مشکل رول اینترنت در فایروال کریو
سلام دوستان خسته نباشید.
من داخل شبکم یک فایروال کریو دارم که از یک سمت به شبکه داخلی با آدرس 192.168.2.1 و از سمت دیگه به مودم با آدرس 192.168.1.3 (از طریق DHCP) متصل هستش. علاوه بر این کریو به خوبی به دامین جوین شده و تمامی گروه ها و یوزرها مشخص هستند.
حالا مشکل من اینه که Rule هایی که برای اینترنت نوشتم به هیچ وج کار نمی کنند و یوزرها اینترنت ندارند.
هرکدام ازگروه های Programmers – Civils – Graphists شامل 2 یوزر هستند + گروه ها و یوزرها درون اکتیودایرکتوری ساخته شدن. اما هیچ کدوم از Rule های Internet Access For Domain Groups و Internet Access For Domain Admins و همچنین رول Internet Access For Servers که یک IP Group شامل آدرس سرورهای Wins هست کار نمیکنه.
لازم به ذکرهستش که برای IP کلاینت ها هم با DHCP دامین کنترلر و هم با DHCP خود کریو تست کردم نشد.
دلیلش چیه؟
تشکر
8 پاسخ
رول Internet Access For Servers رو بالاتر از همه قرار بدین و Service رو براش Any بزارید. IP version رو هم ترجیحا Any بزارید. در قسمت Source هم اینترفیسی که اون کلاینت ها بهش متصل هستند رو موقتا اضافه کنید و بعد تست کنید. در ضمن مطمئن بشید که کلاینت ها میتونن کریو رو Ping کنن.
پیچیدن خاصی نکردم فقط تیک یک سرور رو از عضویت در یک گروه برداشتم. (در قسمت IP Groups).
قاعدتا رول ها در کریو از بالا به پایین چک می شن پس وقتی بسته ای از سروری که درون گروه Servers (Internet Access) در رول Internet Access For Servers نیست نباید اینترنت داشته باشه. (با این حال داره)
و یا اینکه اصلا چرا باید Trusted/Local Interfaces رو به یکی اضافه کنم همه اینترنت دار بشن یا اصلا چرا باید اضافه کنم؟!!
به عنوان مثال لینک زیر »
عکسش + متنش رو هم میزارم »
Limitations sorted by users. Firewall monitors if the connection is from an authenticated host. In accordance with this fact, the traffic is permitted or denied.
Only selected user group(s) is/are allowed to connect to the Internet
زمانیکه Trusted/Local Interfaces رو اضافه می کنید و Rule بالاتر از بقیه Rule ها قرار داره بصورت پیش فرض همه کلاینت ها رو توی این اینترفیس در نظر میگیره و کلاینت ها میتونن به اینترنت دسترسی داشته باشن.
با بررسی هایی که کردم فهمیدم کریو فقط به آدرس اینترنت میده یعنی یا مستقیم IP وارد کنیم و یا IP Group بسازیم.
به گروه ها و یا یوزرهایی که در اکتیودایرکتوری موجودن اینترنت نمیده.
راه کاری برای این مشکل هست؟
من هم تا حالا ندیدم که NAT رو بر اساس User بدن.
الان برای حل مشکل چیکار باید بکنم؟
هیمنجوری نمیشه بزارم که همه به نت دسترسی داشته باشند.
برشم دارم کلا دیگه کسی به نت دسترسی نداره
ممنون.
تنها کاری که باید میکردم ادد کردن Trusted/Local Interfaces به یکی از رول هایی که تعریف کردم بود.
اینطوری اینترنت دارن ولی نکته تعجب بر انگیز برام اینه که بعد از این کار برای تست یکی از سرورها رو از گروه Servers (Internet Access) در رول Internet Access For Servers برداشتم ولی باز اینترنت داره !!!
رسما رول ها کار نمی کنند !!
موضوع چیه ؟
Rule ها رو زیاد پیچیده اش نکنید. Rule ها به ترتیب و با اولویت بیشتر به کمتر اعمال میشن. سیستم هایی که نباید به اینترنت دسترسی داشته باشن رو نزارید ترافیکشون از کریو عبور کنه یعنی Block اش کنید.