» Kerio WinRoute Firewall (часть 3)

Tantos
Извени я не уточнил. Не плагин прикрутить, а саму прогу на машину поставить!
У второго нужно было IMON отключить, а в третем что сделать надо?

Yips
не понял чьо дать? объясни попроще, я еще юзер!!!

SHRIKE74
То что сам керио лочит это я знаю. Мне просто нужно понять что сделать чтобы керио лочил только при привышении лимита по ВНЕШНЕМУ трафику, а ВНУТРЕННИЙ трафик не считал бы. Я понял что Спай может отличить внешний трафик от внутреннего, но что мне это дает? Как я могу повлиять на "решение" ВинРоут лочить пользователя или нет?

SHRIKE74
Мне интересно, что было в 4-ке. Как там интерфейс, функционал и т.д. Знаешь, это как со старыми машинами (авто-машинами).
Tantos

Цитата:

Подробнее...

А при чем здесь инструкция по установке? Если
Цитата:

нужна лицензия НОДа под Керио

lavren
3-ка не прикручивается. Пока...
Bob2582

Цитата:

не понял чьо дать? объясни попроще, я еще юзер!!!

Вы о чем?
ivan_r
Во вкладке Accounting на Exceptions выбери "Exdude traffic If source or destination address belongs to" и поставь свой LAN.

Приветствую!
Помогите плз, кто знает!
Kerio 6.0.6 (перейти на более высшую версию нет времени), как оранизовать учёт трафика пользователя, чтобы там не учитывались сервисы почты?

Harmss

Цитата:

перейти на более высшую версию нет времени

Ох, какой вы занятой человек...

Цитата:

как оранизовать учёт трафика пользователя, чтобы там не учитывались сервисы почты?

Никак. Такой функции в KWF нет.

Добавлено:
astelia
Ты под админскими правами импортируешь? Проверь правильность логина/пароля. И вспомни что ты злого делал с AD

Yips т.е. если у человека квота стоит 10метров в день, а почты он выкачал 9, то свободного инета у него 1 метр? и ни как от этого не уйти?

Harmss
Ага

Цитата:

Доброго времени суток. Такая трабла:
2к3, KWF на выходе в инет, внутри домен. При импорте юзеров из домена выдает типа *Импорт из домена *** failed. error: strong authentication required*. Когда то получилось один раз импортировать пользователей, и потом опять нивкакую (( Помогите плз, в чем загвоздка
З.ы. Подозреваю что проблема даже не в KWF....

Цитата:

Ты под админскими правами импортируешь? Проверь правильность логина/пароля. И вспомни что ты злого делал с AD

Конечно с админскими. А вот что мог намутить уже и не вспомню Потому и спросил, мож кто знает де копать....

Прочитал всю тему и не нашёл ответа, домен 2к3 в основном режиме, KWF на выходе в инет, юзеры импортированы в базу KWF из AD, как его настроить чтобы пользователи логинились в нём автоматически, а не через дополнительную авторизацию. Вроде всё правильно настроено а в итоге в логе пользователь не отбивается.

И все же так и не могу настроить иаршрутизацию подсеток. Помогите, кто знает. Есть клиентские подсети 10.10.0.0/255.255.248.0, 10.10.8.0/255.255.248.0, 10.10.16.0/255.255.248.0, и подсеть серверов 192.168.0.0/255.255.255.0 . В подсеть серверов пускает всех, как положено, без проблем. Между собой подсети не работают, а нужно, чтоб ходили друг в друга. Статические маршруты писал, правила настраивал. В чем ошибка, не понимаю, вроде все уже пробовал. Кто нить подскажите, как это нарулить?

gooki
посмотри разделы
13.4  Active Directory domains mapping
8.1  Firewall User Authentication
23.3  Automatic user authentication using NTLM


Добавлено:
Liderdomofon

Цитата:

В чем ошибка

в настройках и/или правилах.
покажи и то, и другое.

Harmss

Цитата:

если у человека квота стоит 10метров в день, а почты он выкачал 9, то свободного инета у него 1 метр? и ни как от этого не уйти?

Хотя я сам этого не тестировал, но могу предложить попробовать следующее:
Создаете в Difinition > Address Group группу адресов, где перечисляете используемые почтовые сервисы по доменным именам хостов. Затем в "Exclude traffic if source or destination address belongs to" ставите эту группу в исключения. Теоретически, должно работать..

to VIMARET:>> Еще можно попробовать создать правило на почту для всей локалки без авторизации на керио, если их не надо учитывать, а сервак внешний (а он по любому внешний ))), а все остальное в этом правиле запретить, кроме почты. А в следующем уже правиле разрешить для авторизированных все в интернете, кроме почты, и учитывать это.

to ShriEkeR:>> Сейчас сервак в другом месте, скрин прислать не могу, но выглядит таблица маршрутизации стандартно так:

system route 0.0.0.0 0.0.0.0 internet 192.168.0.1
system route 10.10.0.0 255.255.248.0 LAN 2
system royte 10.10.16.0 255.255.248.0 LAN 1
system route 10.10.8.0 255.255.248.0 LAN 3

это то, что сам Керио пишет после настройки интерфейсов. При этом, со всех подсеток видно инет, но не видно друг друга. Ни какие маршруты, которые я прописывал, не работают. Правила писать не буду, там впринципе, все понятно, но тоже не работает. Может быть, надо прописать мршруты в самой винде?

vimaret
Группу создавал и исключал из трафика, но всё равно трафик идёт... Может из-за версии старой?!

Harmss

Цитата:

Группу создавал и исключал из трафика, но всё равно трафик идёт... Может из-за версии старой?!

Я посмотрел на 6.2.2 можно поставить исключения только лишь на bandwith, а вот в 6.3.х уже на квоты. А какая у Вас версия?


Добавлено:
Еще посмотрите совет от Liderdomofon на один пост выше:
Цитата:

to VIMARET:>> Еще можно попробовать создать правило на почту для всей локалки

Добавлено:
А вообще я бы ставил вопрос так: Для чего нужно лимитировать трафик? Если для экономии средств, то тогда какая разница почтовый он или хттпэшный. Выбрал и сиди. Если нужно ограничить пользователей от лазания по бестолковым сайтам в рабочее время, то для этого есть другие средства: HTTP Policy + ваши блэк листы и OrangeWeb filter. А квоты трафика нужно увеличить так, чтобы и на почту и на сайты хватало.

vimaret
Версия 6.0.6

Liderdomofon

Цитата:

Еще можно попробовать создать правило на почту для всей локалки без авторизации на керио

Не совсем понял, как это сделать, можно листинг?

Harmss

Цитата:

Версия 6.0.6

Обновить бы не помешало, я уже забыл, что она может, а что нет.

Цитата:

gooki
посмотри разделы
13.4 Active Directory domains mapping
8.1 Firewall User Authentication
23.3 Automatic user authentication using NTLM

всё настроено так как написано, и всё равно выкидывает пользователей на аутентификацию на KWF. Что делать?

Добавлено:
Может это связано с тем что домен работает в основном режиме 2003 server и в нём ntlm отключена?

пишешь сначала правило со смыслом "разрешить всем пользоваться почтой" -

<Имя правила> <кому разрешаешь> <интерфейс> <POP3+SMTP> <галочка> <NAT>
типа всем, или ука- интернета куда
зываешь хосты


потом уже ниже пишешь правило про остальной интернет - типа там авторизованные юзеры могут использовать интерфейс интернета для таких-то протоколов ГДЕ УКАЗЫВАЕШЬ ВСЕ ЧТО НАДО, КРОМЕ ПОЧТОВЫХ ПРОТОКОЛОВ, и дальше как обычно.

gooki

Цитата:

всё настроено так как написано, и всё равно выкидывает пользователей на аутентификацию на KWF. Что делать?

Цитата:

Может это связано с тем что домен работает в основном режиме 2003 server и в нём ntlm отключена?

Не думаю. У меня тоже 2003 в нэтиве, но работает.
Посмотрите вот где: если пользователь работает не через кериковский прокси, а на прямую, то нужно для авторизации пользователя зайти в Users and Group > Users, выделить пользователя, нажать Edit и в окне Edit User на вкладке IP addresses в разделе Automatic login прилепить к пользователю его комп или просто указать все адреса локалки. Вот тогда не будет выпадать аутентификацию на KWF.
Как альтернатива, можно настроить работу пользователя через прокси, но автоматическая NTLM аутентификацию поддерживается не всеми браузерами. см:
Automatic user authentication using NTLM в Administrator's Guide> Troubleshooting.

Для отладки процесса рекомендую смотреть в Status > Hosts/Users. Если справа от имени хоста написано имя пользователя, то он аутентифицирован, если пусто - то нет. Вы можете его логаутить, после этого менять настройки и снова пытаться аутентифицироваться на автомате.

Коллеги,

у меня возникла непонятная проблема - правила не работают, если в них указан user. Если указать статический ip пользователя, которому он принадлежит (и прописан в поле specific host IP addresses), то всё сразу встаёт на свои места.
Причем возникает данная ситуация не со всеми пользователями, а в каком-то хаотичном порядке. Сегодня звонят, говорят "интернет не работает". Прописываю статический ip машины, на которой сидит пользователь - ОК, хотя вчера и с прописанным юзером работал.

BadCaT
Нужно проверить на компе с керио резолв (преобразование имени в IP-адрес или обратно...) этого днс-имени, ну типа пуск -> выполнить -> CMD -> PING или NSLOOKUP (***было IPCONFIG, ошибся, бывает...) и далее по синтаксису оператора (команды).
Если "разрезолвленное" имя (или адрес) не совпадает с тем, что прописано в правилах керио - тогда рыть в сторону ПРАВИЛЬНОЙ НАСТРОЙКИ определения доменных имен и суффиксов присоединения!
Можно также не париться и забить в файл HOSTS то, что нужно... и идти пить пиво

BlackDeveloper
Наверное неверно был понят тобой.
Юзер принадлежит домену и в правилах прописываю его (vpupkin@domain.ru). У юзера vpupkin'a прописан в керио статический ip 192.168.0.25.
я НЕ указываю ИМЯ машины.
иль я не понял и где-то кроется тайный смысл.

vimaret Лимитировать, для того, чтобы выделенный инет уходил на http, download и прочее, а почта это всё выбивает, так как в день может перекрыть достаточно выделенного. И в общем итоге инет, почта и прочее перестают быть, а это не есть гуд.
Вариант выделения квот на всё не удобен тем, что трафика просто может не хватить, а постоянно добовлять или сразу увеличить, тоже не дело.
Ограничение некоторых сайтов - да, но полностью проблемы не решает, т.к. мне в общем-то пофиг, где они сидят, лишь бы не забеременели))


Liderdomofon
Проблему не решило...

Подскажите прогу которая коректно читает лог файлы керио

Harmss
Есть еще вариант, если уж так важно разделить почтовый трафик, поставить Kerio mail server и всю почту пустить через него. На него поставить отдельную квоту, как на юзера. А юзверам запрететь ходить на сайты почтовых хостов, как полисами в керио, так и приказом по предприятию. У такой схемы работы почтовой системы есть еще и приемущества по безопасности.
BadCaT

Цитата:

Юзер принадлежит домену и в правилах прописываю его

Вы затрагиваете весьма сложную тему, аутентификации пользователей. Вы для начала прочитайте странички три назад, может быть найдете ответ среди них. По крайней мере будет больше понимания где рыть.

vimaret
Спасибо, буду думать...

Цитата:

Вы затрагиваете весьма сложную тему, аутентификации пользователей. Вы для начала прочитайте странички три назад, может быть найдете ответ среди них. По крайней мере будет больше понимания где рыть.

Насколько я понял из документации kerio на redline, то установливая галоку specific host ip addresses я наоборот по сути снижаю безопасность, т.к. пользователь аутентифицируется по IP-адресу.

Сейчас некоторым пользователям прописал IP, потом сделаю их как пользователей локальной БД (теста ради) и тогда может быть выяснится в чём дело.
Реально могу и IP в правилах оставить (раньше так и было), но неудобно это численное представление с точки зрения администрирования. да и изврат, учитывая, что есть домен.

Тип аутентификации в разделе Active Hosts у пользователей видится как Automatic, который в документации redline не значится, наверное она стара уже.

Кто-нибудь знает - есть ли у винроута авторизация юзверей по мак адресу? Или клиент авторизации какой-нить? Что бы пароль не вводить каждый раз. Домена нет, так что из AD по NTLM юверей не авторизируешь