آشنایی با تنظیمات بخش Security Setting در Kerio Control
در این مقاله می خواهیم به طور کامل با قسمت Security Setting در Kerio Control آشنا شویم.
MAC Filter
در این قسمت می توانید مشخص کنید چه MAC آدرس هایی اجازه فعالیت یا عدم فعالیت را در شبکه را داشته باشد.
به صورت پیش فرض این قابلیت غیر فعال میباشد برای فعال سازی تیک گزینه Enable MAC Filter را فعال کنید.
به این نکته توجه داشته باشید به ازای هر کارت شبکه ای که در Kerio Control دارید باید آدرس MAC را مشخص کنید.
در قسمت Interface ها، باید interface مورد نظرتان را انتخاب کنید، به طور مثال شما می خواهید در کارت شبکه ای که مربوط به اینترنت دوم شرکت می باشد آدرس MAC کلاینت های مورد نظر را مشخص کنید تا کسی جز این اشخاص نتوانند در این Interface فعالیتی داشته باشند.
سپس در قسمت MAC addresses می توانید مشخص کنید که MAC آدرس هایی که معرفی می کنید اجازه فعالیت داشته باشند یا نداشته باشند. اگر بر روی حالت Prevent listed قرار دهید یعنی اجازه فعالیت نخواهند داشت. اما اگر بر روی حالت Permit only listed قرار دهید یعنی اجازه فعالیت خواهند داشت.
گزینه Also permit mac addresses used in DHCP login باعث میشود این مک آدرس چنانچه در DHCP Reservation و در قسمت or automatic user login هم مجاز شناخته شود.
برای اضافه کردن آدرس MAC بر روی Add کلیک کنید.
در پنجره باز شده آدرس MAC مربوطه را وارد کنید.
Zero-configuration Networking
در این قسمت می توانید سرویس های Discovery forwarding و UPnP را فعال کنید.
کاربرانی که به صورت ریموت از طریق VPN Tunnel یا از طریق network های دیگه به شبکه شما دسترسی پیدا کردند بتوانید مدیریت کنید دسترسی آن ها به پرینتر و …
UPnP Service با فعال کردن این گزینه به برنامه هایی همانند Team Viewer, AnyDesk بدون نیاز به Port forwarding به Host های که در شبکه وجود دارند دسترسی داشته باشند و خودشان با استفاده از UPnP پورت هایی در فایروال باز کنند.
با فعال کردن تیک گزینه Log Packets و Log Connections می توانید لاگ برداری کنید.
Connection Limits
برای ترافیک inbound یا ورودی و outbound یا خروجی می توانید محدودیت هایی تعریف کنید که از این حد بیشتر نتوانند Connection به صورت همزمان به بیرون یا داخل برقرار کنند. این تنظیمات باعث می شود از حملات DDos بر روی شبکه شما جلوگیری کند.
- Limit maximum concurrent connections from 1 source IP Address از هر سورس یا nod در شبکه بصورت همزمان ۶۰۰ ارتباط شبکه ای با سایر شبکه ها یا اینترنت میتواند داشته باشد.
- Limit new connections per minute from 1 source IP address یک سورس در دقیقه چند ارتباط جدید یا New Connection داشته باشد.
For inbound connections هم مربوط به ارتباطات بیرون از شبکه یا اینترنت، به شبکه داخل است.
- limit maximum concurrent connections from 1 source IP address محدود کردن ارتباط از یک IP Address از شبکه اینترنت به شبکه داخلی بصورت همزمان است.
- limit maximum concurrent connections from 1 source IP address from the same source به صورت همزمان از یک IP Address به یک سرویس یا خود کریو فقط ۱۰۰ ارتباط همزمان می توان برقرار کرد.
use different settings for any connection from/to this IP address group در اینجا می توانید برای گروهی از IP Address Group ها تنظیمان جداگانه ای را وارد کنید.
گزینه اول برای محدود کردن ارتباطات همزمان از یک سورس و گزینه دوم New Connection ها از سوی یک سورس در دقیقه است.
GeoIP Filter
در کریو کنترل این قابلیت را دارید که IP Address ها را بر اساس کشور ها مختلف مسدود کنید. مثلا سرویسی را در اینترنت پابلیش کرده اید و تمایل به دسترسی کاربران برخی کشورها به این سرویس ها را ندارید. (بیشتر برای جلوگیری از حملات DDOS استفاده می شود)
کافیه بر روی Add کلیک کنید.
در پنجره باز شده کشور مورد نظر را انتخاب کنید.
Miscellaneous
- Enable anti-spoofing از جعل در شبکه جلوگیری کنید به صورت پیش فرض هم فعال می باشد.
- Block IP address which are not assigned DHCP Server کلاینت های شبکه از سایر DHCP های نامعتبر دیگر IP Address دریافت نخواهند کرد.
در همین حالت پیش فرض این تنظیم امنیتی برای کلیه Scope های موجود در DHCP اعمال خواهد شد. حال اگر تیک گزینه Apply only to this scope را فعال کنید می توانید برای یک Scope خاص در DHCP Server کریو.، این گزینه را اعمال کنید.
برای مشاهده سرفصل های آموزشی Kerio Control به این لینک مراجعه کنید.
با سلام
برای publishing rule چگونه میتوان authentication گذاشت و گروهی از ADرا اضافه کرد ؟ (در حال حاظر kerio عضو ad هست .
سپاس
با سلام
هنگام متصل شدن به کریو با vpn برای یوزرهایی که دسترسی به اینترنت محدود شده است ،هنگام متصل شدن صفحه ای بصورت پیش فرض باز میگردد وخطای ACCESS DEINED میده ک باعث آزار کاربران میشود؟
سلام
وقتتون بخیر.
یه سوال داشتم
خود کریو بایستی یه مک آدرس اختصاصی داشته باشه.
از کجا میشه مک آدرسش رو دید؟
سلام ، ممنون بابت سایت خوبی که دارید و اطلاعاتی که به اشتراک گذاشته میشه ،از شما سوالی داشتم ،چطور میشه کابران رو محدود کرد در شبکه Workgroup هر نفر فقط بتونه از یوزر و پسور خودش رو استفاده کنه و از اکانت دیگران استفاده نکنه ؟ تعدادی از کابران وقتی حجم مصرفی که دارن تموم میشه ، از اکانت دیگران استفاده میکنن . ممنون میشم راهنماییم کنید
به راحتی می تونید MAC Address کامپیوتر هر کلاینت را برای کاربر خاصی اختصاص دهید.
در این صورت کلاینت فقط در اون MAC Address خاص استفاده از اینترنت را دارد.
علی آقای تعداد یوزرها بالای ۲۰۰ نفر هستش و تعداد سرور های کریو هم بیشتر از ۱۰ تا هستش ، برای بعضی یوزرها این کارو انجام دادم ، آیا راه دیگه ای وجود داره؟
یه راه خیلی ساده تر که خودم همیشه انجام میدم طبق تصویر زیر مراحل رو انجام بدید.
عالی