на сайт
на сайт

Поиск  Правила  Войти
Главная страница » Главный раздел » Traffic Inspector - технические вопросы.
Страницы: 1 2 След.
RSS
Вопрос по логике работы
 
#1
0
25.01.2019 11:45:00
Добрый день,
Принято решение перейти на TrafficInspector с UserGate, в связи с этим
немного непонятна логика работы. В UserGate имелись правила "Управления трафиком" и правила "Межсетевого экрана" которые привязывались в нужной комбинации к пользователю или группе.
В TI все немного по другому.

1) Есть "Правила внешнего сетевого экрана". По умолчанию он пропускает все или запрещает?
Для того чтобы разрешать только те порты которые разрешены для выхода в сеть нужно создать правило запрета всего? Данные правила распространяются на всех пользователей настроенных на шлюз с TI?

2) Чтоб запретить, например, почтовые порты всем и разрешить только избранным пользователям нужно использовать "правила пользователя" запрещая все и разрешая только нужное?
Пример, запретить все и разрешить порты 80, 443, 465, 995 для HTTP, HTTPs, POP и SMTP по ssl?

3) По умолчанию (без создания каких либо правил) при авторизации пользователя в TI он имеет полный доступ в интернет?

4) если запретить все порты правилами внешнего сетевого экрана, то создание разрешающего правила пользователя с нужными портами уже не сработает?
 
 
 
#2
0
28.01.2019 08:41:00
Доброе утро.

Лучше созвониться и поговорить.
Так же желательно удаленное подключение на сервер с ТИ.
Можете написать на support и мы с Вами свяжемся.
 
 
 
#3
0
28.01.2019 12:35:00
Мне тоже интересны ответы на эти вопросы.. Вам разве не интересно публично популяризировать продукт?..
 
 
 
#4
0
29.01.2019 13:27:00
Цитата
Доброе утро.

Лучше созвониться и поговорить.
Так же желательно удаленное подключение на сервер с ТИ.
Можете написать на support и мы с Вами свяжемся.



Потихоньку разбираюсь, но логика работы не всегда однозначна.
Имеются инструменты:
1) внутренний межсетевой экран
2) внешний межсетевой экран
3) списки портов.
Суть у данного набора почти одинакова, только в ТИ она раскидана по разным инструментам.
Есть локальная сеть LAN и интернет WAN. По логике правила межсетевого экрана работают либо в направлении LAN->WAN либо WAN->LAN. 
В ТИ больше интересует именно внешний экран, но правила созданные в нем работают сразу для всех пользователей. 
Настроек чтобы ПК1 дать доступ на 80 порт, а ПК2 закрыть в межсетевом экране я не нашел или не понимаю как это сделать.
Использую списки портов и правило запретить все, но тогда внешний межсетевой экран нужен лишь для запрета доступа из вне т.е. WAN->LAN.

Сравниваю пока с Usergate и Kerio. Там есть межсетевой экран и созданные правила для любого направления трафика можно назначить конкретному пользователю или группе. Так же есть фильтры управления трафиком (http, https) так же с помощью модулей фильтрации которые так же назначаются конкретному пользователю или группе (тут у ТИ логика такая же) и все ясно.
 
 
 
#5
0
30.01.2019 12:39:00
правила внешнего сетевого экрана действуют глобально на сетевые интерфейсы определенные в качестве внешних(или на выбранные сетевые интерфейсы): на сервер + "пользователей"(если на них проброшены какие либо порты и сервисы)
правила внутреннего сетевого экрана действуют только на трафик пользователей(грубо:до сервера и сквозь сервер)  - это фильтры создаваемые для пользователей, групп пользователей, для "клиентов" или для "неклиентов" билинга.

чтобы одному пк дать доступ на порт внешнего узла - достаточно этот пк авторизовать и сделать так, чтобы баланс его был положительным или был разрешен безлимитный доступ.
для того чтобы второму пк запретить доступ куда бы то ни было - его можно НЕ авторизовывать никак.. или создать фильтр во внутреннем файрволе на запрещение(в правила\"правила пользователей"" или ""группы правил пользователей"") на нужный удаленный ресурс или удаленный порт.
"
 
 
 
#6
0
19.04.2024 20:22:38
Цитата

чтобы одному пк дать доступ на порт внешнего узла - достаточно этот пк авторизовать и сделать так, чтобы баланс его был положительным или был разрешен безлимитный доступ.
для того чтобы второму пк запретить доступ куда бы то ни было - его можно НЕ авторизовывать никак.. или создать фильтр во внутреннем файрволе на запрещение(в правила"правила пользователей"" или ""группы правил пользователей"") на нужный удаленный ресурс или удаленный порт.
 
 
 
#7
0
30.01.2019 13:19:00
не любой. есть внутренний сетевой экран - действует на "внутренние" сетевые интерфейсы, а есть внешний сетевой экран - действует на "внешние" сетевые интерфейсы.

авторизация, ограничения и биллинг для пользователей и непользователей ТИ работает на интерфейсах определенных в качестве ВНУТРЕННИХ!
создавайте правила для пользователей, а не глобальные для машины с ти. 

ТИ надстройка к функционалу маршрутизации ОС, а usergate & kerio имеют свой отдельный функционал NAT в драйвере(в обозримом прошлом всегда имели в версиях для Win - сейчас уже не знаю).



DmitryPC2019-01-30 13:20:38
 
 
 
#8
0
30.01.2019 14:54:00
Цитата
не любой. есть внутренний сетевой экран - действует на "внутренние" сетевые интерфейсы, а есть внешний сетевой экран - действует на "внешние" сетевые интерфейсы.

авторизация, ограничения и биллинг для пользователей и непользователей ТИ работает на интерфейсах определенных в качестве ВНУТРЕННИХ!
создавайте правила для пользователей, а не глобальные для машины с ти. 

ТИ надстройка к функционалу маршрутизации ОС, а usergate & kerio имеют свой отдельный функционал NAT в драйвере(в обозримом прошлом всегда имели в версиях для Win - сейчас уже не знаю).




С интерфейсами еще поэкспериментирую.
Какие мысли на данный момент )
1) во внешнем МЭ делаю правило запретить все и создаю правила только для требуемых портов
2) Создаю списки нужных портов и правила связанные с этими списками
3) Всем группам в "Фильтрации" ставлю "Блокировать весь трафик по умолчанию" 
4) в правилах До группы выбираю правила со списками разрешенных портов.
В итоге получается вполне рабочий вариант с запрещением всего, что явно не разрешено и в дальнейшем докидываю в правила До группы нужные порты, например, почты, вайбера и т.п.
Так же если требуется разрешить отдельный порт конкретному пользователю, то добавляю правило с нужным списком портов в правила пользователя.
Только в данном случае придется, тем пользователям кому нужен интернет, добавлять в правила ДО группы правила с разрешенными категориями из модуля NetPolice так как если просто разрешить доступ на порты 53,80, 443, то перестаёт срабатывать фильтрация по категориям. 



Pressmark2019-01-30 15:02:36
 
 
 
#9
0
31.01.2019 08:39:00
немного параноидальные мысли(imho), -  "все имеют общий(!) холодильник, видят, трогают, - а ключики от дверочки то у меня".
всё что вы запрещаете во внешнем фв , - запрещаете в первую очередь для самого сервера с ти - есть в этом смысл? он у вас шлюз для пользователей или рабочая машина?
запрещать нужно правилами на пользователя\на группу - неавторизованным(т.е. НЕпользователям) и так все наружу запрещено(если нет исключений в виде правил для непользователей - которые срабатывают НЕ на внешнем фв(или интерфейсе), а  на внутреннем)

[off]своими глобальными запретами рискуете поиметь некоторые грабли с разбором полетов и поиском причин. чем система проще(настроена), тем стабильнее она(любая) работает. imho. 
а почему решили сменить программу: политика партии или надоели разборы полётов(просто интересно)?[/off]


DmitryPC2019-01-31 08:39:39
 
 
 
#10
0
31.01.2019 10:14:00
Цитата
немного параноидальные мысли(imho), -  "все имеют общий(!) холодильник, видят, трогают, - а ключики от дверочки то у меня".
всё что вы запрещаете во внешнем фв , - запрещаете в первую очередь для самого сервера с ти - есть в этом смысл? он у вас шлюз для пользователей или рабочая машина?
запрещать нужно правилами на пользователя\на группу - неавторизованным(т.е. НЕпользователям) и так все наружу запрещено(если нет исключений в виде правил для непользователей - которые срабатывают НЕ на внешнем фв(или интерфейсе), а  на внутреннем)

[off]своими глобальными запретами рискуете поиметь некоторые грабли с разбором полетов и поиском причин. чем система проще(настроена), тем стабильнее она(любая) работает. imho. 
а почему решили сменить программу: политика партии или надоели разборы полётов(просто интересно)?[/off]



Давайте тогда предложите решение проблемы с Вашей стороны.
Имеется сервер на Win 2012. Шлюз.

Пользователям которые не авторизованы в ТИ доступ запрещен по умолчанию.
Пользователям которые авторизованы (авторизация идет по MAC и в редких случаях по IP) в ТИ требуется разрешать доступ только к тем портам к которым им требуется доступ.

Например, группе пользователей нужно запретить доступ на все порты (наружу), кроме 53, 80, 443 Http и Https для интернета (с контролем фильтрации по категориям), а так же некоторым пользователям в данной группе требуется разрешить использование ПО с требуемыми портами 2226 и 2230.

Если внутренний межсетевой экран выключен (выключен он по умолчанию) во внешнем сетевом экране не создано никаких правил (по умолчанию), то исходя из документации ТИ любой запрос на любой порт из LAN в WAN разрешен и так же разрешен ответ на этот запрос из WAN в LAN.
Поэтому не запрещая все любой пользователь может воспользоваться ПО с запросом на 2223 и 2230 порты и все у него заработает, контроль будет только  Http и Https трафика фильтром по категориям. 

Просьба предложить решение для, например, User1 и User2 (все пользователи авторизованы в ТИ)
User1 доступ в интернет запрещен и разрешена только почта. (тут опять же по документации скорее решение будет без задействования внешнего сетевого экрана)
User2 доступ в интернет разрешен (сайты), но запрещены любые порты не используемые http и https запросами + dns.
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 2)