Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 19.08.2019, 16:45   #41
alexnasa
Песака
 
Аватар для alexnasa
 
Регистрация: 06.04.2009
Адрес: Тольятти
Сообщений: 88
По умолчанию Re: PPTP WAN интерфейса провайдера

Сделаю одинаково? И в ц.офисе и в филиале?
alexnasa вне форума   Ответить с цитированием Вверх
Старый 19.08.2019, 16:58   #42
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,561
По умолчанию Re: PPTP WAN интерфейса провайдера

Цитата:
Сообщение от alexnasa Посмотреть сообщение
Сделаю одинаково? И в ц.офисе и в филиале?
без внятного ТЗ результат ХЗ (с)(тм)(R)
Сделай так, как тебе надо
в офисе и филиале может быть и разный набор правил - по ситуации
если сомневаешься, то
разреши всё, проверь что это работает и потом накладывай ограничения.
т.е. на обоих концах делаешь правило "из коробки"
проверяешь
потом решаешь что куда ходить должно, а что - нет (собственно, ТЗ)
и постепенно в соответствии с этим ТЗ рубишь ненужный доступ
только не отруби себе доступ к фаеру
а если рубить ничего "типа не надо", то дефолтное правило тебя спасет...
...до момента, пока не захочется ограничить что-то.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 19.08.2019, 18:33   #43
alexnasa
Песака
 
Аватар для alexnasa
 
Регистрация: 06.04.2009
Адрес: Тольятти
Сообщений: 88
По умолчанию Re: PPTP WAN интерфейса провайдера

Цитата:
Сообщение от exchar Посмотреть сообщение
а если рубить ничего "типа не надо", то дефолтное правило тебя спасет...
...до момента, пока не захочется ограничить что-то.
Да! Спасибо!!! Ставлю и там и там дефолтное! Рубить буду, когда разберусь толком в теме!!!

Добавлено через 1 час 32 минуты

Цитата:
Сообщение от exchar Посмотреть сообщение
если рубить ничего "типа не надо", то дефолтное правило тебя спасет...
Спасло!!! Вижу и хожу на хосты ц.офиса из коммутатора филиала!!! СПАССИИББОО!!!
P/S утром посмотрел на правило "из коробки" -проще быть не может.
Другое "правило- пример ограничений" почти понятно. А пояснения к нему там все есть - смотреть надо выше, чем в моём скрине.

Последний раз редактировалось alexnasa; 20.08.2019 в 09:39. Причина: Добавлено сообщение
alexnasa вне форума   Ответить с цитированием Вверх
Старый 20.08.2019, 09:39   #44
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,561
По умолчанию Re: PPTP WAN интерфейса провайдера

Цитата:
Сообщение от alexnasa Посмотреть сообщение
В нём фигурируют два Lan ?
[Для просмотра данной ссылки нужно зарегистрироваться] чуть выше по тому же линку kerio kb в головном офисе присутствуют 2 lan интерфейса на шлюзе.
в примере ограничений для головного офиса вводится доступ с любых удаленных клиентов/из туннелей только к lan1.
vpn-клиенты еще могут ходить на удаленный офис по туннелю.
lan1 и lan2 могут ходить обмениваться трафиком между собой, файерволлом и соединяться с хостами удаленного офиса по туннелю.
Цитата:
Сообщение от alexnasa Посмотреть сообщение
а тут чуть разнообразнее и полезнее для кругозора.
фаер можно утыкать lan и vlan интерфейсами как природа ежа иголками.
советую поковырять тему сегментации сетей и ответить себе на вопрос "хочу ли я чтобы обозленный на контору Вася при увольнении со своего компа зашел на бух. сервер и поудалял там нахер всё (по зарисованному паролю с бумажки валявшейся столе в кадрах)".
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 20.08.2019, 10:25   #45
alexnasa
Песака
 
