Керио прописывается у пользователей как прокси? Стоит галка Content Filtering - HTTP Policy - Proxy Server -> "Enable non-transparent proxy server"?
» Kerio WinRoute Firewall (часть 4)
Цитата:
Должно быть так:
1) Definitions - URL Groups -> Создана группа "Sites". Здесь пропишем разрешенные сайты.
2) Users and Groups - Groups -> Создана новая группа "Allowed". В неё добавлены те пользователи, которым даётся доступ только на определенные сайты.
3) Content Filtering - HTTP Policy -> Создано новое правило "Мона". В него добавляем группу Allowed и ставим радиобатон в положение "is in URL group", где выбираем Sites. Ниже переключатель в положение "Allow access".
4) Content Filtering - HTTP Policy -> Создано новое правило "Низя" с той же группой Allowed и радиобатоном "URL begins with" в значении "*". Преключатель в положении "Deny...".
все сделал как написали..да и похожее я уже делал раньше,только чисто пользователя добавлял...не работает...запрет идет на все сайты.наразрешенные сайты доступа не дает!
Last_Hero
Убери группу. Добавь пользователей без групп. и разрешающее правило на самый верх
Убери группу. Добавь пользователей без групп. и разрешающее правило на самый верх
Ах да, забыл уточнить, что сначала идёт разрешающее правило.
noblekey, с группами красивше
noblekey, с группами красивше
Как переустановить winroute, сохранив статистику и настройки?
До faq'ов в шапке добраться не могу, может кто подскажет, что сохранить надо..
Подозреваю, что на машине с KWF завелось нечто, хочу windows и kwf переустановить.
KWF 642, авторизация доменная, через AD Windows Server 2003; домен в смешанном режиме.
Заране благодарен за совет!
До faq'ов в шапке добраться не могу, может кто подскажет, что сохранить надо..
Подозреваю, что на машине с KWF завелось нечто, хочу windows и kwf переустановить.
KWF 642, авторизация доменная, через AD Windows Server 2003; домен в смешанном режиме.
Заране благодарен за совет!
ustal
Файлы:
winroute.cfg, vpnleases.cfg, userDB.cfg, stats.cfg, logs.cfg, host.cfg, dnscache.cfg, Cache.CFS
Папки:
star, sslcert, logs, license, dbSSL
ЗЫ. А вообще про всё про это написано подробно в мануале, на который, кстати, есть ссылка в шапке. Очень рекомендую. Т.к. после переустановки нужно будет ручками менять идентификаторы сетевых подключений в файле winroute.cfg
Файлы:
winroute.cfg, vpnleases.cfg, userDB.cfg, stats.cfg, logs.cfg, host.cfg, dnscache.cfg, Cache.CFS
Папки:
star, sslcert, logs, license, dbSSL
ЗЫ. А вообще про всё про это написано подробно в мануале, на который, кстати, есть ссылка в шапке. Очень рекомендую. Т.к. после переустановки нужно будет ручками менять идентификаторы сетевых подключений в файле winroute.cfg
niichavo
Спасибо!
Главу "Configuration Backup and Transfer" уже прочёл.
Спасибо!
Главу "Configuration Backup and Transfer" уже прочёл.
sNAlexis
Стоит галка Content Filtering - HTTP Policy - Proxy Server -> "Enable non-transparent proxy server"?
и в эксплорере у всех прописан сервак как прокси сервер.
и при его перезагрузке всем мнова логиниться приходится ((
Добавлено:
niichavo
дело в том что на другие https он заходит,но там не защищённый https, а если прокси сервер указываю не KWF, а другой, то всё работает, а вот через него нет
как сделать правило, разрешающее пользователю весь трафик?
sourse user
destination firewall
servise all
action permit
так?
Стоит галка Content Filtering - HTTP Policy - Proxy Server -> "Enable non-transparent proxy server"?
и в эксплорере у всех прописан сервак как прокси сервер.
и при его перезагрузке всем мнова логиниться приходится ((
Добавлено:
niichavo
дело в том что на другие https он заходит,но там не защищённый https, а если прокси сервер указываю не KWF, а другой, то всё работает, а вот через него нет
как сделать правило, разрешающее пользователю весь трафик?
sourse user
destination firewall
servise all
action permit
так?
voffka1984 все очень просто.
Users and Groups - Users - Authentication options - Web authentication - пставь галочку Enable user authentication automatically performed by web browsers. Если у тебя программа корректно получает имена пользователей из домена, то проблема разрешится
Users and Groups - Users - Authentication options - Web authentication - пставь галочку Enable user authentication automatically performed by web browsers. Если у тебя программа корректно получает имена пользователей из домена, то проблема разрешится
спасибо, m0nstradamus, поставил галку. а что значит там же окошко для галки:
force non-transparent proxy server autentication ???
а с https никто мне больше ничего не подскажет?
force non-transparent proxy server autentication ???
а с https никто мне больше ничего не подскажет?
Цитата:
Force non-transparent proxy server authentication
Under usual circumstances, a user connected to the firewall from a particular computer is considered as authenticated by the IP address of the host until the moment when they log out manually or are logged out automatically for inactivity. However, if the client station allows multiple users connected to the computer at a moment (i.e. Microsoft Terminal Services, Citrix Presentation Server orFast user switching on Windows XP), the firewall requires authentication only from the user who starts to work on the host as the first. The other users will be authenticated as this user.
In case of HTTP and HTTPS, this technical obstruction can be passed by. In web browsers of all clients of the multi-user system, set connection to the Internet via the WinRoute's proxy server (for details, see chapter Proxy server), and enable the Enable non-transparent proxy server option in WinRoute. The proxy server will require authentication for each new session of the particular browser.[4].
Forcing user authentication on the proxy server for initiation of each session may bother users working on “single-user” hosts. Therefore, it is desirable to force such authentication only for hosts used by multiple users. For this purpose, you can use the Apply only for these IP addresses option.
Насчет вопроса с https не понял совсем. В чем проблема? оО
m0nstradamus, галку поставил, но один фик все делают реконект.
мож и эту галку нужно поставить:
force non-transparent proxy server autentication
??
мож и эту галку нужно поставить:
force non-transparent proxy server autentication
??
voffka1984
Цитата:
Тогда у тебя всегда будут спрашивать имя и пароль.
Цитата:
мож и эту галку нужно поставить:
force non-transparent proxy server autentication
Тогда у тебя всегда будут спрашивать имя и пароль.
тогда почему не помогла галка enable user autentification automatically perfomed by web browser?
проблема с https следующая. есть интернет бант, вход в который осуществляется через ,https страницу. заходя на неё он ругаясь на сертификат открываетява приложение, в котором указывается прокси сервер и порт.
указывая KWF проксю он не соединяется, ставя другую проксю, соединение проходит.
в чём дело,я никак понять не могу. почему керио не пропускает соединение не понятно....
проблема с https следующая. есть интернет бант, вход в который осуществляется через ,https страницу. заходя на неё он ругаясь на сертификат открываетява приложение, в котором указывается прокси сервер и порт.
указывая KWF проксю он не соединяется, ставя другую проксю, соединение проходит.
в чём дело,я никак понять не могу. почему керио не пропускает соединение не понятно....
народ. можт кто подскажет. почуму у меня в браузере интернет работает а все остальное нет. даже пинг не проходит
Потому, что все остальное закрыто через Traffic Policy
voffka1984
В логах чего пишет? (сбербанк? для банка лучше отдельное правило в ТР замутить
В логах чего пишет? (сбербанк? для банка лучше отдельное правило в ТР замутить
на сколько я понял в Traffic Policy добавляются разрешения. а у меня тут куча протоколов открыта. скажите плз где точно посмотреть. не пашет всё, кроме браузера
NegoroX
нет, соцгорбанк. какое правило прописать?! типа открытие этому юзеру отдельно отобщего правила https портов? в частности 9091?!
нет, соцгорбанк. какое правило прописать?! типа открытие этому юзеру отдельно отобщего правила https портов? в частности 9091?!
voffka1984
укажи этот порт в правиле локалка в инет
укажи этот порт в правиле локалка в инет
alex1751 от сюда, к сожалению, не видно, что открыто. Так что точно надо смотреть в Traffic Policy.
alex1751
в керио есть визард по первоначальной настройке. Запусти его и настрой все нужные тебе протоколы.
voffka1984
а собственно ПРОКСИ в керио включен (не путать с НАТом)?
в керио есть визард по первоначальной настройке. Запусти его и настрой все нужные тебе протоколы.
voffka1984
а собственно ПРОКСИ в керио включен (не путать с НАТом)?
noblekey
указан, не помогает ((
haltavmc
да, включен конечно
указан, не помогает ((
haltavmc
да, включен конечно
1. Прочитал все страницы и понял проблема не решаема? А именно
Без КВФ запускаешь ВПН он работает, запускаешь КВФ немного работает, а потом падает и насмерть что не переподключиться
И соответственно при запущеном КВФ, виндовое подключение к ВПН не удается, 800ю ошибку пишет.
Никто ето не победил? а в Ideco ICS такая проблема есть? а то щас нет возможности 130Мб качать
2. Керио ВПН сможет заменить виндовый? Или он только для подключения к КВФ?
Добавлено:
Цитата:
а зачем там прокси? если комп в локалке с керио, то достаточно указать кто (локал ИП компа клиента банка , куда (ИП твоего банка), порты (любые какие нужны), пермит, и нат
уменя в офисе так конектится и нормально все работает длительное время... ну иногда коннект до них падает, но редко очень, скорее всего у них гдето косяк.
ЗЫ: мы в СберБанк конектимся
Без КВФ запускаешь ВПН он работает, запускаешь КВФ немного работает, а потом падает и насмерть что не переподключиться
И соответственно при запущеном КВФ, виндовое подключение к ВПН не удается, 800ю ошибку пишет.
Никто ето не победил? а в Ideco ICS такая проблема есть? а то щас нет возможности 130Мб качать
2. Керио ВПН сможет заменить виндовый? Или он только для подключения к КВФ?
Добавлено:
Цитата:
[/q][q]а собственно ПРОКСИ в керио включен (не путать с НАТом)?
а зачем там прокси? если комп в локалке с керио, то достаточно указать кто (локал ИП компа клиента банка , куда (ИП твоего банка), порты (любые какие нужны), пермит, и нат
уменя в офисе так конектится и нормально все работает длительное время... ну иногда коннект до них падает, но редко очень, скорее всего у них гдето косяк.
ЗЫ: мы в СберБанк конектимся
У меня из инета на фаервол открыт порт 1723. Все работает. ВПН от Керио даже не юзал.
thestinger
Цитата:
у каждого по разному может быть настроено. может у человека прокси включен?
voffka1984
кинь логи, плз, чо пишет-то?
Цитата:
а зачем там прокси?
у каждого по разному может быть настроено. может у человека прокси включен?
voffka1984
кинь логи, плз, чо пишет-то?
Цитата:
у каждого по разному может быть настроено. может у человека прокси включен?
а прокси ето требование банка?
Ведь если тотже самый комп ходит в инет через этотже винрут без прокси нормально, то проксю можно просто забыть =) логи конечно решают, без них о воздухе говорим просто
Цитата:
а прокси ето требование банка?
навряд. банку пофигу как ты выходишь в и-нет
Цитата:
проксю можно просто забыть
100%, вот только ОТКЛЮЧИТЬ его тогда в клиенте тоже надо
[14/Aug/2008 13:45:04] [ID] 574884 [Rule] Local Traffic [User] alusheva [Connection] TCP 192.168.7.50:1603 -> kerio.forafarm.lan:8080 [Duration] 16 sec [Bytes] 293/168/461 [Packets] 6/4/10
вот что есть в логах.
7.50 это её ip... в чём ошибка не пойму
вот что есть в логах.
7.50 это её ip... в чём ошибка не пойму
Так. Опиши подробно КАК именно у тебя работает клиент банк (начиная с того каким образом ты его запускаешь - это важно, поверь), какие в нем настройки.
Судя по логу к керио она коннектиться нормально, а вот дальше - зась.
Судя по логу к керио она коннектиться нормально, а вот дальше - зась.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: realtek rtl8169 and vlan
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.