Отключение доступа к админке со внешки.

[OXPEHETb]

Доброго дня коллеги.

Имеется лицензионный Kerio control 9.3.5 build 4367, правила трафика ниже, если не настраивать ограничения для внешних подключений, по умолчанию Kerio отдаёт, админку и статистику, по белому IP через HTTPS.

Из локалки транслирую сайт по HTTP, Web почтовика через HTTPS, и по портам MAPится несколько сервисов.

Проблема в том что удалённые пользователи подключаясь по доменному имени(у провайдера настроена PTR запись на белый IP) иногда получают Web статистики Kerio, это запоминают cukie браузеров, и правило на почтовик перестаёт отрабатывать, до чистки истории (и даже это не всегда спасает), что вызывает у пользователей фрустрации и ночные звонки.

В общем, есть ли альтернативный способ отключения доступа для внешних подключений к Web Kerio? Либо другие идеи для решения проблемы.

[exchar]

Цитата:

Сообщение от OXPEHETb

иногда

в каких конкретно случаях? при каких условиях?

Цитата:

Сообщение от OXPEHETb

есть ли альтернативный способ отключения доступа для внешних подключений к Web Kerio

есть стандартный способ - не разрешать доступ к хосту+порту
и не пробрасывать на хост+порт ничего лишнего
оба реализуются в ТП и работают хорошо.

Цитата:

Сообщение от OXPEHETb

правила трафика ниже

правила, чесговоря, ужасают
предполагаю что косяк исключительно в них

Добавлено через 19 минут

чтоб два раза не ходить - [Для просмотра данной ссылки нужно зарегистрироваться].

[OXPEHETb]

Спасибо за оперативный ответ!

Цитата:

Сообщение от exchar

в каких конкретно случаях? при каких условиях?

Пользователи приводили разнообразные ситуации, чаще всего не имеющие никакого отношения к действительности, не будем от них от них отталкивается, думаю что проблема возникает когда пользователь пытается подключится по доменному имени из локальной сети, в этом случае гарантированно будет трансляция на Kerio Statistics.

Цитата:

Сообщение от exchar

есть стандартный способ - не разрешать доступ к хосту+порту

Скорей всего не до конца понял вашу мысль, но ведь речь идёт о Web Kerio, а он устроен так что, просто введя IP (либо DNS соответственно) провалишься в Kerio Statistics

Цитата:

Сообщение от exchar

и не пробрасывать на хост+порт ничего лишнего

Понимаю о чём вы, и полностью согласен, стараюсь не использовать такую связку, в данное время MAPится по портам 2 устройства и ERP(но тут долгая история). Почтовик поднят на Kerio Connect, а его вебка гуляет по стандартному порту, поэтому пришлось слать весь внешний HTTPS трафик на хост почтовика.

Цитата:

Сообщение от exchar

правила, чесговоря, ужасают

Можно пожалуйста подробней, буду очень рад напутствию и корректировке от старшего товарища) Правила с пометкой ERP лучше скипнуть, как писал выше, тут долгая история и такой костыль в данное время оправдан.

Добавлено через 44 секунды

Цитата:

Сообщение от exchar

чтоб два раза не ходить - вот список придирок к подобным правилам из соседней темы.

спасибо, проанализирую.

Добавлено через 13 минут

Цитата:

Сообщение от exchar

чтоб два раза не ходить - вот список придирок к подобным правилам из соседней темы.

Удачно зашёл) Отличный, развёрнутый гайд и всё по делу, спасибо, поправлю.

[exchar]

Цитата:

Сообщение от OXPEHETb

думаю что проблема возникает когда пользователь пытается подключится по доменному имени из локальной сети, в этом случае гарантированно будет трансляция на Kerio Statistics.

это доменное имя какого хоста? (керио? почтовик? если таки керио, то собственно почему они лезут из ЛВС на керио, а не почтовик?..)

в какой ip при этом разрешается доменное имя на хосте пользователя?
это ip-адрес какого хоста?

Цитата:

Сообщение от OXPEHETb

но ведь речь идёт о Web Kerio, а он устроен так что, просто введя IP (либо DNS соответственно) провалишься в Kerio Statistics

наверное, это магия такая: вводишь в браузере FQDN и... (тут неизвестная науке магия)... и открылся сервис Х.

и никакие правила в ТП (типа локального трафика) за это не отвечают - это сервис так устроен =)
короче, это все можно развести либо политикой трафика, либо http-политиками, либо обратным прокси на керио. либо вообще через dns.

просто для начала надо понять - откуда (изнутри сети или там из интернета) по какому конкретно FQDN и/или какому ip пользователь лезет куда-то и что он там должен получить.

Цитата:

Сообщение от OXPEHETb

Можно пожалуйста подробней... спасибо, поправлю

после исправлений можно будет выложить еще раз - напишу более конкретно что-то.
и кстати, первый скрин кончается фиолетовыми правилами, а второй скрин начинается с синих - что-то было пропущено? )

[naliman]

все сообщения не читал
но по-моему какая-то школьная "задача"


там ведь всего одно правило, которое достаточно откючить
а изнутри админка будет доступна по правилу локального трафика где всё разрешено

[OXPEHETb]

Цитата:

Сообщение от exchar

это доменное имя какого хоста? (керио? почтовик? если таки керио, то собственно почему они лезут из ЛВС на керио, а не почтовик?..)

Прошу прощения я не правильно сформулировал. Для того что бы было всё красиво, для пользователей, имеется арендованный домен на хостинге, у провайдера настроена PTR запись с именем этого домена на белый IP, пользователи подключаются к почтовику как раз по этому домену, в ПТ имеется правило которое отдаёт весь HTTPS трафик на хост почтовика (WebMail), но если вдруг по ошибке пользователь, по этой же ссылочке перейдёт из локалки, он попадёт в Kerio Statistics, потому что правило настроено только для внешних подключений.

Цитата:

Сообщение от exchar

в какой ip при этом разрешается доменное имя на хосте пользователя?
это ip-адрес какого хоста?

Как описал выше, переходя по доменному имени, с внешки, пользователь попадает на почтовик, но из локалки по этому же домену он попадает на Web Kerio, я вот кстати хз почему так.. Опережу вопрос, в сети поднят DNS сервер, и на нём нет записей касательно этого домена (возможно стоит присвоить).

Цитата:

Сообщение от exchar

наверное, это магия такая: вводишь в браузере FQDN и... (тут неизвестная науке магия)... и открылся сервис Х.

Добавлено через 3 минуты

Цитата:

Сообщение от naliman

там ведь всего одно правило, которое достаточно откючить
а изнутри админка будет доступна по правилу локального трафика где всё разрешено

Приветствую, знаю про что вы=) "Remote administration" но весь интерес данной "задачи" в том, что уже пробовал отключать это правило.

Кстати прошу прощения не упомянул, про этот факт.

[naliman]

Цитата:

Сообщение от OXPEHETb

Как описал выше, переходя по доменному имени, с внешки, пользователь попадает на почтовик, но из локалки по этому же домену он попадает на Web Kerio, я вот кстати хз почему так..

камрад
на это только ОДНА ПРИЧИНА:


ДНС


как так?
да очень просто
nslookup из интернета свои имена
то же самое изнутри сети
сравниваешь ответы
лежешь в админку ДНС и делаешь так что б было правильно
делов на 5 минут с 2-мя перекурами


Добавлено через 4 минуты

Цитата:

Сообщение от OXPEHETb

Приветствую, знаю про что вы=) "Remote administration" но весь интерес данной "задачи" в том, что уже пробовал отключать это правило.

можно на ТЫ
если отключать пробовал и оно продолжает работать - значит либо магия либо рестарт керио либо есть какое-то правило после отключенного, которое разрешает


попробуй сделать не отключение праивла а в дейсвиях вместо "разрешить" сделать "запретить"
думаю сразу увидишь эффект


ЕСЛИ ТЫ НЕ ПЫТАЕШЬСЯ ПО ВНЕШНЕМУ ИМЕНИ\ip ПРОВЕРЯТЬ ИЗНУТРИ СЕТИ
НАДО ИМЕННО ИЗ ИНТЕРНЕТОВ
можешь дать адрес либо мне либо ув.тов. Exchar в личку
сразу станет ясно

Цитата:

Сообщение от OXPEHETb

Кстати прошу прощения не упомянул, про этот факт.

ну эта ... бывает
оно даже бывает что и на старуху проруха находится
просто решение очень простое, но иногда неочевидное из-за нюансов

[OXPEHETb]

Цитата:

Сообщение от naliman

ДНС

Бээлин а ведь правда, локальный DNS с чего то присвоил доменному имени адрес VPN сервера, пошёл разгребать DNS, детский недосмотр, спасибо

Добавлено через 4 минуты

Цитата:

Сообщение от naliman

можешь дать адрес либо мне либо ув.тов. Exchar в личку
сразу станет ясно

спасибо за такое участие в проблеме) оч приятно=) Внешних ресурсов никак не связанных туннелями хватает, есть где потестить, сейчас попробую запрет поставить на Remote administration

Добавлено через 6 минут

Цитата:

Сообщение от exchar

и кстати, первый скрин кончается фиолетовыми правилами, а второй скрин начинается с синих - что-то было пропущено? )

на счёт этого кстати, там по центру всякая ерунда тестовая, все правила отключены.

[naliman]

Цитата:

Сообщение от OXPEHETb

Бээлин а ведь правда, локальный DNS с чего то присвоил доменному имени адрес VPN сервера, пошёл разгребать DNS, детский недосмотр, спасибо

дынезашта
знаешь теперь ГДЕ
а КАК - это уже и не проблема

Цитата:

Сообщение от OXPEHETb

спасибо за такое участие в проблеме) оч приятно=) Внешних ресурсов никак не связанных туннелями хватает, есть где потестить, сейчас попробую запрет поставить на Remote administration

ога, только это правило в самый верх поставь
это важно

[OXPEHETb]

Так из последнего) Запрет на Remote administration действительно помог, огромный сяб за лайфхак naliman, это была основная проблема темы, и она решена.

Но! тема получилась глубже, и эт очень хорошо =) сча курю свой DNS, отпишусь как раскурю.

Вот подправленный борд ПТ, у самого по профиту многих правил сомнения, так что буду рад любой критике)

В скрытых строках, только отключенные правила, чтоб в один скрин поместить.

[naliman]

камрад
скрывать серые ИПы локальной сети не имеет смысла

[naliman]

Цитата:

Сообщение от OXPEHETb

Запрет на Remote administration действительно помог

камрад я чегой то не пойму
в том правиле в источниках - локальные\довренные интерфейсы
из интернета это правило никак не работает


ты проигнорировал вот что:

Цитата:

Сообщение от naliman

ЕСЛИ ТЫ НЕ ПЫТАЕШЬСЯ ПО ВНЕШНЕМУ ИМЕНИ\ip ПРОВЕРЯТЬ ИЗНУТРИ СЕТИНАДО ИМЕННО ИЗ ИНТЕРНЕТОВ

рассказывай откуда ты пытаешься влезть в админу думая что "из интернета"
!

[OXPEHETb]

Цитата:

Сообщение от naliman

камрад
скрывать серые ИПы локальной сети не имеет смысла
__________________

=) да знаю, но инет всё помнит.. Безопасность избыточной не бывает) Уж простите параноика))

Цитата:

Сообщение от naliman

камрад я чегой то не пойму
в том правиле в источниках - локальные\довренные интерфейсы
из интернета это правило никак не работает

Верно, вот этого я тож давно понять не мог, какого хрена правило отрабатывает, скрин интерфейсов во вложении, в доверенных\локальных только LAN, мож я что то не понимаю и правила Kerio, созданные по умолчанию, имеют какие то скрытые приоритеты, либо чем то отличаются от созданных? Звучит как бред, понимаю, но давно уже эта мысль беспокоит, бывали случаю когда дефолтные правила отрабатывали не так как я от них ожидал(не буду примеры приводить, эт надолго будет), всегда делаю вывод что это недостаток моих знаний о сетевых технологиях.

Цитата:

Сообщение от naliman

рассказывай откуда ты пытаешься влезть в админу думая что "из интернета"

Ок, поясню за "интернет"), имеются небольшие удалённые отделы, со своими белыми IP, подключённые через разных провайдеров, никак не связанные тунелями и VPN, все тесты "с внешки" провожу с них, справедливости ради отмечу, что на всех отделах так же поднят Kerio, но с дефолтными правилами.

[OXPEHETb]

Сейчас попробовал отключить правило Remote administration, и подключится по белому IP с мобилы, через мобильные данные.. Провалился на вебку Kerio/

[naliman]

Цитата:

Сообщение от OXPEHETb

Сейчас попробовал отключить правило Remote administration, и подключится по белому IP с мобилы, через мобильные данные.. Провалился на вебку Kerio/

это нонсенс
ибо правило в источниках имеет локальные\доверенные
судя по скриншоту там только локальный интерфейс

ткни ка на это правило и сделай скрин где источник видно конкретно и подробно

[OXPEHETb]

Цитата:

Сообщение от naliman

скриншот интерфейсов сделай
IP замазывай только те который белые (WAN)

Так во вложении же в позапрошлом сообщении.

Цитата:

Сообщение от OXPEHETb

Изображения
Снимок.PNG (34.0 Кб, 2 просмотров)

[naliman]

Цитата:

Сообщение от OXPEHETb

Так во вложении же в позапрошлом сообщении.

ага, увидел, сообщение отредактировал
но ты успел ответить на не редактированное

[OXPEHETb]

Цитата:

Сообщение от naliman

ткни ка на это правило и сделай скрин где источник видно конкретно и подробно

Пожалуйста.

[OXPEHETb]

Цитата:

Сообщение от naliman

ага, увидел, сообщение отредактировал
но ты успел ответить на не редактированное

=)) ясн)

[naliman]

Цитата:

Сообщение от OXPEHETb

Пожалуйста.

не может это праивло разрешать доступ а админке из-за периметра
ну не может