Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall) > Рабочие конфигурации КВФ

Важная информация

Ответ
 
Опции темы
Старый 19.02.2015, 09:40   #1
Dimkris
Песака
 
Регистрация: 29.03.2014
Адрес: г. Москва
Сообщений: 104
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Форумчане посмотрите что не так у меня !

Всем привет форумчане !,
Хотел вынести на обозрение и на правильность составления моих правил. Всё что, я делал это в первый раз и делал по вашему примеру , читал разные темы, посты, и мануалы. Зарегистрирован тут давно но не писал сюда до вчерашнего дня, не хотел слышать от вас в свой адрес как многим было тут адресовано, что иди читай а потом задавай вопросы.
Признаюсь многое что мне не понятно, поэтому не все догонял своей головою о том что писалось вами или в мануалах.
Опишу как у нас построена сеть. Я работаю в организации где пользователей 350 чел. Домена нет.
Есть керио на железном сервере которое установил месяц назад. Он является шлюзом для всех локальных пользователей,
собственно это 192.168.0.2
провайдер 80.249......
Есть несколько групп : VIP, Work,User, тут уже понятно кто есть кто
группа Vip везде и всюду их около 100 чел
и все остальные по группам раскиданы
далее есть группа IP адресов кому разрешен торрент , теамвиевер, и аська. Посмотрите как что тут не так у меня....[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось Dimkris; 19.02.2015 в 10:11.
Dimkris вне форума   Ответить с цитированием Вверх
Старый 20.02.2015, 00:32   #2
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,594
Поблагодарили 166 раз(а) в 138 сообщениях
По умолчанию Re: Форумчане посмотрите что не так у меня !

Цитата
Сообщение от Dimkris Посмотреть сообщение
Я работаю в организации где пользователей 350 чел. Домена нет.
Застрелиццо если все 350 человек не бегают с ноутбуками по командировкам, то сделай домен. Оно того стоит.

пользователи привязаны как? по ip?
ходят через все через прокси или напрямую?

по правилам - "VPN" и "VPN исходящий для юрия" какие-то невнятные. что требуется делать в каждом?

а вообще весело там у вас - с таким каналом, танками, тундером и контрой
exchar вне форума   Ответить с цитированием Вверх
Старый 20.02.2015, 01:01   #3
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,407
Поблагодарили 128 раз(а) в 102 сообщениях
По умолчанию Re: Форумчане посмотрите что не так у меня !

1. "солдатов отдаёт торент" - не работает
потмоу что это правило - перекрывается предыдущим, предыдущее срабатывает а это отдыхает

ему надо сменить порт, в правиле и торент-клиенте

2. антиспуфинг - отключить

3. "для тех кто качает торент" и "доступ к интернету НАТ" - имеюот в источнике и назначении одинаковое, так же одинаковое поведение (разрешить, НАТ)

следовательно правила можно объединить

4. в политике HTTP все запрещающие правила поставить выше разреающих, как это сделано в трафикполисях
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 20.02.2015, 09:00   #4
Dimkris
Песака
 
Регистрация: 29.03.2014
Адрес: г. Москва
Сообщений: 104
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Форумчане посмотрите что не так у меня !

Цитата
Сообщение от exchar Посмотреть сообщение
Застрелиццо если все 350 человек не бегают с ноутбуками по командировкам, то сделай домен. Оно того стоит.

пользователи привязаны как? по ip?
ходят через все через прокси или напрямую?

по правилам - "VPN" и "VPN исходящий для юрия" какие-то невнятные. что требуется делать в каждом?

а вообще весело там у вас - с таким каналом, танками, тундером и контрой
да у нас весело ! организация не простая, сказали танки значит танки, очень много подчиненных, которые выполнят задачу. Так что вот как то так.
VPN это чтобы мне подкл и начальнику из вне через клиент.
VPN для Юрия, чтобы Юрий мог с рабочего места подкл к серверу VPN где то в организации, где нет керио.
Все ходят через прокси. Домен не нужен так как много гаджетов планшеты, смартфоны и.т.д. Командировки постоянно, все привязаны по IP. DHCP не вкл.

Добавлено через 18 минут
Цитата:
Сообщение от naliman Посмотреть сообщение
1. "солдатов отдаёт торент" - не работает
потмоу что это правило - перекрывается предыдущим, предыдущее срабатывает а это отдыхает

ему надо сменить порт, в правиле и торент-клиенте

2. антиспуфинг - отключить

3. "для тех кто качает торент" и "доступ к интернету НАТ" - имеюот в источнике и назначении одинаковое, так же одинаковое поведение (разрешить, НАТ)

следовательно правила можно объединить

4. в политике HTTP все запрещающие правила поставить выше разреающих, как это сделано в трафикполисях
Вопрос! почему антиспуфинг надо откл.? Я его конечно же откл.
Правила которые надо объединить я объединил. Добавил его в гр 1 службу торрент.
Но вот с Солдатовым что то не идёт.... сделал ему порт 1660 а он не качает и не отдаёт.
В политике HTTP на всё запрещающее ставить сверху значит!? а разрешающее может тогда правило для групп совсем ненужно?
Спасибо Вам что подсказываете и поправляете мои настройки.

Последний раз редактировалось Dimkris; 20.02.2015 в 09:19. Причина: Добавлено сообщение
Dimkris вне форума   Ответить с цитированием Вверх
Старый 21.02.2015, 20:51   #5
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,407
Поблагодарили 128 раз(а) в 102 сообщениях
По умолчанию Re: Форумчане посмотрите что не так у меня !

