» Kerio WinRoute Firewall

Помогите!
Стоит сервер, откуда юзеры получают инет, поставил винроут , теперь надо сделать чтобы локальные пользователи могли использовать любые порты, а сейчас у них работаюти только сайты (80 порт)... если же в правилах поставить везде "Any" и разрешить, то тогда работает всё... как нужно составить правило? Спасибо!

Никто не сталкивался со следующим:
Win Server 2003 Corp Enterprise
Ставлю WinRoute 5.1.0 с его DHCP и DNS - все пашет, кроме сетевой 1С:7.7 - у кого установлена Win98, вылетают с ошибкой Runtime при загрузке баз с сервака.
Поставил родные виндузовские DHCP и DNS - все заработало.
Самое интересное, что клиенты с XP такой проблемы не испытали.

Заработает ли WinRoute с виндовыми DHCP и DNS?

помогите... юзеры получают от сервера инет (не через винроут, имеют реальные IP, указав у себя в настройках шлюз сервера и dns)... винроут использую как DHCP и фаервол... как запретить юзеру по IP доступ в инет... пробовал запрещать в правилах, писав в "Traffic Policy" в Source и/или Destination... но ничего не помогает!... где что нужно писать? помогите пожалуйста (в винроут 4 все было нормально)

Ejik88
в Destination укажи айпи тех пользователей которым что-то хочешь разрешить
а потом заруби все всем

В Source укажи ip той машины, в Destination тот адаптер через который осуществляется инет (модем/adsl/isdn/сетевуха), service - any или порты 80, 8080, 21 и пр. и ставь запрет.

Добавлено

Цитата:

Помогите!
Стоит сервер, откуда юзеры получают инет, поставил винроут , теперь надо сделать чтобы локальные пользователи могли использовать любые порты, а сейчас у них работаюти только сайты (80 порт)... если же в правилах поставить везде "Any" и разрешить, то тогда работает всё... как нужно составить правило? Спасибо!

в Source -> сетевуха через которую все юзеры коннектятся, в Destination -> тот адаптер
через который осуществляется инет , service -> any, translation -> Source NAT -> Translate to IP address of outgouing interface.

И вообще, там есть кнопочка wizard.. вот там всё и устанавливается. :-)

Evgeny_Sorokin спасибо огромное... просто выручил! Все нормально теперь... спасибо
объясните плиз чем отличается Drop от Deny?

Добавлено
еще возникла проблема:
каждый юзер имеет реальный IP, и некоторые размещают у себя сайты, FTP, чтобы из инета к ним заходили, но теперь из инета зайти к ним не могут (только с локалки), даже не пингуется..., как сделать чтобы могли зайти? и если можно чтобы могли зайти на все порты, кроме перечисленных

всё разобрался... вопросы выше отпадают...
еще вопросы есть:
1. возможно ли сделать так, что только юзеры которые получили IP, маску, шлюз и т.п. от DHCP-сервера, только те могли использовать интернет... а то бывают юзеры, которые вручную пропимсывают рабочие IP и у них работает инет
PS: DHCP-сервер winrout'овский
2. объясните плиз чем отличается Drop от Deny?
3. как сделать backup винроута (DHCP, правила и т.п..... вообщем всё что можно)

Подскажите мне, плиз, в "ВинроутеФаерволе" осуществлена поддержка SOCKS4 и 5???
А то вот в раздумьях я по поводу применения софтины этой... У меня клиенты жаждут использовать софт, который либо с реального адреса работает, либо через сокс 5
Заранее благодарен!!!

Люди, помогите правильно настроить в керио доступ из инета на комп (нужен доступ к сайту) на котором стоит керио

а-то керио не пускает (
останавливаю керио и и сайт грузится

в чем собственно дело - маленькая сеть, два интерфейса - один в нет, другой в свою локалку, KWF 5.1.0 прекрасно справлялся со своей задачей в win2k, никаких тормозов, все чики-пики...
в win2k3 тормозит жутко инет на kwf машине, ну, к примеру - ya.ru в броузере при работающем kwf не открывается вообще, пишет, типа, узел найден и киндец... ни фига не тянет, что-то там себе думает... останавливаю я kwf и все прекрасно работает! в чем может быть проблема? и так впрочем везде на клиентах.. а вот soft-forum аж бегом открылся по фиг при работающем или остановленом
помогите!

Добавлено
да, предупреждая советы про логи - в логах ни фига не пишуть.. будто и не открывал вовсе ya.ru!

RedSnapper

попробуй на компе с КЕРИО прописать прокси в настройках IE


Добавлено


Кому нужен русификатор для Kerio WinRoute Firewall 5.1.x
можно взять на http://www.networks.sumy.ua в разделе Файлы

ViKor этот я еще скачал давно... он от 5.0.x... просто ктото взял переменовал и выложил... переведено там не всё

Добавлено
народ... помогите... на серваке стоит еще почтоый сервак Kerio Mail server... после установки Winroute Firewall почта перестала доходить... сервис POP3 открыт!... помогите

Вопрос !!! Помогите найти длл-ку для Антивируса Касперского для 5.1.0, или такой не существует для этой версии ?

Скорее всего возможность подключения Касперского отвалилась.
Тогда подскажите пожалуйста, как вы вышли из этого положения ?
Какой антивирус используется вами ?

Ejik88
ты прав, это бывший перевод от 5.0.х
просто народ спрашивает... и многие не догадались сами файлик переименовать, вот пришлось сделать так...
перевод полностью подходит... но всё не успел доперевести
более полный перевод будет где-то 17-20 сентября...
если кто поможет перевести то, что осталось не переведенным - милости прошу... будет готово раньше... будет стимул


по версии 5.1.0:
ИМХО поспешили в керио с релизом... надо было выпускать очередную бэту...
у многих я вижу проблемы... глюки...
вот и у меня теперь проявилось... ЦПУ загружается 100% при включенном КЕРИО
говорили что "звонок по требованию" тоже глюкавит...
у меня еще странные глюки с доступом на комп с керио на котором висит еще сайт... то пашет то нет

хотя может руки ~ ... кто бы тогда помог решить проблемы


а с почтой: попробуй явно открыть 21 и 110 порты.... кажись тут тоже глюки

надоело разбухание памяти... ЦП грузится до 70%... приходится останавливать и заного запускать... в какой последней версии так небыло? 5.0.9? как сделать backup винроута (DHCP, правила и т.п..... вообщем всё что можно) чтобы откатиться до версии <5.0.9?

Ejik88
попробуй отключить встроенный антивирус, если он включен и кобион
мне помогло..

если не поможет, будем жаловаться в керио

что-то не очень у них релиз получился... глюков многова-то уже набралось

Ejik88
Вроде как вся (или почти вся) конфа находиться в дире винрута, в *.cfg файлах. Я несколько раз восстанавливал конфигурацию простым копированием этих файлов из бэкапа. Правда это может непрокатить, если захочеш очень уж старую версию. Насчет DHCP не в курсе, неюзаю.

P.S. На крайняк/для мазохистов/от нехделать: можно и ручками порыться в конфигах, там текст обычный, и даже неочень непонятный...

ViKor у меян без антивируса встроенного... а что такое кобион?... где отключить?

В HTTP policy. Вообщем это фича запрещает зайти на сайты где встречаются те или иные слова. Настраивать там же.

Evgeny_Sorokin это отключено.

1. возможно ли сделать так, что только юзеры которые получили IP, маску, шлюз и т.п. от DHCP-сервера, только те могли использовать интернет... а то бывают юзеры, которые вручную пропимсывают рабочие IP и у них работает инет
PS: DHCP-сервер winrout'овский
2. объясните плиз чем отличается Drop от Deny?

Ejik88
2) Deny - отсылает ICMP Destination Unreachable (type 3) с кодом 3 (port unreachable). Drop - ничего неотсылает.

Ejik88 Вообщем предлагаю тебе сделать доступ после идентификации, и каждому кому треба выходить в инет, раздай login и password, остальные знать не будут.

Немогу настроить топик на работу с Dial-In, тоесть под y2k server входящий звонок принимает, винроут его тоже как бы детектит, но фактичиски с клиенского компа нельзя открыть никакое приложение пинги естественно наружу не идут, рубятся, а почему не по HTTP не по FTP ничего не хочет транслироваться немогу понять, (с локалкой всё нормально транслируется и рубится всё как надо), так вот, вопрос такой, это винроут рубит, или в виндё неправильно что-то настроено ? Если кто нибудь удалённое подключение настраивал, отпишите плз...

Evgeny_Sorokin у кого есть инет могут сказать неплательщикам логин и пароль... это не выход... возможно ли по MAC пдресам как-нибудь?

Ejik88 Могу предложить в traffic policy фильтровать по имени узла (host), правда если раскусят и сменят имя компьютера, то работа впустую, но тоже вариант.

Evgeny_Sorokin спасибо за идею... но тоже не выход ... возможно ли по MAC карте как-нибудь чтобы инет работат только у тех, кто получил IP от DHCP сервера винротовского?

Ejik88 Вроде нет такой фишки в винруте.

Ejik88
ну если пользователи сидят под NT, 2000, XP то тогда проста ограничением прав всё решается.. если машина с 95, 98 то тогда сложновато но как то можно ограничить доступ. Софт есть всякий для этого..сам не юзал (но видел) потому где и как взять не скажу. А по поводу винрута..хм..так муля блина. У тя я думаю сетевухи туда сюда не таскает народ из компа так? Так вот в этом самом винруте (по кр. мере в 4ой версии было, думаю в 5ой тожа есть) можно в DHCP сервере сопоставить конкретному мак адресу соотвессвующий IP адрес.. т.е. айпи будет выдаваться не от фонаря а каждой сетевухе конкретный. Ну и ограничить в винруте доступ к прокси и к NAT и т.д. только тем у кого айпи адреса из списка "правильных" типа... Ваще проблема решается проще..ограничь доступ к настройкам народу и делов то..

Serg0FFan
ИМХО делов-то еще ого-го... в DHCP хоть и есть выдача IP по MAC
НО
ставит себе юзер сам IP а не DHCP сервером и всё... и ворует инет аж бигом...
может скажешь как от этого защитится?


а у меня тут еще одна штука... один юзер как-то хитро получает доступ к инету!
в керио стоит авторизация
у всех пароли
в списке активных пользователей вижу всех, кто зашел по паролю. И есть просто IP адрес в списке, и видно что лазит по инету через forewall трафик!

вот это хреново... как прикрыть такое дело? в чем тут глюки
скорее всего юзер использует какие-то спец. проги...

Люди трабл такой - KWF 5.1.0 прокся
при включении опции forward to parent proxy server инет глохнет везде!
пишу я туда например proxy.xxxxxxx.ru:8000 или 195,14,95:8080 это без разницы!
в логах даже запроса нет!
В чем беда?


И еще - что бы я не вводил в denial text у меня не отображается ровным счетом ничего!
Вместо баннера чернота.......или все белое.........?

Почему??