Кто нибуть может дать пример организации правил по группах юзеров. В смысле: на одном и том же компе разные юзера имеют разный инет и на всех компах один и тот самый юзер имеет определенный интернет (определенные протоколы в определенное время).
» Kerio WinRoute Firewall (часть 3)
kpmDragonby
Попробуй Java-машину установить.
Повтори, что писал в личку.
lavren
И блюдечко тоже... Из венецианского фарфора. Да побыстрее
Попробуй Java-машину установить.
Повтори, что писал в личку.
lavren
И блюдечко тоже... Из венецианского фарфора. Да побыстрее
Yips
Яву установил Sun Java Runtime Environment version 1.6 явно последнюю версию
Для теста использую как Оперу так и IE7
На страничке статистики все-равно диаграм не вижу. В эксплоэре - всесто них крестики, а в опере просто белые окошки и все.
В качестве отступления - на сайте java даже пишет Поздравляем! У вас установлена рекомендованная версия Java (Version 6 Update 3)
В какую сторону копать? Настройки самого керио, или всеж настройки браузера?
Система XP sp2 с последними обновками
На всякий случай скрин правил керио Получить код этого изображения
Яву установил Sun Java Runtime Environment version 1.6 явно последнюю версию
Для теста использую как Оперу так и IE7
На страничке статистики все-равно диаграм не вижу. В эксплоэре - всесто них крестики, а в опере просто белые окошки и все.
В качестве отступления - на сайте java даже пишет Поздравляем! У вас установлена рекомендованная версия Java (Version 6 Update 3)
В какую сторону копать? Настройки самого керио, или всеж настройки браузера?
Система XP sp2 с последними обновками
На всякий случай скрин правил керио Получить код этого изображения
kpmDragonby
По поводу трафик полиси
Если NAT2 работает, то в NAT Auth Usere & Firewall не нужен.
Да и вообще, Firewall откуда в НАТЕ взялся???
Он в Firewall Traffic прописывается (в котором ой как не советую ставить Any)
Цитата:
Попробуй переустановить Керио. Может после обновления Kerio Star криво встал?
По поводу трафик полиси
Если NAT2 работает, то в NAT Auth Usere & Firewall не нужен.
Да и вообще, Firewall откуда в НАТЕ взялся???
Он в Firewall Traffic прописывается (в котором ой как не советую ставить Any)
Цитата:
Система XP sp2 с последними обновками
Попробуй переустановить Керио. Может после обновления Kerio Star криво встал?
Yips
Спасибо за советы.
Трафик полиси, явно переработаю.
Керио я не обновлял, а ставил в чистую. Подсовывал только файлы конфигурации
Спасибо за советы.
Трафик полиси, явно переработаю.
Керио я не обновлял, а ставил в чистую. Подсовывал только файлы конфигурации
kpmDragonby
Цитата:
Проблема явно с модулем статистики. Переустанови Kerio, переместив папку star в другое место. Потом можешь обратно втыкнуть ее, если диаграммы покажуться (опять же скопировав новую star в др. место на всякий)
Это, так сказать, handmade от Yips'a на скорую руку
Цитата:
Керио я не обновлял, а ставил в чистую. Подсовывал только файлы конфигурации
Проблема явно с модулем статистики. Переустанови Kerio, переместив папку star в другое место. Потом можешь обратно втыкнуть ее, если диаграммы покажуться (опять же скопировав новую star в др. место на всякий)
Это, так сказать, handmade от Yips'a на скорую руку
Yips
Можеш дать блюдечко если не жалко, но нафиг оно мне? Лучше помоги с проблемой Ссылка.
У нас есть два обьекта (два дома соединенных оптоволокном), есть много рабочих которые ездят то на один обьект то на другой, есть меньше компов чем рабочих, рабочим нужно иногда выходить в интернет на часок-два. Шеф узнал что можно раздавать инет по юзерах с АД и захотел чтобы в зависимости от того какой юзер сидит за компом такой и инет ему давать! Тоесть, садится шеф за любой комп и имеет полный доступ в инет, садиться другой юзер (входит в винду под своим логином\пасом), и ему только HTTP с 7.00 до 20.00, садится третий - HTTP с 13.00 до 14.00 и т.д.
Я не первый день знаком с керио и не рас помогал людям сдесь. Сел и наваял правила но чтото упустил. Не пускает в нет пока сам не зайдешь на страницу авторизации и не авторизируешся. А нужно чтобы при наборе, например, mail.ru просило логин и пас (или автоматически как нибуть авторизировало). Когда начался рабочий день начелись глюки с клиент-банками, вернул старые правила. Так что только на пальцах могу сказать как было.
Можеш дать блюдечко если не жалко, но нафиг оно мне? Лучше помоги с проблемой Ссылка.
У нас есть два обьекта (два дома соединенных оптоволокном), есть много рабочих которые ездят то на один обьект то на другой, есть меньше компов чем рабочих, рабочим нужно иногда выходить в интернет на часок-два. Шеф узнал что можно раздавать инет по юзерах с АД и захотел чтобы в зависимости от того какой юзер сидит за компом такой и инет ему давать! Тоесть, садится шеф за любой комп и имеет полный доступ в инет, садиться другой юзер (входит в винду под своим логином\пасом), и ему только HTTP с 7.00 до 20.00, садится третий - HTTP с 13.00 до 14.00 и т.д.
Я не первый день знаком с керио и не рас помогал людям сдесь. Сел и наваял правила но чтото упустил. Не пускает в нет пока сам не зайдешь на страницу авторизации и не авторизируешся. А нужно чтобы при наборе, например, mail.ru просило логин и пас (или автоматически как нибуть авторизировало). Когда начался рабочий день начелись глюки с клиент-банками, вернул старые правила. Так что только на пальцах могу сказать как было.
aRainman
Цитата:
Да такая же проблема в новой версии. Сравнил конфиги старый и новый, добавились вот такие строчки, может от них вся проблема?
Цитата:
Цитата:
Вопрос к знатокам
в последней версии, появилась такая гадость, через несколько дней отваливается днс резольвер, ругаясь на все запросы вот так
[15/Jan/2008 14:52:17] (0:10054) recv() failed in DNS resolver recv_thread()
[15/Jan/2008 14:52:22] Last message repeated 9 times
[15/Jan/2008 14:52:23] (0:10054) recv() failed in DNS resolver recv_thread()
соответственно днс после этого не работает, лечится только сносом конфигов ( (лечил один раз, сейчас вот опять отвалилось =\ ) что делать фз
хоть на старую версию откатывай...
Да такая же проблема в новой версии. Сравнил конфиги старый и новый, добавились вот такие строчки, может от них вся проблема?
Цитата:
<table name="DynamicDNS">
<variable name="Login"></variable>
<variable name="Password"></variable>
<variable name="Hostname"></variable>
<variable name="Server"></variable>
<variable name="Enabled">0</variable>
<variable name="WildCard">1</variable>
<variable name="RefreshTimeOut">86400</variable>
<variable name="CommunicationTimeOut">30</variable>
</table>
Проблема следующая:
Нужно разделить учет трафика использования интернет различными программами:
WSUS (обновление windows) и антивирус (обновление баз). Для каждой проги назначен отдельный пользователь в домене. регистрация происходит через прокси сервер KWF, но проблема состоит в том, что не ведется подсчет стастики по этим пользователям. Статистика по обычным пользователям работает нормально.
Версия KWF 6.3.1 build 2906.
http://ipicture.ru/uploads/080123/2TksSAlLR7.jpg
Нужно разделить учет трафика использования интернет различными программами:
WSUS (обновление windows) и антивирус (обновление баз). Для каждой проги назначен отдельный пользователь в домене. регистрация происходит через прокси сервер KWF, но проблема состоит в том, что не ведется подсчет стастики по этим пользователям. Статистика по обычным пользователям работает нормально.
Версия KWF 6.3.1 build 2906.
http://ipicture.ru/uploads/080123/2TksSAlLR7.jpg
lavren
Выкладывай трафик полиси по юзерам
Добавлено:
kusebo
Цитата:
В шапке
Цитата:
Цитата:
Каким образом они регистрируются?
Выкладывай трафик полиси по юзерам
Добавлено:
kusebo
Цитата:
различными программами
В шапке
Цитата:
Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений.
Цитата:
регистрация происходит через прокси сервер KWF
Каким образом они регистрируются?
Yips
Ну, теоретически, думаю, это реализуемо. В настройках прокси софта выставляешь пароль и имя свои, в KWF создаешь юзера такого же и вперед, считается только для данной проги.
Ну, теоретически, думаю, это реализуемо. В настройках прокси софта выставляешь пароль и имя свои, в KWF создаешь юзера такого же и вперед, считается только для данной проги.
Germanus
Ок. Читал, что проблема с подсчетом в Kerio StaR есть и посмотреть этот траф всетаки можно с помощью анализа логов. Но конкретно КАК мне не известно. Это тайна, окутанная мраком.
Ок. Читал, что проблема с подсчетом в Kerio StaR есть и посмотреть этот траф всетаки можно с помощью анализа логов. Но конкретно КАК мне не известно. Это тайна, окутанная мраком.
Цитата:
Наши бухгалтера используют программу типа Банк-клиент для связи с банком. Данная программа использует порты 9091 9092 443 для связи с банком (получение выписок и отправка платежек). Эти порты я прописал в правиле НАТ (пробовал делать и отдельное правило - результат тот же, делал правило, которое разрешает все этим юзерам - таже ерунда). При запуске и работе в данной программе происходит следующее: программа нормально соединяется с банком, получает все выписки, но при попытке отправить платежки думает 2-3 мин и выдает ошибку (в логах банк-клиента пишется удаленный сервер не отвечает). Если вырубить Керио, то прием и отправка инфы в банк/из банка проходит на ура без каких-то задержек. Если есть у кого какие-то идеи подскажите плиз.
Керио стоит 6.4.0.3519, на W2k3 Enterpize
Правило делал такое:
Локалка (или Юзеры) --- Инет --- 443,9091,9092, HTTPS --- Permit --- Protl Insp (Default)
и такое
Локалка (или Юзеры) --- Инет --- Any --- Permit --- Protocol Insp (Default)
Цитата:
У меня тоже была проблема. Решилась как-то странно. Не работало, потом бац! и заработало.
Пропиши просто свои правильные порты И на нате И на файерволе.
Порты прописал там и там, проблема не изчезла.
За то заметил следующее: при отправке платежек, если отправляешь 1-2 платежки все проходит на ура, но стоит начать отправлять больше 3-х - думает... и выдает ошибку.
Что пробовал уже -
1. делал отдельное правило и в нем отключал Протокол инспектор.
2. отключал антивирусы
3. отключал ДНС форвардинг
теперь уже даже незнаю что можно еще сделать.
Цитата:
Цитата:регистрация происходит через прокси сервер KWF
Каким образом они регистрируются?
В программе в настройках подключения к интернету стоит признак "использовать прокси сервер" и соответственно все остальные настройки по авторизации там же.
qpurapo
В трафик полиси поставь локальный траф на верх, за ним нат и потом трафик шлюза.
Нет, тогда после локального для проверки воткни нат-2 и разреши хосту с клиент банком ходить куда угодно. Если ОК, то разреши не Any а порты...
В трафик полиси поставь локальный траф на верх, за ним нат и потом трафик шлюза.
Нет, тогда после локального для проверки воткни нат-2 и разреши хосту с клиент банком ходить куда угодно. Если ОК, то разреши не Any а порты...
Уважаемые, помогите победить McAffee. Скачал и распаковал куда надо патченную dll по ссылке из варезника, теперь в логах выдет следующее:
[23/Jan/2008 11:48:51] (8302:21) AvPlugin failed to initialize: Unable to load AV plug-in c:\program files\kerio\winroute firewall\avirplugins\avir_mcafee.dll. ((14001) Приложение не было запущенно, поскольку оно некорректно настроено. Повторная уста
[23/Jan/2008 11:48:51] (8300) Starting of McAfee plugin has failed, next try is planned after 30 seconds.
[23/Jan/2008 11:49:17] (8302) Updating has failed, plugin is not running
[23/Jan/2008 11:49:22] (8302:21) AvPlugin failed to initialize: Unable to load AV plug-in c:\program files\kerio\winroute firewall\avirplugins\avir_mcafee.dll. ((14001) Приложение не было запущенно, поскольку оно некорректно настроено. Повторная уста
[23/Jan/2008 11:49:22] (8300) Starting of McAfee plugin has failed, next try is planned after 300 seconds.
и так далее... подскажите что не так сделал, что проверить...
[23/Jan/2008 11:48:51] (8302:21) AvPlugin failed to initialize: Unable to load AV plug-in c:\program files\kerio\winroute firewall\avirplugins\avir_mcafee.dll. ((14001) Приложение не было запущенно, поскольку оно некорректно настроено. Повторная уста
[23/Jan/2008 11:48:51] (8300) Starting of McAfee plugin has failed, next try is planned after 30 seconds.
[23/Jan/2008 11:49:17] (8302) Updating has failed, plugin is not running
[23/Jan/2008 11:49:22] (8302:21) AvPlugin failed to initialize: Unable to load AV plug-in c:\program files\kerio\winroute firewall\avirplugins\avir_mcafee.dll. ((14001) Приложение не было запущенно, поскольку оно некорректно настроено. Повторная уста
[23/Jan/2008 11:49:22] (8300) Starting of McAfee plugin has failed, next try is planned after 300 seconds.
и так далее... подскажите что не так сделал, что проверить...
lipser Читай тему!!! Это НЕ варезник!
Yips
Решил свою проблемку переустановкой Windows (решил уже за одно) и kerio, т.к. керио отказалась ставиться и писала ошибку 28202 (типа неможет внести изменения в сетевые настройки или чет подобное). Ну да ладно снес, поставил все работает.
Остался вопрос по трафик полиси.
Как правильно написать правило, что бы в интернет получали доступ пользователи, только после того как пройдут авторизацию. Слово интернет читать - веб странички, ICQ, Скайп.
Получить код этого изображения
С браузером - все проходит гуд, лезешь на страничку - оно тебя на авторизацию, и опять на страничку, все кул.
Но, если неавторизованный пользователь запускает например Скайп или аську, то мгновенно получает доступ в инет, без авторизации.
Я понимаю, что трафик с аськи в принципе мизирный, но сам факт.
Решил свою проблемку переустановкой Windows (решил уже за одно) и kerio, т.к. керио отказалась ставиться и писала ошибку 28202 (типа неможет внести изменения в сетевые настройки или чет подобное). Ну да ладно снес, поставил все работает.
Остался вопрос по трафик полиси.
Как правильно написать правило, что бы в интернет получали доступ пользователи, только после того как пройдут авторизацию. Слово интернет читать - веб странички, ICQ, Скайп.
Получить код этого изображения
С браузером - все проходит гуд, лезешь на страничку - оно тебя на авторизацию, и опять на страничку, все кул.
Но, если неавторизованный пользователь запускает например Скайп или аську, то мгновенно получает доступ в инет, без авторизации.
Я понимаю, что трафик с аськи в принципе мизирный, но сам факт.
В твоих трафик полисях Монолит это что?
Монолит - локалка
Айчына - - интернет
Айчына - - интернет
kpmDragonby
Тогда делай таг:
Адын. Выделяешь с ната вверх нат-2. Там Аутент юз --> Инет --> FTP,HTTP(s),ICQ и че там еще нада.
Дфа. Монолит --> Инет --> Оставшиеся правила
Тогда делай таг:
Адын. Выделяешь с ната вверх нат-2. Там Аутент юз --> Инет --> FTP,HTTP(s),ICQ и че там еще нада.
Дфа. Монолит --> Инет --> Оставшиеся правила
Yips
Цитата:
Дык я и не ищу варез. Вопрос в том как правильно настроить McAffee
Цитата:
Читай тему!!! Это НЕ варезник!
Дык я и не ищу варез. Вопрос в том как правильно настроить McAffee
Yips
Спасибо добрый человег, помог хорошим советом.
Все работает гуд.
Сделал так
1. Монолит --> Инет -->HTTP - оставил тока его, что бы юзвер мог пройти авторизацию
2. Аутент юз --> Инет --> Оставшиеся правила
Спасибо добрый человег, помог хорошим советом.
Все работает гуд.
Сделал так
1. Монолит --> Инет -->HTTP - оставил тока его, что бы юзвер мог пройти авторизацию
2. Аутент юз --> Инет --> Оставшиеся правила
lipser
Цитата:
То что ты скачал и заменил из варезника там и обсуждается.
Цитата:
патченную dll по ссылке из варезника, теперь в логах выдет следующее
То что ты скачал и заменил из варезника там и обсуждается.
Yips
Цитата:
Пробовал, пошли глюки. Дабы не тормозить роботу фирмы вернул назад.
Пример можеш дать?
Цитата:
lavren
Выкладывай трафик полиси по юзерам
Пробовал, пошли глюки. Дабы не тормозить роботу фирмы вернул назад.
Пример можеш дать?
kpmDragonby
Цитата:
kusebo
Цитата:
Коллеги, мне кажется, так не получится. Вот например, что пишут керики в мануалке в разделе User Autentication:
"Note: This authentication method is not recommended for cases where hosts are used by multiple users (user's identity might be misused easily)."
Дело в том, что керик сопоставляет аутентифицированному пользователю IP адрес хоста, т.е. компа с которого он аутентифицировался. А далее просто тупо фильтрует IP пакеты по этому адресу. И если на одном компе стоит несколько приложений, каждое из которых само по себе аутентифицируется, то все другие уже работают под его крышей. Здесь нужно как-то разделить приложения протоколами, или IP- шниками.
Вы, когда будете это отлаживать, то смотрите в Status>Active Hosts. Сразу увидите, что при авторизации из какого-нибудь приложения напротив IP- шника хоста появляется имя пользователя.
Добавлено:
Хочу немного уточнить.
Для HTTP можно разделить пользователей с одного хоста, если использовать опцию Enable non-transparent proxy server:
"In case of HTTP and HTTPS, this technical obstruction can be passed by. In web browsers of all clients of the multi-user system, set connection to the Internet via the WinRoute's proxy server (for details, see chapter Proxy server), and enable the Enable non-transparent proxy server option in WinRoute. The proxy server will require authentication for each new session of the particular browser"
А вот разделить аськи и пр. можно только отдельными правилами каждого протокола.
Добавлено:
kusebo
Цитата:
Вобще-то ТМетр для этого лучше подойдет, чем использование авторизации на керике.
Цитата:
Но, если неавторизованный пользователь запускает например Скайп или аську, то мгновенно получает доступ в инет, без авторизации
kusebo
Цитата:
В программе в настройках подключения к интернету стоит признак "использовать прокси сервер" и соответственно все остальные настройки по авторизации там же.
Коллеги, мне кажется, так не получится. Вот например, что пишут керики в мануалке в разделе User Autentication:
"Note: This authentication method is not recommended for cases where hosts are used by multiple users (user's identity might be misused easily)."
Дело в том, что керик сопоставляет аутентифицированному пользователю IP адрес хоста, т.е. компа с которого он аутентифицировался. А далее просто тупо фильтрует IP пакеты по этому адресу. И если на одном компе стоит несколько приложений, каждое из которых само по себе аутентифицируется, то все другие уже работают под его крышей. Здесь нужно как-то разделить приложения протоколами, или IP- шниками.
Вы, когда будете это отлаживать, то смотрите в Status>Active Hosts. Сразу увидите, что при авторизации из какого-нибудь приложения напротив IP- шника хоста появляется имя пользователя.
Добавлено:
Хочу немного уточнить.
Для HTTP можно разделить пользователей с одного хоста, если использовать опцию Enable non-transparent proxy server:
"In case of HTTP and HTTPS, this technical obstruction can be passed by. In web browsers of all clients of the multi-user system, set connection to the Internet via the WinRoute's proxy server (for details, see chapter Proxy server), and enable the Enable non-transparent proxy server option in WinRoute. The proxy server will require authentication for each new session of the particular browser"
А вот разделить аськи и пр. можно только отдельными правилами каждого протокола.
Добавлено:
kusebo
Цитата:
Нужно разделить учет трафика использования интернет различными программами:
WSUS (обновление windows) и антивирус (обновление баз).
Вобще-то ТМетр для этого лучше подойдет, чем использование авторизации на керике.
qpurapo
Ковыряй MTU на компе с клиент банком, была проблема, решилась изменением MTU. Прога, которая упрощает ковыряние ISPEED. по умолчанию 1500 в винде, уменьши до 1000 - проверь
Ковыряй MTU на компе с клиент банком, была проблема, решилась изменением MTU. Прога, которая упрощает ковыряние ISPEED. по умолчанию 1500 в винде, уменьши до 1000 - проверь
ViktorA
Тогда при чем здесь KWF?
Тогда при чем здесь KWF?
vimaret
Не знаю, что должно получиться или не получиться, но факт что работает, и я добился чего хотел.
Ни один не авторизированный юзвер, никуда не проходит, пока не попадет на страничку авторизации и не введет логин и пароль.
Сейчас в статистике в графе не зарегистрированный пользователи всегда нолики, что мне и требовалось, весь трафик расписываю по юзверям, и тыкаю носом если что.
Не знаю, что должно получиться или не получиться, но факт что работает, и я добился чего хотел.
Ни один не авторизированный юзвер, никуда не проходит, пока не попадет на страничку авторизации и не введет логин и пароль.
Сейчас в статистике в графе не зарегистрированный пользователи всегда нолики, что мне и требовалось, весь трафик расписываю по юзверям, и тыкаю носом если что.
kpmDragonby
Цитата:
Цитата:
Гуд. Не сочтите за труд, выложить здесь ключевые моменты настоек.
Цитата:
я добился чего хотел.
Ни один не авторизированный юзвер, никуда не проходит
Цитата:
Сейчас в статистике в графе не зарегистрированный пользователи всегда нолики
Гуд. Не сочтите за труд, выложить здесь ключевые моменты настоек.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788
Предыдущая тема: Не расшариваются SYSVOL и NETLOGON
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.