Ruza
потому как вирусы пролезают всякие да трояны сквозь керио, хотя вроде все там правильно и хорошо настроено
потому как вирусы пролезают всякие да трояны сквозь керио, хотя вроде все там правильно и хорошо настроено
» Kerio WinRoute Firewall (часть 3)
Скажите пожалуйста. Вообщем такая загвоздка. Есть два интернет провайдера. Один через одну сетевую с адресом 192,168,84,2 и второй провайдер через впн подключение 10.3.3.10. Мне нужно в керио зделать правила следующего содержания.
нттп трафик через 192,168,84,2
а нат раздавать через 10,3,3,10.
(Цель в том что бы разбрасать нагрузку, один канал 512 безлимит, а второй 256)
Есть идеи? Или я неправильно сформулировал. Если что поправлюсь.
нттп трафик через 192,168,84,2
а нат раздавать через 10,3,3,10.
(Цель в том что бы разбрасать нагрузку, один канал 512 безлимит, а второй 256)
Есть идеи? Или я неправильно сформулировал. Если что поправлюсь.
alexmats
Ну так!!! KIS это никак не серверная примочка так что думаю на локальных машинах крпоративный антивирус и будет всё ОК.
Garik_Lugansk
А что мешает? Или как плохому танцору?
правило 1
Локалка ANY HTTP/HTTPS/FTP nat to интерфейс1
правило 2
Локалка ANY ANY nat to интерфейс 2
Ну так!!! KIS это никак не серверная примочка так что думаю на локальных машинах крпоративный антивирус и будет всё ОК.
Garik_Lugansk
А что мешает? Или как плохому танцору?
правило 1
Локалка ANY HTTP/HTTPS/FTP nat to интерфейс1
правило 2
Локалка ANY ANY nat to интерфейс 2
Ruza
А в том дело что у меня HTTP/HTTPS/FTP не через нат идёт на клиентов, а через прокси. Мне так удобнее закрывать доступ когда нет сеанса с интернетом.
И можно подробнее с правилами, а то я ещё не очень силён в керио.
А в том дело что у меня HTTP/HTTPS/FTP не через нат идёт на клиентов, а через прокси. Мне так удобнее закрывать доступ когда нет сеанса с интернетом.
И можно подробнее с правилами, а то я ещё не очень силён в керио.
поставил Kerio 6.3.1 , все работает нормально, вот только вопрос - в Статистике Керио трафик на пользователя виден, а если щелкнуть на InternetUsageStatistic - то там трафика нет. Что-то не так настроено? Причем спустя некоторое время врорде там трафик появляется.
И общий вопрос, если Керио работает в режиме прокси сервера, чем лучше (удобнее и точнее) анализировать его трафик(кто сколько и откуда скачал) -
1. Встроенным средством InternetUsageStatistic
2. Proxyinspector for winroute
3. Internet Access Monitor
И общий вопрос, если Керио работает в режиме прокси сервера, чем лучше (удобнее и точнее) анализировать его трафик(кто сколько и откуда скачал) -
1. Встроенным средством InternetUsageStatistic
2. Proxyinspector for winroute
3. Internet Access Monitor
Всем здрасьте, подскажите как в кейре убрать из логов свои похождения в инете? Я имею в виду админа. Сохранят и редактировать логи этож полная жопа.
И второй вопрас, недавно при старте фаера стало вылазить ват эта херь:
"(2007) Please note that this computer program is protected by copyright law
and international treaties. Unauthorized use of this program, may result
in severe civil and criminal penalties, and will be prosecuted to
the maximum extent possible under the law."
что это и как это отключить? Надеюсь ктонибудь поможет.
И второй вопрас, недавно при старте фаера стало вылазить ват эта херь:
"(2007) Please note that this computer program is protected by copyright law
and international treaties. Unauthorized use of this program, may result
in severe civil and criminal penalties, and will be prosecuted to
the maximum extent possible under the law."
что это и как это отключить? Надеюсь ктонибудь поможет.
Не получается запустить Skype в режиме Skypecast через машину с Kerio WinRoute Firewall (6.3.1 build 2906).
Разговор один-на-один работает, а Skypecase режется. При этом в security логе пишется такое:
[22/Aug/2007 13:27:55] HTTP: Non-ASCII bytes detected in HTTP request: client: 192.168.0.4, server: 63.209.144.222
Как решить?
Разговор один-на-один работает, а Skypecase режется. При этом в security логе пишется такое:
[22/Aug/2007 13:27:55] HTTP: Non-ASCII bytes detected in HTTP request: client: 192.168.0.4, server: 63.209.144.222
Как решить?
serjei
Цитата:
Все что тебе надо - Google. Инфы куча.
Добавлено:
Цитата:
Здается мне по другому никак. Если токо логи не писать, но тогда отчетность будет кривая.
Цитата:
И второй вопрас, недавно при старте фаера стало вылазить ват эта херь:
Все что тебе надо - Google. Инфы куча.
Добавлено:
Цитата:
Сохранят и редактировать логи этож полная жопа.
Здается мне по другому никак. Если токо логи не писать, но тогда отчетность будет кривая.
Помогите кто-нить, пжлста!
Не работает NTLM аутентификация. Стоит WinRoute 6.3.0. Комп, на котором стоит winroute, входит в домен. юзвери, входящие в домен, нормально отображаются в консоли управления. Установлена галки:
1. Enable user authentication automatically performed by Web browser
2. Map user accounts from Active Directory...
3. Enable Windows NT domain authentication for this domain
Правила такие:
КАРТИНКА
На контроллере домена стоит win2003 r2 sp2. Стоит максимальный функциональный уровень "Windows Server 2003". Браузеры IE (даже пробовал ставить галку "Автоматический вход в сеть с текущим именем пользователя и паролем" - не помогло).
Вот если при такой конфигурации кто-то из доменных юзверей заходт на какой-нить сайт, то в "Active Hosts" не отображаются имена юзверей и не идёт никакая статистика. Но странички открываются.
Если же установить галку "Always require users to be authenticated when accessing web pages", то юзвери не могут выходить в интернет, вывыливается окно авторизации winroute. Причём даже когда вводишь правильные логин и пароль, окно назойливо вылазит опять! Но если зайти, например, на страничку статистики и ввести имя и логин - то всё нормалёк. Потом можно открывать другие окна IE, автоматически под учёткой с которой заходил на страничку статистики WinRoute.
Для лучшего понимания траблы
: Похоже на ЭТО (второй абзац)
Кто виноват и что делать?! Подскажите, пожалуйста!
Не работает NTLM аутентификация. Стоит WinRoute 6.3.0. Комп, на котором стоит winroute, входит в домен. юзвери, входящие в домен, нормально отображаются в консоли управления. Установлена галки:
1. Enable user authentication automatically performed by Web browser
2. Map user accounts from Active Directory...
3. Enable Windows NT domain authentication for this domain
Правила такие:
КАРТИНКА
На контроллере домена стоит win2003 r2 sp2. Стоит максимальный функциональный уровень "Windows Server 2003". Браузеры IE (даже пробовал ставить галку "Автоматический вход в сеть с текущим именем пользователя и паролем" - не помогло).
Вот если при такой конфигурации кто-то из доменных юзверей заходт на какой-нить сайт, то в "Active Hosts" не отображаются имена юзверей и не идёт никакая статистика. Но странички открываются.
Если же установить галку "Always require users to be authenticated when accessing web pages", то юзвери не могут выходить в интернет, вывыливается окно авторизации winroute. Причём даже когда вводишь правильные логин и пароль, окно назойливо вылазит опять! Но если зайти, например, на страничку статистики и ввести имя и логин - то всё нормалёк. Потом можно открывать другие окна IE, автоматически под учёткой с которой заходил на страничку статистики WinRoute.
Для лучшего понимания траблы
: Похоже на ЭТО (второй абзац) Кто виноват и что делать?! Подскажите, пожалуйста!
niichavo
Потратив 3-ое суток, изучив кучу инфы и прочитав этот топик почти полностью, убедился что у KWF проблемы с юзерами не излечимы. У меня лично было так, что иногда юзеры авторизуются нормально, в другой раз только некоторые из них, потом почти вообще никто. При этом трафик полиси не меняются.
Вывод - если все вроде правильно, но корректно с юзерами не работает KWF - забиваем на юзеров. По IP авторизация в частности проходит без проблем.
Потратив 3-ое суток, изучив кучу инфы и прочитав этот топик почти полностью, убедился что у KWF проблемы с юзерами не излечимы. У меня лично было так, что иногда юзеры авторизуются нормально, в другой раз только некоторые из них, потом почти вообще никто. При этом трафик полиси не меняются.
Вывод - если все вроде правильно, но корректно с юзерами не работает KWF - забиваем на юзеров. По IP авторизация в частности проходит без проблем.
Lovec
Я тож многое читал... Читал руководство. Проверял, шоб первый DNS в "DNS Forwards" был контроллер домена, баловался с галочками в WinRoute. Даже в групповой политике домена и контроллера выставлял "уровень проверки подлинности Lan Manager" в "Отправлять LM и NTLM"... Ничё не помогает! КЮ!
А счастье казалось таким близким...
Я тож многое читал... Читал руководство. Проверял, шоб первый DNS в "DNS Forwards" был контроллер домена, баловался с галочками в WinRoute. Даже в групповой политике домена и контроллера выставлял "уровень проверки подлинности Lan Manager" в "Отправлять LM и NTLM"... Ничё не помогает! КЮ!
А счастье казалось таким близким... niichavo, Lovec может быть я не совсем понял в чем суть ваших проблем, но лично у меня авторизация пользователей из Active Directory работает совершенно нормально, без какаих-бы то ни было проблем. Конфингурация сети такова: Два контроллера домена под Windows 2003 SP2 и на отдельном компе Kerio Winroute 6.3.1 тоже под Windows 2003 SP2. Пример настроек: http://rapidshare.com/files/50706424/screen.zip.html Непрозрачный прокси включен. В настройках браузеров пользователей соответственно он прописан. Пользователи нормально авторизуются при первом открытии браузера (никаких окон не выскакивает), отображаются в active hosts, ведется статистика.
Zedd
Мою проблему ты понял . У меня всё точно также как и у тебя, только WinRoute версии 6.3.0 и работает под WinXP Pro SP2 + патчи. Настройки такие же, как я уже упомянул. Я пробовал в полисах в правиле для NAT прописывать пользователей домена, вместо интерфейса, смотрящего в локалку - ноль на массу! Ничего не работает, только окна вываливаются назойливо для авторизации. Что есчо сообщить... Включен непрозрачный прокси, в настройках браузеров прописан IP прокси тож.
Мою проблему ты понял
. У меня всё точно также как и у тебя, только WinRoute версии 6.3.0 и работает под WinXP Pro SP2 + патчи. Настройки такие же, как я уже упомянул. Я пробовал в полисах в правиле для NAT прописывать пользователей домена, вместо интерфейса, смотрящего в локалку - ноль на массу! Ничего не работает, только окна вываливаются назойливо для авторизации. Что есчо сообщить... Включен непрозрачный прокси, в настройках браузеров прописан IP прокси тож. niichavo
Очень странно, у меня дома в местной сети тоже стоит винроут и именно под Windows XP SP2 - никаких проблем. И все шестые версии винроутов я юзал - все также работало. Судя по приложенной тобой картинке мне думается проблема в том, что ты не разрешил http траффик для самого файервола. Попробуй разрешить ему все в первом правиле, как в моем примере.
Очень странно, у меня дома в местной сети тоже стоит винроут и именно под Windows XP SP2 - никаких проблем. И все шестые версии винроутов я юзал - все также работало. Судя по приложенной тобой картинке мне думается проблема в том, что ты не разрешил http траффик для самого файервола. Попробуй разрешить ему все в первом правиле, как в моем примере.
подскажите зеленому где почитать о том, как закрыть доступ на все в winroute, кроме нескольких сайтов одной группе. а вторую пускать без ограничений... а то третий день ничего найти не могу..
поставил Kerio 6.3.1 , все работает нормально, вот только вопрос - в Статистике Керио трафик на пользователя виден, а если щелкнуть на InternetUsageStatistic - то там трафика нет. Что-то не так настроено? Причем спустя некоторое время врорде там трафик появляется.
И общий вопрос, если Керио работает в режиме прокси сервера, чем лучше (удобнее и точнее) анализировать его трафик(кто сколько и откуда скачал) -
1. Встроенным средством InternetUsageStatistic
2. Proxyinspector for winroute
3. Internet Access Monitor
И общий вопрос, если Керио работает в режиме прокси сервера, чем лучше (удобнее и точнее) анализировать его трафик(кто сколько и откуда скачал) -
1. Встроенным средством InternetUsageStatistic
2. Proxyinspector for winroute
3. Internet Access Monitor
dosnav
создаешь дву группы пользваотелей, в http policy прописываешь группу разрешенных адресов, создаешь енаверху праивло, разрешающих данной группе эти сайты, потом парвило запрещающее все этой группе. потом еще приавило разрешающее все второй группе...
создаешь дву группы пользваотелей, в http policy прописываешь группу разрешенных адресов, создаешь енаверху праивло, разрешающих данной группе эти сайты, потом парвило запрещающее все этой группе. потом еще приавило разрешающее все второй группе...
dosnav
Это возможно организовать с помощью URL Rules и URL Groups. В URL Groups создаешь нужную группу сайтов, в которой и перечисляешь все сайты, на которые будет разрешен доступ первой группе пользователей. В URL Rules создаешь правило: для выбранных пользователей разрешать доступ к созданной тобой группе сайтов. Затем создаешь еще одно правило - для этих же пользователей запретить все. Правила должны идти по указанному порядку! Все - перечисленные пользователи будут иметь доступ только к прописанной группе сайтов, остальные - куда угодно. Даа, чтобы все это работало, необходимо включить непрозрачный прокси и включить авторизацию на нем.
Это возможно организовать с помощью URL Rules и URL Groups. В URL Groups создаешь нужную группу сайтов, в которой и перечисляешь все сайты, на которые будет разрешен доступ первой группе пользователей. В URL Rules создаешь правило: для выбранных пользователей разрешать доступ к созданной тобой группе сайтов. Затем создаешь еще одно правило - для этих же пользователей запретить все. Правила должны идти по указанному порядку! Все - перечисленные пользователи будут иметь доступ только к прописанной группе сайтов, остальные - куда угодно. Даа, чтобы все это работало, необходимо включить непрозрачный прокси и включить авторизацию на нем.
народ, подскажите плз такую весч))
internet usage statistic - где оно храниццо?)
меняю работу, не удобно будет, если увидят, что на первом месте в моих посещенных сайтах - огама, на втором травиан, следом фишки и башорг))
перерыл все файлики, не могу найти)
internet usage statistic - где оно храниццо?)
меняю работу, не удобно будет, если увидят, что на первом месте в моих посещенных сайтах - огама, на втором травиан, следом фишки и башорг))
перерыл все файлики, не могу найти)
сотри нафиг все логи и все...
да фиг там) логи удалил, статистика осталась) ессно ребутил )
подскажите плиз!
w2003 server + dns
стоит керио 4.2.5.
на нем поднят прокси через 3128 порт.
на серваке так же стоит радмин.
кучу времени убил прежде чем понял , что извне не залезть радмином на сервак из-за того, что запущен winroute. никаких правил в нем небыло по поводу запрета radmina или чего то подобного.
если выгрузить винроут доступ сразу появляется.
в ручную прописываю правило
на внешнем интерфейсе на входящее соединение разрешить доступ с любого адреса/любого порта на
айпишник сервака порт 4899 (стандартный радмин)
нифига не работает
пытаюсь запретить доступ к вебу на 80 порт.
все делаю как в мануале
разрешаю исходящее соединение для айпи сервака на любой адрес 80 порт.
для всех остальных исходящих на 80 порт запрет
все равно можно вылезти и нифига не работает
единственное правило для фаервола которое работает это
запретить TCP отовсюду для всех
мож кто подскажет как так?
w2003 server + dns
стоит керио 4.2.5.
на нем поднят прокси через 3128 порт.
на серваке так же стоит радмин.
кучу времени убил прежде чем понял , что извне не залезть радмином на сервак из-за того, что запущен winroute. никаких правил в нем небыло по поводу запрета radmina или чего то подобного.
если выгрузить винроут доступ сразу появляется.
в ручную прописываю правило
на внешнем интерфейсе на входящее соединение разрешить доступ с любого адреса/любого порта на
айпишник сервака порт 4899 (стандартный радмин)
нифига не работает
пытаюсь запретить доступ к вебу на 80 порт.
все делаю как в мануале
разрешаю исходящее соединение для айпи сервака на любой адрес 80 порт.
для всех остальных исходящих на 80 порт запрет
все равно можно вылезти и нифига не работает
единственное правило для фаервола которое работает это
запретить TCP отовсюду для всех
мож кто подскажет как так?
DieAleX
сначала сделай правила с помощью мастера. экономит кучу времени.
потом на второе - или третье место ставь правило rdp.
в нем:
source - ip клиента
destination - ip сервера (firewall-host)
службу ставь r-admin
ну и разрешить, у меня PI включен - все работает. смотри чтоб на первом месте стоял локальный траф.
сначала сделай правила с помощью мастера. экономит кучу времени.
потом на второе - или третье место ставь правило rdp.
в нем:
source - ip клиента
destination - ip сервера (firewall-host)
службу ставь r-admin
ну и разрешить, у меня PI включен - все работает. смотри чтоб на первом месте стоял локальный траф.
Всем привет. такая ситуация - имеется опотволоконное соединение результатом которого является витая пара вставляется в сетевуху сервака. По этому оптоволокну тичет инет, выделяется 4 внешних ип адреса. Задача такая: 1 ип адрес - для распределения интернета через керио нат в сеть. Остальные 3 ип используются для поднятия впн разными организациями, используя аппаратные средства. Как используя керио сделать так, чтобы получать статистику по этим оставшимся трем ип? тоесть например для одной организации по одному из ип может быть максимально 1 гб траффика. Сейчас сделано все дебильно - никакой статистики/ограничений нет. витая пара из оптоволокна идет в коммутатор. оттуда 4 провода. один в сервак - жругие в аппаратные впн. Подскажите, кто сталкивался.
DieAleX
Цитата:
ИМХО такую версию давно пора обновить
сделай такое правило, как fistushechka подсказывает, не поможет - выкладывай скрин Traffic policy
Цитата:
стоит керио 4.2.5.
ИМХО такую версию давно пора обновить
сделай такое правило, как fistushechka подсказывает, не поможет - выкладывай скрин Traffic policy
ВСЕМ, у кого не работает NTLM аутентификация, а настройки правильные
В результате экспериментов, я выяснил, что связано это с русскими именами пользователей! Причём не столько с именами, сколько с комбинацией: английский windows server 2003, который является контроллером домена + русские символы в учётных записях типа "Вася@domain.local". Вот при такой комбинации (а у меня именно такая) NTLM аутентификация не работает! Если же открывать интернет-странички под "английскими" учётными записями (например, "administrator@domain.local" или "test@domain.local"), то всё работает. У тебя, Zedd, как я понял именно "русский" контроллер домена?
В результате экспериментов, я выяснил, что связано это с русскими именами пользователей! Причём не столько с именами, сколько с комбинацией: английский windows server 2003, который является контроллером домена + русские символы в учётных записях типа "Вася@domain.local". Вот при такой комбинации (а у меня именно такая) NTLM аутентификация не работает! Если же открывать интернет-странички под "английскими" учётными записями (например, "administrator@domain.local" или "test@domain.local"), то всё работает. У тебя, Zedd, как я понял именно "русский" контроллер домена?
niichavo
Ну вообще-то в топике уже не раз об этом говорили, хотя всё равно молодец, что напомнил Откуда только взялась эта дурная привычка: давать имена кириллицей пользователям, компам, папкам...
Ну вообще-то в топике уже не раз об этом говорили, хотя всё равно молодец, что напомнил
Откуда только взялась эта дурная привычка: давать имена кириллицей пользователям, компам, папкам...andrejvb
Цитата:
Пользователям ведь проще набирать при входе в систему "Инокентий", чем "Inokenty" или "Inokentiy" или ...
Цитата:
Откуда только взялась эта дурная привычка: давать имена кириллицей пользователям, компам, папкам...
Пользователям ведь проще набирать при входе в систему "Инокентий", чем "Inokenty" или "Inokentiy" или ...
fistushechka
визарда в этой версии нету
aljd
фаервол вроде как пашет
т.е я для примера добавляю строку
Drop TCP Clients ports>1024 -> Any Host Port 5190
и аська умирает
а вот если добаляю правило для радмина на входящее соединение для инет интерфейса
Permit TCP ip_клиента ports>1024 -> ip сервака Port 4899
ставлю чтобы он лог писал
в логе при попытке коннекта пишет
[24/Aug/2007 14:12:43] Packet filter: ACL 2:0 inet 3com: permit packet in id=5236811 : TCP айпи клиента:1189 -> айпи роутера:4899
но радмин не коннектится
мляяяяя
визарда в этой версии нету
aljd
фаервол вроде как пашет
т.е я для примера добавляю строку
Drop TCP Clients ports>1024 -> Any Host Port 5190
и аська умирает
а вот если добаляю правило для радмина на входящее соединение для инет интерфейса
Permit TCP ip_клиента ports>1024 -> ip сервака Port 4899
ставлю чтобы он лог писал
в логе при попытке коннекта пишет
[24/Aug/2007 14:12:43] Packet filter: ACL 2:0 inet 3com: permit packet in id=5236811 : TCP айпи клиента:1189 -> айпи роутера:4899
но радмин не коннектится
мляяяяя
Народ, помогите решить проблему:
При обновлении Kerio Winrote Firewall с версии 6.2.1 (build 1454) до версии 6.3.1 (build 2906) произошел сбой, пришлось перезагрузить компьютор, и устанавливать WinRout заново, при этом вся база с никами и статистикой потерялась.
Как её можно восстановить, и можно-ли вообще?
Буду очень благодарен за помощь.
При обновлении Kerio Winrote Firewall с версии 6.2.1 (build 1454) до версии 6.3.1 (build 2906) произошел сбой, пришлось перезагрузить компьютор, и устанавливать WinRout заново, при этом вся база с никами и статистикой потерялась.
Как её можно восстановить, и можно-ли вообще?
Буду очень благодарен за помощь.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788
Предыдущая тема: Не расшариваются SYSVOL и NETLOGON
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.