Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 27.03.2015, 13:32   #41
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,695
По умолчанию Re: Запретить выборочно https

Цитата
Сообщение от lext89 Посмотреть сообщение
Закрепите уже нормальный гайд по настройке Https фильтрации.
что ещё мы должны сделать ?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 27.03.2015, 13:50   #42
antivirdog
Песака
 
Аватар для antivirdog
 
Регистрация: 14.01.2013
Адрес: с песды на лыжах
Сообщений: 195
По умолчанию Re: Запретить выборочно https

Цитата:
Сообщение от naliman Посмотреть сообщение
что ещё мы должны сделать ?
1. Написать раздел "Windows server для чайников"
2. Ипотеку оформить на себя, хочу из двушки хрущевки перехать в клубный дом
3. Бесплатных шлюх каждый вечер
4. Вискарь
5. Суши, мясо домой с доставкой.
__________________
Оно работает? Не лезь!
antivirdog вне форума   Ответить с цитированием Вверх
Старый 27.03.2015, 16:26   #43
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,695
По умолчанию Re: Запретить выборочно https

ну хуле, пайду вазьму кридид блеа
гыгыгыгы
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 21.05.2015, 10:24   #44
swhummer
 
Аватар для swhummer
 
Регистрация: 26.02.2015
Сообщений: 1
По умолчанию Re: Запретить выборочно https

Доброе время суток, от меня требовалось запретить трем пользователям mail.ru, я не сисадмин но сделал так и у них перестал работать mail.ru:
swhummer вне форума   Ответить с цитированием Вверх
Старый 21.05.2015, 11:13   #45
panicz
Навичёг
 
Аватар для panicz
 
Регистрация: 27.02.2015
Адрес: Челябинск
Сообщений: 38
По умолчанию Re: Запретить выборочно https

Цитата
Сообщение от swhummer Посмотреть сообщение
Доброе время суток, от меня требовалось запретить трем пользователям mail.ru, я не сисадмин но сделал так и у них перестал работать mail.ru:
Во первых, если ты не админ, зачем сам лез? Есть для этого специалисты, пусть они этим и занимаются.
Во вторых. Вчитайся, что ты написал, хотел запретить mail.ru, запретил.
Проблема то в чем?
panicz вне форума   Ответить с цитированием Вверх
Старый 21.05.2015, 11:49   #46
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,695
По умолчанию Re: Запретить выборочно https

Цитата
Сообщение от swhummer Посмотреть сообщение
от меня требовалось запретить трем пользователям mail.ru, я не сисадмин но сделал так и у них перестал работать mail.ru
цель достигнута

в чём проблема?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 25.05.2015, 17:34   #47
Zloy_system
 
Аватар для Zloy_system
 
Регистрация: 15.12.2014
Адрес: Молдова (Приднестровье) г. Бендеры
Сообщений: 9
По умолчанию Re: Запретить выборочно https

Ребят, помогите пожалуйста. У меня есть несколько проблем, которых я понять не могу:

1. Проблема с шлюзом по умолчанию [Для просмотра данной ссылки нужно зарегистрироваться]

Ван [Для просмотра данной ссылки нужно зарегистрироваться]
Лан [Для просмотра данной ссылки нужно зарегистрироваться]

Где я жестко косячу - не пойму.

2. Https, в ТП блокирую либо весь безопасный трафик, в том числе и адекватный, например гуглопочту, или вообще нифига не блокирую. Здесь, на скрине себе пытаюсь контакт по хттпсу залочить. Не хочет :-( [Для просмотра данной ссылки нужно зарегистрироваться]
Кагбэ интуитивно понимаю, что это не в ТП, а хттп рулез делаться должно, но там жеж засада примерное вот такая.
[Для просмотра данной ссылки нужно зарегистрироваться] (по хттп трафику все лочится) а по хттпсу, несмотря на [Для просмотра данной ссылки нужно зарегистрироваться] вовсе не лочится.

Пользователи неаутентифицированные, так как несмотря на то, что АД импортирую, и в нем акки пользователей привязываю к конкретным Айпи, возникает лажа, и трафик все равно не считается...

Пожалуйста, намекните в чем проблема, пытался самостоятельно найти ошибку - не получается...
Zloy_system вне форума   Ответить с цитированием Вверх
Старый 25.05.2015, 18:07   #48
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,695
По умолчанию Re: Запретить выборочно https

Цитата
Сообщение от Zloy_system Посмотреть сообщение
Где я жестко косячу - не пойму.
шлюза на внутреннем интерфейсе быть не должно

Цитата
Сообщение от Zloy_system Посмотреть сообщение
вовсе не лочится
на то он и хттпс

тут только веб-фильтром, если работает
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 26.05.2015, 07:50   #49
panicz
Навичёг
 
Аватар для panicz
 
Регистрация: 27.02.2015
Адрес: Челябинск
Сообщений: 38
По умолчанию Re: Запретить выборочно https

Цитата
Сообщение от Zloy_system Посмотреть сообщение
текст
Через ТП https прекрасно блокируется. У самого также прописано, вот только сайтов побольше будет. Заодно у меня продублировано в "фильтрация содержимого".

Вместо не аутентефицированных пользователей, попробуй поставить конкретным группам запрет.

Когда тестировал блокирование себе vk.com, разрывал активный сеанс? Обнаружилась такая интересная весЧ, что при создании нового правила, оно не вступает в силу, если сеанс не был разорван.

Если есть АД, зачем просто импортировать пользователей? Введи в домен шлюз с керио, юзеры с АД появятся в керио.
п.с.: гораздо удобнее смотреть скрины, если это делается к примеру так [Для просмотра данной ссылки нужно зарегистрироваться], а не бегать каждый раз по ссылкам. Либо с превью, но без переадресации на хостинг-сайт.
panicz вне форума   Ответить с цитированием Вверх
Старый 27.05.2015, 11:04   #50
Zloy_system
 
Аватар для Zloy_system
 
Регистрация: 15.12.2014
Адрес: Молдова (Приднестровье) г. Бендеры
Сообщений: 9
По умолчанию Re: Запретить выборочно https

Цитата:
Сообщение от naliman Посмотреть сообщение
шлюза на внутреннем интерфейсе быть не должно


на то он и хттпс

тут только веб-фильтром, если работает
1. Naliman, шлюз на виндовс ЛАН интерфейсе и не был прописан никогда, [Для просмотра данной ссылки нужно зарегистрироваться] также убрал настройки ДНС, так как компьютер с Керио также и ДК и не должен типа ссылаться на самого себя, так посоветовали (убрать ДНС в настройке, а не шлюз домен контролером делать).

1.1. В керио, в настройках шлюза снял галочки "автоопределение" и с днс, и с шлюза, днс что с галочкой "автоопределение, что без нее" перестал определяться (что как бы и норм), а вот шлюзу пофиг, удалил руками. [Для просмотра данной ссылки нужно зарегистрироваться]

1.2. [Для просмотра данной ссылки нужно зарегистрироваться] - как итог действий, та же хрень, хотя на картинке блин вроде как только лишь один шлюз - модем и с ним проблем нет.

Не понятно как-то

2. - С Хттпс-ом, вроде как, раньше как-то получалось бороться. (давным-давно) сейчас все глухо. Вебфильтра точно никогда не было. Как раньше эту ошибку побеждал, не помню... Если хттпс не лочиться, к чему тогда [Для просмотра данной ссылки нужно зарегистрироваться] эта галочка...

Много буков как-то получилось. Просто реально прежде чем писать пробовал сам все разрулить((( Толку ноль((

Добавлено через 3 часа 49 минут
Цитата:
Сообщение от panicz Посмотреть сообщение
Через ТП https прекрасно блокируется. У самого также прописано, вот только сайтов побольше будет. Заодно у меня продублировано в "фильтрация содержимого".

Вместо не аутентефицированных пользователей, попробуй поставить конкретным группам запрет.

Когда тестировал блокирование себе vk.com, разрывал активный сеанс? Обнаружилась такая интересная весЧ, что при создании нового правила, оно не вступает в силу, если сеанс не был разорван.

Если есть АД, зачем просто импортировать пользователей? Введи в домен шлюз с керио, юзеры с АД появятся в керио.
п.с.: гораздо удобнее смотреть скрины, если это делается к примеру так [Для просмотра данной ссылки нужно зарегистрироваться], а не бегать каждый раз по ссылкам. Либо с превью, но без переадресации на хостинг-сайт.

1. в ТП блокируются доступ ко всему ХТТПСу именно хостам (читай группам). - и блокируется сразу.
Когда при том же источнике (айпи), той же службе (хттпс) блокируется доступ только к контакту - нифига не отрабатывает.

При чем же тут разрыв сеанса, если трафик по всему хттпсу безо всякого разрыва сеанса все лочит? И да, разрыв сеанса пробовал, ничего не изменилось.

2. Каким именно образом у вас "сами пользователи" в керио появляются? Есть устойчивое подозрение, что мы как-то по разному все это "само делаем". Керио в домене. Связь с АД проходит успешно, само нифига не делается.

П.С. порекомендуйте пожалуйста что-то столь же удобное как лайтшот. Я к нему очень привык...

Последний раз редактировалось Zloy_system; 27.05.2015 в 14:54. Причина: Добавлено сообщение
Zloy_system вне форума   Ответить с цитированием Вверх
Старый 27.05.2015, 20:52   #51
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,695
По умолчанию Re: Запретить выборочно https

Цитата
Сообщение от Zloy_system Посмотреть сообщение
а вот шлюзу пофиг, удалил руками
ну и правильно

Цитата
Сообщение от Zloy_system Посмотреть сообщение
как итог действий, та же хрень, хотя на картинке блин вроде как только лишь один шлюз
какая хрень?


Цитата
Сообщение от Zloy_system Посмотреть сообщение
Вебфильтра точно никогда не было. Как раньше эту ошибку побеждал, не помню...
без контент-фильтра мог либо весь хттпс запретить либо весь разрешить
в трафикполиси
кому то весь хттпс можно кому то нельзя
и только

если хочется блочить по характеру контента - это вебфильтр


Цитата
Сообщение от Zloy_system Посмотреть сообщение
Когда при том же источнике (айпи), той же службе (хттпс) блокируется доступ только к контакту
источник = тот же
назначение = vk.com
тип трафика = хттпс

так???

Цитата
Сообщение от Zloy_system Посмотреть сообщение
П.С.
???
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 27.05.2015, 21:51   #52
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,798
По умолчанию Re: Запретить выборочно https

Цитата:
Сообщение от naliman Посмотреть сообщение
какая хрень?
были версии control/kwf именно под винду, где ворнинг "проблема со шлюзом по умолчанию" горел непрерывно, хотя шлюз везде виделся только один. Если все перекопано, шлюз один и при этом все 100% работает, то на это можно забить болт.

Цитата
Сообщение от Zloy_system Посмотреть сообщение
С Хттпс-ом, вроде как, раньше как-то получалось бороться. (давным-давно) сейчас все глухо. Вебфильтра точно никогда не было. Как раньше эту ошибку побеждал, не помню...
Раньше было небо синее, трава зеленее https сайтов меньше и девки моложе )
Начиная с 8.4.0 нас [Для просмотра данной ссылки нужно зарегистрироваться]:

Цитата
  • HTTPS filtering of URLs is limited only to the domain name. The resource identifier part of the request (e.g. /path/index) is not considered as part of the condition of a rule unless non-transparent proxy server is used.
  • It is not possible to filter individual objects at HTTPS servers.
  • For technical reasons, it is not possible to apply HTTPS blocking to clients using Internet Explorer on Windows XP.
т.е. клиенты начиная с висты и только непрозрачный прокси.

далее намекают, что все-таки можно без вебфильтра:

Цитата Kerio Control decrypts and filters HTTPS connections. Filtering is the same as for the HTTP protocol. Kerio Control can apply the same filters and methods to the content of HTTPS connections, such as:
  • filtering URLs
  • Kerio Control Web Filter
  • antivirus check
а дальше - рисовать сову =) пилить по [Для просмотра данной ссылки нужно зарегистрироваться]
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 28.05.2015, 07:53   #53
panicz
Навичёг
 
Аватар для panicz
 
Регистрация: 27.02.2015
Адрес: Челябинск
Сообщений: 38
По умолчанию Re: Запретить выборочно https

Цитата
Сообщение от Zloy_system Посмотреть сообщение

Добавлено через 3 часа 49 минут



1. в ТП блокируются доступ ко всему ХТТПСу именно хостам (читай группам). - и блокируется сразу.
Когда при том же источнике (айпи), той же службе (хттпс) блокируется доступ только к контакту - нифига не отрабатывает.

При чем же тут разрыв сеанса, если трафик по всему хттпсу безо всякого разрыва сеанса все лочит? И да, разрыв сеанса пробовал, ничего не изменилось.
1.
Пример, как реализовано у меня, и блокируется именно то, что надо:
источник: пользователи домена@domain
назначение: ([Для просмотра данной ссылки нужно зарегистрироваться])
служба: http, https
действие: удалить
И блокируется https именно на заданные сайты, а не как ты говоришь, весь https траффик.
А вот то, что правило не отрабатывает, видимо уже какие-то проблемы с настройками
Цитата
Сообщение от Zloy_system Посмотреть сообщение
2. Каким именно образом у вас "сами пользователи" в керио появляются? Есть устойчивое подозрение, что мы как-то по разному все это "само делаем". Керио в домене. Связь с АД проходит успешно, само нифига не делается.
Возможно не корректно выразился - ввёл шлюз в домен, в разделе "Пользователи" помимо - Локальная база данных, появился раздел domain.local, где появились все доменные пользователи, это без всяких манипуляций с импортом\экспортом пользователей.

Цитата
Сообщение от Zloy_system Посмотреть сообщение
П.С. порекомендуйте пожалуйста что-то столь же удобное как лайтшот. Я к нему очень привык...

п.с.: пользуюсь фастпиком - весьма удобно, хотя я уверен процентов на 90%, что и в лайтшот есть возможность выкладывать картинки-превьюшки или в полном размере.
//add
А с лайтшотом и вправду удобно, вот только как посмотрел, там нет таких функций, как описано выше.
panicz вне форума   Ответить с цитированием Вверх
Старый 31.07.2015, 09:09   #54
moisei
 
Аватар для moisei
 
Регистрация: 28.07.2015
Сообщений: 16
По умолчанию Re: Запретить выборочно https

Sanan, Добрый день! Подскажи пожалуйста не могу закрыть доступ https. Сделал все как написано Читал мануалы но ничего не получается,

[Для просмотра данной ссылки нужно зарегистрироваться]

Добавлено через 2 минуты
Yucatan, Всем привет! Подскажи пожалуйста не могу закрыть доступ https. Сделал все как написано Читал мануалы но ничего не получается,

[Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось moisei; 31.07.2015 в 09:11. Причина: Добавлено сообщение
moisei вне форума   Ответить с цитированием Вверх
Старый 31.07.2015, 10:46   #55
Zloy_system
 
Аватар для Zloy_system
 
Регистрация: 15.12.2014
Адрес: Молдова (Приднестровье) г. Бендеры
Сообщений: 9
По умолчанию Re: Запретить выборочно https

Цитата
Сообщение от moisei Посмотреть сообщение
Sanan, Добрый день! Подскажи пожалуйста не могу закрыть доступ https. Сделал все как написано Читал мануалы но ничего не получается,

[Для просмотра данной ссылки нужно зарегистрироваться]

Добавлено через 2 минуты
Yucatan, Всем привет! Подскажи пожалуйста не могу закрыть доступ https. Сделал все как написано Читал мануалы но ничего не получается,

[Для просмотра данной ссылки нужно зарегистрироваться]

Версию керио не желаете сообщить?
П.С. Вы больше о себе и о своих потугах рассказали, чем о проблеме технической. Исправитесь?
Zloy_system вне форума   Ответить с цитированием Вверх
Старый 31.07.2015, 10:49   #56
moisei
 
Аватар для moisei
 
Регистрация: 28.07.2015
Сообщений: 16
По умолчанию Re: Запретить выборочно https

Zloy_system, Исправлюсь ))) версия 6.7.0
moisei вне форума   Ответить с цитированием Вверх
Старый 31.07.2015, 10:56   #57
Zloy_system
 
Аватар для Zloy_system
 
Регистрация: 15.12.2014
Адрес: Молдова (Приднестровье) г. Бендеры
Сообщений: 9
По умолчанию Re: Запретить выборочно https

Цитата
Сообщение от moisei Посмотреть сообщение
Zloy_system, Исправлюсь ))) версия 6.7.0
))) другое дело.

Как вам такой ответ?

[Для просмотра данной ссылки нужно зарегистрироваться]


Version 8.4.1 October 24, 2014
- Fixed: several issues in HTTPS filtering

Version 8.4.0 October 14, 2014
+ Added HTTPS filtering feature

Version 8.0.0 March 12, 2013
+ WebFilter now filter HTTPS traffic over HTTP proxy
- Fixed: HTTPS URL filtering now blocks reused sessions
Zloy_system вне форума   Ответить с цитированием Вверх
Старый 31.07.2015, 11:02   #58
moisei
 
Аватар для moisei
 
Регистрация: 28.07.2015
Сообщений: 16
По умолчанию Re: Запретить выборочно https

Zloy_system, Честно говоря не очень понял. Я только начинаю изучать. То есть вы хотите сказать что нужно обновить версию?
moisei вне форума   Ответить с цитированием Вверх
Старый 31.07.2015, 11:08   #59
Zloy_system
 
Аватар для Zloy_system
 
Регистрация: 15.12.2014
Адрес: Молдова (Приднестровье) г. Бендеры
Сообщений: 9
По умолчанию Re: Запретить выборочно https

Цитата
Сообщение от moisei Посмотреть сообщение
Zloy_system, Честно говоря не очень понял. Я только начинаю изучать. То есть вы хотите сказать что нужно обновить версию?
Ну, суть такая, верно.

Для удобства разрешения проблемы пробуйте следующее:
1. Проверьте если вообще хттпс отрубить - получится ли.
2. Только после этого уже копайте дальше с вк и т.п. стойкое предположение, что в 6 версии хттпс особо не блокируется.
Zloy_system вне форума   Ответить с цитированием Вверх
Старый 31.07.2015, 11:15   #60
moisei
 
Аватар для moisei
 
Регистрация: 28.07.2015
Сообщений: 16
По умолчанию Re: Запретить выборочно https

Zloy_system, Пробывал перекрыть хттпс все равно входит
moisei вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 23:58. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях