» Kerio WinRoute Firewall

Но логин ведь может вести и фтп сервер ... А Visnetic будет следить за атаками и блокировать нападающих, если конечно такие будут ... Ведь Kerio Winroute Fierwall достаточно бестолковая штука для этих целей ...

Kerio WinRoute Firewall Version 5.1.7 - November 21, 2003
http://download.kerio.com/dwn/kwf/kerio-kwf-5.1.7-win.exe
http://download.kerio.com/dwn/kwf/kerio-kwf-mcafee-5.1.7-win.exe
Похоже, изменения коснулись только NT4:
This is a service release mainly for the Windows NT 4.0 platform.
MS recommended high security settings were removed from the installation.

Ivanenko

думаю что ничего существенно нового в линейке 5.1.х уже не добавят

скоро должна появиться 6я версия (обещали в течении месяца)

и я думаю что через пару дней появится версия 5.1.8 а может и 5.1.9 сразу

Цитата:

Кеширующий DNS сервер в локалке, например, если возможно...

А как это сделать?

NSM
Statefull Inspection нужен для динамического открытия портов. Не буду же я открывать диапазон портов настеж, чтобы у меня пасивный режим пахал.


Цитата:

А Visnetic будет следить за атаками

Мдас... И как он отследит ftp-bounce атаку, если неумеет толком 'нюхать' траффик по фтп протоколу? На сам сервер надеяться нестоит имхо, у него своя задача.

Керио достаточно толковая для этого. Вот только эти тормоза...

Поправка: Я ошибся, фтп протокол виснетик всеже понимает, и bounce атаки блокирует. Даже тогда, когда их нет... Но впускать соединения пасивного режима без отдельных правил все еще отказывается... вообщем все через ж. Есть надежда, что пофиксят.

Господа. а может кто подскажет как нормально настроить KWF 5.1.7
трабла такая... поставил настроил все вроде работает ... но никак не могу добиться соединения на диалап по требованию... те. когда связь есть то с других компов все кому права дадены в инет заходят... а если связи нет то их бреет ...
блин мне чесс слово только это надо... чтоб было подключение по запросу.
причем в настройках данного соединения я поставио on demand

blacktorn
Почитай эту тему с начала, сдесь вроде чтото похожее было. Лично я незнаю, диалапом непользуюсь просто.

В Advanced Options, вкладка Cobion Settings
Такая фигня: “Cobion subscription ticket is not valid, categorization is disabled.”
Это дело в регистрации Kerio Winroute Firewall 5.1.7
или я чего-то не догоняю?

Не работает докачка файлов в Kerio WinRoute Firewall 5.1.7 Подскажите пожалуйста что и где нужно подправить ?

Убей антивирус ...

NSM
Спасибо, все заработало.

Вот и свеженькая версия.
Kerio WinRoute Firewall 5.1.8 от 18.12.03
http://download.kerio.com/dwn/kwf/kerio-kwf-5.1.8-win.exe
http://download.kerio.com/dwn/kwf/kerio-kwf-mcafee-5.1.8-win.exe

Добавлено
А вот что новенького:
Version 5.1.8 - December 18, 2003
+ Support for IEEE1394 (Firewire) networks
+ Support for Avast antivirus (avast! for Kerio)

* AVG antivirus plugin now supports AVG Email Server Editions only
* License BASE-ID is no longer displayed on webadmin pages
* Traffic wizard recognizes broadband satellite internet connection

- Fixed bug with connections sometimes not being displayed
- Fixed handling of user and group names with spaces
- Fixed accounting of traffic generated by firewall host
- Fixed handling of IP traffic logging expression
- Fixed handling of BOOTP requests
- Fixed backward searching in logs
- Fixed handling of IRC DCC send message
- Fixed bug in UPnP

Решил перейти с winroute pro 4.2 на winroute firewall 5, всвязи с чем возникли следующий вопросы.
1. В про версии была такая фича, как каскадный прокси. Я это использовал поскольку стоит спутниковая тарелка и работа идет через прокси planetsky. Есть ли подобное в firewall?
2. Поддерживает ли firewall vpn соединения.
3. Сможет ли firewall при установке поверх 4.2 pro импортнуть настройки и данные о пользователях. Более 50 пользователей лениво заново заводить + сложная схема маршрутизации.

Заранее благодарен за ответ

Новые версии англицких хелпов (19.12.03)
http://download.kerio.com/dwn/kwf/kwf51-en.chm
http://download.kerio.com/dwn/kwf/kwf51-sbs-en-v2.chm
Там же - в формате pdf и html

Все! Я умираю! Перерыл все... Но не проходит сквозная аутентификация!!! Юзеров импортировал из Active Directory домена W2K. Назначаю права - не проходят.

Например:

1) Импотрировал юзеров из домена В2К

2) Создал правило - Всем запретить доступ к *.zip

3) Выше создал - Разрешить доступ к *.zip пользователю Pupkin (почяему выше - понятно)

В результате ВСЕ не могут получить доступ, включая указанного Pupkin'а.
В логе пишет: Доступ отклонен 172.Х.Х.Х. Ни какого намека на обработку имени...

В чем проблема?! Как его заставить понимать имена домена, а не работать только по адресам?!

Стоит WRF 5.1.7

Заранее благодарен за любую помощь и любые намеки... Очень надо!!!

Цитата:

Все! Я умираю! Перерыл все... Но не проходит сквозная аутентификация!!! Юзеров импортировал из Active Directory домена W2K. Назначаю права - не проходят.

Например:

1) Импотрировал юзеров из домена В2К

2) Создал правило - Всем запретить доступ к *.zip

3) Выше создал - Разрешить доступ к *.zip пользователю Pupkin (почяему выше - понятно)

В результате ВСЕ не могут получить доступ, включая указанного Pupkin'а.
В логе пишет: Доступ отклонен 172.Х.Х.Х. Ни какого намека на обработку имени...

В чем проблема?! Как его заставить понимать имена домена, а не работать только по адресам?!

Стоит WRF 5.1.7

Создай 2 группы пользователей. В 1 засунь Пупкина, и дай этой группе доступ, остальных в другую группу и не давай доступа....

А без групп обойтись нельзя?! Просто добавлять в список избранных и все...

У кого-нибудь Cobion работает?

Бесполезно, хоть с группами, хоть без них... Работает только по адресам, имена не проходят... Может это косяк версии? Но помню и в предыдущих была та же проблема? Или они ее придумали, а решить не решили? Кто поборол данную проблему - откликнитесь, плиз...

А в WinRoute можна ограничить количество скачиваемых мегабайт для конкретного юзера, или нет.
2. Можна ли ограничить скорость соединения для юзверя.


Добавлено
Люди а чем отличается WinRoute Firewall 5™ от WinRoute Pro

Цитата:

А в WinRoute можна ограничить количество скачиваемых мегабайт для конкретного юзера, или нет.
2. Можна ли ограничить скорость соединения для юзверя.

Родными средствами нельзя... хотя ходят слухи, что в шестом это будет...

И маленько оффтопа...
новое зеркало gamecopyworld начинается как
hxxp://ad724.com/download.php? - что-б качать с него надо скорректировать банерорезалку у KWF - похоже попадает под правило
*/ad/* или
ad?.*


Цитата:

Бесполезно, хоть с группами, хоть без них... Работает только по адресам, имена не проходят... Может это косяк версии? Но помню и в предыдущих была та же проблема? Или они ее придумали, а решить не решили? Кто поборол данную проблему - откликнитесь, плиз...

Можно... 5.1.8 - делаем NAT не на адреса или интерфейсы, а на авторизованных юзеров (или группу юзеров или отдельных юзеров), а в правилах HTTP делаем перевод на авторизацию (что-б автоматически переводить на вэб интерфейс).. получаем тотальный контроль по именам юзеров - только что на себе испытал - работает (даже аську вырубает, пока в веб интерфейсе пароль не введешь).

Так в том-то все и дело, что надо авторизацию сделать не по ВЭБ-интерфейсу, а непосредственно через Active Directory, чтобы для юзеров это было незаметно. Если пользователей он импортируетс из AD, то почему не проверяет при доступе? Хотя добавлять в список доступа можно, только току нет никакого - списки не работают...

