» Kerio Control (ex Kerio WinRoute Firewall)

Airinen

Цитата:

Получается нужно писать правило запрета того же ICQ от клиентов к Firewall, а над ним правило разрешения для определённой группы?

Все верно для НЕ прозрачного прокси. Для прозрачного (Local Traffic) соответственно выше и также запрещаем ниже. У меня к примеру не используется НЕ прозрачная прокся и что не запрещено, то разрешено. Если хотите реализовать наоборот, то вам нужно сначала создать разрешающие правила для себя до керио, затем для других до керио, для других в интернет, и в самом низу запрет всего трафика. Не выпилите себя главное, чтобы на консоль не лезть =)


Добавлено:
kot488
Можно. Но это достаточно долго если с нуля при не знании продукта.

attaattaatta
Спасибо за ответ!
А можете показать скриншот части ваших правил? Наглядная картинка очень поможет в понимании.

Как у вас ходят пользователи без НЕ прозрачного прокси по HTTP/HTTPS? Вы не используете Web-Filter?

Airinen
Я не мастер клеить скрины, а правил много, не влезут ни в один ни в два скрина к сожалению.

Цитата:

Как у вас ходят пользователи без НЕ прозрачного прокси по HTTP/HTTPS? Вы не используете Web-Filter?

Керио по своей сути является прозрачным прокси сервером, он подменяет заголовки пакетов всего трафика. Также в нем есть возможность включить НЕ прозрачную проксю, на соответствующей вкладке (она так и называется "прокси-сервер" и там же где то в последних версия есть реверс прокси). Так вот, вэб фильтр работает для всего трафика, что проходит через инспектор протокола. Источник как и назначение значения не имеют. Главное чтобы был включен Инспектор протокола для этого правила в правилах трафика.

Для любого типа прокси HTTP/HTTPS разрешающие правила будут такие:

Источник - LAN
Назначение - WAN
Служба - HTTP(S)/DNS
Действие - Разрешить

Источник - Firewall
Назначение - WAN
Служба - HTTP(S)/DNS
Действие - Разрешить



Прилепил последние правила, может будут полезны.

Добавлено:
Airinen
По сути, вам достаточно фильтровать трафик до керио, а трафик керио полностью разрешить.

attaattaatta
Спасибо за подробный ответ!
Да, теперь стало понятнее. Настраиваю Kerio для перехода с TMG, поэтому некоторые моменты различаются и не так очевидны.

Правильно ли я понимаю, что ПРОЗРАЧНЫЙ прокси - это по-сути маршрут на маршрутизаторе, вида "Всё, что идёт наружу, отправлять на Kerio"?

А если всё-таки NON-Transparent, то обратил внимание, что, например, QIP лезет на Kerio по HTTPS, а сам Kerio уже идёт в интернет по порту 5222. Поэтому ограничение "Изнутри-к Керио- 5222-запретить" не работает, т.к. он идёт по 3128.

attaattaatta

в основном с исой работал, лучше не заморачиваться?

посоветуйте бесплатную альтернативу керио?

Airinen
Ну при не прозрачном проксировании ессно так и будет.

kot488
Все зависит от того, какой вам нужен инструмент и для каких целей.

mazafakaz
IPFW, iptables, pfsence и т.д

пробовал pfsence, zentyal и clearos
как-то обо всем и ни о чем...

pfsence интересная вещь только на английском и не сразу понятен подход работы с ней.

Всем доброго времени суток)
Застрял с решением задачи то ли она банальна то ли
Исходные данные:
1. Имеется локальная сеть 192.168.10.0 255.255.255.0
2. Имеется VPN от провайдера со статическим адресом 10.144.192.6 255.255.255.252 (шлюз 10.144.192.5)
3. Установлен Kerio Control на виртуальную машину,
3. Имеется программный продукт, который должен работать через данный VPN. Количество рабочих мест - 5. Удаленная сеть, к которой подключается данная программа 10.102.1.0/24 адрес подключения 10.102.1.201

Проблема:
Если прописать статический маршрут 10.102.1.0/24 на шлюз 10.144.192.5 на самом Kerio, то
адрес 10.102.1.201 пингуется с самого Kerio, но не пингуется с рабочих машин, причем адрес VPN интерфейса 10.144.192.6 пингуется с рабочих машин.
В чем косяк!? Я что-то не дописал в маршруты на Kerio или это не возможно организовать? Туплю...


З.Ы. точно тупил: нужно было только создать правило трафика, пробрасывающее локальную сеть на данный VPN задействовав NAT ))

Всем привет, помогите с решением.

|---РС1 (192.168.2.3)
1. Керио (192.168.0.1) --- Роутер|---РС2 (192.168.2.4)
|---РС3 (192.168.2.5)

Как сделать чтобы компы PC1, PC2, PC3 были видны в керио под своими внутренними IP, чтобы можно было сделать авторизацию и разделить посещаемые ресурсы..
На данный момент керио видит в списке активных пользователей IP роутера (192.168.0.2) с авторизацией последнего пользователя.

И керио и компы пингуются между собой.

SergFM, точнее можно ? роутер со стороны компов так и между кирио и роутером канал интернета ? если так и роутер убрать нельзя то посмотри мб. роутер подерживает впн (в любую сторону) затем настрой впн и на керио и можно будет ходить к примеру по 192.168.3.0

Цитата:

роутер со стороны компов так

да

Цитата:

между керио и роутером канал интернета

локальная сеть организованная провайдером

Цитата:

если так и роутер убрать нельзя

роутер убирать нельзя

Цитата:

мб. роутер подерживает впн

нет, роутер это TPLink841N и на нём нет поддержки VPN. Я не вижу смысла в впн, если это и так лок.сеть...может я ошибаюсь??

SergFM
Для клиентов в кач-ве маршрутизатора указать керио, для керио в кач-ве маршрутизатора указать роутер ? А проблема в чем ? Повесить на керио еще один адрес из нужной сети ?

Цитата:

Для клиентов в кач-ве маршрутизатора указать керио

Клиенты находятся за роутером, поэтому у них в качестве шлюза и днс автоматом указан внутренний ip роутера. на порту роутера который смотрит в сеть с керио указан шлюз на керио, а адрес днс указан на днс сервер.


Цитата:

А проблема в чем ? Повесить на керио еще один адрес из нужной сети ?

маршрут на керио в сеть роутера проброшен, компы видны, но в активных хостах они спрятаны за адресом роутера который смотрит в сеть керио...
может я не о том адресе понимаю??

Цитата:

И керио и компы пингуются между собой.

пингуються ли копмы с самого керио или только между собой ?


Цитата:

Я не вижу смысла в впн, если это и так лок.сеть

Скорее всего твои компы находятся за натом, а это локалка только в 1 сторону (грубо говоря).

SergFM
выключить на Kerio прозрачный прокси-сервер, на PC1-3 прописать прокси Kerio, в Kerio завести пользователей с именем/паролем и включить принудительную аутентификацию, а по IP пользователей разделить будет нельзя т.к. Kerio видит только IP роутера. Если PC1-3 на Windows, то в Kerio можно завести пользователей с такими-же именем/паролем как на PC1-3 и использовать автоматическую аутентификацию NTLM и тогда пароль у клиентов не будет запрашиваться. А если у PC1-3 есть еще и контроллер домена, то Kerio сможет вытянуть от туда пользователей, но контроллер домена скорее всего также за роутером и на роутере нужно будет придумать, что бы Kerio с порта WAN достучался до контроллера.
Но это моя теория, т.к. давно уже не имел дел с Kerio =(

SergFM
На вашей схеме изображен один роутер, следовательно это все относится к одной физической сети. Так ? Так в чем проблема использования керио во всех нужных сетях ? Укажите ему дополнительные ip адреса из этих сетей и установите для нужной вам в кач-ве маршрутизатора.

Добавлено:
Между хостом керио и роутером можно вообще вилан сделать, чтобы юзеры не видели роутера.

Цитата:

пингуються ли копмы с самого керио или только между собой ?

с керио пингуются все компы и со всех компов пингуется керио

Цитата:

Скорее всего твои компы находятся за натом

компы находятся в другой подсети за роутером, и, как и положено, он их натит..никаких настроек по нату на роутере не нашёл..

Цитата:

Так в чем проблема использования керио во всех нужных сетях

он и успешно используется

Цитата:

Между хостом керио и роутером можно вообще вилан сделать, чтобы юзеры вообще не видели роутера.

не понял...юзеры находятся с другой стороны от керио и роутер они будут видеть полюбому, а что там будет поднято между керио и роутером их не касается...

Цитата:

в Kerio завести пользователей с именем/паролем и включить принудительную аутентификацию, а по IP пользователей разделить будет нельзя т.к. Kerio видит только IP роутера. Если PC1-3 на Windows, то в Kerio можно завести пользователей с такими-же именем/паролем как на PC1-3 и использовать автоматическую аутентификацию NTLM и тогда пароль у клиентов не будет запрашиваться. А если у PC1-3 есть еще и контроллер домена, то Kerio сможет вытянуть от туда пользователей,

компы все в домене, автоматическая аутентификация работает.

SergFM

Цитата:

юзеры находятся с другой стороны от керио и роутер они будут видеть полюбому, а что там будет поднято между керио и роутером их не касается...

Значит либо я не понял вашей схемы, либо она не верна. Так и не ответили, все девайсы в одном фрагменте физ. сети ?

Цитата:

Значит либо я не понял вашей схемы, либо она не верна.

расписываю подробно, сорри за пэинт

SergFM
Во ! С роутера нельзя убрать функции маршрутизации ? Сделайте его просто тупым коммутатором. Трансляцию уберите. По итогу все хосты будут в сети 192.168.0.x

Цитата:

Во ! С роутера нельзя убрать функции маршрутизации ? Сделайте его просто тупым коммутатором. Трансляцию уберите. По итогу все хосты будут в сети 192.168.0.x

нет...в одной сети нельзя..от этого и ушли...

SergFM
Настройте тегирование на порту роутера и на керио ловите тегированный трафик на одном из интерфейсов.

Добрый день!

Немного чайник в Kerio, кто сможет подсказать? Контора купила лицензию ФСТЕК, как я понял, данная лицензия позволяет установить и последний релиз 9.0.1-547. Основная задача шлюза - поддерживать 20-30 VPN клиентов, ну и раздача инета сотрудникам офиса (особой нагрузки на вебфильтр не планируется).

Какая самая стабильная версия Контрола? с учетом вышеуказанной нагрузки

Цитата:

Настройте тегирование на порту роутера и на керио ловите тегированный трафик на одном из интерфейсов

тэги здесь не подходят...

Цитата:

нет...в одной сети нельзя..от этого и ушли...

Цитата:

тэги здесь не подходят...

Вопрос один. Почему ?

Ведь вариант с простым прокси сервером на прикладном уровне вас устроил.

Цитата:

Вопрос один. Почему ?  

требования прова...все в сумрак...да и пора уже на подсети делиться...

Подскажите по статистике пользователей. Kerio Control Version 9.0.1-547
Открываю Состояние-Статистика по пользователям
Иванов 0 мб
Нажимаю
Просмотреть в разделе статистики Kerio Control
открывается статистика и там показано, что данные пользователь скачал сегодня 300мб
Если применить фильтр в Состояние-Статистика по пользователям Иванов
то Ивановых отображает 2
у одного 0 мб, у второго 300 мб
что за глюк такой?
P.S.
в пользователях введен только 1 Иванов.

подскажите, как победить скайп.
керио берет учетки пользователей из ад. включен непрозрачный прокси на порту 3128 по умолчанию и необходима принудительная авторизация на прокси для доступа в интернет (т.к. терминальный сервер есть).
Если в скайпе сохранен пароль - никаких проблем. Но если нет - не удается подключиться и плачущий смайлик... Пробовал в настройках скайпа писать адрес шлюза и порт, указывал логин и пароль - не помогает.

Добавлено:
omni64
а если удалить всю статистику и попробовать еще раз?