Аватар для alexnasa
 
Регистрация: 06.04.2009
Адрес: Тольятти
Сообщений: 88
По умолчанию Re: PPTP WAN интерфейса провайдера

Цитата:
Сообщение от exchar Посмотреть сообщение
обозленный на контору Вася при увольнении со своего компа зашел на бух. сервер и поудалял там нахер всё
По поводу сегментации - именно так и есть во всём мире, кроме мелких контор типа моей. Просто забыл про это дело - 20 лет прошло, как я отделился от основного стрима.
От Васи, или просто неосторожного действия, в том числе моего -тут только двухуровневый бекап может спасти. Как-то раз, в запарке, я чуть не закатал HDD target to HDD destanation , т.е. пустой винт чуть не накатил на винт со всей конторской документацией. С тех пор чередую в два архива.
alexnasa вне форума   Ответить с цитированием Вверх
Старый 20.08.2019, 10:34   #46
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,561
По умолчанию Re: PPTP WAN интерфейса провайдера

Цитата:
Сообщение от alexnasa Посмотреть сообщение
тут только двухуровневый бекап может спасти
может и должен, но он для другого.
сегментация и разграничение доступа для предотвращения НСД, а бэкап - для нивелирования последствий НСД.
непрерывность бизнеса заказчика - это минимизация количества и размера инцидентов с инфраструктурой и одним бэкапом сыт не будешь.
Т.е. допустим, ты за час развернул суточной давности бэкап после действий Васи из примера, но по факту Вася уже наказал отдел кадров/бухгалтерию на 1 сутки дополнительной работы, а тебя на 1 час работы. Которую можно было бы и не делать.
Бэкап только дополняет остальные меры.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 20.08.2019, 10:55   #47
alexnasa
Песака
 
Аватар для alexnasa
 
Регистрация: 06.04.2009
Адрес: Тольятти
Сообщений: 88
По умолчанию Re: PPTP WAN интерфейса провайдера

Цитата:
Сообщение от exchar Посмотреть сообщение
сегментация и разграничение доступа для предотвращения НСД
Нет-нет я поддерживаю необходимость сегментации, и говорю, что весь мир так работает. Просто я совсем забыл, что у нормальных маршрутизаторов куча Lan-ов.
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
alexnasa вне форума   Ответить с цитированием Вверх
Старый 20.08.2019, 13:23   #48
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,561
По умолчанию Re: PPTP WAN интерфейса провайдера

Цитата:
Сообщение от alexnasa Посмотреть сообщение
забыл, что у нормальных маршрутизаторов куча Lan-ов
может быть один физический lan и при этом куча vlan`ов.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 20.08.2019, 13:26   #49
alexnasa
Песака
 
Аватар для alexnasa
 
Регистрация: 06.04.2009
Адрес: Тольятти
Сообщений: 88
По умолчанию Re: PPTP WAN интерфейса провайдера

Цитата:
Сообщение от exchar Посмотреть сообщение
может быть один физический lan и при этом куча vlan`ов.
Вот мы и подошли к этому вопросу. Где у Керио виланы разруливать?
alexnasa вне форума   Ответить с цитированием Вверх
Старый 20.08.2019, 13:31   #50
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,561
По умолчанию Re: PPTP WAN интерфейса провайдера

Цитата:
Сообщение от alexnasa Посмотреть сообщение
Где у Керио виланы разруливать?
[Для просмотра данной ссылки нужно зарегистрироваться]
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 20.08.2019, 13:46   #51
alexnasa
Песака
 
Аватар для alexnasa
 
Регистрация: 06.04.2009
Адрес: Тольятти
Сообщений: 88
По умолчанию Re: PPTP WAN интерфейса провайдера

Ещё раз спаассибо!!!
alexnasa вне форума   Ответить с цитированием Вверх
Старый 20.08.2019, 18:13   #52
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,486
По умолчанию Re: PPTP WAN интерфейса провайдера

ды собствинна незашта
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 05:20. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях