» Kerio WinRoute Firewall

---

---

Kerio WinRoute Firewall sets new standards in versatility, security and user access control. Designed for corporate networks, it defends against external attacks and viruses and can restrict access to websites based on their content.

Текущая версия: Version 6.2.0 - March 23, 2006
Kerio WinRoute Firewall
Kerio VPN Client

Kerio WinRoute Firewall with McAfee Anti-Virus and Kerio WinRoute Firewall with antivirus plug-ins share one installation package.

Manual на Русском
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)

Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall

---

FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html

Тут одна компания полностью на русский язык перевела хелп
Kerio WinRoute Firewall 6.0. Руководство Администратора
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)

Первый вопрос на засыпку. Поставил пятерку настроил для локальной сетки, включил протоколы ( в часности SMTP) пробую отправить письмо > 15 кБ на середине зависает и выдает превышение ожидания.
С сервера с winroutом отправляется без проблем.
Без wr отправляется с локалки без проблем.
Где глюк? (подозрение ограничение размера писем но настроек в kwf для этого нет)

у меня была похожая проблемма с 4 версией WinRoute Pro. Оказалось дело в конфликте между Norton AntiVirus и сабжем. Помгло токо отключение проверки исходящих сообщений у антивиря.

В том то и дело что avir я отключил.

Решил я поставить на работу WR 5.01, а для начала посавил дома и сижу тестю....
И возникла проблема с скачиванием по FTP, в ответ на команду REST 100
получаем 451 Command denied by firewall
И никак не могу найти в настройках WR, где бы мне этот REST 100 разрешить....
Подскажите плз, кто сталкивался с этой проблемой....

Кто подскажет, McAfee стартовать должен сразу или его отдельно ставить надо. Поставили WRF с интегрированным антивирем а в настройках написано что сервис не стартован.

никто не в курсе к 5.0.1 русификатор есть?

zlogr,
все файлы с разных FTP?
у меня только с вирусами банит так как ты пишешь.

begon, пока нет, не видно.

Встречаем - WinRoute 5.0.2
http://download.kerio.cz/dwn/kwf/kerio-kwf-5.0.2-win.exe
http://download.kerio.cz/dwn/kwf/kerio-kwf-mcafee-5.0.2-win.exe

Ivanenko
внимательно прочитай название темы!
предупреждение за дубль.
(http://forum.ru-board.com/topic.cgi?forum=5&topic=0673&start=140#lt)

Цитата:

предупреждение за дубль.

Sorry.

Sled, нет не на всех, только на одном FTP'шнике, но если отключить WinRoute, то качается.... Врятли из антивиря, как же он вирус опознает, если еще в состояние закачки не перешел? Хотя... сначала у меня стоял KWR с встроенным MSafe'ом а сейчас я его с AVP подружил и пока такой проблемы не возникало больше....



Добавлено
Вот еще вопросик появился:
я хочу DHCP на subj включить, но так, чтобы к каждому компу жестко привязывался IP по MAC адресу( чтобы пользователи не хулиганили и мне не пришлось выяснять, кто именно сменил IPшник).
Как думаете это получится?

zlogr,
значит фаервол встроеный рубит, хотя вероятно это у тебя не включено. Но на upload там бан есть опциональный - значит и на остальные FTP команды типа LIST можно запрет влупить.

Попробуй не закрывать фаерволом порты (в визарде начальной настройки безопасности разреши все и проверь).

А я на EICAR (демовирь) проверял, в логе пишет, что такой то вирь найден и забанен.

ЗЫ: Короче настрою когда все обязательно напишу здесь (уж очень с трудом как то получается прицепить Cable modem, SAT, Dial-UP и Dial-IN)... может кто поможет или чего подскажет?

Добавлено

Цитата:

Вот еще вопросик появился:
я хочу DHCP на subj включить, но так, чтобы к каждому компу жестко привязывался IP по MAC адресу( чтобы пользователи не хулиганили и мне не пришлось выяснять, кто именно сменил IPшник).
Как думаете это получится?

получится, у меня так и работает.
Зарезервируй IP не для сетевого имени, а мак адреса.
Для пущей сложности уменьши размер подсети на твое количество компов допустим 50 типа (192.168.0.1 - 192.168.0.50) должно помочь.
Правда там еще какой то ход есть, но сейчас не вспомню.

Интересно как это резервировать не по имени а по маку? Где это там такая фикшка.
На счет пользователей - чтоб не меняли - надо раздавать пароли на вход в инет и тогда будешь по именам отслеживать. А вот с этим у меня проблема в 5-ке.
Как организовать аворизацию пользователей на проксе. Пока пропускает без всяких авторизаций. Причем бывало и так что первый раз спрашивает а потом пропускает, такое ощущение что кук сбрасывается. Пробовал авторизацию через WEB, т.е. со странички - тот же эфект - первый раз спрашивает а потом пофиг. Где то эта проблема проскакивала, но похоже так и не решилась.

Поставил прогу сию замечательную.
Класс. Скорость инета по сравнению с Winroute 4.25 выросла ~5-10%

Но сразу вопросы.
Есть ли русская дока или описание?
Firewall Stealth Mode это что?
Transparent Proxy это что?

Если Transparent Proxy это прозрачный прокси то чем это отличается от
Proxy Winroute 4.25?

Потом поставил разрешение на выход в инет не по группе адресов а по группе пользователей. (вроде где-то читал, что поддерживается NTLM аунтефикация)
Не пускает. Ладно задал правила на URL тоже по группе адресов а тут
просит ввести пароль. Я наивный думал, что пароль спраивать не будут
а возьмут акаунт текущего пользователя.

Вообщем вопрос : А русского описания нету нигде?

И еще в догонку.

Раньше несколко серверов поддерживали докачку.
После установки KWF 5.0.2 я вижу, что они ее поддерживать перестали?

Как быть?
В догонку:
Хитро все получается
Сделал отдельное правило Trffic Rule и тама убрал Protocol inspector все работает
т.е. сервера вдруг вновь поддерживают докачку, обрыва соединения после сотни байтов по HTTP не происходит.
Отсюда вопрос а что такое Protocol Inspector в понимании Kerio?

Dr_NiL
Прозрачный прокси - это когда ты можешь контролировать траффик, проходящий через winroute, явно не указывая сервер и порт прокси. Но там есть ещё и непрозрачный (явный) прокси, который был и в старой версии.

Цитата:

убрал Protocol inspector

Так ты перестаешь контролировать траффик, т.е. разрешения и запреты всякие...
ALL
А вот что я заметил... Когда напрямую из сетки работаешь, то Content Filtering нормально пашет. А если в настройках клиента (IE например) прописать внешний прокси, то этот самый Content Filtering перестает реагировать и пропускает весь запрещенный траффик... Что бы это значило???

Похоже есть у Них такая фича.
Поставил 5.0 - Нет докачки.
Поставил 5.0.1 - Есть докачка. - Не импортирует пользователей из W2kServera.
Поставил 5.0.2 -Нет докачки. Но пользователи уже импортируются, но не все, а только которые в корне ActivDirectory, а которые в группе лежат, не видит. Хотя MailServer ихнийже увидел всех!

И опять я.

Прикол.
Разрулил все как полагается порты запустил eMule радуюсь ..... работает.
Через некоторый промежуток времени гляжу а мине LOW ID прописывают
Говорят вроде как порт 4662 не доступен. Хотя вроде правило есть.
А потом минуты через две уже на другой сервер захожу нормально
Что то не нравиться мне такие затухания.
Да еще я тут в http лог заглянул. Так там один пользователь без имени а по ip проходит...
Хотя в правилах самое первое идет, что при попытке добраться до URL * сначала перекинуть на страницу авторизации. И хотя вроде страницы я ни у кого не видел но после того как adv options прописал kerberos domain полностью все теперь вроде как авторизируются автоматом... все .... кроме одного.
К чему бы это?

Dr_NiL,
А как ты это трафик руле прописал?
Я имею ввиду какое по порядку (выше нат рулеса?) и как писать интерфейс каой на куда? У меня флашгет такую фи пишет "HTTP/1.1 416 Requested Range Not Satisfiable"
и после резюма больше не качает.
Кстати еле нашел где этот Протокол инспектор Default стоит.
Мля, не программа ребус какой то... но интересно кто кого.

Winroute 4.2.5 у меня скачивал почту с 9 почтовых ящиков, и раскидывал по всем компам локалки взависимости от правил.
А как это сделать в KWF 5.0.2 ???
По хелпам не нашел...

Поставь дополнительно Kerio MailServer, в 5-ом Winroute встроенного почтовика нет

вот совсем идиотский вопрос:
есть адрес http://www.xxx.xxx.com с него качабтся файлы *.jpg *.exe
как запретить закачку определенного типа файлов с известного адреса?
Я как делал сначала в добавил адресс в URL group
а потом в http policy создал правило Deny if url is in URL group - нифига качают
сделал напрямую в http policy создал правило Deny if url begin with - нифига качают
traffic policy создал правило
from any to http://www.xxx.xxx.com Deny Log connection результат тот же

Прболем =(
На некоторые адреса выдает:
Connection to server xxx.xxx.ru failed (The server is not responding.)

А что такое anti-spoofing ?

Добавлено
Dr_NiL
А у меня работает HTTP policy на скачивание всяких там *.exe *.zip и пр.
в URL group занес по маске
*.exe
*.zip
*.ra?
*.jpg
*.итп :-)
Потом создал HTTP policy, в is in URL group указал эту группу и работает.
При попытке сослаться на одну из масок файлов выдается ошибка.

Evgeny_Sorokin

Цитата:

А у меня работает HTTP policy на скачивание всяких там *.exe *.zip и пр.
в URL group занес по маске
*.exe
*.jpg
*.итп
Потом создал HTTP policy, в is in URL group указал эту группу и работает.
При попытке сослаться на одну из масок файлов выдается ошибка.

Да но ведь енто все будет запрещено для всех URL но вся штука в том, что есть определенное количество URL откуда эти файлы качать можно

Цитата:

Да но ведь енто все будет запрещено для всех URL но вся штука в том, что есть определенное количество URL откуда эти файлы качать можно

Хорошо, может тебе попробовать прописать таким макаром:
http://www.xxx.xxx*.exe
http://www.xxx.xxx*.zip

Добавлено
Можно ли запртетить пользоваться инетом под одним логином на двух компьютерах ?

Очередная версия 5.03
http://download.kerio.cz/dwn/kwf/kerio-kwf-5.0.3-win.exe
http://download.kerio.cz/dwn/kwf/kerio-kwf-mcafee-5.0.3-win.exe

Version 5.0.3 - May 7, 2003
- Interface exclude from firewall sometimes didn't work properly
- More Dial-In clients can now be connected simultaneously
- Fixed line dialing for connections forbidden by traffic policy
- Fixed non-working antivirus after several hours of run
- Fixed possible crash in HTTP protocol handler
- Fixed forwarding of HTTP POST requests to parent proxy
- Fixed occasional dropping of destination NAT connections
- Fixed Cobion "no license" warning message
- Fixed security bug in remote administration
* .pac script now excludes ftp protocol from proxy server
* HTTP cache can now be up to 8GB
* Web titles logged in UTF-8 charset
+ Support for Windows Server 2003
+ FTP antivirus filtering based on filename
+ Customized external commands on dialing events
+ Enhanced content rules settings
+ Ethernet adapter vendor names in DHCP leases
+ Default DHCP options

Проблема с DHCP в KWRF 5.01 .

Успешно поставил KWRF на сервак(Win2000 Server) и не хочет у меня DHCP никак IP раздавать по привязке к MAC'у или Computer name'у а раздает все так, словно я и не резервировал ничего, хотя я делал все как в документации...
Подскажите плз из-за чего это может быть?

Вышла новая dll для Admin-части Kerio WRF
http://download.kerio.cz/dwn/kwf/wradmin_5_0.zip