Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 21.10.2020, 16:36   #1
OXPEHETb
Навичёг
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 30
По умолчанию Отключение доступа к админке со внешки.

Доброго дня коллеги.

Имеется лицензионный Kerio control 9.3.5 build 4367, правила трафика ниже, если не настраивать ограничения для внешних подключений, по умолчанию Kerio отдаёт, админку и статистику, по белому IP через HTTPS.

Из локалки транслирую сайт по HTTP, Web почтовика через HTTPS, и по портам MAPится несколько сервисов.

Проблема в том что удалённые пользователи подключаясь по доменному имени(у провайдера настроена PTR запись на белый IP) иногда получают Web статистики Kerio, это запоминают cukie браузеров, и правило на почтовик перестаёт отрабатывать, до чистки истории (и даже это не всегда спасает), что вызывает у пользователей фрустрации и ночные звонки.

В общем, есть ли альтернативный способ отключения доступа для внешних подключений к Web Kerio? Либо другие идеи для решения проблемы.
Изображения
Тип файла: jpg Снимок.jpg (102.4 Кб, 12 просмотров)
Тип файла: jpg Снимок1.jpg (105.1 Кб, 9 просмотров)
__________________
Loading… █████████[] 99%
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 21.10.2020, 17:10   #2
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,907
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
иногда
в каких конкретно случаях? при каких условиях?
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
есть ли альтернативный способ отключения доступа для внешних подключений к Web Kerio
есть стандартный способ - не разрешать доступ к хосту+порту
и не пробрасывать на хост+порт ничего лишнего
оба реализуются в ТП и работают хорошо.
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
правила трафика ниже
правила, чесговоря, ужасают
предполагаю что косяк исключительно в них

Добавлено через 19 минут

чтоб два раза не ходить - [Для просмотра данной ссылки нужно зарегистрироваться].
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 21.10.2020 в 17:10. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 21.10.2020, 17:39   #3
OXPEHETb
Навичёг
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 30
По умолчанию Re: Отключение доступа к админке со внешки.

Спасибо за оперативный ответ!

Цитата:
Сообщение от exchar Посмотреть сообщение
в каких конкретно случаях? при каких условиях?
Пользователи приводили разнообразные ситуации, чаще всего не имеющие никакого отношения к действительности, не будем от них от них отталкивается, думаю что проблема возникает когда пользователь пытается подключится по доменному имени из локальной сети, в этом случае гарантированно будет трансляция на Kerio Statistics.


Цитата:
Сообщение от exchar Посмотреть сообщение
есть стандартный способ - не разрешать доступ к хосту+порту
Скорей всего не до конца понял вашу мысль, но ведь речь идёт о Web Kerio, а он устроен так что, просто введя IP (либо DNS соответственно) провалишься в Kerio Statistics

Цитата:
Сообщение от exchar Посмотреть сообщение
и не пробрасывать на хост+порт ничего лишнего
Понимаю о чём вы, и полностью согласен, стараюсь не использовать такую связку, в данное время MAPится по портам 2 устройства и ERP(но тут долгая история). Почтовик поднят на Kerio Connect, а его вебка гуляет по стандартному порту, поэтому пришлось слать весь внешний HTTPS трафик на хост почтовика.

Цитата:
Сообщение от exchar Посмотреть сообщение
правила, чесговоря, ужасают
Можно пожалуйста подробней, буду очень рад напутствию и корректировке от старшего товарища) Правила с пометкой ERP лучше скипнуть, как писал выше, тут долгая история и такой костыль в данное время оправдан.

Добавлено через 44 секунды

Цитата:
Сообщение от exchar Посмотреть сообщение
чтоб два раза не ходить - вот список придирок к подобным правилам из соседней темы.
спасибо, проанализирую.

Добавлено через 13 минут

Цитата:
Сообщение от exchar Посмотреть сообщение
чтоб два раза не ходить - вот список придирок к подобным правилам из соседней темы.
Удачно зашёл) Отличный, развёрнутый гайд и всё по делу, спасибо, поправлю.
__________________
Loading… █████████[] 99%

Последний раз редактировалось OXPEHETb; 21.10.2020 в 17:39. Причина: Добавлено сообщение
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 21.10.2020, 18:15   #4
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,907
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
думаю что проблема возникает когда пользователь пытается подключится по доменному имени из локальной сети, в этом случае гарантированно будет трансляция на Kerio Statistics.
это доменное имя какого хоста? (керио? почтовик? если таки керио, то собственно почему они лезут из ЛВС на керио, а не почтовик?..)

в какой ip при этом разрешается доменное имя на хосте пользователя?
это ip-адрес какого хоста?
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
но ведь речь идёт о Web Kerio, а он устроен так что, просто введя IP (либо DNS соответственно) провалишься в Kerio Statistics
наверное, это магия такая: вводишь в браузере FQDN и... (тут неизвестная науке магия)... и открылся сервис Х.

и никакие правила в ТП (типа локального трафика) за это не отвечают - это сервис так устроен =)
короче, это все можно развести либо политикой трафика, либо http-политиками, либо обратным прокси на керио. либо вообще через dns.

просто для начала надо понять - откуда (изнутри сети или там из интернета) по какому конкретно FQDN и/или какому ip пользователь лезет куда-то и что он там должен получить.
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Можно пожалуйста подробней... спасибо, поправлю
после исправлений можно будет выложить еще раз - напишу более конкретно что-то.
и кстати, первый скрин кончается фиолетовыми правилами, а второй скрин начинается с синих - что-то было пропущено? )
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 21.10.2020, 19:01   #5
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,627
По умолчанию Re: Отключение доступа к админке со внешки.

все сообщения не читал
но по-моему какая-то школьная "задача"


там ведь всего одно правило, которое достаточно откючить
а изнутри админка будет доступна по правилу локального трафика где всё разрешено
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 21.10.2020, 19:10   #6
OXPEHETb
Навичёг
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 30
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от exchar Посмотреть сообщение
это доменное имя какого хоста? (керио? почтовик? если таки керио, то собственно почему они лезут из ЛВС на керио, а не почтовик?..)
Прошу прощения я не правильно сформулировал. Для того что бы было всё красиво, для пользователей, имеется арендованный домен на хостинге, у провайдера настроена PTR запись с именем этого домена на белый IP, пользователи подключаются к почтовику как раз по этому домену, в ПТ имеется правило которое отдаёт весь HTTPS трафик на хост почтовика (WebMail), но если вдруг по ошибке пользователь, по этой же ссылочке перейдёт из локалки, он попадёт в Kerio Statistics, потому что правило настроено только для внешних подключений.

Цитата:
Сообщение от exchar Посмотреть сообщение
в какой ip при этом разрешается доменное имя на хосте пользователя?
это ip-адрес какого хоста?
Как описал выше, переходя по доменному имени, с внешки, пользователь попадает на почтовик, но из локалки по этому же домену он попадает на Web Kerio, я вот кстати хз почему так.. Опережу вопрос, в сети поднят DNS сервер, и на нём нет записей касательно этого домена (возможно стоит присвоить).


Цитата:
Сообщение от exchar Посмотреть сообщение
наверное, это магия такая: вводишь в браузере FQDN и... (тут неизвестная науке магия)... и открылся сервис Х.


Добавлено через 3 минуты

Цитата:
Сообщение от naliman Посмотреть сообщение
там ведь всего одно правило, которое достаточно откючить
а изнутри админка будет доступна по правилу локального трафика где всё разрешено
Приветствую, знаю про что вы=) "Remote administration" но весь интерес данной "задачи" в том, что уже пробовал отключать это правило.

Кстати прошу прощения не упомянул, про этот факт.
__________________
Loading… █████████[] 99%

Последний раз редактировалось OXPEHETb; 21.10.2020 в 19:11. Причина: Добавлено сообщение
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 21.10.2020, 19:16   #7
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,627
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Как описал выше, переходя по доменному имени, с внешки, пользователь попадает на почтовик, но из локалки по этому же домену он попадает на Web Kerio, я вот кстати хз почему так..
камрад
на это только ОДНА ПРИЧИНА:


ДНС


как так?
да очень просто
nslookup из интернета свои имена
то же самое изнутри сети
сравниваешь ответы
лежешь в админку ДНС и делаешь так что б было правильно
делов на 5 минут с 2-мя перекурами


Добавлено через 4 минуты

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Приветствую, знаю про что вы=) "Remote administration" но весь интерес данной "задачи" в том, что уже пробовал отключать это правило.
можно на ТЫ
если отключать пробовал и оно продолжает работать - значит либо магия либо рестарт керио либо есть какое-то правило после отключенного, которое разрешает


попробуй сделать не отключение праивла а в дейсвиях вместо "разрешить" сделать "запретить"
думаю сразу увидишь эффект


ЕСЛИ ТЫ НЕ ПЫТАЕШЬСЯ ПО ВНЕШНЕМУ ИМЕНИ\ip ПРОВЕРЯТЬ ИЗНУТРИ СЕТИ
НАДО ИМЕННО ИЗ ИНТЕРНЕТОВ
можешь дать адрес либо мне либо ув.тов. Exchar в личку
сразу станет ясно

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Кстати прошу прощения не упомянул, про этот факт.
ну эта ... бывает
оно даже бывает что и на старуху проруха находится
просто решение очень простое, но иногда неочевидное из-за нюансов
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

Последний раз редактировалось naliman; 21.10.2020 в 19:16. Причина: Добавлено сообщение
naliman вне форума   Ответить с цитированием Вверх
Старый 21.10.2020, 19:30   #8
OXPEHETb
Навичёг
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 30
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от naliman Посмотреть сообщение
ДНС
Бээлин а ведь правда, локальный DNS с чего то присвоил доменному имени адрес VPN сервера, пошёл разгребать DNS, детский недосмотр, спасибо

Добавлено через 4 минуты

Цитата:
Сообщение от naliman Посмотреть сообщение
можешь дать адрес либо мне либо ув.тов. Exchar в личку
сразу станет ясно
спасибо за такое участие в проблеме) оч приятно=) Внешних ресурсов никак не связанных туннелями хватает, есть где потестить, сейчас попробую запрет поставить на Remote administration

Добавлено через 6 минут

Цитата:
Сообщение от exchar Посмотреть сообщение
и кстати, первый скрин кончается фиолетовыми правилами, а второй скрин начинается с синих - что-то было пропущено? )
на счёт этого кстати, там по центру всякая ерунда тестовая, все правила отключены.
__________________
Loading… █████████[] 99%

Последний раз редактировалось OXPEHETb; 21.10.2020 в 19:30. Причина: Добавлено сообщение
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 21.10.2020, 19:38   #9
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,627
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Бээлин а ведь правда, локальный DNS с чего то присвоил доменному имени адрес VPN сервера, пошёл разгребать DNS, детский недосмотр, спасибо
дынезашта
знаешь теперь ГДЕ
а КАК - это уже и не проблема



Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
спасибо за такое участие в проблеме) оч приятно=) Внешних ресурсов никак не связанных туннелями хватает, есть где потестить, сейчас попробую запрет поставить на Remote administration
ога, только это правило в самый верх поставь
это важно
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 21.10.2020, 20:07   #10
OXPEHETb
Навичёг
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 30
По умолчанию Re: Отключение доступа к админке со внешки.

Так из последнего) Запрет на Remote administration действительно помог, огромный сяб за лайфхак naliman, это была основная проблема темы, и она решена.

Но! тема получилась глубже, и эт очень хорошо =) сча курю свой DNS, отпишусь как раскурю.

Вот подправленный борд ПТ, у самого по профиту многих правил сомнения, так что буду рад любой критике)

В скрытых строках, только отключенные правила, чтоб в один скрин поместить.

Изображения
Тип файла: jpg Снимок.jpg (114.0 Кб, 8 просмотров)
__________________
Loading… █████████[] 99%
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 22.10.2020, 00:48   #11
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,627
По умолчанию Re: Отключение доступа к админке со внешки.

камрад
скрывать серые ИПы локальной сети не имеет смысла
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 22.10.2020, 00:53   #12
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,627
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Запрет на Remote administration действительно помог
камрад я чегой то не пойму
в том правиле в источниках - локальные\довренные интерфейсы
из интернета это правило никак не работает


ты проигнорировал вот что:
Цитата:
Сообщение от naliman Посмотреть сообщение
ЕСЛИ ТЫ НЕ ПЫТАЕШЬСЯ ПО ВНЕШНЕМУ ИМЕНИ\ip ПРОВЕРЯТЬ ИЗНУТРИ СЕТИНАДО ИМЕННО ИЗ ИНТЕРНЕТОВ

рассказывай откуда ты пытаешься влезть в админу думая что "из интернета"
!
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 22.10.2020, 12:05   #13
OXPEHETb
Навичёг
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 30
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от naliman Посмотреть сообщение
камрад
скрывать серые ИПы локальной сети не имеет смысла
__________________
=) да знаю, но инет всё помнит.. Безопасность избыточной не бывает) Уж простите параноика))


Цитата:
Сообщение от naliman Посмотреть сообщение
камрад я чегой то не пойму
в том правиле в источниках - локальные\довренные интерфейсы
из интернета это правило никак не работает
Верно, вот этого я тож давно понять не мог, какого хрена правило отрабатывает, скрин интерфейсов во вложении, в доверенных\локальных только LAN, мож я что то не понимаю и правила Kerio, созданные по умолчанию, имеют какие то скрытые приоритеты, либо чем то отличаются от созданных? Звучит как бред, понимаю, но давно уже эта мысль беспокоит, бывали случаю когда дефолтные правила отрабатывали не так как я от них ожидал(не буду примеры приводить, эт надолго будет), всегда делаю вывод что это недостаток моих знаний о сетевых технологиях.


Цитата:
Сообщение от naliman Посмотреть сообщение
рассказывай откуда ты пытаешься влезть в админу думая что "из интернета"
Ок, поясню за "интернет"), имеются небольшие удалённые отделы, со своими белыми IP, подключённые через разных провайдеров, никак не связанные тунелями и VPN, все тесты "с внешки" провожу с них, справедливости ради отмечу, что на всех отделах так же поднят Kerio, но с дефолтными правилами.
Изображения
Тип файла: png Снимок.PNG (34.0 Кб, 8 просмотров)
__________________
Loading… █████████[] 99%
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 22.10.2020, 12:19   #14
OXPEHETb
Навичёг
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 30
По умолчанию Re: Отключение доступа к админке со внешки.

Сейчас попробовал отключить правило Remote administration, и подключится по белому IP с мобилы, через мобильные данные.. Провалился на вебку Kerio/
__________________
Loading… █████████[] 99%
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 22.10.2020, 18:15   #15
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,627
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Сейчас попробовал отключить правило Remote administration, и подключится по белому IP с мобилы, через мобильные данные.. Провалился на вебку Kerio/
это нонсенс
ибо правило в источниках имеет локальные\доверенные
судя по скриншоту там только локальный интерфейс

ткни ка на это правило и сделай скрин где источник видно конкретно и подробно
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

Последний раз редактировалось naliman; 22.10.2020 в 18:15. Причина: Добавлено сообщение
naliman вне форума   Ответить с цитированием Вверх
Старый 22.10.2020, 18:29   #16
OXPEHETb
Навичёг
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 30
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от naliman Посмотреть сообщение
скриншот интерфейсов сделай
IP замазывай только те который белые (WAN)
Так во вложении же в позапрошлом сообщении.
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Изображения
Снимок.PNG (34.0 Кб, 2 просмотров)
__________________
Loading… █████████[] 99%
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 22.10.2020, 18:33   #17
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,627
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Так во вложении же в позапрошлом сообщении.
ага, увидел, сообщение отредактировал
но ты успел ответить на не редактированное
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 22.10.2020, 18:34   #18
OXPEHETb
Навичёг
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 30
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от naliman Посмотреть сообщение
ткни ка на это правило и сделай скрин где источник видно конкретно и подробно
Пожалуйста.
Изображения
Тип файла: png Снимок.PNG (67.6 Кб, 11 просмотров)
__________________
Loading… █████████[] 99%
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 22.10.2020, 18:35   #19
OXPEHETb
Навичёг
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 30
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от naliman Посмотреть сообщение
ага, увидел, сообщение отредактировал
но ты успел ответить на не редактированное
=)) ясн)
__________________
Loading… █████████[] 99%
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 22.10.2020, 19:14   #20
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,627
По умолчанию Re: Отключение доступа к админке со внешки.

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Пожалуйста.
не может это праивло разрешать доступ а админке из-за периметра
ну не может
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 00:22. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2021, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях