» Kerio Control (ex Kerio WinRoute Firewall)

TohaDub

Цитата:

заблокировал. бесполезно

Если ты в домене, то запрети через GPO непосредственно запуск программы.
Или вот еще одно решение с дружественного форума (лично не проверял)

Цитата:

ПО:
Kerio control 7.1.2.2333 Rus
TeamViewer 6.0.10722
Прокси-сервер Kerio Control + AD + Web Filter

1. Правила трафика
Источник ->> любой // ->> назначение - internet eth // ->> Служба - TCP port (5938) // ->> Действие - удалить

2. Политика HTTP
Действие - Удалить // ->> URL - *teamviewer*

3. Политика HTTP ->> Прокси сервер
Убрать галку "разрешить тунельные подлючения ко всем TCP-портам"

Все! Юзайте
Никаких GPO, Symantec Managment Console, дополнительного ПО и т.д.
Все просто.

TohaDub
Своим опытом о Керио и TeamViewer (в Керио 7.2.2 build 3443-неудачным)
я уже поделился здесь
http://forum.ru-board.com/topic.cgi?forum=8&topic=33062&start=20

unreal 777
А у Вас TeamViewer по 80 и 443 порту не работает или они тоже обрублены ?

может чето полезное найдете тут
http://forums.kerio.com/?SQ=0&t=search&srch=TeamViewer&btn_submit=Search

coder666
А вы сами-то это читали (поиск и мы юзать умеем)-там ветка заканчивается на
"оптимистической" ноте - teamviewer support said: "there is no solution but block everything".
it will work even on 80 port. so if you block 80, you block web browsing

На всякий случай процитирую себя еще раз-
Через рестрикшен в GPO его не прибить (как и Касперским)-файлы портабельные и с разными хешем и запуском из разных мест.
Долго боролся на прокси (Керио), прибивал ip серверов teamviewer. Постоянно появляются новые сервера.
Блокировка по "словам" приводит к невозможности пользоваться, например, WEB-интерфейсом почты, если там присутствует блокируемое слово.

В дополнение на DNS создал зоны teamviewer.com и dyngate.com с левой А-записью. Пока помогло.
До тех пока юзеры не сообразят про 8.8.8.8 и 8.8.4.4 например.

wwladimir

Цитата:

До тех пока юзеры не сообразят про 8.8.8.8 и 8.8.4.4 например.

ну даже если сообразят, можно заблокировать DNS трафик из лвс в Интернет для них.

напомните пожалуйста, чтобы юзера могли заходить на сайты с такими адресами http://www.dssu.gov.ua:1080/control/uk/index что нужно в правилах добавить?

Tihon_one
Да,конечно! Дать 53 порт только dns-серверам. Спасибо за подсказку.

Подскажите, пожалуйста.
Есть сервер Windows Server 2008 R2. Необходимо поставить firewall, чтобы можно было контролировать сетевую активность пользователей, работающих в терминальном режиме. Более того, чтобы можно было дифференцировать права доступа в сеть приложениям по каждому пользователю/группам пользователей.
Kerio Control (ex Kerio WinRoute Firewall) справиться с такой задачей?

Цитата:

Подскажите, пожалуйста.
Есть сервер Windows Server 2008 R2. Необходимо поставить firewall, чтобы можно было контролировать сетевую активность пользователей, работающих в терминальном режиме. Более того, чтобы можно было дифференцировать права доступа в сеть приложениям по каждому пользователю/группам пользователей.
Kerio Control (ex Kerio WinRoute Firewall) справиться с такой задачей?

как именно контролировать , будут ходить они по 3389 порту на нужный вам сервер и все, и правила выхода юзеров в инет будут, что вам еще надо?

Maza777
Я несколько не в теме, поэтому прошу простить за возможно глупые вопросы.

Имеется терминальный сервер на Вин2008. Пользователи подключаются к нему удаленно через удаленный рабочий стол, т.е. на сервере одновременно работают множество юзеров (рабочих столов). К примеру, для одних пользователей Excel имеет право залезть в интернет, для других не имеет, но сами пользователи не могут себе определять/корректировать существующие правила доступа в сеть.

Как это относиться к Керио?

Цитата:

Я несколько не в теме, поэтому прошу простить за возможно глупые вопросы.
 
Имеется терминальный сервер на Вин2008. Пользователи подключаются к нему удаленно через удаленный рабочий стол, т.е. на сервере одновременно работают множество юзеров (рабочих столов). К примеру, для одних пользователей Excel имеет право залезть в интернет, для других не имеет, но сами пользователи не могут себе определять/корректировать существующие правила доступа в сеть.

вы в инет ходите с помощью Excel ? ШОК

Керио управляет доступом к инету, Керио по IP адресу сервера будет рулить инетом. Стоит попробовать включить обязательную аутентификацию для выхода в инет.

Возникла проблема с маппингом портов в Kerio Control (перепробовал все версии начиная с 6.7).

Имеется:
Сервер маршрутизации MS Windows 2008 R2 SP1 c Kerio Control v.7.2.2 b.3443
Имеет два интерфейса, WAN(IP:1.1.1.1) - интернет, LAN(IP:192.168.1.2) в локальную сеть.
Внутри сети развернут домен, сервер маршрутизации в домен не входит!
Адрес DC/DNS/DHCP: 192.168.1.1

Проблема:
Не работает правило маппинга при подключение по RDP 1.1.1.1:33890
Источник: Any
Назначение: Firewall
Сервис: TCP 33890
Действие: Разрешить
Трансляция: 192.168.1.1:3389

Да в принципе не работает ни одно правило маппинга RDP, на какой бы ПК в домене я не пробовал его назначить.
При этом в диспетчере подключений видно что правило отрабатывает, но создается ощущение что доменные ПК не отвечают на этот запрос.
Как решить? Варинт ввода Kerio в домен не рассматриваем.

kck
Каша...
Так маршрутизация у Вас на 2008r2 или все же трансляция (по слову nat погуглите) на
Kerio.
И чем помешает или улучшит ситуацию членство фаервола-прокси в домене (в моей практике он всегда был в домене и еще и контролером домена был,
вернее до сих пор есть, но уже не у меня).Была когда-то большая дискуссия по безопасности-вводить ли в домен пограничный сервер ISA, так то ИСА!(И они-то у меня в домене тоже).

Подозреваю сильно, Вам поможет установка на машинах, порты которых Вы выставляете наружу, в качестве "шлюза по умолчанию" -ip адреса машины с Kerio(т.е. 192.168.1.2).

kck
ipconfgi /all с клиентов лвс и с сервера kcontrol
если влом, то прислушайтесь к доводу товарища wwladimir, чтобы мап работал, на локальных пк шлюз по умолчанию должен быть kcontrol

Цитата:

Возникла проблема с маппингом портов в Kerio Control (перепробовал все версии начиная с 6.7).

Попробуй сделать так:


В качестве источника NAT можно не писать адрес, а просто выбрать LAN интерфейс из раскрывающегося списка. Отпиши о результатах, пожалуйста.

Negotive666
сочитать snat и dnat не самый лучший способ, не сможешь понять, когда будет надо с какого внешнего IP пришло то или иное подключение, всё будет идти от локального IP керио, лучше всё-таки сразу настроить маршрутизацию на клиентских пк правильно.

maxchist можно, по крайней мере без керио точно, стандартными средствами: включить виндовую маршрутизацию (в реестре ipenablerouter=1) и форвардинг на каждом интерфейсе (через netsh interface ipv4 set interface "xxx" forwarding=enable) - тогда все подсетки будут видеть друг друга через шлюз интерфейсов сервера к которым они подключены.
grB
вероятно у вас в керио включен http прокси (по умолчанию активен). еще подобный глюк случается при включенном встроенном антивире, это ничем не лечится кроме его отключения.

Добавлено:
Теперь вопрос к уважаемой публике, как добавить в этот чертов керио свои маршруты? На виндовые ему глубоко наплевать, а нужные мне он, сук такой, добавляет в "неактивные". Т.е. есть внешняя сетка со шлюзом, через нее vpn в интернет. Но, на некоторые интернет-адреса я выхожу не через "шлюз по умолчанию" vpn соединения, а через шлюз той сетки, для чего в винду прописал элементарные статические маршруты. Так вот керио эти маршруты напроч не переваривает, а при добавлении их вручную в его таблицу - заносит в неактивные, и естественно они ничерта не работают...

Цитата:

Т.е. есть внешняя сетка со шлюзом, через нее vpn в интернет. Но, на некоторые интернет-адреса я выхожу не через "шлюз по умолчанию" vpn соединения, а через шлюз той сетки, для чего в винду прописал элементарные статические маршруты

У меня сделано так:

(доступ в DNS серверам и внутренним ресурсам без использования VPN)
Правило с адресами на которые нужно ходить не через VPN должно быть выше чем правило с натом через VPN. Адреса в нем вписаны в статические маршруты в венде, если этого не делать почему то не работает.

Да, все именно так и даже работает, но вот iptv (через VLC player) что должно переть через локалку через НАТ не пашет... Видимо сам нат винроута неумеет rtp (или igmp на котором он построен?) обрабатывать.

Попробуй создать правило в керио:
источник: Любой, назначение: ip 224.0.0.0/mask 240.0.0.0, служба: любой, действие: разрешить. И поставь раньше ната.
Кроме того, если в машине больше одного фейса, назначь всем метрику 2 (свойства > TCP/IP > дополнительно > метрика интерфейса) кроме того, через который должен идти мультикаст - ему нужно назначить метрику 1.

Все бы хорошо, но простое назначение правила - не сработает, вернее сработает но только для самого сервера. Ибо метрику интерфейса лан (а точно также и его мультикаста) нельзя назначить меньше метрики vpn интернета, иначе интернет естественно просто не работает нигде. А просто назначить метрику одному мультикасту нельзя потому, что винроут данные маршруты вносит в неактивные, да и просто игнорирует пути самой винды.
А вообще гугл сказал что igmp физически через нат никак не работает...

Вывод route print запости сюда, у тебя там два маршрута с назначением 0.0.0.0/0.0.0.0? если нет, то изменение метрики фйеса не приведет к тому, что кончится интернет. Тебе VLC нужно что бы работал на машине с керио или дальше? Исли дальше - не получится, точнее нужно будет делать на машине с керио ставить VLC работающий как RTSP>HTTP и смотреть уже любым плеером на другой машине, я так делал для билайн-тв.

подскажите как настроить керио вер 7,0, чтобы он был виден из разных подсетей

Каккие нужно сделать настройки чтобы по паролю пользователи заходили в интернет.
Система XP SP3. Настройка с двумя сетевыми картами.

Negotive666
Tihon_one

Спасибо, по запаре действительно не поменял шлюз в параметрах зоны DHCP сервера со старого на новый

kck
Вообще-то это я Вам про "кашу" писал... Успехов.

Появился еще один вопрос:
Подключение удаленного офиса к сети Интернет через VPN-туннель с центральным офисом.

Что имеем:
Два офиса в которых стоит Kerio Control, между ними создан VPN туннель.

Что требуется:
Возможность из удаленного офиса при подключенном VPN туннеле Kerio выходить в интернет через основной офис. (см.схему)

Соответственно интересует прохождение трафика по красной стрелке.
Можно ли это настроить при условии, что если туннель падает (ну допустим упал канал интернета в центрально офисе), интернет остается в удаленном офисе через свой интернет канал?!

Как настроить, кто-нибудь знает?

Встал вопрос о поднятии PXE сервера (привет WDS). Вопрос лишь в том, что за DHCP отвечает керия (т.к. очень удобно: зашёл в веб-морду и настроил что надо и всё по рукой), а не виндовый DHCP, который позволяет выставлять 60ый параметр: PXEClient;

Собсна, отсюда 2 вопроса:
1. Можно ли добавить каким-нибудь способом параметр 060 PXEClient в DHCP керии?
2. Если на первый вопрос ответ нет, то пробовал ли кто-нибудь сделать подобное?
Если да, то что получилось в итоге и получилось ли вообще?
Иначе отвечать не стоит;

kck
на сколько я помню маршрут 0,0,0,0\0 можно было передать через тоннель в 6ках, в послдених версиях даже не смотрел, но говорят, что нельзя.

Но при условии использования VPN сервера KControl как Интернет линка, да и ещё запихнуть это в переключение при отказе, не получится.