اون عکس رولی که گذاشتی ، واسه سورس فقط authenticated users رو بذار!!!
اون عکس رولی که گذاشتی ، واسه سورس فقط authenticated users رو بذار!!!
اگه اون کارو بکنم کریو اجازه اتصال نمیده
لینکی که دادم رو دیدی ؟
بله دیدم ولی یوزرها خودشون ادمین سیستماشونن و از این بابت نمیتونم کاری بکنم پس هر چی که بخوان میریزن و پاک میکنن البته با این freegate هم مشکلی ندارم میتونن کار کنن منتها برام عجیب بود که چطور میتونه کریو رو دور بزنه بدون اینکه لاگین بشی
- - - ادامه - - -
بابت وقتی که گذاشتی ممنون
حالا هنو به جواب که نرسیدیم...اساتید بیان اون موقع هم بحث رو ادامه بده تا به یه نتیجه ای برسه
یه رول نوشتم که فقط DNS و Ping رو Drop کنه الان خیلی بهتر شده دیگه به این راحتیا freegate نمیتونه وصل بشه باید چندبار تلاش کنه تابتونه وصل بشه
دوست گرامی
Kerio براساس تنظیمات شما درست کار میکند ولی تنظیمات شما برای آن چه که انتظار دارید درست نیست. پیشنهاد میکنم در مورد هر سیستمی ابتدا با دقت راهنمای آن را بخوانید و سپس شروع به استفاده کنید. بهتر است اشتباهات کاربری را به پای ضعف نرم افزار نگذاریم.
و اما مشکل شما:
شما گزینه Allways requires users to be authenticated when accessing web pages را تیک زدهاید و انتظار دارید که همه ترافیک منوط به انجام Authentication باشد. در صورتی که این گزینه همانطور که در متنش هم آمده، تنها مربوط به دسترسی به صفحات وب است. به زبان فنی تر مربوط به ترافیک پورت 80 کاربران است. با فعال بودن این گزینه هیچ محدودیتی بر ترافیک کاربران به سمت دیگر پروتکلها بوجود نمیآید.
حال ترافیک نرم افزارهای دیگر مانند Freegate از کجا خارج میشود؟ از این Rule:
مشکل شما از همین Rule است. چرا؟ چون از Source همه شبکه داخلی به همه سرویسها دسترسی را باز کرده اید. در نتیجه ترافیک با این Rule مجاز شناخته میشود و به سمت بیرون هدایت میشود.
چه باید کرد؟
در Traffic Rule به گونهای تنظیم کنید که ترافیک HTTP همه شبکه داخلی به سمت اینترنت مجاز باشد. کنترل دسترسی به HTTP را با تیک زدن گزینه Always requires ... انجام دادهاید. ولی برای دیگر انواع ترافیک، با استفاده از Traffic Rule دسترسی را تنها برای کاربران Authenticate شده مجاز بشمارید.
با این کار تقریبا به آن چه در نظر دارید نزدیک میشود. اگر خواستید باز هم دقیق تر باشد باید برایش بیشتر زمان بگذارید.
یه کار دیگه هم بکن علاوه بر راهنمایی جناب حکیمی
شما DNS رو هم ببند چون این نرم افزارها واسه پیدا کردن سروراشون از DNS استفاده میکنن
بعد هم اینکه پورتهایی که اون ورژن از نرم افزار باهاش کار میکنه رو ببند.مثلا پورت 8580برای Freegate 6.84
طبق گفته های آقای حکیمی پیش رفتم و مشکل تا حد زیادی برطرف شد از همه دوستام متشکرم
ضمن تشکر از توضیحاتتون باید یه نکته عرض کنم خدمتتون، پورت 8580 مربوط به 127.0.0.1 میشه و ربطی به پورت ارتباطی نرم افزار به سرورهاش نداره! پورت ارتباطی نرم افزار به سرورها همیشه در حال تغییره ! برای همینه که به این راحتی نمیشه مهارش کرد وگرنه با یه رول ساده توی هر فایروالی میشه نرم افزار را از کار انداخت.
موفق باشید.
سلام
من هم همین مشکل رو داشتم و خیلی ساده با رعایت ترتیب رول ها میشه حلش کرد.
یک رول ایجاد میکنید که از شبکه داخلی به اینترنت فقط سرویس http رو اجازه بده و source رو هم نمیزارید authenticated users، میزارید روی رنج IP شبکه داخلی.
در بخش Users and Groups در زیر مجموعه Domains and User login گزینه Always require users to be authenticated when accessing web pages رو فعال میکنید.
در این حالت فقط http قابل استفاده هستش و برای اون هم کاربر ها باید اول authenticate بشن و طبعا freegate کار نمیکنه.
بعد یک رول ایجاد میکنید و در پایین رول قبلی قرار میدین و سرویس هایی که میخواین مثل https، POP3، smtp و ... رو انتخاب میکنید و در تب Source هم گروه کاربری که میخواین یا authenticated users رو قرار میدین.
در این حالت کاربر ها باید اول یک صفحه HTTP و نه پروتکل دیگه مثل HTTPS رو باز کنن و authenticate بشن و بعدش رول دوم به افرادی که احراز هویت شدن بفیه سرویس ها رو دسترسی میده.
- - - ادامه - - -
در مورد این هم شما اگر از endpoint solution ها مثل eset یا kaspersky استفاده میکنید میتونید به راحتی به صورت rule based جلوی freegate رو بگیرید. کافیه یک zone ایجاد کنید که حارج از شبکه خودتون هست و رول هایی برای دسترسی به این zone ایجاد کنید و فقط به نرم افزار های خاصی دسترسی به اون zone رو آزاد کنید.