» Kerio WinRoute Firewall

WINNIEPOOH2000

Извини, если, случайно обидел. Я имел в виду не лично тебя, а вообще, подход к настройке большинства персональных фаерволов, которые принципиально делаются на менее подготовленных людей. А в твоем случае тебе действительно нужен какой-нить проксик по проще (керио слишком наворочен и тяжел, будет тормозить машину, на которой установлен) плюс по персональному фаеру на каждой машине. Кстати, у тебя инет через чего идет, ADSL, выделенка или модем? В зависимости от этого тож можно просто настройками подключения во много раз снизить реальную опасность.

p.s. Ну и ты в следующий раз сразу четко формулируй задачу, а то никто сразу и не понял - чего ты хочешь, вот и решили, что адресом ошибся...

WINNIEPOOH2000

Вобщем-то говоря на чистоту тебе хватит о того уровня безопасности которую предоставляет KWF. Всё дело просто в правильной настройке. Нужно понять концепцию распределения портов . Сервер будет защищен.. а насчёт кукисов.. то вообще говоря на каждой клиентской машине не мешало бы персональный фаерволл поставить и всё.

Насчёт прокси советую UserGate, уже второй год юзаю.... очень удачная прога. Алгоритм следующий: качаешь прокси, ставишь, запускаешь socks и делаешь аутентификацию по фриковым ипам. Ставишь на клиентах freecap(sockscap). Ну и совет закрыть порт со всешнего интерфейса, чтоб, так сказать, у людей искушённых искушения не было ломать твои соксы .

crapaud
Yuushi
Гранд мерси Вам, братья... Обид нет, а за советы спасибо. У меня ADSL модемчик, а на клиентах в обязалку комплект: Outpost + KAV + новый прибамбас от Мелкомягких... Юзаю и созерцаю - что из этого получается. До встречи в этом форуме. С уважением к Вам Винни.

Yuushi

Цитата:

на каждой клиентской машине не мешало бы персональный фаерволл поставить

WINNIEPOOH2000

Цитата:

на клиентах в обязалку комплект: Outpost + ...

дяденьки, сдается мне, что аутпост всю жизнь был персональным файером, т.е. для одноклиентского использования при прямом подключении в инет.
Если же вы сидите позади kwf, то нет необходимости в использовании персональных файеров вообще, поскольку, при правильной настройке kwf, вы находитесь вне атаки.

Accessor

Мы вроде остановились на прокси . А использование персонального фаерволла всё-таки обязательно для клиентской машины, ибо большое ограничение со стороны серверов негативно сказывается на поведении клиентов .. это проверенный факт.
Извиняюсь за оффтоп. Это так информация к размышлению.

Цитата:

Мы вроде остановились на прокси . А использование персонального фаерволла всё-таки обязательно для клиентской машины, ибо большое ограничение со стороны серверов негативно сказывается на поведении клиентов .. это проверенный факт.

Я сделал, на мой взгляд, справедливое замечание, что kwf сам по себе отличный файер, и, поэтому, использование персональных файеров позади kwf не оправдано. А ты мне в ответ какую-то ерудну говоришь. Я совершенно не понял смысла твоих слов

Accessor

Нет, по моему это ты не совсем понимаешь, о чем мы тут говорили. Если ты развел большую сеть, и ограничил всех тупых юзверей одним HTTP на стандартном 80 порту, врубил кабана и сквозную проверку на вирусы, то действительно, наверное в персональных фаерах в такой сети нет никакого смысла. И в антивирусах собственно наверное тоже...Особенно если еще выдрать все дисководы, сидиромы, отключить USB порты...))) Но в домашней сети на 3 компа, где все свои нет нужды так зажимать людей, да и больше половины нужных прог просто не будут работать. Плюс, от доп. возможности, которые дает персональный фаер (блокировка куков, активного содержимого и т.п.). Да, я понимаю. что теоретически много из этого можно сделать руками, побродя по настройкам браузера и реестру, но надо ли это простому пользователю? Так что все зависит от конкретного случая, и нельзя делать такие однозначные выводы, не разобравшись как следует в этом конкретном случае...

crapaud
Здравствуйте, Вам, УВАЖАЕМЫЙ! Я с Вами согласен на все 100. Я эксперементирую с этой гадостью уже порядочно... Лучше поюзать сие дома, где ответственность только перед собой, чем в конторе. Там за такие эксперементы могут и я... оторвать и голову за одно с ними!!! Не хочется! Короче, спасибо. И вообще я полностью согласен с Вами. До встреч.

Мля
может конечно я тупой, может что то еще, но не могу я никак ему рожу русской сделать. Все делаю, как в русике реадми написано и первым способом и вторым, ну нет русского и все тут. Х Е Л П!!!!

COMBAT

А ты какой билд-то пытаешься русским сделать? 5.1.10 есть русик и на консоль и на веб интерфейс (я на нем ща и сижу), и там все без проблем... А под шестерку переведен тока веб, а консоль по моему тока в планах. Или мож ты еще какой русик нашел?

да я уже вообще нихрена не понимаю. что за веб приблуда? как в нее зайти?
а керио 6.0.9

тут просто решил попробовать что это за зверь такой и поюзать, с английским конечно проблем нет тем более манулы на русском есть, но все родная морда приятнее.

COMBAT

кароч в 6.0.9 консоль еще не перевели. а веб интнрфейс - эт када ты через броузер удаленно подключаешься к серваку т.е.админ консоль прям в ИЕ открывается....-почитай юзер-гад, там все есть. А если наша морда оч нравится - поставь 5.1.10, каких-то супер-отличий там нет. А русик полный на известном из варезника сайте лежит..

Народ не подскажите не существует ли в керио привязка ip адреса к маку сетевухи?

ragrik22

Да, в параметрах раздачи адресов по DHCP, ты можешь выборочно задать определенным сетевым картам нужные IP по их макам

crapaud
а может подкинешь русик к этой версии на которой ты сидишь или ссылу дашь?

Сделал ковертер файла фильтров UserGate 3 (banners.flt, xxxsites.flt) в формат WinRoute 6 (.cfg). Потом вставляю полученный файл в winroute.cfg. Размер winroute.cfg получается 3 Мб. После этого WinRoute 6.09 загружается гораздо дольше, при переключении закладок HTTP Rules, URL Group, Forbidden Words он даже иногда зависает. Есть ли какое-нибудь ограничение на количество элементов в этих списках?

COMBAT

kerio точка cjb точка net косая index-rus точка хтмл

Тут все русики и еще много чего... И варезный топик, где все ссылки на скачку:

http://forum.ru-board.com/topic.cgi?forum=35&topic=11837&start=1160#lt

Имею проблему:
Стоят Windows XP SP2 RUS, Agnitum Outpost Firewall Pro 2.5.375.4822 (374)
и
Kerio Winroute Firewall 6.09 в режиме NAT, раздающий в локалку инет, через диалап

Так вот - при соединении с инетом через диалап винда падает в синий экран с сообщением о какойто ошибке в файле wanarp.sys

Пробывал удалять аутпост - тогда всё прекрасно работает.

f000xi

Дык где у тя Outpost стоит? Прямо на машине с Керио? Или на остальных машинах в локалке? Если прямо на керио - то глюки обеспечены по условию

crapaud
Не вижу ни единого разумного довода в пользу персонального файрвола, установленного позади kwf
Еще раз акцентирую внимание на том, что все юзвери сидят позади фаера. И здесь не важно, сколько юзверей - три или сотня - он все сидят позади (!) kwf. Весь сетевой трафик фильтруется средствами kwf, т.е. надобности в дополнительном межсетевом экране (aka файрволе) нет. Теперь идём дальше, если мы говорим, что нужно блокировать куки, аплеты, скрипты и прочую лабуду, то это не входит в функции файрвола по определению. Поэтому, если кому-то это надо, то так и говорим: "мне надо блокировать всякую ботву из инета, а файр мне не нужен". В этом случае всё становится на свои места. Тогда, действительно, на клиента проще всего повесить перс.файрвол, у которого есть необходимые нам функции, но вовсе НЕ ДЛЯ сетевого мониторинга, а именно для блокирования всякой лабуды. Так понятно?

Accessor

Ну да, мы тада собственно об этом и говорили. О клинтах, на которых нада блокировать различный активный контент. Человек думал, что в корпоративном фаере должны присудствовать и эти функции, раз они есть в персоналке. В связи с этим и советовали ставить на них (именно на клиентах а не на роутере) персоналки. А во всем остальном я с тобой полностью согласен.

Дело в том что локалка у меня домашняя - сетка из двух компов. Оба компа используются для лазания по инету. От Kerio мне файрволл вообщемто не нужен - только NAT

встроенный в винду NAT (ICS) я использовать не хочу по причине того что он работает только для одного Dial-Up соединения, а переставлять галки туда сюда мне влом каждый раз в сетевых подключениях винды для открытия "общего доступа к соединению"

Wingate 5 не работает с XP SP2, а Wingate 6 не крякнул ещё никто
WinRoute6 вообщемто мне нравится как NAT но с аутпостом выдаёт вот синий экран в момент подключения к инету через dial-up

f000xi
Да, проблема... ну ты хоть с компа, где керио аутпост сними... поставь туда чтонить более безобидное, что рекламу и куки только режет, много таких прог...(AdSubtract тот же). Ну не живут обычно вместе на одной машине два низкоуровневых фаера. Это в инструкциях и того и другого написано... Так что врядли и другой какой прокси будет будет на одном компе с аутпостом работать без глюков...

Цитата:

crapaud

Да, в параметрах раздачи адресов по DHCP, ты можешь выборочно задать определенным сетевым картам нужные IP по их макам

Ну в принципе да но вариант не прокатывает(

Суть такая в сети завелся злобный юзер который меняет вручную свой айпи на другие адреса (обычно машин выключенных)
Есть мысли как привязать жестко юзеров к макам?

ragrik22

Не, в керио ты юзера к маку не привяжешь.... А у тя сеть без доменов, без ничего? авторизация только по IP? И какие операционки на клиентских машинах?

Угу домена нема, а машины XP и 2000

Говорят в исе есть привязка но керио как то больше нравится. А домен делать это такой гемор с переносом профилей выдачей пассов и прочей лабуды

ragrik22

Ну хорошо, тогда корявый способ - выдать ему локальный логин-пароль, прописать на серваке с керио тоже самое, в керио настроить так, чтобы мог войти только авторизованный юзверь и ставить уже ему ограничения...изврат конечно, но по моему в твоем случае попробовать можно (если конечно юзверей не сотня)))

Что то я совсем запутался...(

Создал группу юзеров в трафик полиси выдал им дестинайшн Inet
Но в данный момент в инет ходит кто хочет просто прописав в настройках эксплорера проксю керио (неавторизированные юзеры)

Может кто запостит свои настройки трафик полиси чтоб все пахало как надо?

ragrik22

ты сам запости свои настройки...мож у тя просто правила не в том порядке расставлены? они ж с верху в низ идут по главенству...мож у тя выше стоит правило, которое всем разрешает доступ в инет, тада то, то ниже работать не будет...

Подскажите что не так ибо ходят в нет кто захочет