» Kerio WinRoute Firewall

эх, спутники блин.

есть модем, есть спутниковая карта, есть обычный интерфейс.
Спутниковый инет работает через globax. Указываю винроуту, что globax его родительский проксик. Даже при правиле разрешающим любой трафик в любом направлении - результата нет. Модемное соединение через проксю работает нормально.
Что интересно даже с той машины, где установлен керио я не могу получить инет через спутник. Указываю браузеру порт globax и опять таки при всё разрешающем правиле - результата нет. стоит только выключить керио как инет со спутника идёт.

Кто-нибудь пробовал настраивать керио для работы со спутником через глобакс?
Я уже и не знаю, что делать.

Привет всем! Такая проблема: установлен сабж 6.1.3 патч 1. все вроде работает нормально. Бага в следующем: винроут в режиме прозрачного прокси грузит трафика в полтора - три раза больше чем юзер реально скачал. Подскажите как лечить или как правильно настроить, без непрозрачного прокси. В режиме простого нат (в конфиге поставил транспарентпрокси=0) по трафику все идеально но отвалились почти все сервисы = логи, антивирь, блокировка урл, спаморезалка......

MoRoZ
Я правильно понимаю, что через модем данные получаются, через спутник - отсылаются? Попробуй поставить разрешить всё и в любом направлении на все интерфейсы. Будет работать или нет?

Фух, ещё пол жизни прожил.
Оказывается подобное подключение (запрос по модему, приём со спутника) керио квалифицирует как спуфинг. Пока я до этого допёр! Кароч снимаем галку анитспуфинга адвансед - секурити и наслаждаемся.

Добавлено:
smf

Наоборот, через модем запросы, через спутник - ответы. Я как раз и пробовал разрешить всё и во всех направлениях. Слава богу нашёл причину.

knackita

Цитата:

а если ставлю допустим только группу из AD, то пока не аунтефицируешься ничего не произойдёт. И впринципе это логично, в пакете керио распознаёт IP, но группу AD в которую входит пользователь ессесно не может.

Да, надо поэкспирементировать с AD у меня впринципе он настроен, но пользователей всё равно вручную прописываю. Так что отпишу, после.

Добавлено:
to all
Помоему надо отдельную ветку заводить... Керио и спутник..

Добрый день,

Несмотря на все инструкции по настройке, не могу пропустить почту с локального компа черех прокси-сервер Винрута6.

В Bat на локальном компе указал адрес прокси-сервера 192.168.0.1, логин пользователя для mail.ru, порт - от балды 9025.

В Керио не могу настроить.

Напишите, пожалуйста, как правило в Traffic Policy должно выглядеть, чтобы все запросы по порту 9025 (или POP3 SMTP) Керио пропускал через прокси-сервер с подменой порта.

Все настроил. Оказывается в настройках ящика достаточно поменять только порты, подмененные в Керио. Ни прокси, ни логин с решеткой не надо писать!

Доброго времени суток!

Проблема такая.
Есть 2 канала Интернет (Модем и выделеная линия), нужно сделать так чтобы оп определенным портам инет работал через локалку а по другим через мрдем. Если конкретнее то нужно чтобы на порт ICQ,POP3 трафик шел в сетку а по остальным в модем. Пробовал создавать правила не помогает, как только активизируется модем весь трафик перенаправляется на него и соединение валится.
Подскажите как решить такую проблему.

Jozz
а какие ты создавал правила?

обычно создаёшь правила
local -> inet (выделенка) - ICQ POP3 (nat. интерфейс модема)
local -> inet (модем) - (всё остальное кроме ICQ и POP3) (nat. интерфейс в выделенку)

Цитата:

Lineage2 прекрасно работает. Для неё надо настроить выход по NAT на логин и игровые сервера. Порты 7777 и 2106.
Узнавай подробнее у админов этих серверов или их сайтах.

нече они не работают пробывал и порты открывать и все открывал виснет на входе и все хотя все звуки слышны а как еще можно попробывать?

Добавлено:

Цитата:

Lineage2 прекрасно работает. Для неё надо настроить выход по NAT на логин и игровые сервера. Порты 7777 и 2106.
Узнавай подробнее у админов этих серверов или их сайтах.



нече они не работают пробывал и порты открывать и все открывал виснет на входе и все хотя все звуки слышны а как еще можно попробывать?

что интересно если ставлю xdls модем то все работает настройки при етом не трогаю
проблема решилась при перебросе соеденения через прокси
с помошью фрикап

Mikes

Цитата:

а какие ты создавал правила?

Я такие правила и создаю. Просто у нас в сетке аська сидит на внутреннем хосте(в настройках ICQ прописывается вместо login.icq.com - icq.hnet.ru), и когда запускается модем трафик пытается идти через модем, насколько я понимаю т.к. метрика модемного соединения 1 а локалки 20.

Jozz

Поправь hosts
<IP адрес icq.hnet.ru> icq.hnet.ru

DINAR

Цитата:

что интересно если ставлю xdls модем то все работает настройки при етом не трогаю
проблема решилась при перебросе соеденения через прокси
с помошью фрикап

Что говорит о том что сама программа тут не причём (раз через xDSL пашет)
Фрикап юзают если выход через прокси чтобы сделать "протмаппинг" своебразный с локальных портов на порты прокси.
По NAT же - напрямую - у меня лично (выделенка) и всех знакомых (аналогично или игровые клубы по xDSL) пашет на ура. То что там у тебя.

как проверить что все порты у меня закрыты? и как настроить чтобы на компе инета небыло но был открыт опред порт для обновлени программы?

Привет всем! Сразу оговорюсь, что в керио новичок полный. Поставил товарищ его у меня, но есть проблема .. =( На утро приходя на работу вижу - инета нет в офисе... Перегружаю сервак с керио, инет появляется... уже третий день с момента установки. Обновлял, но не помогает. Завтра поставлю второй патч от 6.1.4 ... но думаю не поможет. Говорят о кривизне патча?.. может ночью керио как-то блочит трафф если нелицензионный софт? как проверить это все.. и где поправить.. причем тока ночью это происходит..днем все ок.

Стала лезть вот такая петрушка в security. Родная сеть 217, сети 216 и 215 живут отдельно и раньше не ломились.
[15/Feb/2006 09:36:38] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.216.103:137 -> 192.168.216.255:137, udplen:50
[15/Feb/2006 09:36:40] Last message repeated 5 times
[15/Feb/2006 09:36:40] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.215.78:137 -> 192.168.215.255:137, udplen:50
[15/Feb/2006 09:36:40] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.216.103:137 -> 192.168.216.255:137, udplen:50
[15/Feb/2006 09:36:40] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:211, ip/port:192.168.215.146:138 -> 192.168.215.255:138, udplen:183
[15/Feb/2006 09:36:40] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:212, ip/port:192.168.215.43:138 -> 192.168.215.255:138, udplen:184
[15/Feb/2006 09:36:40] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:229, ip/port:192.168.215.146:138 -> 192.168.215.255:138, udplen:201
[15/Feb/2006 09:36:41] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.215.78:137 -> 192.168.215.255:137, udplen:50
[15/Feb/2006 09:36:42] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.215.78:137 -> 192.168.215.255:137, udplen:50
[15/Feb/2006 09:36:42] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.215.22:137 -> 192.168.215.255:137, udplen:50
[15/Feb/2006 09:36:43] Last message repeated 3 times
[15/Feb/2006 09:36:43] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:229, ip/port:192.168.215.70:138 -> 192.168.215.255:138, udplen:201
[15/Feb/2006 09:36:45] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:229, ip/port:192.168.216.216:138 -> 192.168.216.255:138, udplen:201
[15/Feb/2006 09:36:45] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.215.17:137 -> 192.168.215.255:137, udplen:50
[15/Feb/2006 09:36:46] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.216.60:137 -> 192.168.216.255:137, udplen:50
[15/Feb/2006 09:36:53] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.215.26:137 -> 192.168.215.255:137, udplen:50
[15/Feb/2006 09:36:58] Last message repeated 5 times
[15/Feb/2006 09:37:07] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.215.78:137 -> 192.168.215.255:137, udplen:50
[15/Feb/2006 09:37:10] Last message repeated 3 times
[15/Feb/2006 09:37:10] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:211, ip/port:192.168.215.146:138 -> 192.168.215.255:138, udplen:183
[15/Feb/2006 09:37:12] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:237, ip/port:192.168.215.2:138 -> 192.168.215.255:138, udplen:209
[15/Feb/2006 09:37:16] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.216.103:137 -> 192.168.216.255:137, udplen:50
[15/Feb/2006 09:37:21] Last message repeated 5 times
[15/Feb/2006 09:37:21] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:229, ip/port:192.168.216.234:138 -> 255.255.255.255:138, udplen:201
[15/Feb/2006 09:37:26] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:237, ip/port:192.168.216.33:138 -> 192.168.216.255:138, udplen:209
[15/Feb/2006 09:37:31] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:229, ip/port:192.168.216.68:138 -> 192.168.216.255:138, udplen:201
[15/Feb/2006 09:37:31] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.216.216:137 -> 192.168.216.255:137, udplen:50
[15/Feb/2006 09:37:33] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.215.78:137 -> 192.168.215.255:137, udplen:50
[15/Feb/2006 09:37:39] Last message repeated 3 times
[15/Feb/2006 09:37:39] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:229, ip/port:192.168.215.57:138 -> 192.168.215.255:138, udplen:201
[15/Feb/2006 09:37:40] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:211, ip/port:192.168.215.146:138 -> 192.168.215.255:138, udplen:183
[15/Feb/2006 09:37:44] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.215.73:137 -> 192.168.215.255:137, udplen:50
[15/Feb/2006 09:37:48] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.215.73:137 -> 192.168.215.255:137, udplen:50
[15/Feb/2006 09:37:48] Anti-spoofing: Packet from Local Area Connection 2, proto:UDP, len:78, ip/port:192.168.215.50:137 -> 192.168.215.255:137, udplen:50

AlkofF

А как ты к инету коннектишся?
У меня была такая-же хрень с ADSL. Провайдер ночью всех отключал и обновлял динамические IP. В настройках соединения винды стоял автодозвон и в KWF стоял автодозвон. В результате они где-то конфликтовали и инета небыло. Пока вручную не нажмеш "подключится".

DINAR

Цитата:

проблема решилась при перебросе соеденения через прокси   с помошью фрикап

только мучений больше.. делать прокси для того что бы его туннелировать..

наверное не все порты открыл.. в NAT
попробуй открыть на NAT все сервисы .. и лог событий смотри

у людей работает же через NAT так что и у тебя может

LostWarrior нет..без оного...

AlkofF
логи чё нить говорят? способ подключния? ipconfig/all ?
мало ли...
телепаты в отпуске

MoRoZ, пусть теепаты отдыхают дальше )) как и думал дело в просто блокировании траффика ..ночью керио видимо проверял себя. А правило мое блокирвоки почему-то не срабатывало. Переделал все и в первый раз сегодня инет с утра был.

может быть такую тему уже поднимали, но я не нашёл.

можно ли реализовать такую схему:
подлючённый к локальньный сети ПК с внешним ip ходил в и-нет через Керио. при этом чтобы его ip был виден из и-нета соответственно.

Такое бывает вообще?

knackita
еще раз объясни что хочешь

нужно чтобы из интернета был виден компьюетр в локалке причём не по внешнему ip адресу фаервола, а по своему собственному внешнему адресу.
т.е.
вот обычная локалка с натом:
192.168.0.0/24 <----> керио <---> internet
физически через свич подключим сервер к локалке и дадим ему внешний ip:
192.168.0.0/24 + внешний_ip <----> керио <---> internet - это можно как-нибудь сделать?

смысл такой: идёт и-нет канал от g.shdsl модема , после модема идёт свич 8 портовый и от него на серваки по кабелю. В итоге неначем сделать приоритезацию и на каждом серваке нужно настраивать фаерволы и в итоге нет централизованного управления.

А хотелось бы чтобы от модема шло на фаервол, от фаервола на локалку + сервера с внешними ip.

А кто мешает модем напрямую в сервак воткнуть а вторую сетевую в локалку пустить?

Сейчас стоит связка 4-ка+аутпост файрволл. Есть мысль перейти на 6-ку. Но беспокоит тот факт, что в ней свой файрволл. Отказыватьсь от аутпоста не собираемся. Вопрос: можно ли в 6-ке заблокировать встроенный файрволл?

Ай нид хелп!
В локальной сети есть компьютер смотрящий в инет. На нём установлен kwf 6.1.4. Всё прекрасно работает, пользователи ходят через него в инет...
Помимо винраута стоит ещё почтовый сервер (сначала был мдемон, теперь керио). Почтовый сервер прописан в traffic policy. Отлично принимает почту, а она в свою очередь отлично принимается почтовыми клиентами извне. Но вот проблема, никак не хочет приниматься почтовыми клиентами из внутренней сети. Сервак виден, правило в винрауте создано, но в момент установки соединения в аутлуке выскакивает ошибка "произошла ошибка на сервере, или слишком длительное время ожидания". Стоит отключить kwf, и всё пучком, но при включенном ни-ни. В программе создано правило, согласно которому источник - локальный сетевой интерфейс, приемник - файрвол хост (и наоборот), сервис - any. Ну вобщем почта клиентом так и не принимается. Зато принимается клиентами извне... Либо я чего-то не понимаю, либо это какой-то глюк... Надеюсь на Вашу помощь.
Заранее спасибо!

И снова.. был довольным не долго. Теперь у меня в офисе инет пропадает не ночью в районе 22-00... вроде проверку на апдейт запретил. были у кого-нить такие проблемы с 6.1.4 патч 1.. последний не успел поствить пока. Причем когда инет подвисает никто в инет не сидит, по причине того, что уже никого нет в офисе. Единственное один из серваков берт инфу с рбк для Шеерпоинта. Но как-то странно, почему именно вечером-ночью.. и каждый день.

Ребят... вопрос такой... Керио режет почему то пинг пакетом выше 8150 байт.И есть подозрение что не только пинг....А и прочие передачи...С учетом того что это фтп сервер живущий на гигабите.. это очень кретично... Вопрос где копать?
Почему именно керио?Тоже долго грешил на сетевую .. перебирал разные настройки... непомогало...скорость в пике с сервера 2800 кб/с что смешно даже (((
И тут осинило попробовать пингануть другой сервак с тоже керио....теже вилы....Сетевухи разные.матери тоже.Причем второй стоит отм еня в 1 метре.... через свичь....
Ну разве система еще.. На обоих стоит 2003 Sp1.

я им писал...сказали что дело в их драйвере....и очень удивились что мне типа надо больше...