AnTonN(c) Опубликовано 3 Октября 2013 Жалоба Поделиться Опубликовано 3 Октября 2013 На шлюзе установлено ПО ViPNet Coordinator или Client?Если координатор, то есть элегантные варианты. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Кладов П.В. Опубликовано 3 Октября 2013 Автор Жалоба Поделиться Опубликовано 3 Октября 2013 На шлюзе установлено ПО ViPNet Coordinator или Client?Если координатор, то есть элегантные варианты.На шлюзе стоит Client. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 3 Октября 2013 Жалоба Поделиться Опубликовано 3 Октября 2013 Тоды остается вариант, который предложил slavanchuk. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 3 Октября 2013 Жалоба Поделиться Опубликовано 3 Октября 2013 Так, деловую почту обычно на координаторе не ставят Или были народные умельцы? Интересно как он при этом себя ведёт? Все ли письма загружает в деловую почту или только под пользователя, который был на данном координаторе? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 3 Октября 2013 Жалоба Поделиться Опубликовано 3 Октября 2013 На координаторе есть mftp, в котором можно отключить канал с определенным клиентом.Да, такой пример знаю один. Ооооочень прикрученная схема. Но работает. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 3 Октября 2013 Жалоба Поделиться Опубликовано 3 Октября 2013 Интересно было бы на неё посмотреть. А для каких целей-то такая замороченная схема? А на клиенте, к сожалению, такой возможности нет (отключение каналов). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Кладов П.В. Опубликовано 4 Октября 2013 Автор Жалоба Поделиться Опубликовано 4 Октября 2013 А можно ли настроить правило доступа для пользователя в разделе Защищённая сеть?Там есть пунктик: IP-пакеты от/для данного узла, кроме портов и протоколов, указанных в добавленных фильтрах:РазрешитьЗапретитьМожно ли задать чтобы все пакеты блокировались кроме определённого порта? И где это настраивается?В версии Клиента 3.2 есть Фильтры защищённой сети, а в версии 3.1 я не наблюдаю что-то. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 4 Октября 2013 Жалоба Поделиться Опубликовано 4 Октября 2013 Можно ограничить отдельные пакеты. Только имейте ввиду, что это никакого отношения к MFTP (деловой почте) не имеет. В разделе "защищённая сеть" в 3.1 можно делать правила. Они, конечно, отличаются от принципа открытой сети, но ограничить там всё равно можно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Кладов П.В. Опубликовано 4 Октября 2013 Автор Жалоба Поделиться Опубликовано 4 Октября 2013 Можно ли тогда отключить на Координаторе канал mftp с данными двумя АП? А между ними и головным настроить передачу напрямую не через Координатор. Будет ли тогда работать web-сервис расположенный на Шлюзе? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 4 Октября 2013 Жалоба Поделиться Опубликовано 4 Октября 2013 Слушайте, а ведь фильтры защищенной сети спасут!Для пользователей, с которыми надо отключить mftp, выставить блокирующий фильтр на tcp:5000-5002.Это при условии, что у пользователей к шлюзу настроен канал mftp.Рассматривайте это как вариант. Его минус в том, что будет "паразитный" трафик, расходы системы на блокировку трафика. Плюс в том, что настроить все можно в одной точке. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Кладов П.В. Опубликовано 4 Октября 2013 Автор Жалоба Поделиться Опубликовано 4 Октября 2013 Т.е. на Шлюзе надо выставить тип Канала mftp с определённым АП, создать фильтр так же на Шлюзе. Затем необходимо чтобы на АП был настроен тип канала mftp со Шлюзом. И всё? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Кладов П.В. Опубликовано 4 Октября 2013 Автор Жалоба Поделиться Опубликовано 4 Октября 2013 Провел небольшой опыт.У одного из нашего АП выставил тип соединения mftp со Шлюзом. На Шлюзе тоже указал тип mftp с этим АП. Создал запрещающий фильтр с параметрами:Протокол: TCPНаправление соединения: ЛюбоеПорт источника: Диапазон 5000-5002Порт назначения: Диапазон 5000-5002Действие соответственно: БлокироватьНичего не получилось, прошистил письма из ДП как со Шлюза на АП, так и с АП на Шлюз. Может я что-то не так делаю? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 4 Октября 2013 Жалоба Поделиться Опубликовано 4 Октября 2013 Вы в защищенной сети делали фильтры или в открытой? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Кладов П.В. Опубликовано 4 Октября 2013 Автор Жалоба Поделиться Опубликовано 4 Октября 2013 В защищённой. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 4 Октября 2013 Жалоба Поделиться Опубликовано 4 Октября 2013 Что-то Вы всё усложняете с фильтрами. Эффект будет тот же, если просто изменить типы каналов, а действий при фильтрах - во много раз больше. Сделайте как я предложил - и у Вас будет тот результат, который ожидаете. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Кладов П.В. Опубликовано 4 Октября 2013 Автор Жалоба Поделиться Опубликовано 4 Октября 2013 Насколько я понял так и есть. И эти же пользователи подключены к сервису. Но задача стоит - запретить получение писем сервисом. от конкретных АП. В данном случае могу порекомендовать один способ (не очень правильный). В настройках MFTP на двух из трёх клиентов (с которых не должны идти письма), необходимо в типе канала для "АП Шлюз" выбрать "локальный" и выбрать папку в которую будут сваливаться все попытки отправки писем с данного узла на "АП Шлюз". Способ не очень красивый, но Вашу задачу он выполнит.Этот способ Вы имеете ввиду? Он не подходит. Да, возможно мы сможем уговорить пользователей АП поменять тип MFTP на локальный. Но если у них кто-то догадается и изменит обратно, то они начнут опять слать нам письма. При этом Web-сервис точно будет работать? Да и какие Атрибуты будут у писем отправленных в локальную папку? ПШО? Тогда они буду звонить и говорить что всё отправили и проблемы на нашей стороне. ПШУ нас бы ещё устроило. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 4 Октября 2013 Жалоба Поделиться Опубликовано 4 Октября 2013 метод, который предложил slavanchuk полностью работоспособен. Эт было изначальное понятно. Но дай поиграться с другими вариантами))Насчет фильтров.Вы делаете что-то не то. Проверил у себя на версиях 3.1, 3.2, 4.0. Все блокируется. Если надо то могу скрин журнала предоставить. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Кладов П.В. Опубликовано 4 Октября 2013 Автор Жалоба Поделиться Опубликовано 4 Октября 2013 метод, который предложил slavanchuk полностью работоспособен. Эт было изначальное понятно. Но дай поиграться с другими вариантами))Насчет фильтров.Вы делаете что-то не то. Проверил у себя на версиях 3.1, 3.2, 4.0. Все блокируется. Если надо то могу скрин журнала предоставить.Возможно мне больше поможет скрин настроек и фильтра Или может дело в том, что я сейчас тестирую компы, которые находятся в одной сети? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 4 Октября 2013 Жалоба Поделиться Опубликовано 4 Октября 2013 Пожалуйста:/>http://imglink.ru/show-image.php?id=318eeb6cd90402c1d9f8a029979637ae Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Кладов П.В. Опубликовано 4 Октября 2013 Автор Жалоба Поделиться Опубликовано 4 Октября 2013 Пожалуйста:http://imglink.ru/sh...9f8a029979637aeСпасибо. При этом соединение у Вас настроено "Через сервер"? Вот как у меня настроено на Шлюзе:И не работает.P.S. Версия 3.1 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 4 Октября 2013 Жалоба Поделиться Опубликовано 4 Октября 2013 Вы имеОн не подходит. Да, возможно мы сможем уговорить пользователей АП поменять тип MFTP на локальный. Но если у них кто-то догадается и изменит обратно, то они начнут опять слать нам письма. При этом Web-сервис точно будет работать? Да и какие Атрибуты будут у писем отправленных в локальную папку? ПШО? Тогда они буду звонить и говорить что всё отправили и проблемы на нашей стороне. ПШУ нас бы ещё устроило.Точно также они могут поменять канал на "через сервер". И какие бы вы фильтры не ставили - деловая почта будет уходить. И будет так же статус ПШО. На принимающей стороне никак нельзя отказаться от пакетов, если они всё-таки пришли к нему на машину с любого узла. А поиграться - я не против Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Кладов П.В. Опубликовано 4 Октября 2013 Автор Жалоба Поделиться Опубликовано 4 Октября 2013 Т.е. фильтры которые предлагает AnTonN© не будут работать в любом случае? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 4 Октября 2013 Жалоба Поделиться Опубликовано 4 Октября 2013 Фильтры будут работать, только если MFTP-каналы напрямую настроены. А это зависит от настроек, которые выставит пользователь на клиенте. Так что, в данном случае фильтры избыточны и не дают принципиального преимущества. А чтобы пользователи настройки не меняли - не давайте им полномочий. MFTP вообще штука жестокая. Фильтрации по отправителям и получателям как таковой нет. Так что, деловую почту и фаловый обмен контролировать сложновато. Пользователи такие каналы могут настроить, что пакет от одного клиента придёт через другого. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 7 Октября 2013 Жалоба Поделиться Опубликовано 7 Октября 2013 Получилось у Вас реализовать задумку? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Oligarhru Опубликовано 8 Октября 2013 Жалоба Поделиться Опубликовано 8 Октября 2013 Добрый день,настроил проксирование через nginx для доступа сотрудник к защищеному веб сервису.теперь возникла проблема на машине на которой установлен випнет и nginx,суть проблемы, потеря пакетов от 0 до 100% Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.