Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall) > Рабочие конфигурации

Важная информация

Ответ
 
Опции темы
Старый 04.11.2013, 12:52   #1
mef
 
Аватар для mef
 
Регистрация: 02.11.2013
Адрес: Гомель, Беларусь
Сообщений: 8
Восклицание Моя конфигурация. Прошу дать замечания и рекомендации..

Добрый день! Недавно начал изучать Kerio Control.
Поставил уже на двух организациях, вроде все работает, но прошу гуру посмотреть мои минимальные настройки, может кто посоветует что-либо или укажет на ошибки.
Заранее спасибо!




mef вне форума   Ответить с цитированием Вверх
Старый 04.11.2013, 18:04   #2
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,361
По умолчанию Re: Моя конфигурация. Прошу дать оценки и замечания.

сообщение переместил в соответствующий раздел
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 04.11.2013, 18:10   #3
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,361
По умолчанию Re: Моя конфигурация. Прошу дать оценки и замечания.

мои замечания и рекомендации:

1. в правиле "ремоте администратион" в источнике можно убрать доверенные\локальные, так как оно УЖЕ существует в правиле "локал трафик", а следовательно не имеет смысла и не работает
рекомендация - удалить "доверенные\локальные" из источников

2. правило "фиреволл трафик" - не нужно, оно фактически не работает, поскольку перекрывается всё тем же "локал траффик" правилом
рекомендация - удалить правило

3. непонятно зачем непрозрачный прокси на 3128 порту? чем не устраивает прозрачный НАТ ?
рекомендация - прокси отключить и пользоваться НАТ-ом
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 04.11.2013, 18:58   #4
mef
 
Аватар для mef
 
Регистрация: 02.11.2013
Адрес: Гомель, Беларусь
Сообщений: 8
По умолчанию Re: Моя конфигурация. Прошу дать оценки и замечания.

Цитата:
Сообщение от naliman Посмотреть сообщение
мои замечания и рекомендации:

1. в правиле "ремоте администратион" в источнике можно убрать доверенные\локальные, так как оно УЖЕ существует в правиле "локал трафик", а следовательно не имеет смысла и не работает
рекомендация - удалить "доверенные\локальные" из источников

2. правило "фиреволл трафик" - не нужно, оно фактически не работает, поскольку перекрывается всё тем же "локал траффик" правилом
рекомендация - удалить правило

3. непонятно зачем непрозрачный прокси на 3128 порту? чем не устраивает прозрачный НАТ ?
рекомендация - прокси отключить и пользоваться НАТ-ом
1. Спасибо, не подумал)
2. а доступ в интернет?
3. Кэш, или лучше не стоит?

И дополнительный вопрос, даже два:
1. можно дли сделать редирект на страницу аутентификации, когда идет обращение к https страницам?
2. Скайп работает без авторизации
mef вне форума   Ответить с цитированием Вверх
Старый 04.11.2013, 19:37   #5
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,361
По умолчанию Re: Моя конфигурация. Прошу дать оценки и замечания.

Цитата
Сообщение от mef Посмотреть сообщение
2. а доступ в интернет?
согласен
тогда поставь его вторым (после локал трафика)

Цитата
Сообщение от mef Посмотреть сообщение
3. Кэш, или лучше не стоит?
если нужен кэш - он и без непрозрачного прокси работает
а вообще ИМХО это при современных безлимитных тарифах и широченных каналах - вещь абсолютно бессмысленная

Цитата
Сообщение от mef Посмотреть сообщение
1. можно дли сделать редирект на страницу аутентификации, когда идет обращение к https страницам?
можно сделать так что б неатворизованных никуда не пускало
а авторизованных - куда можно

сколько у тебя клиентов для каждого из керио????


Цитата
Сообщение от mef Посмотреть сообщение
2. Скайп работает без авторизации
потому что так составлены правила
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 04.11.2013, 20:49   #6
mef
 
Аватар для mef
 
Регистрация: 02.11.2013
Адрес: Гомель, Беларусь
Сообщений: 8
По умолчанию Re: Моя конфигурация. Прошу дать оценки и замечания.

Цитата:
Сообщение от naliman Посмотреть сообщение
Цитата:
Сообщение от mef
3. Кэш, или лучше не стоит?
если нужен кэш - он и без непрозрачного прокси работает
а вообще ИМХО это при современных безлимитных тарифах и широченных каналах - вещь абсолютно бессмысленная
Одна из организаций - гос. орган, который не может перейти к другому провайдеру (нам) и вынужден остаться на ByFly(Беларусь) а качество этого канала позволяет желать лучшего(3 мегабита в хороший день на 50 машин), да и "залипает" часто...

Цитата:
Сообщение от naliman Посмотреть сообщение
Цитата:
Сообщение от mef
1. можно дли сделать редирект на страницу аутентификации, когда идет обращение к https страницам?
можно сделать так что б неатворизованных никуда не пускало
а авторизованных - куда можно

сколько у тебя клиентов для каждого из керио????
не хочу делать ручную аутентификацию, хочу ntlm, а скрипт через АД не у всех корректно отрабатывает, поэтому нужен редирект красивый, чтобы пользователь ничего и не понял. Привязка по IP не вариант, статику не использую и считаю злом для клиентских машин


Цитата:
Сообщение от naliman Посмотреть сообщение
Цитата:
Сообщение от mef
2. Скайп работает без авторизации
потому что так составлены правила
Подскажите, пожалуйста, какие именно и как исправить
mef вне форума   Ответить с цитированием Вверх
Старый 06.11.2013, 19:02   #7
goldsmith
Навичёг
 
Аватар для goldsmith
 
Регистрация: 23.08.2011
Сообщений: 43
По умолчанию Re: Моя конфигурация. Прошу дать оценки и замечания.

mef,а как вы решили проблему отображения имен хостов, вот тут вот
[Для просмотра данной ссылки нужно зарегистрироваться]

у меня напрочь не хотит отображаться где копать подскажите?
goldsmith вне форума   Ответить с цитированием Вверх
Старый 07.11.2013, 16:22   #8
master33
Песака
 
Аватар для master33
 
Регистрация: 20.05.2013
Адрес: Люберцы
Сообщений: 91
По умолчанию Re: Моя конфигурация. Прошу дать оценки и замечания.

