Форум Kerio-rus

Форум Kerio-rus (http://kerio-rus.ru/forum/index.php)
-   Kerio Control (бывший Winroute Firewall) (http://kerio-rus.ru/forum/forumdisplay.php?f=302)
-   -   Фильтрация (http://kerio-rus.ru/forum/showthread.php?t=10499)

s3rvdog 03.10.2019 19:02

Фильтрация
 
Вложений: 10
Здравствуйте. Есть два кабинете. ОС win7 в настройках каждой сетевой жестко ip шлюзом Керио ДНС машина с винсервером 2012. Все в домене. Некоторые пользователи могут спокойно заходить на ютубы и игры. Некоторые не могут. Грешу на ДХЦП на управляемом маршрутизаторе. Чо делать-то?

naliman 03.10.2019 19:22

Re: Фильтрация
 
Цитата:

Сообщение от antivirdog (Сообщение 159722)
Здравствуйте

привет
Цитата:

Сообщение от antivirdog (Сообщение 159722)
Есть два кабинете

нету пять маршрутка противогаз укроп ходили семь
Цитата:

Сообщение от antivirdog (Сообщение 159722)
ОС win7 в настройках каждой сетевой жестко ip шлюзом Керио ДНС машина с винсервером 2012

понятно
Цитата:

Сообщение от antivirdog (Сообщение 159722)
Все в домене

понятно
Цитата:

Сообщение от antivirdog (Сообщение 159722)
Некоторые пользователи могут спокойно заходить на ютубы и игры. Некоторые не могут

понятно
Цитата:

Сообщение от antivirdog (Сообщение 159722)
решу на ДХЦП на управляемом маршрутизаторе

при чём он вообще?
у тебя пользователей в интернет кто пускает? управляемый маршрутизатор или керио?
если вдруг керио - то все ли пользователи там авторизуются?
судя по настройкам фильтра - запреты действуют на конкретных пользователей
а глядя на правила трафика понятно что инторнеты получают все, неавторизованные тоже

"обходит" запрет кто то из указанных в фильтре?
Цитата:

Сообщение от antivirdog (Сообщение 159722)
Чо делать-то?

как обычно:
1. включить голову
2. сделать так что б неавторизованным не было доступа в энторнеты, а авторизованным был
3. сделать группы (например "этим можно" и "этим нельзя"), пользователей распихать по группам
4. в настройках фильтрации (да и в других местах) использовать группы. Это удобно, один раз правила настроил и всё, только членство в группах меняешь вместо востоянного дёргания правил

s3rvdog 03.10.2019 20:02

Re: Фильтрация
 
Цитата:

Сообщение от naliman (Сообщение 159724)
"обходит" запрет кто то из указанных в фильтре?

Да, любой рандомный пользователь из них может обойти фильтр. Хз почему


Цитата:

Сообщение от naliman (Сообщение 159724)
сделать группы (например "этим можно" и "этим нельзя"), пользователей распихать по группам

чо-чо-чо за группы?


Цитата:

Сообщение от naliman (Сообщение 159724)
один раз правила настроил и всё

Ну собственно эти правила и должны действовать только для этих пользователей, остальные пусть развлекаются как хотят
Что делать - то? Я в замешательстве. Грядёт проверка роспотребнадзора, чтобы дети во время занятий не рассматривали мемасы и вообще было сурово все и по законам фильтрации, naliman отрезать провод даже не предлагай, знаю я твои радикальные советы

naliman 03.10.2019 20:19

Re: Фильтрация
 
Цитата:

Сообщение от antivirdog (Сообщение 159726)
Хз почему

например не срабатывает авторизация



Цитата:

Сообщение от antivirdog (Сообщение 159726)
чо-чо-чо за группы?

блять
ГРУППЫ
как в актив директори есть группы так и в керио есть группы
их удобно использовать в правилах, не надо тащить в правило 100500 польтзователей
поместил в правило в группу и всё на этом, при необходимости играешься с членством в группе



Цитата:

Сообщение от antivirdog (Сообщение 159726)
Ну собственно эти правила и должны действовать только для этих пользователей, остальные пусть развлекаются как хотят

что и происходит, с тем лишь отличием что развлекаются все как хоятт :)



Цитата:

Сообщение от antivirdog (Сообщение 159726)
Что делать - то? Я в замешательстве. Грядёт проверка роспотребнадзора, чтобы дети во время занятий не рассматривали мемасы и вообще было сурово все и по законам фильтрации

ну а закрыть к хуям ДЛЯ ВСЕХ - не сутьба?
а разрешить только избранным


что мешает?



