» Kerio Control (ex Kerio WinRoute Firewall)

Starshark2007
везде всегда по умолчанию - всё запрещено. в любых продуктах, связанных с безопасностью. Если надо сделать доступ к сайтам - запрет всего внизу, сверху - доступ авторизованным пользователям. это Best Practice

Starshark2007
уважаемый, для умных разрешений есть и маски и регэксы, не надо пытаться рубить топором там, где нужна канитель.
vertex4
+100500

vertex4

Цитата:

везде всегда по умолчанию - всё запрещено. в любых продуктах, связанных с безопасностью.

сдается мне, что вы путаете гараж с банковской ячейкой.
здесь нужно хорошо понимать область применения, соотношения и затратности применения?
не будем далеко ходить и обобщать - рассмотрим конкретную ситуацию.
прикиньте соотношение количества социальных сетей к количеству доверенных сайтов, которые могут быть посещаемы сотрудниками организации.
для примера у меня список соц.сетей чуть менее трех сот строк. что-то мне подсказывает, что это соотношение будет сильно стремиться к нулю - это показывает эффективность вашего способа в данной конкретной ситуации.

..не надо бы вот так, сломя голову, всё обобщать и "причесывать" под какие-то правила.
теперь можно снова прочитать строку, которую я прцитировал.

Tihon_one

Цитата:

уважаемый, для умных разрешений есть и маски и регэксы, не надо пытаться рубить топором там, где нужна канитель.

полностью согласен, только использовать эти методы нужно для запрещения, а не для разрешения..
..а то вот как раз так и получается - рубить топором

Ребята, подскажите, кто пробовал обратный прокси, он нормально работает, там дополнительные правила не надо создавать? Чет не могу настроить.

Приветствую!

Проблема с Kerio Winroute 6.7
На машине которая раздает инет два интерфейса - локальная сетка (дальше в свич) и кабель интернета от билайна.
Не компе в локалке не работает GTA V, а именно не проходит активация при старте.
Если подключить кабель от билайна напрямую или включить vpn (к работе) с использованием шлюза удаленной сети то все работает отлично.
Какое правило нужно создать чтобы нормально работал порт 443 который отвечает за активацию?
Скрин правил смогу скинуть только вечером. Встроенный сервер/сервис Kerio Winroute который висит на этом порту выключен.

Еще вопрос, на керио, можно пробросить порты? обратный прокси позволяет пробросить только http/https, а если мне надо ftp или другие сервисы прокинуть, как быть?

MAGNet
для подобных ситуаций, по моему мнению, наиболее подходящий вариант система рейтинговой фильтрации, запретили всё, разрешили нужные категории, всё быстро, а главное максимально точно.

DrDroid
пробры пробрасываются через правила трафика.

Проблема с кроссдоменными юзерами и группами.

Народ, есть домен AAA в нем создана группа InetUsers, в эту группу добавлен юзер из другого домена BBB с довертиельным отношением.
Т.е. юзер из домена BBB состоит в группе домена AAA.

Оба домены авторизованы в настройках Керио. Но вот проблема, керио не хочет видеть юзеров которые живут не в том же домене что и юзеры.

Как победить?

Tihon_one
Как вариант. опять же, всё индивидуально и зависит ещё и от степени секурности.
В банковском секторе и конторе по заготовке рогов и копыт это будут немного разные подходы
Мне лично в моей ситуации на исходящих проще запретить то, что низзя, ибо почти всё можно

vertex4

Да Вы будете у себя на горшке все запрещать. Ваши "best practices" написаны долбоебами для долбоебов. И это факт.
Еще раз, невозможно разрешить руцями современный сайт полностью. ТОЧКА.
Отвечать не надо - лажу не воспринимаю.

Tihon_one


Цитата:

для подобных ситуаций, по моему мнению, наиболее подходящий вариант система рейтинговой фильтрации, запретили всё, разрешили нужные категории, всё быстро, а главное максимально точно.

Опять глупости изволите рассказывать. Не все сайты входят в "систему категорий" а если и входят то не всегда верно. Будете на каждый сайт отдельные правила писать? И все его кроссдомены тоже?

Мужчины может кто совет дать есть комп 4 интерфейса локалка, один впн хардварный, один интернет и второй интернет со статикой для одной софтины керио 8.1.1.2. Как его настраивать? Если ставишь один интерфейс интернета он глючить начинает как только начинаешь прописывать более одного интерфейса с шлюзом по умолчанию.

MAGNet
в таком случае очень легко получить прокси, которым будет нахаляву пользоваться любой желающий в инете. я же не призываю запретить всё, и открывать отдельные порты и отдельные домены. Можно правилом сверху разрешить абсолютно всё авторизованным пользователям или с локальных адресов, а правилом ниже - запретить всё.

Добавлено:
smaxs
скрин интерфейсов покажи

vertex4
тут, видимо, возникло некоторое недопонимание у нас с вами.
Цитата:

Можно правилом сверху разрешить абсолютно всё авторизованным пользователям или с локальных адресов, а правилом ниже - запретить всё.

Я же об этом и говорил!
Просто изначально речь шла о локальной сети.
Для локальной сети всё разрешено, что не запрещено явно.
Последним пунктом всегда идет запрещающее правило.

Вы мне тут рассказывали общие правила построения систем безопасности, я же говорил о конкретной ситуации для локальной сети, что несколько раз подчеркнул.
Ну, в целом, мы друг друга поняли

Starshark2007

Цитата:

Опять глупости изволите рассказывать. Не все сайты входят в "систему категорий" а если и входят то не всегда верно. Будете на каждый сайт отдельные правила писать? И все его кроссдомены тоже?

Уважаемый, вы какими рейтинговыми системами фильтрации пользуетесь?

В то, что есть в контроле, входит ну очень много всягой ерунды, которую обычно рассматривают юзвери в интернете.

Изменение hostname в Kerio Control Appliance
Не знаю было али не было но авось кому пригодится, т.к. на поиск ответа на этот вопрос было потрачено несколько дней времени, собственно сам вопрос в изменении имени хоста в Kerio Control Appliance. (сложилась такая ситуация когда тестовый шлюз подменял в DNS основной собой и из-за этого начиналась такая чехарда...)
Решение:
для полного изменения имени необходимо изменить/указать его в 4-х местах

new_hostname - целевое имя

### 1 ###
в разделе Misc файла
/var/winroute/winroute.cfg: <variable name="Hostname">new_hostname</variable>

### 2 ###
/var/etc/hosts:127.0.0.1 new_hostname localhost new_hostname

### 3 ###
/var/etc/hostname:new_hostname

### 4 ###
/var/etc/smb.conf:netbios name = new_hostname

п.с. добавьте в шапку на всякий
п.п.с. все изменения делаются или по ssh или из консоли Alt+F2 на шлюзе

Помогите решить проблему не пускает на сайт http://www.economycarrentals.com/, на другие пускает.



Добавлено:
Помогите решить проблему не пускает на сайт http://www.economycarrentals.com/, на другие пускает. Помогает только отключение инспектора, но надо правила настроить для пользователей.

В версии 8.5.3 исправили косяк с vpn туннелями со старых версий керио, который был в 8.5.2 версии

aidar

Цитата:

Помогите решить проблему не пускает на сайт http://www.economycarrentals.com/, на другие пускает.

Уверен что не пускает именно из-за керио? Что пишет?
Возможно проблема с DNS(блокирует провайдер)?

Подскажите пожалуйста, такая проблемка:
Kerio Control v7.4.2 build 5136, под Windows server 2008R2 + тут же стоит Kerio Connect
Было 2 канала, 1 резервный второй основной - все работало.
На днях подключили нормальный инет со скоростью 100Мб.
Настроил балансировку нагрузки. Все заработало, за исключением Kerio Connect.
Когда активна только одна, основная линия на которой висит почта - все работает.
Когда активны обе линии не отправляются и не отсылаются письма Connectа, точнее они отсылаются, но только выбрасываются в сеть с интерфейса на котором нету постоянного IP.
Когда подключаю второй интерфейс меняется основной маршрут, прописываю нужный - все равно идет отправка через высокоскоростное подключение.
Фото ниже.
Как настроить правильно ?
Почта не работает
http://s008.radikal.ru/i303/1505/d3/32724f42c3f8.jpg

Работает все
http://i016.radikal.ru/1505/c3/9d7b6797c546.jpg

almunia
используйте информацию от сюда: hxxp://kb.kerio.com/1314

Пробовал разные варианты, не получается. Правила трафика ниже:





Когда подключаю "Высокоскоростное подключение" падает почта

точнее она выбрасывается по основному маршруту - который создается в

Добавление статического маршрута не на что не влияет

Цитата:

Помогите решить проблему не пускает на сайт http://www.economycarrentals.com/, на другие пускает. Помогает только отключение инспектора, но надо правила настроить для пользователей.

Цитата:

Уверен что не пускает именно из-за керио? Что пишет?
Возможно проблема с DNS(блокирует провайдер)?

у меня керио в другом городе стоит и там та же ошибка

almunia
букв много - толку мало. режим подключения должен быть балансировка нагрузки.
читай внимательно статью.

Если я ставлю балансировку нагрузки, пропадает возможность отправлять и получать почту в Connecte. Остальная почта и правила работают.

almunia
ну вот теперь перечитай свой вопрос и мой ответ, кристализуй задачу и после вдумчиво прочитай статью в базе знаний, которую я тебе прислал.

Tihon_one
Пробовал делать как написано в статье, отключив все существующие правила, все равно почта не работает.
когда активируется "Высокоскоростное подключение" в таблице маршрутизации Керио появляется только маршрут для "Высокоскоростное подключение". Почта Керио вылетает с iр с динамическим адресом получаемого от провайдера и письма сразу возвращаются что попали в блек-лист. Отключаю "Высокоскоростное подключение" и все идет правильно.
Может я сразу не правильно описал проблему.
Почта отправляется только не со статики, а с динамического IP. В правилах указан нужный (правильный) интерфейс.

almunia
слушай, у меня была похожая трабла, я поступил просто - сделал правило типа такого:
если входящая локальная сеть и почтовые порты и исходящие интернет-интерфейсы, то разрешить соединение, включить источник NAT и использовать конкретный исходящий интерфейс - это выбирается в выпадающем списке.
не помню про 7-й, но в 8-м такое работает.

MAGNet

"включить источник NAT и использовать конкретный исходящий интерфейс - это выбирается в выпадающем списке. "

Я так и делал, даже указывал конкретный IP с какого выходить.
Но такое впечатление что "Высокоскоростное подключение" имеет выше приоритет и Коннект упорно валится туда.
Вся остальная почта работает без проблем, все правила отрабатываются.

almunia

давай так, дураков тут нет, и посему, вот как ты мне пояснил шаги тобой выполненные по руководству из базы знаний, выполни их ещё раз, и подробно в скринах тут опиши, а мы поглядим, где ты ошибаешься. иначе это уже телепатия.

не могу найти в 8.5.2 и в 8.5.3 функцию где в личной статистике пользователя посмотреть правила блокировки для пользователя. Раньше точно помню было:

, теперь только:

даже в KB это есть, а в реальности нет.