Цитата:
Сообщение от naliman Посмотреть сообщение
3. непонятно зачем непрозрачный прокси на 3128 порту? чем не устраивает прозрачный НАТ ?
рекомендация - прокси отключить и пользоваться НАТ-ом
Я бы даже сказал, что он вреден, при условии, если возникнет желание разогнать HTTP(S) трафик к разным сайтам на разных провайдеров. Согласен с тем, что такое желание довольно редкое, но вот мне например понадобилось ... (ну очень трудно клиент-банки работают с YOTA).
master33 вне форума   Ответить с цитированием Вверх
Старый 08.11.2013, 19:46   #9
mef
 
Аватар для mef
 
Регистрация: 02.11.2013
Адрес: Гомель, Беларусь
Сообщений: 8
По умолчанию Re: Моя конфигурация. Прошу дать оценки и замечания.

Цитата
Сообщение от goldsmith Посмотреть сообщение
mef,а как вы решили проблему отображения имен хостов, вот тут вот
[Для просмотра данной ссылки нужно зарегистрироваться]

у меня напрочь не хотит отображаться где копать подскажите?
А значит они не аутентифицированы. Вы как проходите аутентификацию?
попробуйте на компе каком-либо открыть в браузере [Для просмотра данной ссылки нужно зарегистрироваться]
mef вне форума   Ответить с цитированием Вверх
Старый 09.11.2013, 19:54   #10
goldsmith
Навичёг
 
Аватар для goldsmith
 
Регистрация: 23.08.2011
Сообщений: 43
По умолчанию Re: Моя конфигурация. Прошу дать оценки и замечания.

mef,У меня немного другая настройка, "Принудитльная аутентификауия не прозрачного прокси" ну это ладно.
я так понял в вашем случаи окошка авторизации не выскакивает в браузере, т.е. у юзеру не надо авторизоваться. как у меня


как у вас настроены интерфейсы LAN/WAN? на днс у вас натроена пересылка? покажите вкладку днс на керио. и как версия керио у вас?
буду очень в признателен? у вас домен 2008 днс и дхцп там же подняты?


naliman
,
служба переадресации ДНС, её включаю тогда когда на клиентских машинах днс прописывается шлюз керио, это настройка с доменом не верна???правильно?
goldsmith вне форума   Ответить с цитированием Вверх
Старый 09.11.2013, 23:06   #11
mef
 
Аватар для mef
 
Регистрация: 02.11.2013
Адрес: Гомель, Беларусь
Сообщений: 8
По умолчанию Re: Моя конфигурация. Прошу дать оценки и замечания.

Цитата
Сообщение от goldsmith Посмотреть сообщение
У меня немного другая настройка, "Принудитльная аутентификауия не прозрачного прокси" ну это ладно.
я так понял в вашем случаи окошка авторизации не выскакивает в браузере, т.е. у юзеру не надо авторизоваться. как у меня
Это не суть важно. когда не отображаются имена - значит не пройдена аутентификация(чтобы убедиться-посмотрите через какое правило они ходят в интернет)

Цитата
Сообщение от goldsmith Посмотреть сообщение
как у вас настроены интерфейсы LAN/WAN? на днс у вас натроена пересылка? покажите вкладку днс на керио. и как версия керио у вас?
буду очень в признателен? у вас домен 2008 днс и дхцп там же подняты?
так. версия керио 8.1.0. ДНС и дхцп подняты на АД под 2008р2. в керио в лан и ван в качестве днс указана АД. в керио на вкладке днс и дхцп все выключено. в дхцп на ад: основной шлюз керио, днс серв - АД
mef вне форума   Ответить с цитированием Вверх
Старый 11.11.2013, 08:09   #12
goldsmith
Навичёг
 
Аватар для goldsmith
 
Регистрация: 23.08.2011
Сообщений: 43
По умолчанию Re: Моя конфигурация. Прошу дать замечания и рекомендации..

у меня на wan настроен ДНС прова, пропишука доменнный днс. как затестю отпишусь.

у вас в интернет ходят через правило аутентификация? за что отвечает правило Интернет?
goldsmith вне форума   Ответить с цитированием Вверх
Старый 11.11.2013, 20:42   #13
mef
 
Аватар для mef
 
Регистрация: 02.11.2013
Адрес: Гомель, Беларусь
Сообщений: 8
По умолчанию Re: Моя конфигурация. Прошу дать замечания и рекомендации..

Цитата
Сообщение от goldsmith Посмотреть сообщение
у меня на wan настроен ДНС прова, пропишука доменнный днс. как затестю отпишусь.

у вас в интернет ходят через правило аутентификация? за что отвечает правило Интернет?
правило аутентификация служит для редиректа на страницу аутентификации, а правило интернет уже рабочее правило, которое пропускает весь траффик. Оно работает в совокупности с правилами http)
mef вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 21:45. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях