shurupes
эээ чего?
» Kerio WinRoute Firewall (часть 3)
shurupes
эээ чего?
Если вписать ip сайта то всё нормально, а если его доменное имя то ничего не грузиться
shurupes
могу ошибаться, но такое ощущение, что в керио, в днс форвард, не вписаны днс прова...
могу ошибаться, но такое ощущение, что в керио, в днс форвард, не вписаны днс прова...
shurupes
DNS, не сопоставил с IP
где стоит домен? кто прописвает для него NS сервера.
Браузер ---> www.pupkin.ru ----> RIPN (назначенный и определение NS) ---->ns1.provader.net ----> 88.88.88.88 (свой сервер)
Хде то застряли
Браузер ---> 88.88.88.88 (свой сервер)
ахтунг работает! ааа как теперь заставить всё это набирать юзверям ))))
Добавлено:
ВОПРОС У МЕНЯ!-----
На карте 2 IP - адаптер 1
10.10.10.10
10.10.10.11
один поток идёт по 10.10.10.10 по стандарту метрики
как разрулить чтобы как нибудь можно было пойти по 10.10.10.11
например сервиса http чтобы можно было зайти на сайт ОПРЕДЕЛЁННЫЙ с разных IP
тыкался с ПОРТ маппинг не получилось... не хочет работать...
DNS, не сопоставил с IP
где стоит домен? кто прописвает для него NS сервера.
Браузер ---> www.pupkin.ru ----> RIPN (назначенный и определение NS) ---->ns1.provader.net ----> 88.88.88.88 (свой сервер)
Хде то застряли
Браузер ---> 88.88.88.88 (свой сервер)
ахтунг работает! ааа как теперь заставить всё это набирать юзверям ))))
Добавлено:
ВОПРОС У МЕНЯ!-----
На карте 2 IP - адаптер 1
10.10.10.10
10.10.10.11
один поток идёт по 10.10.10.10 по стандарту метрики
как разрулить чтобы как нибудь можно было пойти по 10.10.10.11
например сервиса http чтобы можно было зайти на сайт ОПРЕДЕЛЁННЫЙ с разных IP
тыкался с ПОРТ маппинг не получилось... не хочет работать...
Вопрос устанавливаю Skype в офисе, в FAQ по skype написано
исходящие UDP соединения для портов больше 1024 и позволите UDP запросам возвращаться
Можно узнать, как открыть любые UDP и опасно ли это?
Добавлено:
И еще можно ли задать TCP не точным портом а диапазоном?
исходящие UDP соединения для портов больше 1024 и позволите UDP запросам возвращаться
Можно узнать, как открыть любые UDP и опасно ли это?
Добавлено:
И еще можно ли задать TCP не точным портом а диапазоном?
Вопрос: может кто сталкивался с плохими пакетами и знает откуда они берутся?
Лог фильтра переполнен записями вида:
DROP packet with bad format from Internet, proto:17, len:129, ip:.... -> ..., plen:109
Доп.инфо: несколько винроутов KWF 6.2.3 (все лицензионные) объединены VPN-ом. Плохие пакеты принимаются только с одного файрвола. Переинсталяция серверов не помогла. Вирусов не обнаржено. От интернет-провайдера, от модемов - не зависит (при перезде на новый офис ситуация не изменилась).
Лог фильтра переполнен записями вида:
DROP packet with bad format from Internet, proto:17, len:129, ip:.... -> ..., plen:109
Доп.инфо: несколько винроутов KWF 6.2.3 (все лицензионные) объединены VPN-ом. Плохие пакеты принимаются только с одного файрвола. Переинсталяция серверов не помогла. Вирусов не обнаржено. От интернет-провайдера, от модемов - не зависит (при перезде на новый офис ситуация не изменилась).
Добрый день,
хочется решить вот такую задачу,
на локальной машине с одной физической сетевой картой с IP 192.168.1.233
должно быть запущено несколько сервисов, которые должны быть реально на другиг
машинах в сети с другими IP.
но хочется чтобы моя локальная машина при обращении например
порту 25000 ip 172.31.1.31 реально к localhost:30000, а при соединении с
портом 25000 ip 172.31.1.33 реально к localhost:30001,
как подменить ip нашел - с помощью ms loopback adapter,
а вот подменять порты думал с помощью kerio,
так как этот продукт наиболее близок
но вчерашние эксперименты потерпели крах
возможно ли в керио настроить такую конфигурацию?
если да то приведите пример возможных конфигураций
прочитал почти уже все, но ни как не нашел, может из-за такого кол-ва стр. и не заметил, короче в голове каша
---------------------------
ВОПРОС:
как можно пользователю запретить заходить на все сайты кроме допустим mail.ru
Т.е закрыть доступ всего кроме одного сайта
---------------------------
ВОПРОС:
как можно пользователю запретить заходить на все сайты кроме допустим mail.ru
Т.е закрыть доступ всего кроме одного сайта
serzzz
В "http policy" это делается. Создаешь 2 правила - первым (выше по списку) разрешаешь пользователю заход на mail.ru; Вторым - запрещаешь пользователю заход куда-либо. Верхнее имеет приоритет.
В "http policy" это делается. Создаешь 2 правила - первым (выше по списку) разрешаешь пользователю заход на mail.ru; Вторым - запрещаешь пользователю заход куда-либо. Верхнее имеет приоритет.
Цитата:
прочитал почти уже все, но ни как не нашел,
вероятно все, кроме документации?
подсеть mail.ru - разрешить
все остальное - запретить
crapaud
СПАСИБО!!!!!!
я по ошибке сделал всё в Traffic policy
еще раз примного БЛАГОДАРЕН!!!!
СПАСИБО!!!!!!
я по ошибке сделал всё в Traffic policy
еще раз примного БЛАГОДАРЕН!!!!
можно и в трафик полиси так сделать
LAN - > 194.67.57.126 (НАТ)
и всё...
LAN - > 194.67.57.126 (НАТ)
и всё...
Не устанавливается WinRoute Firewall 6.4.0 - ERROR 28202. Failed to install KWR driver... Помогите кто знает в чем проблема
Vadimka_DDD
Драйвер не имеет цифровой подписи.
Посмотри в настройках разрешено ли ставить такие драйвера.
Драйвер не имеет цифровой подписи.
Посмотри в настройках разрешено ли ставить такие драйвера.
Ruza
Цитата:
"Предупреждать-каждый раз предлагать выбор действия" - я разрешаю
Добавлено:
Я так понимаю КВФ не может изменить настройки в сетевых подключениях...
Цитата:
Посмотри в настройках разрешено ли ставить такие драйвера.
"Предупреждать-каждый раз предлагать выбор действия" - я разрешаю
Добавлено:
Я так понимаю КВФ не может изменить настройки в сетевых подключениях...
цитата нашёл в ветке, так и не разобрались
Что любопытно, данная ошибка стала появляться после установки некоторых обновлений винды. До обновления винды установка кери проходила чисто.
Что любопытно, данная ошибка стала появляться после установки некоторых обновлений винды. До обновления винды установка кери проходила чисто.
ArmAngel
Цитата:
Так оно и есть Вот узнать бы какая КВ-шка это мутить...
Цитата:
Что любопытно, данная ошибка стала появляться после установки некоторых обновлений винды. До обновления винды установка кери проходила чисто.
Так оно и есть
Вот узнать бы какая КВ-шка это мутить...Добрый день. Работаю с керио уже довольно давно, но тут попал в ступор. На машине с W2003 стоит связка KWF и KMS. В KWF в полиси (инет-локалка) разрешены POP3, SMTP и заодно открыл 110-й и 25-й порты. В "локалка-локалка" разрешено все. Так вот - при работе через почтовый клиент "снаружи" все нормально. Если настраиваю почтовик внутри локальной сети - не коннектится он с KMS и все!!! Внутри локалки уже и файер отключал - не помогает.
Цитата:
Если настраиваю почтовик внутри локальной сети
почтовик - следует понимать как клиента почтового?
а телнетом проходит подключение? у вообще инфы маловато - что пишет, какая ошибка..
Да, почтовый клиент. Для простоты пользуюсь OE. Телнетом подключение по 25-му порту есть (220 mail.company.ru Kerip MailServer 6.4.1). По 110-му - тоже (POP3 server ready).
А при попытке получить почту через ОЕ выдает "Пароль не принят". ПАРОЛЬ и ЛОГИН верные!!! Так же было, когда в Traffic Policy не были открыты TCP 25 и 110. Открыл - снаружи заработало.
А при попытке получить почту через ОЕ выдает "Пароль не принят". ПАРОЛЬ и ЛОГИН верные!!! Так же было, когда в Traffic Policy не были открыты TCP 25 и 110. Открыл - снаружи заработало.
VovikK
если соединение проходит, а телнетом еще и войти в ящик конкретный получается с теми же учетными данными, то ничего нового, как смотреть настройки клиента не остается.
может ip прописать в клиенте вместо dns имени или способ аутентификации поменять?
если соединение проходит, а телнетом еще и войти в ящик конкретный получается с теми же учетными данными, то ничего нового, как смотреть настройки клиента не остается.
может ip прописать в клиенте вместо dns имени или способ аутентификации поменять?
В клиенте прописаны IP. Настройки абсолютно идентичные, что на "внешнем" компе, что на "внутреннем". Пробовал как внешний IP ставить, так и внутренний (DNS тоже пробовал) - результат одинаковый.
VovikK
понятно, что ничего не понятно. Вообщем и сам прекрасно понимаешь, что если с одной рабочей станции одна клиентская программа успешно подключается, а другая с теми же настройками(учетными данными) - нет, - то никаких разговоров о работе сервера(что почтового, что днс, что файера - как клиентского , так и серверного) возникать не должно, - речь может идти только о настройках конкретного клиента. Может еще один клиент попробовать (thebat например)?
понятно, что ничего не понятно. Вообщем и сам прекрасно понимаешь, что если с одной рабочей станции одна клиентская программа успешно подключается, а другая с теми же настройками(учетными данными) - нет, - то никаких разговоров о работе сервера(что почтового, что днс, что файера - как клиентского , так и серверного) возникать не должно, - речь может идти только о настройках конкретного клиента. Может еще один клиент попробовать (thebat например)?
Да сам уже голову сломал. Ладно, буду думать. Спасибо.
P.S. Попробую тот же вопрос в ветке по KMS задать - может, в его настройках что...
P.S. Попробую тот же вопрос в ветке по KMS задать - может, в его настройках что...
Подскажите пожалуйста!
Можно перенести WinroutePro 4.2.5 на другой комп с сохранением настроек?Спасибо.
Можно перенести WinroutePro 4.2.5 на другой комп с сохранением настроек?Спасибо.
Kerio 6.4.0.3176
Задача такая, чтоб пользователь вынужден был всегда авторизироваться на http сессию (т.е. как только откроет броузер и пока не закроет). Для этого в керио стоит соответствующая галка в параметрах авторизации - распространяется только на непрозрачный прокси-сервер, но не NAT. Соответственно все клиенты настроены на выход через непрозрачный прокси-сервер (керио). И в траффик полиси в керио соответствующие правила. Короче все работает, http трафик ходит после авторизации.
Проблема в том, что в этом случае керио не регистрирует пользователя у себя как такового (через NAT не пропустит), но главное он не ведет никакой встроенной статистики по пользователям, все списывает как на невошедшего в систему. (нахрена тогда ему авторизация?) Но логи пишет корректно, во внешнем анализаторе логов все корректно разбросано по пользователям.
Есть мнения как это побороть? Или я где-то недопонимаю, хотя с керио уже много лет. Просто вот обновил на свежую версию, а желаемого не получил.
Ну и конфиг:
HTTP Policy: ничего нет.
Traffic Policy примерно такие:
===
local traffic | LAN,FIREWALL | LAN,FIREWALL | ANY | ALLOW
firewall traffic | FIREWALL | INTERNET | ANY | ALLOW
default rule | INTERNET | FIREWALL | ANY | DENY
===
Опции аутентификации:
- Всегда когда к вебу
- Принудительно на непрозрачном прокси
непрозрачный прокси включен.
Задача такая, чтоб пользователь вынужден был всегда авторизироваться на http сессию (т.е. как только откроет броузер и пока не закроет). Для этого в керио стоит соответствующая галка в параметрах авторизации - распространяется только на непрозрачный прокси-сервер, но не NAT. Соответственно все клиенты настроены на выход через непрозрачный прокси-сервер (керио). И в траффик полиси в керио соответствующие правила. Короче все работает, http трафик ходит после авторизации.
Проблема в том, что в этом случае керио не регистрирует пользователя у себя как такового (через NAT не пропустит), но главное он не ведет никакой встроенной статистики по пользователям, все списывает как на невошедшего в систему. (нахрена тогда ему авторизация?) Но логи пишет корректно, во внешнем анализаторе логов все корректно разбросано по пользователям.
Есть мнения как это побороть? Или я где-то недопонимаю, хотя с керио уже много лет. Просто вот обновил на свежую версию, а желаемого не получил.
Ну и конфиг:
HTTP Policy: ничего нет.
Traffic Policy примерно такие:
===
local traffic | LAN,FIREWALL | LAN,FIREWALL | ANY | ALLOW
firewall traffic | FIREWALL | INTERNET | ANY | ALLOW
default rule | INTERNET | FIREWALL | ANY | DENY
===
Опции аутентификации:
- Всегда когда к вебу
- Принудительно на непрозрачном прокси
непрозрачный прокси включен.
Antonioru
читаем официальную доку:
правда по-английски...
кратко суть: устанавливаешь винрут на новый комп, останавливаешь службу и подменяешь все файлы с логами\настройками на старые и меняешь в winroute.cfg идентификатор сетевушки(или сетевушек) на новые, подсмотренные в "новом" winroute.cfg
читаем официальную доку:
правда по-английски...
кратко суть: устанавливаешь винрут на новый комп, останавливаешь службу и подменяешь все файлы с логами\настройками на старые и меняешь в winroute.cfg идентификатор сетевушки(или сетевушек) на новые, подсмотренные в "новом" winroute.cfg
Никто не сталкивался?
Сейчас это у меня происходит.
шлюз на w2k3 sp2, kerio 6.4.0 с таблеткой SSG,
все работало нормально дней 12.
ни с того ни с сего начались дикие тормоза.
winroute.exe 93% времени, остальное system 7% примерно в таком раскладе.
трафик бегает нормально между vpn-сединениями до др. офисов, но из локалки в инет не пускает, так как не выдается запроса на авторизацию, керио занят.
что нибудь посоветуете?
Сейчас это у меня происходит.
шлюз на w2k3 sp2, kerio 6.4.0 с таблеткой SSG,
все работало нормально дней 12.
ни с того ни с сего начались дикие тормоза.
winroute.exe 93% времени, остальное system 7% примерно в таком раскладе.
трафик бегает нормально между vpn-сединениями до др. офисов, но из локалки в инет не пускает, так как не выдается запроса на авторизацию, керио занят.
что нибудь посоветуете?
Enable
Я тоже парился этой проблемой. Несколько раз просил помощи у коллег здесь - бес толку! Выключил непрозрачный прокси на фиг. Теперь все пучком. Пишутся и почти правильно считаются статистики (почти, потому что все равно за неделю на невошедшего стекает около 2-3 мег, но это мелочи по сравнению с тем что раньше все на него текло). Юзвери логинятся при открытии браузера. Авторазлогинивание поставил 5 минут. В основном хватает, чтобы следующий подошедший логинился заново. Поначалу цвиринчали юзвери, что мол за сеанс перелогиниваться нужно - послал! Сейчас нормально. К сожалению, другого (нормального, легального) пути не нашел. Подозреваю, что просто Керива умеет пока этого.
Я тоже парился этой проблемой. Несколько раз просил помощи у коллег здесь - бес толку! Выключил непрозрачный прокси на фиг. Теперь все пучком. Пишутся и почти правильно считаются статистики (почти, потому что все равно за неделю на невошедшего стекает около 2-3 мег, но это мелочи по сравнению с тем что раньше все на него текло). Юзвери логинятся при открытии браузера. Авторазлогинивание поставил 5 минут. В основном хватает, чтобы следующий подошедший логинился заново. Поначалу цвиринчали юзвери, что мол за сеанс перелогиниваться нужно - послал! Сейчас нормально. К сожалению, другого (нормального, легального) пути не нашел. Подозреваю, что просто Керива умеет пока этого.
Enable
Кто сказал что на нат нету авторизации? а поставить
Аутификайтед юзерс -> INTERNET (NAT)
кто мешает?
ВЫШЕ ветку смотри! я там писал уже.
А авторизацию пользователей делаешь, через http://server:4080
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788
Предыдущая тема: Не расшариваются SYSVOL и NETLOGON
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.