Цитата
Сообщение от Dimkris Посмотреть сообщение
Но вот с Солдатовым что то не идёт.... сделал ему порт 1660 а он не качает и не отдаёт.
в клиенте ещё этот порт как порт входящих надо указать
а каать он должен коль правила позволяют
проверь не закрывает ли ему доступ какое то запрещающее правило выше
+есесно локальный фоервол у нево на машине

Цитата
Сообщение от Dimkris Посмотреть сообщение
DHCP не вкл.
это зря

Цитата
Сообщение от Dimkris Посмотреть сообщение
В политике HTTP на всё запрещающее ставить сверху значит!?

Цитата
Сообщение от Dimkris Посмотреть сообщение
а разрешающее может тогда правило для групп совсем ненужно?
нужно или нет это вам решать на месте
если затрудняетесь решить надо или нет - скорей всего не надо
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 24.02.2015, 09:19   #6
Dimkris
Песака
 
Регистрация: 29.03.2014
Адрес: г. Москва
Сообщений: 104
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Форумчане посмотрите что не так у меня !

да всё сделал именно так, по торренту, просто надо было подождать, долго применяются правила.
Ещё что не так, есть у меня?

naliman подскажи как правильно мне правила для гр WORK сделать? Если я сделаю всё запрещающее сверху, и гр Work запрет на гр VIP и на все остальное. ?
Просто у меня есть опр сайты для гр Work они ходят туда. Как тогда в разрешениях для них поставить? всё остальное запретить кроме work? ТАК ЧТО ЛИ? Боюсь меня на работе натянут если все зарежутся по максимуму! Специфика у нас особенная в работе, только и успеваешь получать команды открой, слишком порезал.
Добавлено через 5 минут
[Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось Dimkris; 24.02.2015 в 09:31. Причина: Добавлено сообщение
Dimkris вне форума   Ответить с цитированием Вверх
Старый 24.02.2015, 18:44   #7
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,407
Поблагодарили 128 раз(а) в 102 сообщениях
По умолчанию Re: Форумчане посмотрите что не так у меня !

Цитата
Сообщение от Dimkris Посмотреть сообщение
просто надо было подождать, долго применяются правила.
они сразу должны примениться после нажатия кнопочки соответствующей

Цитата
Сообщение от Dimkris Посмотреть сообщение
одскажи как правильно мне правила для гр WORK сделать?
перво-наперво решить что же всё таки нужно


Цитата
Сообщение от Dimkris Посмотреть сообщение
Просто у меня есть опр сайты для гр Work они ходят туда
в двух словах если:
1. делается группа УРЛов - разрешенных
2. создаётся правило разрешающее нужной группе хождение на разрешенные УРЛы
3. создаётся правило запрещающее всё остальное для этой группы
4. создаётся правило разрешающее всё остальное всем остальным

если групп "с органичением" несколько - либо для каждой создавать отдельный список разрешенных УРЛов, либо создавать один на всех
соответственно аглоритм будет выглядеть так:

1. делается группа УРЛов - разрешенных всем "ограниченным" группам адресов\пользователей
либо
1.1 создаётся группа УРЛов-1 - разрешенных 1-й "ограниченной" группе адресов\пользователей
1.2 создаётся группа УРЛов-2 - разрешенных 2-й "ограниченной" группе адресов\пользователей
...
1.n создаётся группа УРЛов-N - разрешенных n-й "ограниченной" группе адресов\пользователей

2. создаётся правило разрешающее всем "ограниченным" группам хождение на "разрешенные" УРЛы
либо
2.1 создаётся правило разрешающее 1-й "ограниченной" группе адресов\пользователей хождение на соответствующие УРЛы-1
2.2 создаётся правило разрешающее 2-й "ограниченной" группе адресов\пользователей хождение на соответствующие УРЛы-2
...
2.n создаётся правило разрешающее n-й "ограниченной" группе адресов\пользователей хождение на соответствующие УРЛы-N

3. создаётся правило запрещающее всё остальное для "ограниченных" групп\пользователей

4. создаётся правило разрешающее всё остальное всем остальным
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 02.03.2015, 17:23   #8
Dimkris
Песака
 
Регистрация: 29.03.2014
Адрес: г. Москва
Сообщений: 104
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Форумчане посмотрите что не так у меня !

выбрал вариант запреты для групп, а всё остальное разрешить!
Dimkris вне форума   Ответить с цитированием Вверх
Старый 02.03.2015, 17:26   #9
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,407
Поблагодарили 128 раз(а) в 102 сообщениях
По умолчанию Re: Форумчане посмотрите что не так у меня !

подробнее
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 05.03.2015, 10:00   #10
Dimkris
Песака
 
Регистрация: 29.03.2014
Адрес: г. Москва
Сообщений: 104
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Форумчане посмотрите что не так у меня !

сделал так,
1) созданы группы для запрета в них кинул группу пользователей. Поднял в самый верх, в низу поставил остальное всё разрешить. Итог не работает, блочет всех.
2) работает только по такому варианту что у меня в скринах которые я выкладывал ранее.
Ещё вопрос не к этой теме, заканчивается лицензия на пользователей , как купить новую чтобы, дополнить к этой же. Т.е если у нас на 350 пользователей а хотим продлить до 400 сот такое возможно?
Dimkris вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 22:05. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях