» Kerio WinRoute Firewall (часть 3)

lavren
Проблема в том что не отрабатывают правила в Traffic Policy. Как таким образом запретить доступ клиента например к 1.2.3.4 по порту 1234.

AlOne
Не устраивает тем что есть еще домен в филиале который соединен по VPN и нужно что бы клиенты выходили в инет через прокси в моем домене.

Вот схема работы:
Домен А и домен В соединены между собой по VPN с помощью CISCO А и В соответсвенно. Есть прокси сервер в домене А на котором настроен NAT и через который пользователи выходят в интернет через ту же CISCO А.
Сразу предваряя вопрос почему не поставить прокси в домен В, отвечу что, пользователей там оч. мало и прокси ставить не целесообразно.

ПОлучается что шлюзом по умолчанию там будет CISCO В, через которую пользователи попадают в домен А. А в свойствах браузера можно было бы пропсиать прокси и на этом настройка завершилась.

Может можно пойти другим путем и прописать маршруты до прокси и до сети домена А, и оставить прозрачный прокси?

iartem
Тогда нужно смотреть какие правила у тебя прописаны и каким способом ты запрещаешь доступ!

Вот мои правила (пока в стадии тестирования, поэтому правила для групп пользователей могут быть "странными"):

У меня проблема, помогите пожалуйста!

Моя машина подключена к АДСЛ-модему и локалке. Керио 6.2.2 настроен как прокси и через меня локальные компы выходят в инет. Проблема в том что через интернет-браузер я не могу отправить письмо на www.mail.ru, страница просто не обновляется когда я нажимаю на кнопку "Отправить", с некстмайла и яндекса почта уходит нормально... причем читать почту можно, а именно отправить нельзя... И что самое интересное при включенном Керио такая проблема и на моей машине, хотя она работает напрямую...

Clayman2007
Настройки Kerio (Traffic Policy и HTTP Policy) в студию!

Добавлено:
Еще один вопрос. В логе Filter ничего по этому поводу нет?

Traffic Policy
http://ipicture.ru/uploads/080118/6i6Qr3chei.jpg

HTTP Policy
http://ipicture.ru/uploads/080118/31a1Wr01p2.jpg

В HTTP Policy убраны все галочки кроме как на вкладке Прокси Сервер

В логах ничего нет

iartem
Создаешь правило которое запрещает перед правилом которое разрешает выход в инет через НАТ.
Препустим после правила ISS OrangeWeb Filter.
Name: NoAccess; Source: Admin; Destination: mail.ru; Service: Any; Action: Drop.
Проверь!

ЗЫ: Если хочеш запретить сайт то лутше в Configuration\Content Filtering\HTTP Policy\URL Rules

lavren

Я наверное не правильно объяснил.
Итак.

Что есть:
Есть два филиала и два домена domain1 (192.168.1.0/24) и domain2 (192.168.2.0/24), которые соединены между собой по VPN с помощью CISCO.

Необходимо:
Обеспечить выход пользователей в интерент через прокси (192.168.1.251) в домене Domain1.

Если ставить прозрачный прокси, то для домена Domain1 все работает замечательно, но при этом возникает проблема заставить пользователей домена Domain2 идти в интернет через прокси в Domain1, т.к. у них в качестве шлюза указан CISCO в домене Domian2, да и нельзя указать шлюз с адресом из другой подсети. (Еси я ошибаюсь и можно каким либо образом это организовать, то было бы еще лучше)...

Поэтому решил настроить работу через не-прозрачный прокси, но при этом у меня возникает такая проблема что правило в Traffic Policy отрабатывают исходя из того что адрес источника - это адрес прокси сервера, а не клиента.

Хочу узнать:
1. Можно ли каким то образом заставить пользователей из домена Domain2 ходить в интернет через прозрачный прокси в Domain1?
2. Если первое не возможно то как заставить отрабатывать правила в Traffic Policy исходя из того что адрес источника не есть адрес прокси сервера, а адрес самого клиента.

прикладываю правила Traffic Policy:

lavren
Я не пытаюсь запретить доступ к тому или иному сайту, это я сделал как и Вы предложили в Configuration\Content Filtering\HTTP Policy\URL Rules, я пытаюс ограничить доступ для определнных групп к определнным ресурсам: кому то только HTTP траффик, кому то еще и FTP, а кому то только доступ к 1.2.3.4:1234 и т.д.

iartem
Попробуй такое:
Rule - IPDomain2 - Firewall - Service (какие нужны) - ну дальше там сам выбирай

Clayman2007
А в URL Rules какие-нибудь запрещающие правила есть?

Помогите, пожалуйста, настроить программу.
Выход в локальную сеть через LAN где прописаны:
IP 10.2.17.18
Маска подсети: 255.255.0.0
Основной шлюз: 10.2.0.1
Предпочитаемый DNS – сервер: 83.167.67.2
Альтернативный DNS – сервер: 83.167.68.168
Выход в internet через VPN.
Что нужно и где подкрутить, чтобы программа не ругалась, при подключении к VPN, мол у вас по дефолту указаны два основных шлюза.
Убирал в дополнительных настройках VPN галку – Использовать основной шлюз для удалённой сети. Ошибка пропадает, VPN подключение есть, но странички не открываются.
Заранее благодарен.

alin
А нафига 2 шлюза по умолчанию?
ipconfig /all и route print в студию!!!

Народ, помогите с правилами!
Раньше били группы IP и разным группам раздавался интернет в определенное время суток.
Захотел по группах юзеров раздавать!!! В смысле: на одном и том же компе разные юзера имеют разный инет и на всех компах один и тот самый юзер имеет определенный интернет (определенные протоколы в определенное время).
Переделал правила и пока сам не зайду на страницу авторизации и не авторизируюсь - не пускает в инет. Правила вида:
Source:UserGrup, Destination:Inet, Service:HTTP, Action:Permit, Translation:NAT, Valid on:SameHour.
И правило для авторизации которое стоит первым:
Source:LAN, Destination:Inet, Service:HTTP;HTTPS;KWF WebAdmin;KWF WebAdmin-SSL, Action:Permit, Translation:None, Valid on:Always.

Если ставлю правило: Source:LAN, Destination:Inet, Service:HTTP, Action:Permit, Translation:NAT, Valid on:SameHour - тогда пускает но как тогда разным юзерам разный инет раздавать?

Ruza

Цитата:

А нафига 2 шлюза по умолчанию?
ipconfig /all и route print в студию!!!

[more]VPN - отключен
C:\Documents and Settings\Admin>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Local - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-1C-25-07-2A-61

Coltel - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : 3Com 3C905TX-based Ethernet адаптер (универсальный)
Физический адрес. . . . . . . . . : 00-60-08-C4-0C-E8
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.2.17.18
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . : 10.2.0.1
DNS-серверы . . . . . . . . . . . : 83.167.67.2
83.167.68.168

Boss - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-530T Gigabit Ethernet Adapter
Физический адрес. . . . . . . . . : 00-19-5B-6C-8A-A3
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

C:\Documents and Settings\Admin>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1c 25 07 2a 61 ...... Realtek RTL8139/810x Family Fast Ethernet NIC -Kerio WinRoute Firewall
0x3 ...00 60 08 c4 0c e8 ...... 3Com 3C905TX-based Ethernet рфряЄхЁ (єэштхЁёры№эvщ) - Kerio WinRoute Firewall
0x4 ...00 19 5b 6c 8a a3 ...... D-Link DGE-530T Gigabit Ethernet Adapter - Kerio WinRoute Firewall
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.2.0.1 10.2.17.18 20
10.2.0.0 255.255.0.0 10.2.17.18 10.2.17.18 20
10.2.17.18 255.255.255.255 127.0.0.1 127.0.0.1 20
10.2.11.16 255.255.255.255 10.2.17.18 10.2.17.18 20
10.255.255.255 255.255.255.255 10.2.17.18 10.2.17.18 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 10
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 10
224.0.0.0 240.0.0.0 10.2.17.18 10.2.17.18 20
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 10
255.255.255.255 255.255.255.255 10.2.17.18 10.2.17.18 1
255.255.255.255 255.255.255.255 192.168.0.1 2 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
Основной шлюз: 10.2.0.1
===========================================================================
Постоянные маршруты:
Отсутствует

