Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall) > Рабочие конфигурации

Важная информация

Ответ
 
Опции темы
Старый 15.11.2007, 19:37   #21
djvini
Знатный писарь
 
Аватар для djvini
 
Регистрация: 29.01.2007
Адрес: Москва, Россия
Сообщений: 205
По умолчанию

Перешел на прозрачный прокси...
Мои ТР
Изображения
Тип файла: jpg policy_1.JPG (124.9 Кб, 1247 просмотров)
Тип файла: jpg policy_2.JPG (100.9 Кб, 987 просмотров)
djvini вне форума   Ответить с цитированием Вверх
Старый 14.12.2007, 10:28   #22
TheUniverseOfDeath
Watashi wa neko desu!
 
Аватар для TheUniverseOfDeath
 
Регистрация: 16.04.2007
Адрес: Tokio
Сообщений: 2,147
По умолчанию

Грамотно. Картина, маслом.
__________________
...посреди многослойной, переплетенной из еаров, сервисов, коннекторов и пулов структуры сервера приложений,
органично врастая в сеть модульной архитектуры, выставив наружу красивые интерфейсы, посылая и получая сообщения,
отвечая на эрэмай запросы, словно кипящий поток создавая и уничтожая сотни ентити бинов в десятках распределенных
транзакций, мудрый сессионый бин срал в лог эксепшенами.
TheUniverseOfDeath вне форума   Ответить с цитированием Вверх
Старый 15.12.2007, 02:03   #23
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
Хорошо KWF/KMS

Цитата:
Сообщение от djvini Посмотреть сообщение
Я понил, что здесь многие работают просто через НАТ без прокси по порту 3128
А кто только с прокси есть?
Пользуюсь исключительно через не прозрачный прокси сервер (Http/s FTP)...
Все остальные службы которым нужен Интернет работают через NAT(SMTP,POP3,ICQ,ping и так далее)
Правило Nat (Http/s ftp) отключено ибо пока нет необходимости работать через шлюз этим протоколам
В работе через прокси не разу не было замечено каких либо проблем Kerio обслуживает 90машин
Все программные комплексы лицензионные KWF,KMS.
Спросите почему не прозрачный прокси...да потому что некоторые люди не должны проходить аунтефикацию в web морде так как они смогут сменить пароль, а это им не нужно делать так как они относиться к "опасным" пользователям. А при работе через прокси non....проблем с этим нет, а для тех кому нужен доступ к web морде для просмотра статистики досуп открыт и сделаны настройки на пользовательской машине, использую исключительно для работы в нете и работы с web мордой KWF только "Opera"....С KMS работаю через IE...
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 15.12.2007, 02:04   #24
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
Хорошо KWF/KMS

Цитата:
Сообщение от Babah22 Посмотреть сообщение
а зачем нужен прокс, недостатки очевидны нада бегать настраивать браузеры клиентов на использование связки сервер порт, можно же включить маскарадинг и также использовать кэшируемое соединение для хттп совместимых протоколов, только без настройки у клиентов, точнее они дажеть не в курсе будут есть прокс или нет ))))
Ну кому не лень то можно и сходить......
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 24.12.2007, 15:04   #25
Dina1980
Песака
 
Аватар для Dina1980
 
Регистрация: 26.11.2007
Сообщений: 61
По умолчанию

А не смахивает ли на паранойю моё правило (см. картинку)? Оно самое первое в списке.
Стоит ли предохранятся от подобного рода сканерильщиков?
Изображения
Тип файла: jpg bad_addrr.jpg (10.4 Кб, 390 просмотров)
Тип файла: jpg Alert1.JPG (104.4 Кб, 682 просмотров)
Dina1980 вне форума   Ответить с цитированием Вверх
Старый 24.12.2007, 19:26   #26
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию

Dina1980,
1. Эта ветка только для выверенных правил а не для обсуждения паранойи.
2. От подобного рода "сканерильщиков" помогает антивирус и анинстал питупи клиентов. С локальных адресов сканит то, еп.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 27.12.2007, 17:26   #27
tedkuban
Навичёг
 
Аватар для tedkuban
 
Регистрация: 27.12.2006
Адрес: Санкт-Петербург, Россия
Сообщений: 46
По умолчанию

Цитата:
Сообщение от djvini Посмотреть сообщение
Перешел на прозрачный прокси...
Мои ТР
Один только вопрос: почему обновление времени и ДНС для контроллера (видимо, домена) разрешено только в рабочее время?
В сислоге у него время от времени будут появляться сообщения о невозможности обновить время.
tedkuban вне форума   Ответить с цитированием Вверх
Старый 20.03.2008, 16:17   #28
veter_kh
 
Аватар для veter_kh
 
Регистрация: 28.02.2008
Сообщений: 14
По умолчанию

Mitchman, а не проще ли для бана создать группу Banned в Adres Groups, IMHO )
veter_kh вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 01:59   #29
Mitchman
Навичёг
 
Аватар для Mitchman
 
Регистрация: 11.10.2007
Адрес: Николаев
Сообщений: 38
По умолчанию

Цитата
Сообщение от veter_kh Посмотреть сообщение
Mitchman, а не проще ли для бана создать группу Banned в Adres Groups, IMHO )
извини давно не заглядывал - конечно проще - и давно уже так и сделано
Mitchman вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 15:39   #30
[IT]Sergei
Знатный писарь
 
Аватар для [IT]Sergei
 
Регистрация: 17.01.2008
Адрес: RF, RT, Bugulma
Сообщений: 201
Радость

Покритикуйте плз. мой Traffic Policy.
Изображения
Тип файла: jpg Traffic_Policy.jpg (99.6 Кб, 698 просмотров)

Последний раз редактировалось [IT]Sergei; 21.03.2008 в 15:46.
[IT]Sergei вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 16:03   #31
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

[IT]Sergei,
в правиле Auth зачем столько сервисов?
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 16:08   #32
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

я бы выкинул аух и ицку ))))) а ицку в нат воткнул бы.
Babah22 вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 16:19   #33
[IT]Sergei
Знатный писарь
 
Аватар для [IT]Sergei
 
Регистрация: 17.01.2008
Адрес: RF, RT, Bugulma
Сообщений: 201
По умолчанию

Цитата:
Сообщение от С.С. Горбунков Посмотреть сообщение
в правиле Auth зачем столько сервисов?
У некоторых Юзеров практически все рабочие сайты по HTTPS, некоторые пользуются в основном почтой, кто то только ФТП качает, вот и раскидал так примерно чтобы все могли авторизоваться без напряга.
[IT]Sergei вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 16:21   #34
[IT]Sergei
Знатный писарь
 
Аватар для [IT]Sergei
 
Регистрация: 17.01.2008
Адрес: RF, RT, Bugulma
Сообщений: 201
По умолчанию

Цитата:
Сообщение от Babah22 Посмотреть сообщение
я бы выкинул аух и ицку ))))) а ицку в нат воткнул бы.
ну ISS можно конечно в НАТ воткнуть... :-)

а как без auth юзеры будут авторизоваться?
[IT]Sergei вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 16:29   #35
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

ISS лучше не трогать - потому что кабан опасное животное ))))
а это как вы им назначили так они и будут авторизоваться, например скриптом в браузере или по доменному логину и паролю или по ип - я ж этого не вижу как оно там у вас ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 16:38   #36
[IT]Sergei
Знатный писарь
 
Аватар для [IT]Sergei
 
Регистрация: 17.01.2008
Адрес: RF, RT, Bugulma
Сообщений: 201
По умолчанию

Цитата:
Сообщение от Babah22 Посмотреть сообщение
SS лучше не трогать - потому что кабан опасное животное ))))
хм... тогда я непонял что Вы имели ввиду под...
Цитата:
Сообщение от Babah22 Посмотреть сообщение
ицку
Цитата:
Сообщение от Babah22 Посмотреть сообщение
а это как вы им назначили так они и будут авторизоваться, например скриптом в браузере или по доменному логину и паролю или по ип - я ж этого не вижу как оно там у вас ))))
В связи с скоропостижной кончиной Домена, точнее ноута на котром он крутилсо, все авторизуются по IP, без правила auth авторизация не проходит проверено!
Проходит если только в правиле НАТ вместо Authenticated users добовлять непосредственно юзеров, а поскольку их много это сильно засоряет Трафик полиси, ктомуж при добавление нового юзера приходится добавлять его в полиси тоже, что я регулярно забывал делать + при таком раскладе могут авторизваться даже те юзеры которые забанены в локальной базе но не убраны из полисей.. вот..
[IT]Sergei вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 16:51   #37
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

Babah22,
auth - это своего рода костыль для того, чтоб авторизация стала в принципе возможна. потому как не будь этого правила - все запросы в инет будут дропаться, т.к. предыдущие правила не имеют в дестинейшне внешний интерфейс, а юзер, претендующий на выход в инет - еще не стал Authenticated.
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 16:56   #38
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
Хорошо Kerio

Цитата
Сообщение от [IT]Sergei Посмотреть сообщение
хм... тогда я непонял что Вы имели ввиду под...


В связи с скоропостижной кончиной Домена, точнее ноута на котром он крутилсо, все авторизуются по IP, без правила auth авторизация не проходит проверено!
Проходит если только в правиле НАТ вместо Authenticated users добовлять непосредственно юзеров, а поскольку их много это сильно засоряет Трафик полиси, ктомуж при добавление нового юзера приходится добавлять его в полиси тоже, что я регулярно забывал делать + при таком раскладе могут авторизваться даже те юзеры которые забанены в локальной базе но не убраны из полисей.. вот..
Правило:
Lan----Wan-----Http,https,dns,ftp-----разрешиить Nat аут... интерфейс
И при переходе по стронице пользователь автоматом будет переброшен на страницу авторизации если стоит галочка обезательная авторизация после того как он авторизируеться то он автоматом попадает по той сылки какую он хотел ...
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 16:57   #39
[IT]Sergei
Знатный писарь
 
Аватар для [IT]Sergei
 
Регистрация: 17.01.2008
Адрес: RF, RT, Bugulma
Сообщений: 201
По умолчанию

С.С. Горбунков,
Но если в нат добавить непосредственно Юзера авторизация пройдет без костыля, почему?
[IT]Sergei вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 17:00   #40
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

[IT]Sergei, сам не понимаю, но, тем не менее, это так.

kuvl-vrn, иногда при lan в источнике возможно проникновение в инет и без авторизации. случаи подобные были.
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 23:45. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях