Перейти к контенту

Рекомендуемые сообщения

На шлюзе установлено ПО ViPNet Coordinator или Client?

Если координатор, то есть элегантные варианты.

Ссылка на комментарий
Поделиться на других сайтах

  • Ответы 52
  • Создана
  • Последний ответ

Лучшие авторы в этой теме

Лучшие авторы в этой теме

На шлюзе установлено ПО ViPNet Coordinator или Client?

Если координатор, то есть элегантные варианты.

На шлюзе стоит Client.

Ссылка на комментарий
Поделиться на других сайтах

Так, деловую почту обычно на координаторе не ставят :) Или были народные умельцы? Интересно как он при этом себя ведёт? Все ли письма загружает в деловую почту или только под пользователя, который был на данном координаторе?

Ссылка на комментарий
Поделиться на других сайтах

На координаторе есть mftp, в котором можно отключить канал с определенным клиентом.

Да, такой пример знаю один. Ооооочень прикрученная схема. Но работает.

Ссылка на комментарий
Поделиться на других сайтах

Интересно было бы на неё посмотреть. А для каких целей-то такая замороченная схема? А на клиенте, к сожалению, такой возможности нет (отключение каналов).

Ссылка на комментарий
Поделиться на других сайтах

А можно ли настроить правило доступа для пользователя в разделе Защищённая сеть?

Там есть пунктик: IP-пакеты от/для данного узла, кроме портов и протоколов, указанных в добавленных фильтрах:

  • Разрешить
  • Запретить

Можно ли задать чтобы все пакеты блокировались кроме определённого порта? И где это настраивается?

В версии Клиента 3.2 есть Фильтры защищённой сети, а в версии 3.1 я не наблюдаю что-то.

Ссылка на комментарий
Поделиться на других сайтах

Можно ограничить отдельные пакеты. Только имейте ввиду, что это никакого отношения к MFTP (деловой почте) не имеет. В разделе "защищённая сеть" в 3.1 можно делать правила. Они, конечно, отличаются от принципа открытой сети, но ограничить там всё равно можно.

Ссылка на комментарий
Поделиться на других сайтах

Можно ли тогда отключить на Координаторе канал mftp с данными двумя АП? А между ними и головным настроить передачу напрямую не через Координатор. Будет ли тогда работать web-сервис расположенный на Шлюзе?

Ссылка на комментарий
Поделиться на других сайтах

Слушайте, а ведь фильтры защищенной сети спасут!

Для пользователей, с которыми надо отключить mftp, выставить блокирующий фильтр на tcp:5000-5002.

Это при условии, что у пользователей к шлюзу настроен канал mftp.

Рассматривайте это как вариант. Его минус в том, что будет "паразитный" трафик, расходы системы на блокировку трафика. Плюс в том, что настроить все можно в одной точке.

Ссылка на комментарий
Поделиться на других сайтах

Т.е. на Шлюзе надо выставить тип Канала mftp с определённым АП, создать фильтр так же на Шлюзе. Затем необходимо чтобы на АП был настроен тип канала mftp со Шлюзом. И всё?

Ссылка на комментарий
Поделиться на других сайтах

Провел небольшой опыт.

У одного из нашего АП выставил тип соединения mftp со Шлюзом. На Шлюзе тоже указал тип mftp с этим АП. Создал запрещающий фильтр с параметрами:

Протокол: TCP

Направление соединения: Любое

Порт источника: Диапазон 5000-5002

Порт назначения: Диапазон 5000-5002

Действие соответственно: Блокировать

Ничего не получилось, прошистил письма из ДП как со Шлюза на АП, так и с АП на Шлюз. Может я что-то не так делаю?

Ссылка на комментарий
Поделиться на других сайтах

Что-то Вы всё усложняете с фильтрами. Эффект будет тот же, если просто изменить типы каналов, а действий при фильтрах - во много раз больше. Сделайте как я предложил - и у Вас будет тот результат, который ожидаете.

Ссылка на комментарий
Поделиться на других сайтах

Насколько я понял так и есть. И эти же пользователи подключены к сервису. Но задача стоит - запретить получение писем сервисом. от конкретных АП. В данном случае могу порекомендовать один способ (не очень правильный). В настройках MFTP на двух из трёх клиентов (с которых не должны идти письма), необходимо в типе канала для "АП Шлюз" выбрать "локальный" и выбрать папку в которую будут сваливаться все попытки отправки писем с данного узла на "АП Шлюз". Способ не очень красивый, но Вашу задачу он выполнит.

Этот способ Вы имеете ввиду? Он не подходит. Да, возможно мы сможем уговорить пользователей АП поменять тип MFTP на локальный. Но если у них кто-то догадается и изменит обратно, то они начнут опять слать нам письма. При этом Web-сервис точно будет работать? Да и какие Атрибуты будут у писем отправленных в локальную папку? ПШО? Тогда они буду звонить и говорить что всё отправили и проблемы на нашей стороне. ПШУ нас бы ещё устроило.

Ссылка на комментарий
Поделиться на других сайтах

метод, который предложил slavanchuk полностью работоспособен. Эт было изначальное понятно. Но дай поиграться с другими вариантами))

Насчет фильтров.

Вы делаете что-то не то. Проверил у себя на версиях 3.1, 3.2, 4.0. Все блокируется. Если надо то могу скрин журнала предоставить.

Ссылка на комментарий
Поделиться на других сайтах

метод, который предложил slavanchuk полностью работоспособен. Эт было изначальное понятно. Но дай поиграться с другими вариантами))

Насчет фильтров.

Вы делаете что-то не то. Проверил у себя на версиях 3.1, 3.2, 4.0. Все блокируется. Если надо то могу скрин журнала предоставить.

Возможно мне больше поможет скрин настроек и фильтра :) Или может дело в том, что я сейчас тестирую компы, которые находятся в одной сети?

Ссылка на комментарий
Поделиться на других сайтах

Спасибо. При этом соединение у Вас настроено "Через сервер"? Вот как у меня настроено на Шлюзе:

884f3c6b038aa07ced6344ce35827cb9.jpg

ea5854ea0f96e0eb8b739aba77d24893.jpg

И не работает.

P.S. Версия 3.1

Ссылка на комментарий
Поделиться на других сайтах

Вы име

Он не подходит. Да, возможно мы сможем уговорить пользователей АП поменять тип MFTP на локальный. Но если у них кто-то догадается и изменит обратно, то они начнут опять слать нам письма. При этом Web-сервис точно будет работать? Да и какие Атрибуты будут у писем отправленных в локальную папку? ПШО? Тогда они буду звонить и говорить что всё отправили и проблемы на нашей стороне. ПШУ нас бы ещё устроило.

Точно также они могут поменять канал на "через сервер". И какие бы вы фильтры не ставили - деловая почта будет уходить. И будет так же статус ПШО. :) На принимающей стороне никак нельзя отказаться от пакетов, если они всё-таки пришли к нему на машину с любого узла. А поиграться - я не против :D

Ссылка на комментарий
Поделиться на других сайтах

Фильтры будут работать, только если MFTP-каналы напрямую настроены. А это зависит от настроек, которые выставит пользователь на клиенте. Так что, в данном случае фильтры избыточны и не дают принципиального преимущества. А чтобы пользователи настройки не меняли - не давайте им полномочий. MFTP вообще штука жестокая. Фильтрации по отправителям и получателям как таковой нет. Так что, деловую почту и фаловый обмен контролировать сложновато. Пользователи такие каналы могут настроить, что пакет от одного клиента придёт через другого.

Ссылка на комментарий
Поделиться на других сайтах

Получилось у Вас реализовать задумку?

Ссылка на комментарий
Поделиться на других сайтах

Добрый день,настроил проксирование через nginx для доступа сотрудник к защищеному веб сервису.

теперь возникла проблема на машине на которой установлен випнет и nginx,

суть проблемы, потеря пакетов от 0 до 100%

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.


×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.