» Kerio Control (ex Kerio WinRoute Firewall)

faust72rus

Цитата:

Т.е. в поле IP у каждого пользователя забит его адрес или в списках адресов есть две группы?

в поле IP у каждого пользователя забит его IP


Цитата:

Internet -> Firewall -> Какиетосервисы = Allow

Internet-это Интернет интерфейс или сетевая плата или без разници?
Какиетосервисы-это Любой или конкретно что-то?


Цитата:

Группа 1 -> Internet -> Разрешённые сервисы = Allow -> NAT

Разрешённые сервисы- в место этого можно добавить ip кор. почты?

ofj


Цитата:

в поле IP у каждого пользователя забит его IP

Значит вместо Группа 1\Группа 2 - указываешь прямо пользователей, т.е. прямо список из логинов\айпи. Хотя можешь заранее создать группы и потом просто добавлять в них пользователей.



Цитата:

Internet-это Интернет интерфейс или сетевая плата или без ризницы?

Именно абстракция "Интернет" (или как она там называется в русской версии), не конкретный интерфейс, а именно группа интернет интерфейсов.


Цитата:

Какиетосервисы-это Любой или конкретно что-то?

Если у тебя керио наружу чем то смотрит, вот это и указываешь, пинги например, порт для VPN и т.д.


Цитата:

Разрешённые сервисы- в место этого можно добавить ip кор. почты?

Нет, именно сервис, т.е. Smtp, ICQ, HTTP, HTTPs
Если хочешь какой то группе разрешить доступ до какого то конкретного узла (например до своего почтового внешнего сервера), а всем остальным запретить, то добавляешь правила:
Группа 3 -> Какойтоузел -> Сервисынаэтомузле = Allow -> NAT
Группа 3 -> Какойтоузел -> Всё = Deny

Вопросы?

Господа.

А была ли у кого мысль пробовать управлять конфигурацией керио извне?
Просто есть большое желание прикруть к фаерволу биллинговую систему с возможностью перевода пользователя из группы в группу или изменения доступных сервисов по какому-то внешнему событию ... возможно ли?

существуют ли какие-то функции или СДК, за которые можно для этого подергать, как, например, СДК в Трафик Инспекторе?

faust72rus
Спасибо за ответы.
Сегодня вечером поставлю все заного и завтра скаж результат.
Всех всех с наступающим!

faust72rus
посмотрите я правильно сделал, что-то не получается(корп.почта работает а инета нету)?

Цитата:

Группа 1 -> Internet -> Разрешённые сервисы = Allow -> NAT
Группа 1 -> Internet -> Всё = Deny
Группа 2 -> Internet -> Разрешённые сервисы = Allow -> NAT
Группа 2 -> Internet -> Всё = Deny

Если не секрет, а какой смысл в правилах с денаем? Они у вас вопервых блочат действие первых при таком расположении, а во вторых есть же общий принцип правил в керио - запрещено все, что не разрешено.
ofj
Нью рул 2 и 1 удалите. В правилах НАТ и почта выставьте сервисы используемые. В нат это как минимум HTTP, а в почте POP и SMTP.

freewood
ofj
В случае с пересечение адресов в группе фривоод прав.

Итого
1 правило в поле служба = забиваем ICMP, PING, KerioVPN и что там ещё доступно .
3 правило в поле служба = забиваем HTTP, ICQ, HTTPS и что там ещё у вас для них доступно.
4 отключаем сняв галочку.
5 правило в поле служба = забиваем POP, SMTP и что там ещё у вас из почты доступно.
6 отключаем сняв галочку.
10 удаляем. оно дублируется последним.

Пока так.
Ну и разумеется = главное понять как оно работает, а не просто создать соответствующие текущей ситуации правила.

freewood
faust72rus

СПС за ответы.
Завтра скажу результат.


Добавлено:
А кто нибудь знает как запретить видео в Skype.

Цитата:

А кто нибудь знает как запретить видео в Skype.

Кроме как приказом от начальства, имхо, никак.

Приветсвую, форумчане!

У меня тут задача такая:

1. Узнать про керио контрол и дружбу с линуксом, как и что, и что за вариант с VMware
2. Установить керио на виртуалку с citrix'ом.
3. Если не получится п 2, то придется под линухом на другой машине VMware ставить...


ВОПРОС: Как правильно установить керио?
то есть настройка, правила, днс - с этим я дружу... А вот с Линухом дружу не очень....

А почему именно Линукс?

Iacoyn
Потому что контора вся на линуксе - и сервера и юзеры. Поэтому...

Всем привет.
Поставил последнюю версию Керио.
Столкнулся со странной проблемой.

Имеем сервер с двумя сетевухами.

Внешняя
ip 192.0.0.220; 192.168.20.220
m 255.255.255.0
g 192.0.0.1 (интернет с другого здания)
dns 192.0.0.1;192.0.0.55

Внутренняя
ip 192.168.5.1
m 255.255.255.0
g
dns 127.0.0.1

С сервака естественно все работает прекрасно.
А вот из подсети 192.168.5.х я вижу всю подсеть 192.0.0.х но не вижу несколько компов из 192.168.20.х, причем абсолютно странно. Например 192.168.20.199 вижу, 192.168.20.230 вижу, а 192.168.20.200 - 203 не вижу. На них видеорегистраторы с сетевыми платами (554 порт).
Повторюсь, с сервака все работает.