VPN -включен

C:\Documents and Settings\Admin>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Local - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-1C-25-07-2A-61

Coltel - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : 3Com 3C905TX-based Ethernet адаптер (универсальный)
Физический адрес. . . . . . . . . : 00-60-08-C4-0C-E8
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.2.17.18
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . : 10.2.0.1
DNS-серверы . . . . . . . . . . . : 83.167.67.2
83.167.68.168

Boss - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-530T Gigabit Ethernet Adapter
Физический адрес. . . . . . . . . : 00-19-5B-6C-8A-A3
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

nextOne - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 83.167.75.165
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 83.167.75.165
DNS-серверы . . . . . . . . . . . : 83.167.67.2
83.167.68.168

C:\Documents and Settings\Admin>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1c 25 07 2a 61 ...... Realtek RTL8139/810x Family Fast Ethernet NIC -
Kerio WinRoute Firewall
0x3 ...00 60 08 c4 0c e8 ...... 3Com 3C905TX-based Ethernet рфряЄхЁ (єэштхЁёры№э
√щ) - Kerio WinRoute Firewall
0x4 ...00 19 5b 6c 8a a3 ...... D-Link DGE-530T Gigabit Ethernet Adapter - Kerio
WinRoute Firewall
0xa0006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.2.0.1 10.2.17.18 21
0.0.0.0 0.0.0.0 83.167.73.226 83.167.73.226 1
10.2.0.0 255.255.0.0 10.2.17.18 10.2.17.18 20
10.2.17.18 255.255.255.255 127.0.0.1 127.0.0.1 20
10.2.11.16 255.255.255.255 10.2.17.18 10.2.14.18 20
10.255.255.255 255.255.255.255 10.2.17.18 10.2.17.18 20
83.167.72.1 255.255.255.255 10.2.0.1 10.2.17.18 20
83.167.73.226 255.255.255.255 127.0.0.1 127.0.0.1 50
83.255.255.255 255.255.255.255 83.167.73.226 83.167.73.226 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 10
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 10
224.0.0.0 240.0.0.0 10.2.17.18 10.2.17.18 20
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 10
224.0.0.0 240.0.0.0 83.167.73.226 83.167.73.226 1
255.255.255.255 255.255.255.255 10.2.17.18 10.2.17.18 1
255.255.255.255 255.255.255.255 83.167.73.226 83.167.73.226 1
255.255.255.255 255.255.255.255 192.168.0.1 2 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
Основной шлюз: 83.167.73.226
===========================================================================
Постоянные маршруты:
Отсутствует

C:\Documents and Settings\Admin>[/more]

Здравствуйте. У меня есть одна небольшая проблема при работе с Керио.
Наши бухгалтера используют программу типа Банк-клиент для связи с банком. Данная программа использует порты 9091 9092 443 для связи с банком (получение выписок и отправка платежек). Эти порты я прописал в правиле НАТ (пробовал делать и отдельное правило - результат тот же, делал правило, которое разрешает все этим юзерам - таже ерунда). При запуске и работе в данной программе происходит следующее: программа нормально соединяется с банком, получает все выписки, но при попытке отправить платежки думает 2-3 мин и выдает ошибку (в логах банк-клиента пишется удаленный сервер не отвечает). Если вырубить Керио, то прием и отправка инфы в банк/из банка проходит на ура без каких-то задержек. Если есть у кого какие-то идеи подскажите плиз.
Керио стоит 6.4.0.3519, на W2k3 Enterpize
Правило делал такое:
Локалка (или Юзеры) --- Инет --- 443,9091,9092, HTTPS --- Permit --- Protl Insp (Default)
и такое
Локалка (или Юзеры) --- Инет --- Any --- Permit --- Protocol Insp (Default)
Ставил их ниже и выше НАТ не помогло.
Буду очень признателен за все идеи и предложения.

qpurapo

Цитата:

Ставил их ниже и выше НАТ не помогло

эта фраза не совсем понятна
а если попробовать:
Бух --- Инет --- 443,9091,9092, HTTPS --- Permit --- NAT --- Protl Insp (Default)

Цитата:

Бух --- Инет --- 443,9091,9092, HTTPS --- Permit --- NAT --- Protl Insp (Default)

Так и сделано результат тот же.

Цитата:

эта фраза не совсем понятна

Правила выполняются сверху вниз, поэтому и написал чтобы исключить вариант того что одно правило исключает другое.

Не может быть дело в протокол инспекторе? Может его отрубить в этом правиле?

qpurapo

Цитата:

Может его отрубить в этом правиле?

попытка - не пытка, но по этим портам (за искл https, 443) ничего особенного вр вроде не должен делать.


Добавлено:
может чего не понимаю
правила nat как такого - нет. Трансляцию можно задействовать в куче правил, поэтому какая-то странная формулировка - выше ната, ниже ната

Смотри, у меня так(для Банка Москвы).

(порты 2254 и 9091 для сети и шлюза соответственно)
У меня тоже была проблема. Решилась как-то странно. Не работало, потом бац! и заработало.
Пропиши просто свои правильные порты И на нате И на файерволе.

Спасибо попробую и завтра отпишусь.

Замечена странная весчь. После апдейта с 6.2.3 до 6.4.1 проявился глюк. Использую туннели впн. Так вот при пинге или обращении к хосту с керио на другом конце через туннель - наблюдается полный ступор компа на том конце. Не реагирует на нумлок и тд. Пришлось откатываться на 6.2.3. Поскольку туннель не один, была возможность убедится. От типа ОСи и конфигурации компа это не зависит абсолютно точно.
Думал что в такой ступор вгоняют аппаратные глюки, но когда еще в 2х местах проявилось, понял что керио. Откат это подтвердил.
С нуля не переподнимал ибо до фига настроек и пр. С нуля ставил где не нужен впн - там все ровно вроде. дял себя сделал вывод - продук сыроват, особенно с учетом такого кол-ва новых фич.

День добрый! Стоит Winroute 6.4.1 bild 3519 патченный микстурой от жадности Farby. работало все гуд где-то 15-20 дней, а теперь слетел McAfee. Пакет для обновления McAfee с download.nai.com от Farby был выполнен. Может кто чего знает, чего делать?

TSlimer
Дядя, зачем посты дублировать? Написал в Варезнике и хватит.

per
У меня 6.4.0 стоит на трех шлюзах, поднят VPN, все без тормозов работает.

Прошу прощения, если где не доглядел, но подскажите почему не отображаются диаграммы, смотрел как в IE так и в опере. Статистика есть, пощелкать можно, но диаграм нет, сафсем нет. Подскажите, как исправить?

kpmDragonby
Еще один... Ты сTSlimer не корешок? Один-в-один...

Добрый день! У меня такая проблема на версии Winroute 6.4.1 bild 3519 патченный микстурой от Farby. Созданы пользователи с авторизацией по IP. Объединены в группу UserGroupInet. Хочу прописать правила в трафик полиси так, чтобы в инет пускало только юзеров из группы UserGroupInet. Создаю правило вида: Source:UserGroupInet, Destination:Inet, Service:All, Action:Permit - в инет пользователей не пускает. Если создать правило Source:Local, Destination:Inet, Service:All, Action:Permit все гуд. В чем грабли?

Цитата:

ViktorA

Цитата:

У меня 6.4.0 стоит на трех шлюзах, поднят VPN, все без тормозов работает.

У меня порядка 20 туннелей. Так что проверить было где. При работе с VPN клиентами - все ок. А вот по туннелям косяки на версии 6.4.1. Глюк очень неприятный - не ошибки, не синька, а полный ступор компа. И на ХП и на сервере Р2 на разном железе, после апдейта с 6.2.3. Меделировал ситуацию на разных машинах, проблема есть однозначно... ИМХО 6.2.3 самый стабильный из 6ки пока... Ждем 6.4.3

Проблема с DHCP. Вроде бы всё настроено как надо, в чём проблема понять не могу.
Оси на сервере и клиентах XPSP2 home. В керио на службу DHCP/BOOTP открыты любые порты. На клиентах служба DHCP включена, но IP не назначаются автоматом... Вот скрины всех настроек сети и керио:
http://rapidshare.com/files/85585262/Screens.rar.html

Oplot365
Смотрел?