Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall) > Рабочие конфигурации

Важная информация

Ответ
 
Опции темы
Старый 21.03.2008, 17:02   #41
[IT]Sergei
Знатный писарь
 
Аватар для [IT]Sergei
 
Регистрация: 17.01.2008
Адрес: RF, RT, Bugulma
Сообщений: 201
По умолчанию

Цитата:
Сообщение от С.С. Горбунков Посмотреть сообщение
иногда при lan в источнике возможно проникновение в инет и без авторизации. случаи подобные были.
100% Сам так сначала настроил заметил только когда куча трафика ушла на неопределенного пользователя. может 6.4.2. уже пофиксили незнаю.
[IT]Sergei вне форума   Ответить с цитированием Вверх
Старый 21.03.2008, 17:05   #42
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

у мну ахторизация по ип, керио кажет в своей стате что у мну утекло за месяц 2 метра при среднемесячном 4-5 Гиг, а я по своему цыцлогу этого не вижу )))))) у меня там чики чики ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 22.03.2008, 07:28   #43
veter_kh
 
Аватар для veter_kh
 
Регистрация: 28.02.2008
Сообщений: 14
По умолчанию

мой конфиг для домашнего чуда, на котором вертятся фтп, веб, хл серваги, диси хап, через который ходит внутрення локалка в локалку провайдера и в инет, ну и други люди из локалки провайдера в инет. ещё пару правил, разрешить пару необходимых вещей. собсна вопрос, фаервол - эни - эни - пермит - это нормально ? или посидеть, ограничить сервисы , или лишнее ?
Изображения
Тип файла: jpg сlip.jpg (115.2 Кб, 595 просмотров)
veter_kh вне форума   Ответить с цитированием Вверх
Старый 22.03.2008, 10:00   #44
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

veter_kh, ну акак ты сам думаешь то? единственная машина стоящая и смотрящая винет и вдрух полный абзац от 0 до 65535 - всё открыто, типа он жеж фаербол он жеж умный )))) Кстати у тя случаем этот хост не Крей-2? ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 22.03.2008, 16:36   #45
veter_kh
 
Аватар для veter_kh
 
Регистрация: 28.02.2008
Сообщений: 14
По умолчанию

я думал так: траффик идёт ко мне - профильтрую его по сервисам. траффик уходит от меня, пусть уходит куда хош, ведь это гемморно составить список, по каким машина должна щимиться в инет.

з.ы. вот из крей-2 ?
veter_kh вне форума   Ответить с цитированием Вверх
Старый 22.03.2008, 16:41   #46
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Cray 2. Ну вообщем читать ещё и читать, хотя бы руководство одменесратора ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 22.03.2008, 16:45   #47
veter_kh
 
Аватар для veter_kh
 
Регистрация: 28.02.2008
Сообщений: 14
По умолчанию

до крея нам далеко. )
veter_kh вне форума   Ответить с цитированием Вверх
Старый 22.03.2008, 16:52   #48
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

ну тада вопрос на засыпку - какого хуя вы открыли 65536 портв?????
Babah22 вне форума   Ответить с цитированием Вверх
Старый 22.03.2008, 19:48   #49
veter_kh
 
Аватар для veter_kh
 
Регистрация: 28.02.2008
Сообщений: 14
По умолчанию

фактически, как я грил, чтобы не заморачиваться составлением списка сервисов, по каким надо вылазить с фаерволхоста.

всё-таки не пойму про что вы, ведь для локалки у меня открыты только кс, хаб, фтп, хттп, пинг тимспик, порты для клиента диси. больше ничего, видно из ТП, ну и из инета только хтттп, хаб, почта, и один порт для работы торрента.
veter_kh вне форума   Ответить с цитированием Вверх
Старый 22.03.2008, 20:15   #50
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

veter_kh, я нисколько не собираюсь вас убеждать что вы дали маху. нравитца иметь дырень на все порты существующие - флаг в руки. даже не дырень, а громную брешь в защите ))))) в ваших правилах по мойму - одно звено явно лишнее, это сам фаервол, сносите его и вы получите защиту аналогичную той, которою сотворили ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 22.03.2008, 20:23   #51
veter_kh
 
Аватар для veter_kh
 
Регистрация: 28.02.2008
Сообщений: 14
По умолчанию

спасибо за критику, буду составлять список сервисов по каким разрешено вылазить.
veter_kh вне форума   Ответить с цитированием Вверх
Старый 24.04.2008, 14:10   #52
lulonik
Навичёг
 
Аватар для lulonik
 
Регистрация: 16.04.2008
Сообщений: 22
По умолчанию

По поводу вопроса от veter_kh хотел спросить - если машина с файрволом работает только как шлюз - то надо открывать все те порты и сервисы которые открыты по НАТ для пользователей локалки или уже поф и можно все позакрывать кроме того что юзается на самой машине с квф ?
lulonik вне форума   Ответить с цитированием Вверх
Старый 24.04.2008, 14:56   #53
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

lulonik,
ну а шлюз что, не НАТит локалку в инет, что-ли? или я недопонял?
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 24.04.2008, 23:29   #54
lulonik
Навичёг
 
Аватар для lulonik
 
Регистрация: 16.04.2008
Сообщений: 22
По умолчанию

Цитата:
Сообщение от С.С. Горбунков Посмотреть сообщение
lulonik,
ну а шлюз что, не НАТит локалку в инет, что-ли? или я недопонял?
НАТит
lulonik вне форума   Ответить с цитированием Вверх
Старый 25.04.2008, 00:02   #55
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

Цитата
Сообщение от lulonik Посмотреть сообщение
то надо открывать все те порты и сервисы которые открыты по НАТ для пользователей
тогда эта фраза непонятна. где еще открывать? уже открыто же. или имеется в виду - открывать для самого шлюза?
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 25.04.2008, 00:21   #56
lulonik
Навичёг
 
Аватар для lulonik
 
Регистрация: 16.04.2008
Сообщений: 22
По умолчанию

Цитата:
Сообщение от С.С. Горбунков Посмотреть сообщение
тогда эта фраза непонятна. где еще открывать? уже открыто же. или имеется в виду - открывать для самого шлюза?
ага, именно такой вопрос ) понимаю конечно что "поставь да проверь", просто сеть такая что даже при падении у всего офиса инета на 1-2 мин начинается чуть ли паника - специфика фирмы)) поэтому лучше трижды перестраховаться, чем лишать людей инета даже на такой период
lulonik вне форума   Ответить с цитированием Вверх
Старый 25.04.2008, 00:39   #57
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

lulonik,
да как сказать.. по идее, нужно оставить только то, что необходимо самому шлюзу, как-то - НТТР, HTTPS, TCP6000 для обновлений винды, антивируса и доступа к серверам ISS Web filter, NTP и DNS при необходимости (если нет контроллера домена, выполняющего роль dns-сервера и сервера времени). При желании список можно дополнить.
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 28.04.2008, 10:41   #58
lulonik
Навичёг
 
Аватар для lulonik
 
Регистрация: 16.04.2008
Сообщений: 22
По умолчанию

офисный конфиг, сеть на основе WorkGroup, шлюз (и керио) на ХР, антивирь - нод. Авторизация пользователей по ай пи. Есть ли какие то вещи которые я упустил ? или какие то неточности...

Web Cam access - доступ к веб камере , присоедененной к локалке
RDP - терминальный доступ на вин2003 сервер
KWF администрирование - доступ к керио с внешки
RAdmin администрирование - доступ РАдмин
Radmin on 2003 serv - доступ РАдмин на вин2003 сервер
Firewall traffic - трафик для машины с керио, т.к. это рабочее места сисадмина
Local traffic & local traffic logged - внутренний трафик, логгирование для отслеживание какой нить заразы, если есть
Основные сервисы - доступ работникам по основным сервисам
FTP доступ (базы 1С) - выгрузка баз, которая производится 1С по ФТП протоколу
FTP доступ, почтовые сервисы, банковские сервисы, RAdmin, доп.сервисы, полный доступ - соотв. доступ по группам для тех кому нужны тот или иной доступ
other unregistered - не авторизованные в сети пользователи (если кто то подключается вдруг к внутренней сети или просто новый комп в сети) - имеют базовый набор + логгирование для отслеживания
Изображения
Тип файла: jpg 1.JPG (65.2 Кб, 630 просмотров)
Тип файла: jpg 2.JPG (76.2 Кб, 528 просмотров)

Последний раз редактировалось lulonik; 28.04.2008 в 10:53.
lulonik вне форума   Ответить с цитированием Вверх
Старый 28.04.2008, 11:01   #59
lulonik
Навичёг
 
Аватар для lulonik
 
Регистрация: 16.04.2008
Сообщений: 22
По умолчанию

да еще вопрос, в логах периодически возникают HTTP-Proxy-запросы от некоторых пользователей сети - их просто запретить на файрволе? И вообще что за софт может пытаться постоянно на шлюз хттп-прокси запросами доставать ?
lulonik вне форума   Ответить с цитированием Вверх
Старый 28.04.2008, 13:19   #60
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
Хорошо Kerio

Цитата
Сообщение от lulonik Посмотреть сообщение
офисный конфиг, сеть на основе WorkGroup, шлюз (и керио) на ХР, антивирь - нод. Авторизация пользователей по ай пи. Есть ли какие то вещи которые я упустил ? или какие то неточности...

Web Cam access - доступ к веб камере , присоедененной к локалке
RDP - терминальный доступ на вин2003 сервер
KWF администрирование - доступ к керио с внешки
RAdmin администрирование - доступ РАдмин
Radmin on 2003 serv - доступ РАдмин на вин2003 сервер
Firewall traffic - трафик для машины с керио, т.к. это рабочее места сисадмина
Local traffic & local traffic logged - внутренний трафик, логгирование для отслеживание какой нить заразы, если есть
Основные сервисы - доступ работникам по основным сервисам
FTP доступ (базы 1С) - выгрузка баз, которая производится 1С по ФТП протоколу
FTP доступ, почтовые сервисы, банковские сервисы, RAdmin, доп.сервисы, полный доступ - соотв. доступ по группам для тех кому нужны тот или иной доступ
other unregistered - не авторизованные в сети пользователи (если кто то подключается вдруг к внутренней сети или просто новый комп в сети) - имеют базовый набор + логгирование для отслеживания
На самом деле просто страшно на это смотреть....Срочно советую убрать отовсюду Any особенно из правило для клиент банков.....Сами прикиньте что Any в случаи проникновения гадости может натворить.......
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 02:56. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях