Urshallak
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа знатоки! Прошу консультации по общей настройке Керио и по правилам, ибо на вдумчивое чтение мануалов у меня осталось мало времени, а с налету я не разобрался.
То есть, у меня несколько вопросов по Керио вообще, и по моей ситуации в частности.
Итак - что есть.
Есть филиал на 12 машин, простая рабочая группа, подсеть 192.168.1.0/24. Есть роутер с адресом 192.168.1.1, через который филиал выходит в интернет и соединяется с головным офисом. Есть админская машина с одной сетевой картой, которая подключена в общий хаб. Адрес машины 192.168.1.90.
Настройки сетевых карт рабочих машин:
Адрес: 192.168.1.100 (для примера)
Маска: 255.255.255.0
Шлюз: 192.168.1.90
DNS: 192.168.1.90
Настройка сетевой карты админской машины:
Адрес: 192.168.1.90
Маска: 255.255.255.0
Шлюз: 192.168.1.1
DNS выданы провайдером
В головном офисе подсеть 192.168.3.0/24, но два сервера - терминальный/файловый и домен-контроллер - имеют дополнительные адреса во 2-й подсети, для доступа к ним из филиала. В головном офисе стоит провайдерский же роутер с адресом 192.168.2.1, который туннелируется провайдером на роутер 192.168.1.1. Интернет головной офис получает от другого провайдера. На ДК прописан маршрут, который указывает, что подсеть 1.0 лежит за адресом 2.1
В филиале локальная аська имеет адресом сервера адрес домен-контроллера - 2.3, в клиенте Цитрикса прописан адрес файл-сервера 2.2
Что нужно сделать: дать интернет на рабочие станции, учитывать его и обрубать по достижении лимита и - дать нелимитированный доступ терминалам на Цитриксе и локальной аське к серверам в головном офисе. Нужно так же, чтобы была возможность из головного офиса управлять рабочими станциями посредством Радмина.
Теперь пойдут вопросы:
1) насколько корректна вообще конфигурация Керио на одной сетевой карте?
2) имеет или не имеет смысл включать непрозрачный прокси (точнее, я не знаю, в какой конфигурации будет все это работать)?
3) как настроить пользователей так, чтобы для выхода в интернет им не нужно было вводить логинов-паролей? Я правильно понимаю, что для этого в настройках пользователя надо указать его логин/пароль на вход в машину, IP машины и лимит трафика?
4) как сделать так, чтобы трафик по протоколу ICQ и Citrix не учитывался?
5) за админской машиной работает под обыкновенным пользователем человек. Как сделать так, чтобы учитывался его трафик?
6) в настройке правил - для стандартных протоколов HTTP, DNS, POP и т.д. - нужно ли указывать NAT?
7) на рабочих станциях стоят антивирусы, обновляющиеся из интернета. Чтобы их трафик не учитывался - достаточно ли будет указать им адрес прокси 1.90 и пользователя Admin (который в керио создается по умолчанию при установке)?
8) как избавиться от неаутентифицированного пользователя в статистике? Что означает, когда он есть?
9) вопрос по логике создания правил вообще (я уже читал мануалы, но в голове не устоялось): что нужно указывать как источник, а что - как назначение? На примере правила для Радмина, чтобы из головного офиса к машинам в филиале подцепляться. Нужно ли описывать сетевые группы (например, "офис" - 192.168.2.0/24, "филиал" - 192.168.1.0/24) для создания каких-то правил? Когда имеет смысл указывать источником или назначением Firewall, а когда - сетевую карту? Короче, тут у меня много неясностей.
Прошу прощения за такую простыню текста, но у меня уже кипит возмущенный разум и простое воскуривание мануалов уже не помогает. Самое главное - нет уверенности в том, что я правильно все делаю. Потому - не сердитесь, что я, возможно, какие-то очень простые вещи спрашиваю или что-то важное упускаю, правда - голова уже не варит.
|
и можно ли вообще это сделать, 2 дня помучился ничего не получилось.
