будет искать и включится
а порт там же нестандартный, может его в tp открыть и все?

adjuster, значит я не понятно вырозился
имел ввиду веб страницу авторизации
т.е. повторюсь - если в настройках браузера убрать "использовать прокси", то сначала появляется маленькое окошко для ввода логина и пароля, ввожу, нажимаю "ок" и сразу появляется веб страница авторизации! очень не удобно.
как это можно исправить

altpas Маленькое окошко -- если включена встроенная авторизация Windows, работает обычно если хост с керио определяется как принадлежащий к локальой интрасети.

Сама страница авторизации управляется настройкой "требовать авторизации", либо настройками перенаправления при запрете в HTTP Rules.

Добавлено:
snayper7, скайпу достаточно http или https, даже через прокси. Что ему необходимо -- точно знают разработчики, но по опыту скажу, что скайп через многие открытые порты/протоколы может пролазить.

snayper7
Я анализировал выход скайпа в инет. Пока решение только одно -блокировать постоянно пополняющий список скайп пользователей и серверов авторизации.
Объясню:
скайп выходит в инет сначала по TCP, если разрешено.
Если запрет - то пытается выйти по UDP - если и эти порты закрыты, то вываливается по HTTP/HTTPS проксе.
Причем этот зверь умеет сканировать доступные машины на открытые порты и стучится в них.

Отсюда = заблокировать по портам нельзя - так как проще вообще не раздавать инет этой машине.
Далее попытался проанализировать на какие IP скайп лезет. Логи мне показывали каждый раз новые ИП, так как старые я блокировал.
Когда, казалось бы, я заблокировал все ИП серверов, скайп полез сканировать диапазон ИП в инете на наличие открытых релеев для него. Найдя одну (ему этого достаточно) машину - он подконектился на открытый порт и через эту машину сходил на сервер авторизации, авторизовался и загрузил список контактов - то есть начал работать через этот релей.

Остается понять - что этого зверя очень трудно заблокировать, так как пользователей очень много.

Мои знания мне подсказывают, что нужно анализировать трафик скайпа на наличие информации о том, что этот порт открыт (на удаленной машине) именно этим продуктом, и уже по этой информации блокировать само приложение.

Так как KWF этого не умеет остается только ждать от разработчиков данной вещи, либо надстраивать что-то иное.

altpas
У тебя что-то лишнее. Либо нужно убрать перенаправляющее правило, либо настроить по другому авторизацию на проксе.

проще групповыми политиками вообще запретить запуск скайпа на машинах

adjuster
а если выставленный порт первым правилом открыть скайпу, а вторым правилом закрыть все для него?

snayper7
можно поподробнее, не понял мысль

SHRIKE74

Цитата:

проще групповыми политиками вообще запретить запуск скайпа на машинах

Тогда уж проще запретить установку. - "зачем устранять последствия, если можно предотвратить причину?" (мое)

snayper7

Цитата:

а если выставленный порт первым правилом открыть скайпу, а вторым правилом закрыть все для него?

Ты внимательно прочитал то, что я написал? - скайпу по барабану на какой порт цепляться.
А вот что ты хочешь - так это явно разрешить скайпу выход по порту (указанному в первом правиле).

kevinkf
adjuster

Цитата:

Ты внимательно прочитал то, что я написал? - скайпу по барабану на какой порт цепляться.

это я понял

Цитата:

А вот что ты хочешь - так это явно разрешить скайпу выход по порту (указанному в первом правиле).

да, правильно и только по нужному порту.
вопрос в другом теперь: не полезет скайп по http, если есть в hp правило, что по http только *mail.ru*?

Был сайт на котором можно узнать к какой категории ISS OrangeWeb Filter принадлежит сайт. Можете подсказать где можно найти этот классификатор?

lavren
для ISS надо или же для WEB фильтра нового?

Tihon_one
Старого (KWF 6.5.2)!

lavren
чего-то не могу найти. поспрошаю отпишусь.

Цитата:

не полезет скайп по http, если есть в hp правило, что по http только *mail.ru*?

не полезет, так как в HP указаны адреса майла - на которых явно 443 порт не для того используется.

Здравствуйте, уже четвертый день читаю форум, в поисках ответа почему интернет не проходить через керио. Немного поясню. У меня доступ к интернету через VPN. При включенном керио интернет пропадает, как отключаю снова идет. Самое интересное, что страничка провайдера открывается, т.к. она доступна и без подключения к VPN, через LAN интерфейс. Еще замечено, что при попытке открыть страничку VPN подключение начинает слать пакеты. Сам керио интернета тоже не видит, я не могу его зарегить. НА работе, все настроилось за 5 минут т.к. там инет идет через LAN интерфейс. Помогите пожалуйста.



ipconfig /all - при вкл и выкл КЕРИО обсолютно одинаковые

Dzolba, создай в винде VPN подключение с найсойками провайдера, сохрани его "Для Всех". Оно появится на странице интерфейсов керио. Дальше все должно быть понятно, если что, у керио есть справка.

Добрый день

Возникла необходимость подключить второй канал инета, хотел подключить в режиме Load Balancing, но наткнулся на грабли.
На первом канале провайдер пропускает почту через свой SMTP сервер, при этом зарубая как спам запросы идущие через второй канал.

Вопрос в том как прозрачно для пользователей организовать отправку почты?
пока мысли такие:
- Жестко разбросать пользователей по каналам (в керио нельзя?)
- Поставить свой SMTP сервер (как его привязать на определенный канал?)
- настроить у пользователей переключалки SMTP (неудобно для пользователей, но как крайний вариант сойдет)

Заранее благодарю за помощь

Dzolba
интерфейс "Inet" переведи в из локал в инет инефейс + то что ArgonOL писал.

(а зачем протокол инспектор везде поотключал? - включи.

diversantua, создай отдельное правило на исходящего SMTP, где в настройках NAT укажи использование конкретного интерфейса в инет.

где в керио прописать ип адреса пользователей которым нужен интернет? и как сделать чтобы все учетки брал с актив директори? версия 6.7.2. рус