Форумчане посмотрите что не так у меня !

[Dimkris]

Всем привет форумчане !,
Хотел вынести на обозрение и на правильность составления моих правил. Всё что, я делал это в первый раз и делал по вашему примеру , читал разные темы, посты, и мануалы. Зарегистрирован тут давно но не писал сюда до вчерашнего дня, не хотел слышать от вас в свой адрес как многим было тут адресовано, что иди читай а потом задавай вопросы.
Признаюсь многое что мне не понятно, поэтому не все догонял своей головою о том что писалось вами или в мануалах.
Опишу как у нас построена сеть. Я работаю в организации где пользователей 350 чел. Домена нет.
Есть керио на железном сервере которое установил месяц назад. Он является шлюзом для всех локальных пользователей,
собственно это 192.168.0.2
провайдер 80.249......
Есть несколько групп : VIP, Work,User, тут уже понятно кто есть кто
группа Vip везде и всюду их около 100 чел
и все остальные по группам раскиданы
далее есть группа IP адресов кому разрешен торрент , теамвиевер, и аська. Посмотрите как что тут не так у меня....[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]

[exchar]

Цитата

Сообщение от Dimkris

Я работаю в организации где пользователей 350 чел. Домена нет.

Застрелиццо если все 350 человек не бегают с ноутбуками по командировкам, то сделай домен. Оно того стоит.

пользователи привязаны как? по ip?
ходят через все через прокси или напрямую?

по правилам - "VPN" и "VPN исходящий для юрия" какие-то невнятные. что требуется делать в каждом?

а вообще весело там у вас - с таким каналом, танками, тундером и контрой

[naliman]

1. "солдатов отдаёт торент" - не работает
потмоу что это правило - перекрывается предыдущим, предыдущее срабатывает а это отдыхает

ему надо сменить порт, в правиле и торент-клиенте

2. антиспуфинг - отключить

3. "для тех кто качает торент" и "доступ к интернету НАТ" - имеюот в источнике и назначении одинаковое, так же одинаковое поведение (разрешить, НАТ)

следовательно правила можно объединить

4. в политике HTTP все запрещающие правила поставить выше разреающих, как это сделано в трафикполисях

[Dimkris]

Цитата:

Сообщение от exchar

Застрелиццо если все 350 человек не бегают с ноутбуками по командировкам, то сделай домен. Оно того стоит.

пользователи привязаны как? по ip?
ходят через все через прокси или напрямую?

по правилам - "VPN" и "VPN исходящий для юрия" какие-то невнятные. что требуется делать в каждом?

а вообще весело там у вас - с таким каналом, танками, тундером и контрой

да у нас весело ! организация не простая, сказали танки значит танки, очень много подчиненных, которые выполнят задачу. Так что вот как то так.
VPN это чтобы мне подкл и начальнику из вне через клиент.
VPN для Юрия, чтобы Юрий мог с рабочего места подкл к серверу VPN где то в организации, где нет керио.
Все ходят через прокси. Домен не нужен так как много гаджетов планшеты, смартфоны и.т.д. Командировки постоянно, все привязаны по IP. DHCP не вкл.

Добавлено через 18 минут

Цитата:

Сообщение от naliman

1. "солдатов отдаёт торент" - не работает
потмоу что это правило - перекрывается предыдущим, предыдущее срабатывает а это отдыхает

ему надо сменить порт, в правиле и торент-клиенте

2. антиспуфинг - отключить

3. "для тех кто качает торент" и "доступ к интернету НАТ" - имеюот в источнике и назначении одинаковое, так же одинаковое поведение (разрешить, НАТ)

следовательно правила можно объединить

4. в политике HTTP все запрещающие правила поставить выше разреающих, как это сделано в трафикполисях

Вопрос! почему антиспуфинг надо откл.? Я его конечно же откл.
Правила которые надо объединить я объединил. Добавил его в гр 1 службу торрент.
Но вот с Солдатовым что то не идёт.... сделал ему порт 1660 а он не качает и не отдаёт.
В политике HTTP на всё запрещающее ставить сверху значит!? а разрешающее может тогда правило для групп совсем ненужно?
Спасибо Вам что подсказываете и поправляете мои настройки.

[naliman]

Цитата

Сообщение от Dimkris

Но вот с Солдатовым что то не идёт.... сделал ему порт 1660 а он не качает и не отдаёт.

в клиенте ещё этот порт как порт входящих надо указать
а каать он должен коль правила позволяют
проверь не закрывает ли ему доступ какое то запрещающее правило выше
+есесно локальный фоервол у нево на машине

Цитата

Сообщение от Dimkris

DHCP не вкл.

это зря

Цитата

Сообщение от Dimkris

В политике HTTP на всё запрещающее ставить сверху значит!?

Цитата

Сообщение от Dimkris

а разрешающее может тогда правило для групп совсем ненужно?

нужно или нет это вам решать на месте
если затрудняетесь решить надо или нет - скорей всего не надо

[Dimkris]

да всё сделал именно так, по торренту, просто надо было подождать, долго применяются правила.
Ещё что не так, есть у меня?

naliman подскажи как правильно мне правила для гр WORK сделать? Если я сделаю всё запрещающее сверху, и гр Work запрет на гр VIP и на все остальное. ?
Просто у меня есть опр сайты для гр Work они ходят туда. Как тогда в разрешениях для них поставить? всё остальное запретить кроме work? ТАК ЧТО ЛИ? Боюсь меня на работе натянут если все зарежутся по максимуму! Специфика у нас особенная в работе, только и успеваешь получать команды открой, слишком порезал.
Добавлено через 5 минут
[Для просмотра данной ссылки нужно зарегистрироваться]

[naliman]

Цитата

Сообщение от Dimkris

просто надо было подождать, долго применяются правила.

они сразу должны примениться после нажатия кнопочки соответствующей

Цитата

Сообщение от Dimkris

одскажи как правильно мне правила для гр WORK сделать?

перво-наперво решить что же всё таки нужно

Цитата

Сообщение от Dimkris

Просто у меня есть опр сайты для гр Work они ходят туда

в двух словах если:
1. делается группа УРЛов - разрешенных
2. создаётся правило разрешающее нужной группе хождение на разрешенные УРЛы
3. создаётся правило запрещающее всё остальное для этой группы
4. создаётся правило разрешающее всё остальное всем остальным

если групп "с органичением" несколько - либо для каждой создавать отдельный список разрешенных УРЛов, либо создавать один на всех
соответственно аглоритм будет выглядеть так:

1. делается группа УРЛов - разрешенных всем "ограниченным" группам адресов\пользователей
либо
1.1 создаётся группа УРЛов-1 - разрешенных 1-й "ограниченной" группе адресов\пользователей
1.2 создаётся группа УРЛов-2 - разрешенных 2-й "ограниченной" группе адресов\пользователей
...
1.n создаётся группа УРЛов-N - разрешенных n-й "ограниченной" группе адресов\пользователей

2. создаётся правило разрешающее всем "ограниченным" группам хождение на "разрешенные" УРЛы
либо
2.1 создаётся правило разрешающее 1-й "ограниченной" группе адресов\пользователей хождение на соответствующие УРЛы-1
2.2 создаётся правило разрешающее 2-й "ограниченной" группе адресов\пользователей хождение на соответствующие УРЛы-2
...
2.n создаётся правило разрешающее n-й "ограниченной" группе адресов\пользователей хождение на соответствующие УРЛы-N

3. создаётся правило запрещающее всё остальное для "ограниченных" групп\пользователей

4. создаётся правило разрешающее всё остальное всем остальным

[Dimkris]

выбрал вариант запреты для групп, а всё остальное разрешить!

[naliman]

подробнее

[Dimkris]

сделал так,
1) созданы группы для запрета в них кинул группу пользователей. Поднял в самый верх, в низу поставил остальное всё разрешить. Итог не работает, блочет всех.
2) работает только по такому варианту что у меня в скринах которые я выкладывал ранее.
Ещё вопрос не к этой теме, заканчивается лицензия на пользователей , как купить новую чтобы, дополнить к этой же. Т.е если у нас на 350 пользователей а хотим продлить до 400 сот такое возможно?