А авторизацию через NTLM не пробовал (в Advanced Options есть по этому поводу) ? Хотя сработает только через IE... Правда есть недостаточек во всем этом деле - авторизация идет только через HTTP , а если юзер сначала попробует прокачать почту, то ничего не получится. Я заставил пользователей пользоваться вэб интерфейсом - вывел им пару ярлычков с урлами (вход и выход)

Ставил NTLM - бесполезно. А авторизацию через ВЭБ-интерфейс мне не позволят сделать. Один раз пробовал, так там такое началось, что быстренько прикрыли и поставили задачу организовать авторизацию, незаметную для пользователя (именно по именам пользователей локальной сети, под которыми зашел пользователь). Вот и приходится мучиться. И пока не откликается спец, решивший такую проблему на практике.

Что то народ Вы бредите.
Импортируйте пользователей из домена и авторизация у вас будет через AD! (проверено)
Настройте авторизацию через HTTP для пользователей и они будут авторизоваться только на HTTP и FTP, даже без использования прокси.
А на остальные службы - почта и т.д. настраивайте разрешения покетов с внутренней сетки во внешнюю, для нужных сервисов.
У меня все так работает.

Только в 5.1.8 это заработало?
Раньше импорт из AD у меня не работал.

Странно - у меня и раньше работало

Цитата:

Что то народ Вы бредите.
Импортируйте пользователей из домена и авторизация у вас будет через AD! (проверено)
Настройте авторизацию через HTTP для пользователей и они будут авторизоваться только на HTTP и FTP, даже без использования прокси.
А на остальные службы - почта и т.д. настраивайте разрешения покетов с внутренней сетки во внешнюю, для нужных сервисов.
У меня все так работает.

Ну не знаю!!! Вот ВСЕ настройки прокси-сервера (WRF 5.1.7):

Политика трафика:
Имя Источник Получатель Сервис Действие
Allow all Любой Любой Любой Разрешить
Стандартное правило Любой Любой Любой Запретить

Фильтрация - HTTP политика - Правила URL:
Описание Кто Куда Действие
Allow www.aport.ru Выбранные пользователи: Dev www.aport.ru Разрешить
Deny www.aport.ru Любой пользователь www.aport.ru Запретить

Дополнительные настройки - Идентификация пользователя:
Использовать NTLM - галочка установлена
Домен NT - DOMAIN
Kerberos realm - DOMAIN.RU

Пользователи:
Dev - импортирован из AD - идентификация Kerberos 5

Все остальные настройки "По-умолчанию"

Зарегистировался в домене DOMAIN.RU под именем Dev

При попытке открыть страницу WWW.APORT.RU выводит:
"Невозможно отобразить страницу"

В логе "Filter" прокси-сервера пишет:
"DENY URL 'Deny www.aport.ru' 172.16.0.30 - HTTP http://www.aport.ru/"

Ну вот вроде и все. Насколько я вижу в настройках все правильно, НО НЕ РАБОТАЕТ. Если что где не поставил - напиши, буду благодарен. Если не трудно - кинь на ящик - dev@tsng.ru или стукни в аську: 66637396 (желательнее)... Так удобнее общаться... Очень надо настроить... Заранее благодарен за любую помощь.

Дополнительные настройки - Идентификация пользователя:
Использовать NTLM - галочка не стоит и это только для MSIE браузеров
Домен NT - должно стоять имя домена
Kerberos realm - должно стоять имя реального домена именно через точку

Надо покумекать
Т.е. ты хочешь чтобы авторизованные пользователи в домене автоматом гуляли по инету, у меня есть сомнения что здесь сквозная авторизация. Все равно думаю придется авторизоваться в керио а он в свою очередь вбитые данные проверит уже в AD - хотя надо проверять.
Расклад может быть таким, в DHCP можно привязать раздаваемый IP к маку карты - это мы делали, и завязываясь на IP разрешать то или ино действо.
А вот насчет сквозной авторизации буду проверять - но врядли. Откуда керио будет знать что чувак с данным IP авторизовался как вася пупкин, пока этот вася не авторизуется через керио, а керио сможет проверить его вбитую инфу через AD.