» Kerio WinRoute Firewall

naPmu3aH
а где в users.cfg строчка "DES:<bla-bla-bla>"?
у меня нету....

Blazer
Для каждого пользователя пароль (строчка в users.cfg) должен выглядеть так:
<variable name="Password">DES:<60 16-ричных цифирок></variable>

Версия 504 рубит, при попытке скачать файл по фтр.
Антивирь отключен, все возможные правила: все разрешено.
Вот такое сообщение появляется.

>No parent proxy defined in WinRoute Proxy
>
>
>--------------------------------------------------------------------------------
>This message was created by WinRoute Proxy

Зачем ему верхний прокси?

Bublick
да, та же херня - не могу уже месяц ничего сделать с FTP, посмотри наши обсуждения с BigAdmin в той же теме админского раздела форума

naPmu3aH
спасибо, а если поставить на др. машину сети еще один KWF - ничего страшного не произойдет?

вылечился по рецепту партизана: поставил на другую машину KWF, затем перегрузился и скопировал users.cfg на сервак.....

насчет FTP - продолжаем эксперименты.....

Вышла 5.0.7
поправлена ошибка докачки по ftp

CoolVik
Что-то нет там такого фикса в описании
или ты проверил?

Хм, разве это не ОНО?
"- Fixed antivirus rules for FTP traffic "

Version 5.0.7 - July 8, 2003
- Fixed bug causing message "Invalid buffer size (10 != 12)"
- Fixed non-working connections over dialup or VPN

Version 5.0.5 - July 2, 2003
- Fixed antivirus rules for FTP traffic
- Fixed content filtering for users with no right to override settings
- Fixed editing of denial reason in URL rules
- Fixed counting of remaining users in license
- Fixed user login for long usernames
- Fixed HTTP proxy server refusing to restart
- Fixed concurrent active transfers from mapped FTP server
- Fixed problem with DHCP renewal for interfaces that already have IP
- Fixed broken handling of broadcast packets

! The "Do not screen firewall traffic on this interface" feature was removed and it is no more functional. Please disable this option, otherwise there might appear a lot of messages in the Error log.

P.S.
Кстати это очень актуально
- Fixed HTTP proxy server refusing to restart
у меня на 5.0.4 регулярно падала прокся хотя все остальное работало, пока не перегрузишь WinRoute не стартует

CoolVik

Цитата:

Кстати это очень актуально

У меня на 5.0.7 периодически (до неск. раз в сутки) останавливается прокси (с ошибкой вроде "HTTP socket error. Proxy stopped"). Прокси НЕ транспарент.
После передергивания чекбокса "Enable nontransparent proxy" все начинает работать дальше без всяких рестартов.
Правда еще иногда "виснет" модем. Т.е. Winroute пытается звонить, но модем не набирает и возвращается ошибка (... hardware failure). Помогает рестарт Winroute

Сочувствую, но у меня пока не падает, если будет падать сообщу

Интересуе вот какой вопрос, можно ли как то перевести страничку которая висит на порту 4080 для авторизации через веб, и можно ли как нибудь заставить считать суммарный трафик пользователя а не по сессиям (ссылка sessions на страничке)

Я кстати пробовал указывать ему верхний прокси. Один черт. Все равно ругань по FTP.
Все-таки продукт сыроват.

Мда, поторопился я, у меня опять упал прокси, как всегда помогла остановка и запуск
Мож кто подскажет есть ли у них форум куда можно постить все эти проблемы или только по мылу?

CoolVik

Цитата:

Мож кто подскажет есть ли у них форум куда можно постить все эти проблемы или только по мылу?

support@kerio.com

Вышля новая версия 5.0.8 от 25.07.2003
http://download.kerio.cz/dwn/kwf/kerio-kwf-5.0.8-win.exe
http://download.kerio.cz/dwn/kwf/kerio-kwf-mcafee-5.0.8-win.exe
Чего подправили:
* ICSA required changes
- Fixed HTTP Proxy server starting
- Fixed FTP filtering based on filename

Угу, вот только осталось надыбать кряк
вот что ответили мне

Hi Vik,
Try upgrading to 5.0.8. It was released today. It has a bug fix
concerning the proxy server in KWF.

Jeff Wadlow
Technical Support Engineer
Kerio Technologies
2855 Kifer Rd
Santa Clara, CA 95051
Tel 408.496.4500
www.kerio.com


> -----Original Message-----
> From: Vik
> Sent: Friday, July 25, 2003 12:56 AM
> To: support@kerio.com
> Subject: KWF 5.0.7
>
> Hi
>
> problems ...
>
> Installed KWF 5.0.7
> OS Win 2k Server RUS SP3
> Proxy regularly goes down
> after stop and start engine all begin to work
>
> same problem was on KWF 5.0.4
> --
> Best regards,
> Vik

CoolVik
Все равно чего то не долелали - уже падал пару раз...


Цитата:

осталось надыбать кряк

В варезнике есть

Падал кто WRF или же ИМЕННО прокси?

CoolVik
Прокси класический, а за ним и редирект на него достучатся не может - в итоге HTTP не работает.
Я думал что из за 2003 сервера - ан нет и на 2000-ой падает. Причем это все в хаотическом порядке происходит: 5.0.4 проработал недели 3 не выключаясь, а потом началось... Может еще из за "сложной" для Winrouta сети: 3 интерфейса воткнута, в сервер: 1 в инет, 2ой локалка, 3ий с соседями мост. Да плюс RAS на вход. Но с этим всем 5.0.4 не падал... а щас он же - и падает.
В 5.0.8 еще ошибки в error после перезагрузки возникают но не постоянно (вот щас перегрузил - вообще не было):
WRDRV: TcpInfoInit: Unable to open 'TCP' device: 0.
WRDRV: RtIsLocalAddress: RtTable == NULL ?!.

Пробуем версию Kerio WinRoute Firewall 5.0.7.

Он не пускает пользователей на некоторые сайты: www.mail.ru, www.narod.ru, www.msn.com и другие.

"Покрутили" все ,что можно - не получается.

В чем может быть дело?

Klot

Цитата:

Он не пускает пользователей на некоторые сайты:

А что при этом говорится в логе?

Попытка зайти на сайт mail.ru
Вот строчка из лога:

[29/Jul/2003 13:51:18] [ID] 155 [User] Admin [Connection] TCP 212.57.134.118:3678 -> www.mail.ru:80 [Duration] 78 sec [Bytes] 2828/124/2952 [Packets] 9/3/12

Вроде ничего особенного.

Смотри в филтрах или в дебаге включи полный лог
Возможно включил либо Cobion правило
либо отсечение по весу словоформ

Все, разобрались!

Не было галочки на интерфейсе, который смотрит в инет.
Exclude interface.

Все заработало.

Добавлено
Что порекомендуете для статистики и биллинга на Kerio WinRoute Firewall 5.0.7

http://wrspy.by.ru/ - бесплатна

Нет, не решена проблема.
В логах все вроде нормально, показывает, что пакеты уходят и приходят, а браузер пишет -Невозможно отобразить страницу.

WinRoute блокирует даже www.microsoft.com.

На остальные сайты можно спокойно ходить.

Что может быть?

Добавлено
Хотя, на сам www.microsoft.com можно попасть.

Блокируется доступ по ссылке из браузера:
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=windows

Вот сайты на которые Winroute блокирует доступ:
www.mail.ru, www.narod.ru, www.hub.ru и другие.
На них нет доступа, и с машины, на которой установлен Winroute.
Откючаешь Winroute - все нормально.

Причем, поставили v.4.2.5 - тоже самое.

Может кто-нибудь сталкивался с подобной проблемой?

Люди добрые!!!
Помогите плиззз СРОЧНО!!!
Установил kerio-kwf-5.0.7-win. После перезагрузки выкидываеся окно с неустранимой ошибкой:
WinRoute Driver WRDRV: Adapter Transfer DataHandler: Invalid buffer tag.
По прошествии некоторого времени система вываливается в синий экран. и усе.

Что я сделал не так? Как лечить или бороться с этой проблемой?
Система Win 2000 Server (контроллер домена)
Две сетевухи - одна смотрит в интернет, другая внутрь сети.
Да, еще хочу добавить, что сетевые адаптеры работают нормально.

Может у тебя другой Firewall стоит еще? Дело может быть в этом.

Да был запущен сервис WinGate. Остановил его, но пробовать что-то боязно все-таки контроллер домена...

Стоит версия 5.08. Вопрос - как заставить юзеров логиниться? Тк при логине с одной машины все юзера ломятся под тем же логином. Я так понял, что при логине одного из пользователей на файрволе, все остальные заходят туда без проблем

Поставлю вопрос иначе - как сделать так, чтобы при подключении к прокси с разных машин запрашивался логин и пароль?

Цитата:

Да был запущен сервис WinGate. Остановил его, но пробовать что-то боязно все-таки контроллер домена...

Вместе они не живут - остановить и убить однозначно


Цитата:

Стоит версия 5.08. Вопрос - как заставить юзеров логиниться? Тк при логине с одной машины все юзера ломятся под тем же логином. Я так понял, что при логине одного из пользователей на файрволе, все остальные заходят туда без проблем

Поставлю вопрос иначе - как сделать так, чтобы при подключении к прокси с разных машин запрашивался логин и пароль?

Хм - вопрос - требующий тщательного изучения и требует отдельной тематики. То как сейчас организован логон - не совсем правильно. Я писал разработчикам, те развели руками. Кто заинтересуется - можно отдельно на эту тему поговорить.
Что касается твоей проблемы - весь вопрос в том как ты хочишь авторизоваться?
1) Посредством ввода логина и пароля в окно авторизации непосредственно самого браузера, но тогда встанешь на грабли - если юзер давонет галку сохранить пароль, то следующему войти не проблема нажав только лишь ОК.
2) Авторизация через встроенный сайт, с доп фишками, например просмотр расхода трафик в текущем сеансе для каждого пользователя на сайте.

В случае первого варианта, след. действия
HTTP Policy -> Url RULS -> Authenticate all users (Any user, *, Redirect user to firewall login page) и НИЖЕ по списку организуй правило запрещающее всем выходить. И отключи веб сайт и галку запрашивать авторизацию в разделе Advanced Option
В случае второго варианта, след. действия
HTTP Policy -> Url RULS -> Any user authontificate on the firewall (Any user, *, Allow access) включи запрещающее праило. Включи веб сайт и галку запрашивать авторизацию в разделе Advanced Option. Тогда в данном случае по последниму правилу будет выбрасывать чувака на страничку типа тебе сюда нельзя. Он давит там ссылку логон и аторизацию проходит через сайт и в его руках статистика по своему подключению.
Теперь вопрос который последует далее. Я закрыл все и во второй раз ничего не спросило. Да именно параметр Automatic logout after XX min of inactivity отвечает за дисконект неактивной сессии по истечении заданного времени - ВО КАК. Т.е. как только чува авторизовался, его записали в разделе Host/Users и там он болтается со своими подключениями. Если он не активен в инете в течение указанного времени то сессия разорвется, а вот что делать если надо организовать логаут? На той же страничке есть спец ссылка - logout. Но тут другие грабли - инактивность отслеживается не по протоколу http а по всем протоколам, скажем ушел чувак с работы и оставил тачилу включенно с почтовым клиентом которые каждуе две минуты лезет забирать почту - и ничего не разорвется. Разработчики говорят что невозможно организовать слежение только по HTTP, хотя я считаю что это бред. Так чтопалка о двух концах. Во втором варианте нас вроде избавили от постоянного вбивания пароля при выходе в инет, но добавились лишние проблемы по авторизации и выходу из сеанса.