Куда копать?
Спасибо.

mrarefiev
Копать в сторону route print от тех компов которые ты не видишь. У них не прописан основной шлюз (или нет маршрута до .5.Х сети).

faust72rus

шлюз на них 192.168.20.1, да и вносить изменения охрана не даст, все очень сложно.
в подсети 192.0.0.Х они видны с любого компьютера.
было бы проще, если бы мой сервак их не видел, но видит он прекрасно находясь в .5.Х сети
плюс другие компьютеры из подсети .5.Х прекрасно видно без дополнительных настоек.
почему?

mrarefiev
route print в студию!!! Правила маршрутизации, политики трафика.

Пока этих данных нет - ответ на твой вопрос дословно: "покачену!"

faust72rus
дефолтные настройки керио, я его поставил и не вносил никаких изменений.
http://s012.radikal.ru/i321/1101/35/d05e92107ae5.png
http://s010.radikal.ru/i311/1101/61/89273473cd97.png

mrarefiev
Распределение интерфейсов по зонам покажи.
И роуте принт всё ещё нужен!

faust72rus

Интерфейсы: http://s005.radikal.ru/i210/1101/c5/801a8ca1df95.png
route print сервера: http://i024.radikal.ru/1101/f0/42f3a9dbd71f.png
route print выборочного компа: http://s54.radikal.ru/i145/1101/04/8532fd744434.png (синим замазан IP VPN), да данном компе добавлен адрес 192.168.20.197, на других адреса из этой подсети нет, но результат везде одинаковый.

mrarefiev
так, мне пока ничего не понятно.
Сделай трасировку с того компа на который есть пинг и с того на который нету.

faust72rus

сервер: http://i070.radikal.ru/1101/5d/b86930033c4b.png
комп: http://s013.radikal.ru/i322/1101/69/cf4e3d0f0e5d.png

зы. смогу ответить теперь только после 23.00

Уважаемые, подскажите, пожалуйста, как можно без доп. софта скрыть значок Kerio VPN client в трее? Под Windows 2003.
Делал уже поиск, но единственный найденный ответ на подобный вопрос представляет из себя мёртвую ссылку.

Штатного ключика для запуска клиента, насколько я понимаю, нет.
Что, только сторонним софтом убирать иконку из трея?

vict0r
Все очень просто - в преференсах убираешь автостартап (больше он не появится, но и керио не стартанет)
чтобы стартовал керио - создаешь задание с батником вида NET START WinRoute

mrarefiev

Цитата:

шлюз на них 192.168.20.1

Вот и ответ. Нет маршрута в 5-ю подсеть на компах с видеонаблюдением. Пропишите на них шлюзом 192.0.0.220 или добавьте маршрут route add -p 192.168.5.0 192.0.0.220. Если все же проблема не в этом, то route print с компов видеонаблюдения.

AskTosh
Вопрос не про WinRoute, а про клиента.
vict0r
1. Версия клиента должна быть выше 6.5.2.
2. Ставите галку постоянное соединение под админом.
3. Любым менеджером автозагрузки убираете автозапуск клиента.
4. В службах так же проверяете, что Kerio VPN Client Service стоит Авто.

Romeo_sh
Там не компы, а видеорегистраторы с сетевыми платами, доступ разрешен нескольким людям.
Почему тогда они видны с этим шлюзом в подсети 192.0.0.1 ? Причем с любого компьютера.
И почему они видны моему серверу входящему в подсеть .5.Х.?
Спасибо.

mrarefiev

Цитата:

Почему тогда они видны с этим шлюзом в подсети 192.0.0.1 ? Причем с любого компьютера.

Потому что они находятся в той же подсети, а все что не в подсети - это через шлюз. А шлюз прописан 20.1 - это вообще кто? Либо вариант - настройте маршрутизацию на 20.1 в подсеть 5.


Цитата:

И почему они видны моему серверу входящему в подсеть .5.Х.?

Потому что сервер входит в подсеть 192.0.0.0, по этому интерфейсу он и обращается.

Romeo_sh
У меня нет доступа к видеорегистраторам, необходимо извернуться и настроить без изменения настроек на них. Вариант использовать подсеть 192.0.0.0
А проброс порта не может помочь?
Они по 554 работают.

Я уже предложил вариант - настроить на шлюзе 192.168.20.1 маршрут в 5-ю подсеть. Что это за компьютер?

Если будете обращаться из 5-й подсети только с одного компа одновременно, то, возможно, проброс поможет. Тогда будет правило:
Локальный->192.168.20.200,192.168.20.201,192.168.20.202,192.168.20.203->Любой->Разрешить->NAT(192.168.20.220), но первый вариант более правильный.

Romeo_sh
Спасибо, попробую.

К сожалению первый вариант не может быть реализован из за отсутствия доступа на внесение изменений. Кстати, вчера 192.168.20.1 был заменен на 192.168.1.1
Я теперь вообще ничего не понимаю, что это и зачем, так как не пингуется даже, но в 192.0.0.0 все работает.

Цитата:

Кстати, вчера 192.168.20.1 был заменен на 192.168.1.1

Тогда остается вариант с нат. Но все же непонятно, как у вас все устроено и кто всем управляет, либо вы не договариваете.