Цитата:

Сообщение от antivirdog (Сообщение 159726)
naliman отрезать провод даже не предлагай, знаю я твои радикальные советы

тут резать провод не надо, надо чуть лишь подумать головой
запрети всем и оставь только "избранным"
по крайней мере на время "проверки"
а потом потихоньку отладишь авторизацию

exchar 03.10.2019 21:24

Re: Фильтрация
 
1) как уже сказали, юзай группы пользователей
т.е. разбиваешь в ТП третье правило на несколько правил для разных групп (которые будут в источнике этих правил)
2) по третьему правилу в ТП доступ в инет есть для всех девайсов, которые шлют пакеты на lan керио (столбец "источник" там не для красоты типа)
3) в фильтрации содержимого аналогично - группы!
4) настрой фильтрацию https - это не только галка в админке, но и телодвижения по статье в kerio kb.
5) прокси сервер сейчас прописан на клиентах (в настройках IE или др браузеров) или нет? (не надо ломиться и прописывать, я спрашиваю что там сейчас нарисовано)
6) привет, да

s3rvdog 03.10.2019 21:53

Re: Фильтрация
 
Цитата:

Сообщение от exchar (Сообщение 159728)
настрой фильтрацию https - это не только галка в админке, но и телодвижения по статье в kerio kb

Это где, почитать? Я сразу скажу - поставил галочку Керио перестало пускать даже на гугл, мол де сертификат не тот, да небезопасно. Я понимаю, что сейчас всё уже давно на хттпс. Разбираться готов в этом, даже согласен если за денежную плату поможешь, я понимаю, что любой труд оплачен должен быть. Если есть предложение - покажи, за мной не заржавеет :mol:

Цитата:

Сообщение от exchar (Сообщение 159728)
прокси сервер сейчас прописан на клиентах

нет - всё по дефолту.
Цитата:

Сообщение от exchar (Сообщение 159728)
6) привет, да

Рад видеть снова

naliman 03.10.2019 22:07

Re: Фильтрация
 
Цитата:

Сообщение от antivirdog (Сообщение 159730)
нет - всё по дефолту.

зачем тогда он в керио включен?


Цитата:

Сообщение от antivirdog (Сообщение 159730)
Это где, почитать?

удивляешь


Цитата:

Сообщение от antivirdog (Сообщение 159730)
? Я сразу скажу - поставил галочку Керио перестало пускать даже на гугл, мол де сертификат не тот, да небезопасно.

надо на клиентах распространить сертификат керио, вместе с кериовским коревым
импортировать из админки и распространить
если есть домен - средствами AD распространить
ну или побегать ножками распространить ручками :)


Цитата:

Сообщение от antivirdog (Сообщение 159730)
Разбираться готов в этом, даже согласен если за денежную плату поможешь, я понимаю, что любой труд оплачен должен быть

разобраться и купить не совсем одно и то же :)

s3rvdog 03.10.2019 22:21

Re: Фильтрация
 
Цитата:

Сообщение от naliman (Сообщение 159731)
разобраться и купить

опять за своё! Чего ты видишь плохого в покупке знаний?

exchar 03.10.2019 22:49

Re: Фильтрация
 
Цитата:

Сообщение от antivirdog (Сообщение 159730)
Это где, почитать?

[Для просмотра данной ссылки нужно зарегистрироваться], [Для просмотра данной ссылки нужно зарегистрироваться] и [Для просмотра данной ссылки нужно зарегистрироваться]
Цитата:

Сообщение от antivirdog (Сообщение 159730)
Я понимаю, что сейчас всё уже давно на хттпс.

очень давно
Цитата:

Сообщение от antivirdog (Сообщение 159730)
Разбираться готов в этом

хорошо
Цитата:

Сообщение от antivirdog (Сообщение 159730)
даже согласен если за денежную плату

включи мозги - дешевле выйдет :D
Цитата:

Сообщение от antivirdog (Сообщение 159732)
Чего ты видишь плохого в покупке знаний?

то, что мозг остается выключенным

s3rvdog 03.10.2019 23:13

Re: Фильтрация
 
exchar,начал читать, понял так:через АД можно строго в ИЕ только, если вручную, в любые браузеры. Ежели сертификата нет, то пользователю циклично будет выдаваться инфа про сертификат и он так и не достигнет своей грязной цели?

exchar 03.10.2019 23:36

Re: Фильтрация
 
Цитата:

Сообщение от antivirdog (Сообщение 159734)
если вручную, в любые браузеры

может другие браузеры могут и не вручную, я хз
ищи в инете, если хостов много
а если мало, то сделай в режиме дятла
проверь сначала на одном хосте, что после всех манипуляций все работает
Цитата:

Сообщение от antivirdog (Сообщение 159734)
Ежели сертификата нет, то пользователю циклично будет выдаваться инфа про сертификат и он так и не достигнет своей грязной цели?

зависит от настроек браузера и ТП керио, в общем-то
лучше сделать и забить.

naliman 04.10.2019 00:35

Re: Фильтрация
 
Цитата:

Сообщение от antivirdog (Сообщение 159732)
опять за своё! Чего ты видишь плохого в покупке знаний?

я же сказал разобраться и купить это не одно и тоже
и только
:)

©©©® 04.10.2019 08:41

Re: Фильтрация
 
1. правила траффика [Для просмотра данной ссылки нужно зарегистрироваться]
2. Принудительная авторизация [Для просмотра данной ссылки нужно зарегистрироваться]
3. Фильтрация содержимого [Для просмотра данной ссылки нужно зарегистрироваться]
(1) Правило разрешает эти ваши Интернеты пользователям и хостам группы (А)
(2) Правило шлёт всех на ... авторизацию
4. На машинах политиками домена настроено использование прокси [Для просмотра данной ссылки нужно зарегистрироваться]
При такой схеме авторизация происходит автоматически при обращении ко внешним ресурсам, для тех кому не повезло с авторизацией срабатывает пересыл из правила 3. (2)

Про "другие" браузеры на примере мозиллы, если там в настройках установлено не использовать прокси, то пользователь получает окно авторизации Керио.

exchar 04.10.2019 09:20

Re: Фильтрация
 
молодец

Цитата:

Сообщение от ©©©® (Сообщение 159739)
для тех кому не повезло с авторизацией срабатывает пересыл из правила 3

только порт прокси разный на скринах

©©©® 04.10.2019 09:41

Re: Фильтрация
 
Цитата:

Сообщение от exchar (Сообщение 159742)
только порт прокси разный на скринах

4081 - порт для страницы авторизации
3128 - порт прокси
facepalm.jpg

exchar 04.10.2019 09:43

Re: Фильтрация
 
Цитата:

Сообщение от ©©©® (Сообщение 159743)
4081 - порт для страницы авторизации
3128 - порт прокси
facepalm.jpg

ога, тут я тормознул, согласен

naliman 04.10.2019 10:54

Re: Фильтрация
 
©©©®, спасибо

s3rvdog 04.10.2019 11:18

Re: Фильтрация
 
Вложений: 2
Почитал, установил сертификат. Странная ситуация. IE устанавливает, фильтрует. Когда пользователь заходит с хрома или мозиллы - развлекайся как хочешь.

exchar 04.10.2019 11:20

Re: Фильтрация
 
Цитата:

Сообщение от antivirdog (Сообщение 159747)
Когда пользователь заходит с хрома или мозиллы - развлекайся как хочешь.

внизу точка зачем на дешифровке только указанного трафика (который не указан)?
вот керио и не расшифровывает ничего.
исправляй.

naliman 04.10.2019 11:24

Re: Фильтрация
 
+ я бы сертификаты перевыпустил,и делал бы это крайне внимательно, с правильными именами\псевдонимами\ип-адресами

LocalAuthority до 29 года, остальные истекают через год
через год охотя снова плясать?
:)


Текущее время: 01:29. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2021, vBulletin Solutions Inc. Перевод: zCarot