» Kerio WinRoute Firewall (часть 4)

kaskad
Вот меня удивляют вопросы типа как сделать это если про вот это я не знаю...

У тебя VNC имеет свободный выход в инет?


Цитата:

А как разрешить-запретить подключение к VNC с интернет-адресов?

А эт хрен его знает какой у тебя VNC и сервер...

Ruza

Цитата:

Вот меня удивляют вопросы типа как сделать это если про вот это я не знаю...

Чтобы грамотно задать вопрос нужно знать большую часть ответа. Кстати, обычно вопросы и задают, когда что-то не знают, аль я что-то упустил в жизни? И, опять же кстати, где ж такое спросил? К слову, ответом на ентот вопрос могла бы быть ссылка на какой-нить мануал, если это намёк на моё изначальное неумение пользоваться логом.


Цитата:

У тебя VNC имеет свободный выход в инет?

Да, сейчас перепроверил правила и проверил на практике - VNC имеет доступ как в интернет, так и на проксю, где керио установлен, так и на любую машину в сети. И с прокси отлично коннекчусь на компы в локаль. Портмаппинг не срабатывает ( Описывал чуть ранее.


Цитата:

А эт хрен его знает какой у тебя VNC и сервер...

RealVNC Enterprise 4.4.3 Kerio Winrout FireWall 6.0.11.

kaskad

Цитата:

Кстати, обычно вопросы и задают, когда что-то не знают, аль я что-то упустил в жизни? И, опять же кстати, где ж такое спросил?

Вот смотри - если ты не знаешь то как я могу знать... Если просто задать вопрос то можно нарваться на ответ типа - "Разбег, лоб, стена."


Цитата:

VNC имеет доступ как в интернет, так и на проксю, где керио установлен

1. Прокя прозрачная?
2. без прокси, NAT'ом пробовал?
3. Правила показывал?
4. route /print c VNC приводил?

Доброго дня.
Может не совсем в тему, но у меня завелся какой то м*д*к который ставит себе на комп teamviewer, и из дома творит всякую фигню.
На сайтах уверяют что эта прога обходит и NATы и прокси. Не могу я ее через Керио отловить и блокирнуть.
Помогите пожалуйста убить доступ к этой проге.

TohaDub
По-идее, достаточно в правилах прописать запрет всем усерам на доступ к сайту teamviewer.com, так как прога проходит там авторизацию. И усё )

Алгоритм работы у Тимвьюера такой - клиент запускает софтинку, она ломится на оффсайт и там авторизируется, потом удалённый юзверь вбивает данные авторизации клиента и подключается к нему. Не будет доступа из твоей сети на ентот сайт - усё, кина не будет.

Добавлено:
Ruza

Цитата:

1. Прокя прозрачная?

Нет, в браузере прописаны пути до прокси + обязательная авторизация. Без домена, ручками.


Цитата:

2. без прокси, NAT'ом пробовал?

М-м-м-м-м, поднимать RRAS в венде и делать портмаппинг там? Или как енто делается? RRAS не поднимал.


Цитата:

3. Правила показывал?

На один скрин не поместилось. Сделал на два. Второй - продолжение первого.

http://photofile.ru/photo/kaskados/95294480/xlarge/104495890.jpg
http://photofile.ru/photo/kaskados/95294480/xlarge/104495997.jpg

Внешний интерфейс - Intel 100
Внутренний - Intel 1000


Цитата:

4. route /print c VNC приводил?

Сорри за серость, не знаю как сделать ( Или имеется ввиду результат команды виндовой route PRINT с фаерволла (там где керио живёт)?

TohaDub
Такие проги в большинстве своём плохо лечатся, но в данном случае совет kaskad должен разрулить ситуацию... Профилактические работы на канале пользователя - отбивают охоту для поиска аналогов.
Для повышения эрудиции совет - почаще посещать ветку и делать свои выводы.

kaskad


Цитата:

поднимать RRAS в венде и делать портмаппинг там? Или как енто делается? RRAS не поднимал.

Хм... я вроде писал как делать только это наверное был "глас вопиющего..."
vnc - any - permit - nat (NIC100) - PI off


Цитата:

route PRINT

С керио мне не надо...
Меня интересует route print/route -n с системы где установлен VNC.

Цитата:

Нет, в браузере прописаны пути до прокси + обязательная авторизация. Без домена, ручками.

А как ты думаешь vnc сможет отправить ответные пакеты через прокси с авторизацией?

З.Ы. После просмотра картинок советую переосмыслить заново все правила.

kaskad, Ruza - Спасибо. Выводы сделал.

Всем привет. Поставил Керио, начал с ним разбираться, все вроде работает кроме клиентов р2р. А конкретней utorrent. Подскажите кто знает, что неправильно делаю, какое правило косячит. Даже когда разрешаю все в оба направления - работать не хочет. Как только вырубаю Керио - все работает идеально.

Народ, сорри если вопрос уже был, поискал - не нашел... Вобщем есть два подключения к инету, может ли керио сделать чтобы один пользователь работал через один канал а другой через второй? Я пробывал в политиках трафика указывать чтоб ип транслировался натом на другой интерфейс но срабатывают только те адреса которые есть в роутинге на этот интерфейс а все остальное не транслируется или делается что-то не то...

кстате у меня такая же проблемма давно уже надо сделать так же что бы пользователь один мог ходить через другуе подключение нежели остальные , стоит до кучи непрозрачный прокси. а времени как обычно нема что бы разобраться и что бы все работала как надо а не через ..пу. поделитесь опытом!!!

Prokopyuk
Создай службу в керио - Torrent, в которой укажи все порты, которые у тебя для торрента задействованы (в uTorrent, FlashGet и т.д.), а потом создай правило:
Имя: Torrent Connections
Источник: Любой
Назначение: Firewall
Служба: Torrent
Действие: Разрешить
Верно для: Всегда
Журнал: (по желанию)
Трансляция: нет
Инспектор протоколов: По умолчанию

Потом добавь эту службу в правило Трафик Межсетевого Экрана, создаваемое по умолчанию.

kaskad, самое верхнее правило - это и есть попытка VNC пробросить? Я предлагаю все-таки сначала попробовать одинаковые порты на входе и точке назначения. Неизвестно, как работает эта VNC-софтина. На UltraVNC все пашет на точно таком же правиле на "ура".
10.20 должен иметь доступ к интернет. Он должен быть пропущен на порт НАЗНАЧЕНИЯ 5999, в ТП этого не прописано. К сожалению, с пропуском всего локального интерфейса в интернет не работал (у меня строго по пользователям), но предположу, что следует попробовать под самым верхним правилом то, которое Ruza предлагал ранее. Видимо, он телепат. А я нет.

NegoroX


Цитата:

Цитата:
"резать" ICQ трафик если номер не из пула разрешенных?

проще разрешить аськи только с определенных компов или у вас пользователи мигрируют от компа к компу в течении дня?

Нет, от компа к компу не мигрируют, проблема в том, чтобы пользователи могли использовать только "корпоративные" номера, пароли от которых им, пользователям, не известны.

Jonny_Grekoff, средствами винроута это сделать невозможно.

Парни,шо может быть за проблема с торентами,порт открыт,но в самом и-торренте глазок не горит зеленым и нет закачки,вот правила:


и чторая часть , не влазит на екран

Перепробывал все,порты промаплены,но не загрузки не раздачи нету

Исходящий порт из клиента должен быть открыт в ТП. Все входящие в ТП на клиента тоже открыть. Потом следим за скачками и пытаемся выявить диапазон.

sNAlexis
Диапазон исходящих довольно широк,я разрешил по нужному клиенту все исходящие,
но ето не выход.
И еще вопрос по юзерам- у меня логин по айпишнику и используется внутренняя базу -
отключаю клиента - он всеравно в нете,надо токо в ТП насильно блокировать - чего не срабатывает отключение?,аутотентификация по домену отключена и все остальное тоже??

MagistrAnatol, ну да. Диапазон широкий и у каждой програмки - свой. Ну а что делать? Можно написать свой торент клиент, который будет отдавать только одним потоком. Или настроить существующий. Хотя, не уверен, что он будет использовать один и тот же порт. В итоге что? КВФ - это инструмент для защиты предприятия, а не домашнего пользователя. Предполагается, что п2п трафик не нужен на работе, ведь так?

Если юзер прибит аккаунтом к айпишнику, то при следующем обращении в интернет, согласно правилам, он получит этот доступ. Временно банятся юзеры в свойствах, галкой "Отключить учетную запись".
Или я не так вопрос понял? Если имеется ввиду, что клиент торрента, то одно дело, что он в нете, а другое - если после отключения что-то качается...

Цитата:

Предполагается, что п2п трафик не нужен на работе, ведь так?

в принцыпе да,токо ето шефу не объясниш .

Цитата:

а другое - если после отключения что-то качается...

как раз та ситуация - я отключаю юзера в пользователях,а он всеравно активен


Добавлено:
да,и для уТоррента я нашол токо входящий порт,а исходящий чет не видать,или не доискал ?

Добавлено:
нашол и исходящий,остался вопрос по юзерах

То, что в активных хостах остаются хосты без указания юзера - это нормально.

sNAlexis
да,но по ним идет активная передача

ааа, так это нормально. у Вас же вся локалка в сеть ходит. если ограничить определенными исходящими айпи или конкретными юзерами - педерача будет только по ним идти.

может кто сталкивался со следующей проблемой:
стоит kerio winroute 6.5.2 билт 5172, в сети novell netware 6.5, на клиентах соответственно новеловские клиенты. На шлюзе антивирь symantec antivirus 10.1.5.
Поставили керио на вин2003сервер, создали пару пользователей c привязкой по айпи, отНАТили траффик с них - все работает,траффик считается. Начали забивать пользователей, создали группы из них и после штук 80, примерно, керио перестает пускать по айпи на автомате, если заходишь на веб-морду и логинишь пользователя, то все отлично, пользователь продолжает юзать инет. Пока копал настройки, нашел интересную фишку - если включить прокси сервер на 3128 и настроить прокси в браузерах на клиентах, то тогда пользователи логиняться на автомате, как и должно быть. Снимаешь галочку в настройках прокси у клиентов - бац, нет инета.

куда копать? ткните линком, плз.

rumasyan, а можно на правила глянуть? Те два, что созданы были в начале, так до сих пор и логинятся без проблем?

http://www.picamatic.com/show/2009/02/03/05/04/1953041_659x427.JPG


Цитата:

Те два, что созданы были в начале, так до сих пор и логинятся без проблем?

да. 3 пользователя работают как ни в чем не бывало.

у всех пользователей забиты айпи http://www.picamatic.com/show/2009/02/03/05/06/1953062_410x295.JPG
а на принтскрине керио - группы, в которых эти пользователи находятся.

Ruza

Цитата:

vnc - any - permit - nat (NIC100) - PI off

Я не очень понял енто правило ( Какой тут источник (Source)? 10.0.0.20? Или с любого хоста протокол VNC разрешать на внешний интерфейс с выключенным инспектором? Щас выложу ссылку что сделал....

http://ipicture.ru/Gallery/Viewfull/12718471.html

Вот так вот создал, сразу вторым. Не работает ( Причём при попытке законнектиться на 5900 внешний порт вроде даже перебрасывает запрос корректно... Вот скрин:

http://pic.ipicture.ru/uploads/090203/fE47d0DTk6.jpg

Там верхний самый коннекшн правильный, он перебрасывает на нужный внутренний адрес, но не работает (

Я смог только один вывод сделать - проблема с авторизацией на прокси у моего сервера внутрисетевого (который 10.0.0.20), а точнее - он её не проходит, поэтому и не работает VNC. Никто не подскажет, как выпустить ентот сервер (10.0.0.20) наружу без прохождения авторизации? В настройках стоит галочка "Always require users to be authenticated when accessing web-pages" - нуно трафик контролировать... Я готов и правила пересмотреть, только бы знать, как запихать пользователей в какую-нить группу Inet Users и только им разрешить доступ к интернету. Проблема в отсутствии домена, автоматическая авторизация не прокатит... Примерчик бы мне грамотно настроенного фаера Kerio ))) В картинках )

sNAlexis

Цитата:

(у меня строго по пользователям)

Если не жаль, поделитесь скрином какого-нить настроенного Керио с опубликованным портом? И как пользователи авторизуются там? Домен?

Пробовал теста-ради снять вот енту вот галочку с обязательной авторизацией пользователей - опять не робит ( В Filter Log пишет вот такие вот делы:

[03/Feb/2009 17:43:03] PERMIT "1cServer" packet from Intel(R) PRO-100, proto:TCP, len:48, ip/port:хх.хх.хх.2:4008 -> хх.хх.хх.154:5900, flags: SYN , seq:2900282449 ack:0, win:65535, tcplen:0
[03/Feb/2009 17:43:06] PERMIT "1cServer" packet from Intel(R) PRO-100, proto:TCP, len:48, ip/port:хх.хх.хх.2:4008 -> хх.хх.хх.154:5900, flags: SYN , seq:2900282449 ack:0, win:65535, tcplen:0
[03/Feb/2009 17:43:12] PERMIT "1cServer" packet from Intel(R) PRO-100, proto:TCP, len:48, ip/port:хх.хх.хх.2:4008 -> хх.хх.хх.154:5900, flags: SYN , seq:2900282449 ack:0, win:65535, tcplen:0

Потом RealVNC говорит отбой ((( Connection timeout.

ЗЫ: Я уже устал с ним воевать ( Но всем спасибо за содействие ))





Добавлено:
Ruza

Цитата:

Меня интересует route print/route -n с системы где установлен VNC.

route print/route -n - такую команду не схавал 2003 сервер, выдал справку, как пользоваться...

route print системы с VNC

IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 30 48 d3 1e bf ...... Intel(R) PRO/1000 EB Network Connection with
I/O Acceleration #2
0x10004 ...00 30 48 d3 1e be ...... Intel(R) PRO/1000 EB Network Connection with
I/O Acceleration
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.0.100 10.0.0.20 10
10.0.0.0 255.255.255.0 10.0.0.20 10.0.0.20 10
10.0.0.20 255.255.255.255 127.0.0.1 127.0.0.1 10
10.255.255.255 255.255.255.255 10.0.0.20 10.0.0.20 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.0.0.20 10.0.0.20 10
255.255.255.255 255.255.255.255 10.0.0.20 10.0.0.20 1
255.255.255.255 255.255.255.255 10.0.0.20 10003 1
Default Gateway: 10.0.0.100
===========================================================================
Persistent Routes:
None

проблема осталось и после переустановки керио.
Разбираем по частям с самого начала, прошу помочь, т.к. выхода пока не вижу.
Задача: заставить клиентов под win xp sp2 выходить через шлюз керио по НАТу с привязкой по айпи.
Учетные записи в локалке раздает novell netware 6.5, у клиентов стоит novell client разных версий, в процессе ковыряния было выяснено, что от версии суть проблемы не зависит.
У новелла поднят дхцп.
вот мой краткий ipconfig /all (у меня все отлично работает)

Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.0.203
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.11
DHCP-сервер . . . . . . . . . . . : 192.168.0.1 <-- novell netware
DNS-серверы . . . . . . . . . . . : 192.168.0.1
192.168.0.11 <-- kerio winroute 6.5.2 build 5172

На клиентах тоже самое.
В керио у всех пользователей забиты айпи адреса.
пример: http://www.picamatic.com/show/2009/02/03/05/06/1953062_410x295.JPG
Выяснено точно, что часть клиентов при привязке к айпи в керио логиняться автоматом нормально, а часть нет. Остальные же пытаются открыть страницу, но безуспешно.
Если клиента руками залогинить через веб-морду, то инет есть, но траффик считается как неопознанный пользователь, но если включить прокси сервер на 3128 и настроить прокси в браузерах на клиентах, то тогда пользователи логиняться на автомате, как и должно быть и траффик считается нормально. Снимаешь галочку в настройках прокси у клиентов - бац, нет инета.
И вот этот зоопарк, примерно у половины клиентов. Пока выход вижу один: у тех кто выходит нормально, оставлять без прокси сервера, а другим делать настройки в браузерах через прокси сервер.
вот траффик полиси после переустановки и удаления лишнего - http://www.picamatic.com/show/2009/02/03/10/25/1955723_658x291.JPG
у разных пользователях в разных группах работает нормально, у других нет...
грешу на новелловского клиента, но как лечить? хелп.

kaskad,
новое правило, если активировать - тоже заработает =)
Почти все ходят через НАТ. К нему допускаются только авторизированные пользователи. Есть группа, которая по айпи прибита к одному пользователю и авторизируется автоматом. На скрине компутер как раз из той группы.

rumasyan, ИМХО, новел тут вообще не при чем. В Кериве "Пользователи", закладка "Параметры аутентификации", стоит галка "Всегда требовать..."?

Подскажите пожалуйста, что это значит?
http://s60.radikal.ru/i169/0902/44/803e12e7d163.jpg

PS и каждый час-два рвется связь, куда смотреть? подключен через adsl модем к стримму, модем вроде не глючит.

sNAlexis
А стоит галочка про обязательную авторизацию? И на правило выпуска пользователей в нет по нату мона посмотреть?