» Kerio WinRoute Firewall

Есть ДВА выхода в инет. Вообщем все пользователи выходят в инет через NAT по дешевому каналу. И когда канал падает, что-бы не ходить и не прописывать новый прокси юзерам, я меняю на серваке шлюз и парент-прокси на другой, но на том серваке нет NATa, и там просто прокси. Поэтому керио перебрасывает на второй сервак, но всё с тем же 80 портом. А мне надо чтоб kerio с 80 порта заворачивал на порт того прокси. Всё перерыл, но помоему это он не делает. Пробовал черерз map, но это не то, он открывает страницу того сервера с ошибкой и всё.

Сам еле понял что написал.

PS. Можно конечно сразу всем прописать прокси первого сервера, тогда при указании в керио парент-прокси второго сервака, всё работает, а вот хочется с NATом такую бодягу замутить.

Народ, помогите решить траблу.

Раньше уже настраивал ДИАЛ-АП сервак на ВИН2003, но там не стоял Керио и прекрасно работала оснастка "Маршрутизация и удалённый доступ", теперь же есть проблема с тем, что при конфигурировании сервака для диал-апа в данной оснастке - не могу включить RAS - ругается что уже включены "входящие подключения" и надо сначала их вырубить. Насколько я понял этот вид ругани связан с тем, что врублен НАТ, но как-то непонятно, мне что ли нада вырубить его, что бы настроить РАС в "маршрутизации?"

Или вообще это можно сделать в Керио - я там видел ДИАЛ-ИН но не смог разобраться как пользоваться, может кто-нить знает, как можно сделать? Только вот обязательно колбек нужен.

Цитата:

Создаешь входящее правилo по протоколу POP3, для домена или IP первого почтового сервака и привязываешь его к одному интерфейсу. Создаешь исходящее правилo по протоколу SMTP для этого же интерфейса (если IP или DNS имя у почтового сервера для POP3 и SMTP разные, это нужно учесть). Правила ставишь в PERMIT. Для другого интерфейса эти же правила нужно продублировать и поставить им DENY. Аналогично делаешь правила для второго сервака, только учти, что разрешающие сначала делаешь для второго интерфейса, а потом ставишь в запрет на первом.

Тут возникает несколько вопросов. 1. пока я создал правило такого вида

локалка (источник) - хост почтовый сервак (назначение) - протокол смтп - разрешить - НАТ (второй опер).

Почта пошла. но пока нет почты первого провайдера. она будет на днях. Тут надло писать правила, кк ты советовал. нор я не совсем понял, как их писать и как привязывать к интерфесу. в винруте правила вида

"истоник- назначение протокол - разр/запретить - трансляция."

Как сделать входящее правило? подскажите плиз в формате этой таблички. И 2. ты говориш, сперва праивла на втором интерфейсе разрешить потом запретить на первом. Это про порядок правил? Если кто может, для удобства, на асб откликнитесь, плиз 28055158. Сенкс.

Ребята, пожалуйста помогите научить Kerio WinRoute Firewall Version 6.1.4 не обращать внимания на файлы с пробелами в именах. (пример: xxx xxx xxx xxx.jpg) Не пропускает файлы такого вида в ИРКе по DCC .
Отключаю WinRoute - все работает
включаю - не принимает
Может кто сталкивался?

Спасибо Большое!

Mushroomer
папка где хранится web интерфей керио ... там где авторизация серез веб

The Barbarian
может быть стоит выключить протокол инспектоор или антивирь

Artem12577

Цитата:

"истоник- назначение протокол - разр/запретить - трансляция."

Как сделать входящее правило? подскажите плиз в формате этой таблички.

internet (или IP твоего внешнего почтового) - local - POP3 и SMTP - permit (NAT MAP IP твоей внутренней машины с почтовиком)

Здравствуйте.
Кто-нибудь работает со спутниковым инетом? У меня стоит сабж 6.1.4 patch 2 build 1086 на сервере, куда заведен спутниковый инет. Инет раздаю через проксю. Для обработки логов использую Internet Access Monitor v2.7d. Что интересно: в разделе статисики в самом керио у всех пользователей нули, как будто никто ничего не скачивал. Однако в Internet Access Monitor v2.7d все же мы можем видеть статистику по пользователям. Я даже начал доверять этим данным, но как выяснилось, все это враки. Хотя там реально мы можем видеть, по каким адресам ходил юзер и порою даже объём скаченного действительно совпадает с тем, что реально скачал. Но были и крупные осечки, когда вместо 250 метров керио выдавал в логи 50 метров. Авторизация настроена через AD, авторизация запрашивается всегда при попытке просмотра страниц - то есть неавторизованным пользователь быть не может.
Вопрос: это такой баг? или быть может это особенность работы с картой SkyStar2? или быть может это вопросы "лицензионного характера"?

Mikes
Встроенный антивирус отключил сразу. Протокол Инспектор отключал - не помогает.

Нормальные файлы, где вместо пробелов "_" проходят на ура, при включенной WinRoute, т.е. никаких вообще проблем с WinRoute, кроме этих файлов с кривыми именами.
мИРК пишет DCC Get of xxx xxx xxx xxx.jpg from (Ник) incomplete (unable to connect)
и тут же, если нормальный файл - DCC Get of xxxxxx_xxxxxx.jpg from (Ник) complete - и файл закачан.

Может еще есть какие-то советы, плиз.

Скажите, а можно ли как-то сделать так, чтобы для проверки почты с клентских компов также требовалась авторизация? А то по веб без авторизации шарить нельзя, а вот почту пользователи проверять могут

Eld999
В траффик полиси доступ в инет поставить не по интерфейсу или IP адресам, а по пользователям. ИМХО если он не залогинится то и почты не будет.

Evgeny_Sorokin

Цитата:

В траффик полиси доступ в инет поставить не по интерфейсу или IP адресам, а по пользователям.

Спасибо, сработало

Встроенный McAfee не может обновится. Пишет, что не доступны файлы на таком-то узле. Подозреваю, что у меня где-то и перекрыт канал. Кто знает как происходит процесс обновления (протоколы, порты)?

Не обновляется встроенный антивирусный плагин McAfee KMS или KWF?

Лечится просто - антивирусные базы нужно обновлять не с сайта Kerio, а напрямую с McAfee

Решения такие:

1. Патч библиотеки avir_mcafee.dll на предмет замены строк:
nai-update.kerio.com на download.nai.com
/nai-antivirus/datfiles/4.x/update2.ini на /products/datfiles/4.x/nai/update.ini

Или

2. Если используется Proxy-сервер (например, Kerio Winroute Firewall)
В прокси-сервере, в настройках HTTP-Rules нужно добавить редирект
с URL */nai-antivirus/datfiles/4.x/update2.ini на http://download.nai.com/products/datfiles/4.x/nai/update.ini

При использовании первого метода второй использовать необязательно.


Взято с http://forum.ixbt.com/post.cgi?id=print:7:17223

Добавлено:
Протестил данный метод сам лично - все работает. McAfee обновляется и на KWF и на KMS. Если у кого не заработало, то необходимы прямые руки.

Господа, товарисчи и братья!
KWF 6.1.4 b.1086
После установки .NET Framework пропала связь с инетом. Кто-то сталкивался с такими симптомами?
Лог debug утверждает что не полностью выполнено 3-х этапное "рукопожатие" для протокола TCP и поэтому пакет дропается.
Для UDP все выглядит так, будто перестали формироваться обратные правила: на ДНС-сервер пакет уходит, а ответ уже не принимается..

Если кто-то имеет информацию по этому вопросу - просьба откликнуться!!

Есть два провайдера.
Как настроить Winroute, чтобы Skype работал только с одним провайдером, а все остальное тянуть с другого?

MoJo

попробуй так
local - internet (провайдер 1) - http ftp dns (ну и так далее) - permit NAT
local - internet (провайдер 1) - сервис (Skype) - drop

local - internet (провайдер 2) - сервис (Skype) - permit NAT

Релиз 6.2.0 официально выложен на сервере Керио!

Цитата:

Version 6.2.0 - March 23, 2006
+ Bandwidth Limiter
+ Dual anti-virus
+ Product registration from the administration console
+ VPN Client now supports 64bit Windows

Естествоиспытателям просьба поделиться впечатлениями о глюках и достоинствах данного релиза. Стоит ли качать, или подождать багфиксов?

А кто скажет как правильно перейти с 6.1.4-1086 на 6.2.0-1323?

Venchik
Ну как обычно, поверху накатить и все. На сайте производителя никаких специальных инструкций для данной версии нет. Если ты официальный пользователь, все должно пройти нормально, в остальных случаях идем в варезник и ждем...

Люди ткните носом куда посмотреть по проблеме невозможности обновления Mcafee? Где он берет базы как лучше правило написать... замучался искать! Спасибо!

Добавлено:
Упс... виноват уже вижу!!! =)

Добавлено:
я отключил mcafee счас не включаеться что делат? Подскажите!!!

Mikes

Спасибо, буду пробовать ...

Помогите с парой вопросов.
Есть Керио Винроут 6.1.4...
как на нем сделать так чтобы мерился трафик по всем протоколам?
пытаюсь обработать логи прожкой Internet Access Monitor... у нее есть какой то подпунктик отчета где типа распределение по протоколам... и у меня там всегда только протокол HTTP. как сделать так чтобы там можно было смотреть FTP RDP Почту и прочие...

И еще вопросик, можно устроить привязку в HTTP Policy на к IP a k MAC-адресу?
как разрешить работу с сервером только для машин с определенным МАС адресом?

Tpaxyh

Цитата:

И еще вопросик, можно устроить привязку в HTTP Policy на к IP a k MAC-адресу?
как разрешить работу с сервером только для машин с определенным МАС адресом?

Нету этого в КЕРИО... А жаль конечно...

Tpaxyh


Цитата:

И еще вопросик, можно устроить привязку в HTTP Policy на к IP a k MAC-адресу?
как разрешить работу с сервером только для машин с определенным МАС адресом?

Привяжи MAC к IP на хосте с KWF статистически, и далее работай по в KWF по IP.

Пример:
> arp -s 157.55.85.212 00-aa-00-62-c6-09 ... Добавляет статическую запись.

А кому нибуть удалось подружить KAV6.0/KIS6.0 с винроутом 6кой? На одном компе..
Танцы с бубном по всякому не помогают! причем даже пинг не проходит!... Но!!! самое интересное.. (модемное соединение - значок в трее) показывает что туда сюда обмен идёт при пинге! Но заданый сайт не доступен..это пинг грит. =) В трафик полиси изменяю правило ICMP - в сервисе убираю Ping и ставлю Any - пинг начинает проходить!
Но остальное все не работает ... ни HTTP и нифига вообще.. на напрямую ни через прокси. Удаляю каспера, перегружаюсь - всё зашибись. НО! Нужен и Каспер и WinRoute на одном компе..НУЖЕН!

Serg0FFan
Дык в KIS кажись свой фаер встроенный, оно тебе нада?

dvk54

Цитата:

Привяжи MAC к IP на хосте с KWF статистически, и далее работай по в KWF по IP.

Пример:
> arp -s 157.55.85.212 00-aa-00-62-c6-09 ... Добавляет статическую запись.

Немного не в тему, а если юзер сам IP себе сменит, что будет тогда ?

crapaud
WinRoute 6.2.0 - это то, что надо ... мне ...было.
Bandwidth Limiter - классная штука, когда стоит задача минимизировать утечку инфы из конторы (Доооолго буишь файлик отправлять). Мне нравица!

crapaud
Фиг с ним с кисом6.0.. но кав6.0 очень хочется! НАДО! Желание клиента блин.. а винроут нужен..

niichavo
Bandwidth Limiter- это всем можно ограничить скокрость?


где выставлять вверху или внизу?.


чтото версия 6.2. стала связь часто рвать....и постоянно говорит давайте отправим баг репорт..как отключить это

BlackFox
Можно ограничить скорость download и upload (ставишь "1" и скорость отправки ограничивается). Но это ещё не всё. В Advanced -> Advanced можно растянуть время отправки данных. Например выставить следующие значения: 1 KB, 60 seconds.


Цитата:

где выставлять вверху или внизу?.

Это ты про чё спрашиваешь?

У мя ничё такого не происходит (тьфу-тьфу-тьфу), никаких баг-репортов... )