faq обучение настройка
Текущее время: Пн окт 14, 2019 07:10

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: 860e. ALG - логика белых списков
СообщениеДобавлено: Пт янв 16, 2015 21:39 
Не в сети

Зарегистрирован: Ср окт 08, 2014 23:21
Сообщений: 14
860е. Версия прошивки: 2.60.02.02-24262

Никак не пойму логику "белых" списков в настройках фильтра ALG объектов. Помогите пожалуйста.

В списке Alg создаю объект MyHttpAlg. В настройках url-фильтра добавляю в черный список например *.yandex.ru/*.
Создаю сервис MyHttp на его основе
Tcp
Источник 0-65535
Назначение 80
Alg - MyHttpAlg
На основе сервиса создаю правило MyHttpAccess
Действие - Nat
Сервис - MyHttp
Источник - Lan:Lan_net
Назначение - Wan:All_net
+ правило проброса днс.

В Lan с любого пк иду в инет, все работает, кроме yandex.ru

Т.е. черные списки разрешают все, кроме того что явно запрещено. Логично предположить, что белые списки запрещают все, кроме того, что явно разрешено.

меняю в MyHttpAlg черный список на белый для yandex. Проверяю. Пускает везде. Не фурычит.

А белые и черные вместе? Получается так, что белые нужны только для того чтобы взаимодействовать с черными (т.е. давать разрешения на то что уже объявлено к запрещению) и наоборот.

Собственно вопрос, помогите реализовать:

Lan 192.168.0.1-254, где 192.168.0.1 - сам фаэр.

Нужно, пример (правила в порядке важности):

1. Всем можно все (доступен весь http трафик) с сайтов группы А (например *.microsoft.com/*, *windowsupdate.com/*, *.symantec.com/*)
2. Всем запрещено посещать сайты группы B (например *.sex.ru/*, *.porno.com/*)
3. 192.168.0.2-10 - можно все
4. 192.168.0.11-254 - можно все, кроме скачивания файлов (например exe, rar, zip)

пробовал и ip-политиками и ip-правилами. основные проблемы с правилами 1 и 4.
в Tmg2010(ранее Isa) на установку этих правил уходила минута. а тут чтото завяз..
пробовал комбинировать черные с белыми, вставляя в качестве разрешающих\запрещающих url * и *.*, но в этом случае отрабатывает первое подходящее правило и обработка следующих прекращается.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Чт янв 22, 2015 11:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7030
Откуда: D-Link. Moscow
Мы официально не поддерживаем прошивку 2.60 из за шифрования, но т.к. вопрос общий.

Обратите внимание на следующий момент.

При вашем фильтре *.yandex.ru/*, сайд http://yandex.ru открываться будет, а сайт http://www.yandex.ru не откроется. Для примера блокировки yandex.ru будет следующий URL в блэклисте *yandex.ru/*

Для того, чтоб заблокировать ВСЕ сайти и разрешить определенные, то в блэклист добавляйте */* а в белый список, конкретные ресурсы. В вашем случае вам будет необходимо создать несколько ALG и сервисов для другого диапазона IP, а IP правила разместить в правильном порядке.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Пн янв 26, 2015 20:20 
Не в сети

Зарегистрирован: Ср окт 08, 2014 23:21
Сообщений: 14
все равно не работает. или я чего-то не понял.

ок, уменьшим правила до двух, для наглядности.

есть 2 алг (в каждом доступно http+https):

1 алг: можно все (фильтра url нет), за исключением скачивания файлов exe
2 алг: можно все только с microsoft (*.microsoft.com/*, microsoft.com/* - в белом списке; */* - в черном)

на базе этих алг есть 2 сервиса, а на базе сервисов 2 ip-правила последовательно др. за другом. действуют для всей lan.

применяем, далее идем на любой пк в лан и открываем центр загрузок Microsoft - загрузка directrx = http://www.microsoft.com/ru-ru/download ... aspx?id=35

итого:

если я ставлю правило с алг1 первым - скачать нельзя - ограничение по exe.
c алг2 первым - скачать могу, но все остальное не работает.


обработка правил прекращается, когда срабатывает первое подходящее правило. а как засунуть 2 условия в одно правило - не вижу.

еще раз вопрос: как для одной группы\сети\набора_адресов разрешить закачивать все с одного сайта и запретить качать некоторые типы файлов со всех остальных?
элементарное вроде решение должно быть.


Последний раз редактировалось Gu_ Пт янв 30, 2015 21:58, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Чт янв 29, 2015 17:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7030
Откуда: D-Link. Moscow
Так вы меня немного запутали.

Создаете 2 разных ALG http_filter_1_alg и http_filter_1_alg и накладываете на 2 созданных HTTP сервиса.

Создаете 2 ip объекта с разными диапазонами, например users1 192.168.10.2-192.168.10.50 и users2 192.168.10.51-192.168.10.100

Создаете 2 IP правила, на выход с этими ALG для разных диапазонов IP у вас будут разные ALG в которыз настроены разные black list.

А пользователя которому можно ВСЁ который входит в этот диапазон, просто выпустите через NAT правило без ALG которое находиться ВЫШЕ этих 2х правил с фильтрами.

Для того что бы посоветовать вам более детально, от вас нужна информация по подробнее.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Пт янв 30, 2015 20:53 
Не в сети

Зарегистрирован: Ср окт 08, 2014 23:21
Сообщений: 14
спасибо за ответ.

еще раз, более просто и простыми словами - что нужно:

1. всем пользователям можно качать всё с одного сайта (например Microsoft.com). Если идем не на Microsoft.com - правило пропускается.
2. всем пользователям можно посещать любые сайты и качать все, за исключением файлов *.exe

т.е. если идем на Microsoft - все можно качать. Идем не на Microsoft.com - можно качать все, кроме исполняемых файлов.

сеть 192.168.0.0/24, шлюз (860e) - 192.168.0.1.
нет деления пк\пользователей на диапазоны ip или авторизацию, в alg доступны протоколы http+https. dns пробрасывается отдельным правилом, не будем про него.

проще не знаю как уже. очень жду решения.


Последний раз редактировалось Gu_ Пт янв 30, 2015 21:59, всего редактировалось 4 раз(а).

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Пт янв 30, 2015 21:04 
Не в сети

Зарегистрирован: Ср окт 08, 2014 23:21
Сообщений: 14
на TMG2010 это выглядело примерно так:

Правила:
1. Всем, Разрешить, Http+Https, Любой контент, Направление-Домен: Microsoft.com
2. Всем, Разрешить, Http+Https, Любой контент с исключением-файлы расширения Exe, Направление-Внешняя сеть
3. Запретить всё

Когда пользователь ломился на Microsoft он попадал под правило 1 и все качалось. При этом обработка правил прекращалась.
Если пользователь лез по http(s) не на Microsoft, работало правило 2.
Все остальное закрыть.

А тут похоже что белые списки работают только с черными вместе. Просто белый список в правиле - все равно что его отсутствие.
Если он есть (без черного) - правило работает вообще для всего (кстати заметил - даже ограничения по файлам не работают), а не только для того что указано в белом списке. Если добавляю к нему черный с */* - работает только белый, но дальше этого правила не пускает.
Жду что белый список отрабатывал бы только на то, что в нем указано - а если нет, тогда правило пропускается. Но это не работает.
Ведь наличие только черного списка без белого подразумевает "пускать везде, кроме черного", т.е. как бы белый заочно задан как "*/*". Почему эта логика не работает для белых списков (пускать только по белым адресам, игнорируя остальные)? Белые и черные вместе работают вроде нормально. А вот только белый без черного - нет (см. еще раз ветку с начала - вроде все правильно делаю).
Или тогда опцию сделайте в правилах "продолжить обработку последующих правил".
Или в прошивке досадная ошибка? Потому что если это так и задумано - теряется большая гибкость.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Чт фев 05, 2015 21:20 
Не в сети

Зарегистрирован: Ср окт 08, 2014 23:21
Сообщений: 14
Up


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Вс фев 08, 2015 10:38 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Видимо, в TMG смешали правила уровней 3-7. Удобно конечно, но с точки зрения сетевого устройства нелогично и сильно расходует ресурсы.
Смотрите на картинку из документации - в IP rule есть source, destination, а также фильтрация на основании протоколов/портов.
ALG же, работает по уже отфильтрованным правилом пакетам и принимает решение, разрешить или нет.
То есть, это своеобразное правило в правиле.
Фичи "продолжить обработку правил" нет и не задумывалось.

Соответственно, ваши правила
NAT lan/lannet wan/microsoft-com http-all
NAT lan/lannet wan/all-nets http-https-with-alg
В сервисе http-https-with-alg указываете ALG с запретом exe файлов

К слову, в IP rules DFL нельзя использовать DNS имена, это принипиальная позиция т.к. это делает DFL подверженным DNS спуфингу.
Поэтому, объект microsoft-com должен быть IP4group, заполненный IP адресами.


Вложения:
20150208_cOS_10-21-02_6-1.jpg
20150208_cOS_10-21-02_6-1.jpg [ 30.18 KiB | Просмотров: 1789 ]

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Пт мар 13, 2015 02:06 
Не в сети

Зарегистрирован: Ср окт 08, 2014 23:21
Сообщений: 14
дошли руки проверить.
работает, спасибо комрад.
вопрос закрыт.

++
ужасно неудобно, кучу адресов вносить в список, кроме того, подозреваю что они меняются (Ms.WU,Symantec LU и прочие). как вариант можно окошко сделать "внести адреса с домена такого-то" и ip с nslookup загружать в лист. следить за этим тоже теперь отдельное дело.. не уютно короче.

>> К слову, в IP rules DFL нельзя использовать DNS имена, это принипиальная позиция т.к. это делает DFL подверженным DNS спуфингу.

после официального отказа поставлять прошивку с полными функциями шифрования в Россию - об этом и других мелких ньюансах в ру-прошивке смешно слышать. знал бы об этом ранее (на страничке девайса ничего не сказано) не купил бы из принципа. кроме того подсаживание на платную подписку лицензий основных защитных функций бесит :)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Пт мар 13, 2015 07:48 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8514
Откуда: Москва
Gu_ писал(а):
... подсаживание на платную подписку лицензий основных защитных функций бесит :)
годовая подписка на отдельные функции - это стандартная практика практически для всех брендов, продающих межсетевые экраны.
Разве Вы этого не знали?

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Сб мар 14, 2015 04:59 
Не в сети

Зарегистрирован: Ср окт 08, 2014 23:21
Сообщений: 14
>>годовая подписка на отдельные функции - это стандартная практика практически для всех брендов, продающих межсетевые экраны.
Разве Вы этого не знали?

когда покупал - нет. ПРОШУ ВАС НА ГЛАВНОЙ СТРАНЦЕ ОБ ЭТОМ В НАЧАЛЕ ЗАЯВИТЬ.
Я то знаю конешна, но всегда есть "НО". по последнему НО мну на 10 лет подписку обеспечили.

и нихера не всех, не надо за всех говорить. еще тогда было http://stachek36.ucoz.ru/publ/17-1-0-261
и ща есть кламав и тп. на эту тему

А ТАКЖЕ ОБ УРЕЗАНОЙ ВЕРСИИ ПОРШИВКИ, с которой вам поставят девайс + файл перевода интерфейса, которому уже за 5 лет и его никто не трогал.
А не звездочками в конце договора покупки. Ведь ето наеба.. чистой воды мошенничество. Я не прав?
И потом мне тут в "поддержке" советуют мелкие детали "огрызка" поиметь.
мат один в ваш адрес.
даже Zuxel, дорогих девайсов домашних на эту тему БЕЗ ПОДПИСКИ ВСЕГДА основные угрозы лочил, как и drWeb - его лечилка бесплатная всегда помогала бесплатно.
у всех коды есть бесплатные. ясно что реклама, но работают.

в прошлом году купил железку sinology.
практически ежемесячно (иногда по неделям) - обновление. антивирус - по умолчанию. сообщество - в миоионах. на вопросы отвечают через 2 часа после того как задал.

а вы как бяки = другое слово было, убрал, (извиняюсь, но по сравнению с др). знаете что кризис в стране, с деньгами туго - хотябы основные сделали бы бесплатно. 5. 10.
нет. кода нет - нет и обслуживания. очень жалею о покупке.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Сб мар 14, 2015 05:07 
Не в сети

Зарегистрирован: Ср окт 08, 2014 23:21
Сообщений: 14
++ добавлю, а то загрызут

основное: сама железка хорошая (если наконец юсб и др реализуют). не один год ей служить. не о ней речь.

но вот обеспечение и поддержка - я бы как начальнег дохрена бы чего поменял.
потом, почемуто ваши манагеры уверены что купит ее "предприятие".
а если 1 чел ее купил на 5-10 компов? получи подписку (скока их не помню защит, 5?) как каждая на год стоимость девайса.
рады бы купить, но зачем не на 500 человек лицензий, почему 10 не продаете? о бесплатных - молчу -вы этим стратегию делаете, а не продажи.
да, заявлен как "малый бизнес и выше", но гибкости вашей хваленой dlink не вижу.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: 860e. ALG - логика белых списков
СообщениеДобавлено: Сб мар 14, 2015 09:10 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8514
Откуда: Москва
Gu_ писал(а):
и нихера не всех, не надо за всех говорить. еще тогда было http://stachek36.ucoz.ru/publ/17-1-0-261
и ща есть кламав и тп. на эту тему...
Разве я сказал "все"? - читайте внимательно!
Ну насмешили - нашли что сравнивать - железячный межсетевой экран уровня малого и среднего предприятия и фриварное софтовое решение, изначально ориентированное на конечного пользователя.
Если уж хотите сравнивать то сравнивайте соизмеримые продукты, а на "жопу с пальцем" (с)
Для примера:
D-Link DFL-860E, ZyXEL Zywall 110, CheckPoint серии 1100 NGTP или 2200 NGTP.
А уж потом закатывайте многостраничные эпосы.

Во всех вышеперечисленных мною решениях есть стандартный функционал, входящий в стоимость железки, а есть дополнительные подписки. Это и называется UTM – Unified Threat Management. По сути это тот же PC-based firewall, только обросший дополнительным функционалом, часть из которого можно включать или отключать по необходимости.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 10


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB