Фильтрация

[s3rvdog]

Здравствуйте. Есть два кабинете. ОС win7 в настройках каждой сетевой жестко ip шлюзом Керио ДНС машина с винсервером 2012. Все в домене. Некоторые пользователи могут спокойно заходить на ютубы и игры. Некоторые не могут. Грешу на ДХЦП на управляемом маршрутизаторе. Чо делать-то?

[naliman]

Цитата

Сообщение от antivirdog

Здравствуйте

привет

Цитата

Сообщение от antivirdog

Есть два кабинете

нету пять маршрутка противогаз укроп ходили семь

Цитата

Сообщение от antivirdog

ОС win7 в настройках каждой сетевой жестко ip шлюзом Керио ДНС машина с винсервером 2012

понятно

Цитата

Сообщение от antivirdog

Все в домене

понятно

Цитата

Сообщение от antivirdog

Некоторые пользователи могут спокойно заходить на ютубы и игры. Некоторые не могут

понятно

Цитата

Сообщение от antivirdog

решу на ДХЦП на управляемом маршрутизаторе

при чём он вообще?
у тебя пользователей в интернет кто пускает? управляемый маршрутизатор или керио?
если вдруг керио - то все ли пользователи там авторизуются?
судя по настройкам фильтра - запреты действуют на конкретных пользователей
а глядя на правила трафика понятно что инторнеты получают все, неавторизованные тоже

"обходит" запрет кто то из указанных в фильтре?

Цитата

Сообщение от antivirdog

Чо делать-то?

как обычно:
1. включить голову
2. сделать так что б неавторизованным не было доступа в энторнеты, а авторизованным был
3. сделать группы (например "этим можно" и "этим нельзя"), пользователей распихать по группам
4. в настройках фильтрации (да и в других местах) использовать группы. Это удобно, один раз правила настроил и всё, только членство в группах меняешь вместо востоянного дёргания правил

[s3rvdog]

Цитата:

Сообщение от naliman

"обходит" запрет кто то из указанных в фильтре?

Да, любой рандомный пользователь из них может обойти фильтр. Хз почему

Цитата:

Сообщение от naliman

сделать группы (например "этим можно" и "этим нельзя"), пользователей распихать по группам

чо-чо-чо за группы?

Цитата:

Сообщение от naliman

один раз правила настроил и всё

Ну собственно эти правила и должны действовать только для этих пользователей, остальные пусть развлекаются как хотят
Что делать - то? Я в замешательстве. Грядёт проверка роспотребнадзора, чтобы дети во время занятий не рассматривали мемасы и вообще было сурово все и по законам фильтрации, naliman отрезать провод даже не предлагай, знаю я твои радикальные советы

[naliman]

Цитата

Сообщение от antivirdog

Хз почему

например не срабатывает авторизация

Цитата

Сообщение от antivirdog

чо-чо-чо за группы?

блять
ГРУППЫ
как в актив директори есть группы так и в керио есть группы
их удобно использовать в правилах, не надо тащить в правило 100500 польтзователей
поместил в правило в группу и всё на этом, при необходимости играешься с членством в группе

Цитата

Сообщение от antivirdog

Ну собственно эти правила и должны действовать только для этих пользователей, остальные пусть развлекаются как хотят

что и происходит, с тем лишь отличием что развлекаются все как хоятт

Цитата

Сообщение от antivirdog

Что делать - то? Я в замешательстве. Грядёт проверка роспотребнадзора, чтобы дети во время занятий не рассматривали мемасы и вообще было сурово все и по законам фильтрации

ну а закрыть к хуям ДЛЯ ВСЕХ - не сутьба?
а разрешить только избранным


что мешает?

Цитата

Сообщение от antivirdog

naliman отрезать провод даже не предлагай, знаю я твои радикальные советы

тут резать провод не надо, надо чуть лишь подумать головой
запрети всем и оставь только "избранным"
по крайней мере на время "проверки"
а потом потихоньку отладишь авторизацию

[exchar]

1) как уже сказали, юзай группы пользователей
т.е. разбиваешь в ТП третье правило на несколько правил для разных групп (которые будут в источнике этих правил)
2) по третьему правилу в ТП доступ в инет есть для всех девайсов, которые шлют пакеты на lan керио (столбец "источник" там не для красоты типа)
3) в фильтрации содержимого аналогично - группы!
4) настрой фильтрацию https - это не только галка в админке, но и телодвижения по статье в kerio kb.
5) прокси сервер сейчас прописан на клиентах (в настройках IE или др браузеров) или нет? (не надо ломиться и прописывать, я спрашиваю что там сейчас нарисовано)
6) привет, да

[s3rvdog]

Цитата:

Сообщение от exchar

настрой фильтрацию https - это не только галка в админке, но и телодвижения по статье в kerio kb

Это где, почитать? Я сразу скажу - поставил галочку Керио перестало пускать даже на гугл, мол де сертификат не тот, да небезопасно. Я понимаю, что сейчас всё уже давно на хттпс. Разбираться готов в этом, даже согласен если за денежную плату поможешь, я понимаю, что любой труд оплачен должен быть. Если есть предложение - покажи, за мной не заржавеет

Цитата:

Сообщение от exchar

прокси сервер сейчас прописан на клиентах

нет - всё по дефолту.

Цитата:

Сообщение от exchar

6) привет, да

Рад видеть снова

[naliman]

Цитата

Сообщение от antivirdog

нет - всё по дефолту.

зачем тогда он в керио включен?

Цитата

Сообщение от antivirdog

Это где, почитать?

удивляешь

Цитата

Сообщение от antivirdog

? Я сразу скажу - поставил галочку Керио перестало пускать даже на гугл, мол де сертификат не тот, да небезопасно.

надо на клиентах распространить сертификат керио, вместе с кериовским коревым
импортировать из админки и распространить
если есть домен - средствами AD распространить
ну или побегать ножками распространить ручками

Цитата

Сообщение от antivirdog

Разбираться готов в этом, даже согласен если за денежную плату поможешь, я понимаю, что любой труд оплачен должен быть

разобраться и купить не совсем одно и то же

[s3rvdog]

Цитата:

Сообщение от naliman

разобраться и купить

опять за своё! Чего ты видишь плохого в покупке знаний?

[exchar]

Цитата

Сообщение от antivirdog

Это где, почитать?

[Для просмотра данной ссылки нужно зарегистрироваться], [Для просмотра данной ссылки нужно зарегистрироваться] и [Для просмотра данной ссылки нужно зарегистрироваться]

Цитата

Сообщение от antivirdog

Я понимаю, что сейчас всё уже давно на хттпс.

очень давно

Цитата

Сообщение от antivirdog

Разбираться готов в этом

хорошо

Цитата

Сообщение от antivirdog

даже согласен если за денежную плату

включи мозги - дешевле выйдет

Цитата

Сообщение от antivirdog

Чего ты видишь плохого в покупке знаний?

то, что мозг остается выключенным

[s3rvdog]

exchar,начал читать, понял так:через АД можно строго в ИЕ только, если вручную, в любые браузеры. Ежели сертификата нет, то пользователю циклично будет выдаваться инфа про сертификат и он так и не достигнет своей грязной цели?

[exchar]

Цитата

Сообщение от antivirdog

если вручную, в любые браузеры

может другие браузеры могут и не вручную, я хз
ищи в инете, если хостов много
а если мало, то сделай в режиме дятла
проверь сначала на одном хосте, что после всех манипуляций все работает

Цитата

Сообщение от antivirdog

Ежели сертификата нет, то пользователю циклично будет выдаваться инфа про сертификат и он так и не достигнет своей грязной цели?

зависит от настроек браузера и ТП керио, в общем-то
лучше сделать и забить.

[naliman]

Цитата

Сообщение от antivirdog

опять за своё! Чего ты видишь плохого в покупке знаний?

я же сказал разобраться и купить это не одно и тоже
и только

[©©©®]

1. правила траффика
2. Принудительная авторизация
3. Фильтрация содержимого
(1) Правило разрешает эти ваши Интернеты пользователям и хостам группы (А)
(2) Правило шлёт всех на ... авторизацию
4. На машинах политиками домена настроено использование прокси
При такой схеме авторизация происходит автоматически при обращении ко внешним ресурсам, для тех кому не повезло с авторизацией срабатывает пересыл из правила 3. (2)

Про "другие" браузеры на примере мозиллы, если там в настройках установлено не использовать прокси, то пользователь получает окно авторизации Керио.

[exchar]

молодец

Цитата:

Сообщение от ©©©®

для тех кому не повезло с авторизацией срабатывает пересыл из правила 3

только порт прокси разный на скринах

[©©©®]

Цитата:

Сообщение от exchar

только порт прокси разный на скринах

4081 - порт для страницы авторизации
3128 - порт прокси
facepalm.jpg

[exchar]

Цитата:

Сообщение от ©©©®

4081 - порт для страницы авторизации
3128 - порт прокси
facepalm.jpg

ога, тут я тормознул, согласен

[naliman]

©©©®, спасибо

[s3rvdog]

Почитал, установил сертификат. Странная ситуация. IE устанавливает, фильтрует. Когда пользователь заходит с хрома или мозиллы - развлекайся как хочешь.

[exchar]

Цитата

Сообщение от antivirdog

Когда пользователь заходит с хрома или мозиллы - развлекайся как хочешь.

внизу точка зачем на дешифровке только указанного трафика (который не указан)?
вот керио и не расшифровывает ничего.
исправляй.

[naliman]

+ я бы сертификаты перевыпустил,и делал бы это крайне внимательно, с правильными именами\псевдонимами\ип-адресами

LocalAuthority до 29 года, остальные истекают через год
через год охотя снова плясать?