عدم دسترسی کاربران دامین به اینترنت به وسیله کریو کنترل

سلام منظورتون از ک ک چیه ؟

زمانی که شما یک یوزر یا یک گروه رو سورس رول قرار میدید و اون تیکا رو هم میزنید برای احراز هویت باید کاربرا خودشون روی سیستم لاگین کنن تا ب کریو شناسونده بشن و اینترنت دار شن. برای لاگین ب کریو هم میتونید از این مسیر استفاده کنید

https://ip or domain name server:4080

سلام

منظورم کرک بودن کریو هستش. و با معرفی کاربر یا گروهی از کاربران در دامین در سورس و با وجود لاگین کاربر این اتفاق نمی یفته و کاربر دسترسی به اینترنت ندارد.

تنظیمات Gateway هم درست می باشد.

وقتی کاربر داخل مرورگر تایپ می کنه

https://kerio.rcs.org:4081

و بعد از لاگین به اینترنت دسترسی دارد در صورتی که این عمل باید بعد از این که کاربر داخل مرورگر تایپ می کند yahoo.com خودکار انجام شود در وقع فراند Auto Redirect به درستی انجام نمی شود. به نظرتون مشکل از چی هستش؟

به نظرم کریو یکی از مزخرف ترین فایروال هایی هست که من تا حالا دیدم به عکس زیر توجه کنید با پالیسی که من نوشتم کاربران هر گروه در زمان خاص باید به اینترنت دسترسی داشته باشن اولا تمام کاربران دامین به اینترنت دسترسی دارن حتی اونایی که عضو گروه های تعریف شده نیستن!! بعد اگر یک یوزر مجاز در روز log out کنه و یوزر دیگه که مجوز شب داره در روز لاگین کنه هنوز section برقراره و اینترنت برای یوز غیر مجاز هم ارایه میشه اصلا تا حالا سازمانی حاضر شده از این فایروال غیر قابل اعتماد استفاده کنه دوستان؟

حرف شما درسته من سناریو رو یکم کاملتر توضیح بدم. مثلا دو تا گروه داخل دامین هست اسم یک گروه Internet Access 8-10 که دقیق داخل کریو یک تایم رنج از ساعت 8تا 10 صبح تعریف شده و گروه دوم Internet Access 11-12 که تایم رنج این گروه رو دقیقا داخل کریو اضافه شده.

حالا ترافیک رول ها

رول اول:

internet access 8-10@rcs.org, Trusted/Local Interfaces
Internet interfaces
any
any
 Nat
Time Range 8-10

رول دوم:

internet access 11-12@rcs.org, Trusted/Local Interfaces
Internet Interfaces
any
any
Nat
Time Range 11-12

تو این حالت همه چیز درست کار می کنه ولی دو مشکل هم هست:

کاربری که عضو گروه 10-8 می باشد، زمانیکه بازه زمانیش به اتمام می رسه به خاطر Trusted/Local Interfaces در رول بعدی قرار می گیرد و هنوز اینترنت دارد

و دوم کاربر یا کاربرانی که در هیچ یک از گروه ها عضو نیستد با باز کردن مرورگر و تایپ ادرس در اولین رول به خاطر وجود اینترفیس دست داخلی در سورس اینترنت خواهند داشت.

دوست عزیز این redirection /زمانی اتفاق میوفته که شما کارت شبکه رو سورس قرار بدید اما زمانی که یوزر یا گروه رو انتخاب میکنید این اتفاق نمیوفته و باید ب صورت دستی لاگین کنید و بعد به اینترنت دسترسی خواهید داشت.

خب شما زمانی که تراست اینترفیس ها رو جز سورس قزار بدید الویت بالاتری داره تا یک گروه رو هم اضافه کنید مثل یه حالت کل به جز عمل میکنه و تمام کاربرانی که به اینترفیس متصل هستن رول برروشون اعمال میشه و عملا اون گروه بی استفاده میشه . پیشنهاد میکنم قسمت ششم ویدئو های کریو کنترل که در رابطه با همین احزار هویت ها و هات اسپات هست رو تهیه کنید

برای مثال به وسیله کریو اگر بخواهیم به گروهی از کاربران داخل دامین دسترسی به اینترنت را فراهیم کنیم بعد از اینکه ترافیک رول های دسترسی گروهای کاربران را به اینترنت تعریف کردیم برای مثال:

Source: internet access 11-12@rcs.org
Destination: Internet Interfaces
Services: any
IP Version: any
Action: Allow
Transaction: Nat
Time Range 11-12

بعد از تعریف آخرین رول برای دسترسی کاربران به اینترنت و قبل از رول پیش فرض Traffic Rule این رول را تعریف می کنیم:

Source: Trusted/Local Interfaces
Destination: Internet Interfaces
Services: any
IP Version: any
Action Allow
Transaction: Nat

در قسمت سرویس با توجه به سناریو می تونه Any باشه یا (HTTP,HTTPS,Ping,FTP)، این رول برای این است تا کاربران به صورت خودکار به صفحه ورود و شناسایی کاربران Redirect شوند و به واسطه گزینه

Enable automatic authentication using NTLM

خودکار شناسایی شده و به اینترنت دسترسی داشته باشند، اما قبل از این رول باید یک ترافیک رول دیگر تعریف شود:

Source: Domain Users@rcs.org
Destination: Internet interfaces
Services: any
IP Version: any
Action: Deny
Transaction: Nat

هدف از این رول این است تا کاربرانی که در دامین عضو گروه های اینترنتی نیستند به اینترنت دسترسی نداشته باشند. اگر این رول تنظیم نشود به واسطه رول قبلی تمامی کاربران در دامین چه آنها که عضو گروه های اینترنتی و چه عضو گروه های اینترنتی نیستند به اینترنت دسترسی خواهند داشت.