» Kerio WinRoute Firewall (часть 3)

Такая проблема: настроил керио как проксик + некоторые порты за натом
авторизация из локальной БД
пользователи проходят авторизация, всё ок
но трафик по ним он не считает, всё сливает на незалогиневшихся юзерей
в чём проблема
в настройках трафика указал не счтитать трафик из локальной сети (диапазон 10.0.0.0/8)
пысы: керь 6.4.2

Подскажите а прокси у керио будет работать без NAT???

И насколько скоростной прокси у керио?

Листал тему та и не нашел, что можно сделать. Есть задача, ограничить канал определенной группе пользователей, что бы сильно не лазили. Что то с наскока не нашел как это можно сделать?
Менюшку Бэндвитч Лимитед видел, но как я понял это на большие файлы (хотя можно самостоятельно размер ставить файла)

sofos
Я бы тоже хотел узнать отвтет на этот вопрос. Но по проведённым испытаниям пока через non Transparent Proxy работает только HTTP и HTTPS. Но и это с глюками: например, после авторизации на этом форуме через Opera 9.25 и попытке войти, форум выдаёт что я гость, т.е. какая-то беда с сookie.

YuraseK
за четыре года никаких проблем с куками не было с непрозрачным прокси
были небольшие заморочки с 6м IE, когда включил кэширование на прокси

YuraseK

Цитата:

настроить WinRoute Firewall так, чтобы, находясь абсолютно в другой подсети,....

Заходи на сервак, на котором керик через VPN и с его рабочего стола лезь в инет.
Если это на дозволено пользователю. То тогда настраивай для него полиси, чтобы он выходил в инет, как обычный пользователь локалки через НАТ (хоть он и VPN клиент), и трафик пойдет с того IP, на который ты его снатишь. И прокси тут вообще не нужен.

Извините, если вопрос был, но 80 страниц перелопачивать не хочется.

Стоят KFW и KMS версии 6.2.3 и 6.2.2 соответственно. После обновления KFW до 6.4.2 KMS не хочет запускаться, ошибка "code 1053".
Вопрос 1: Обязательно нужно обновлять и KMS до схожей версии?

Второй 2 (не относящийся к 1-му): в KMS есть общие контакты для web интрефейса в папке public в файлах *.eml. В интерфейсе программы с юзерами все в порядке. В *.eml же полный бардак - куча старых адресов. Как поудалять ненужные, не тыкая в каждый eml-файл?

Люди, подскажите. Уже второй раз встречаю глюк.
Суть вот какая: народ, сидящий за натом, перестает получать входящую почту с более-менее большими вложениями (например, 5 метров уже не пролазит) с внешних почтовых серверов по поп3 ,почтовые клиенты вываливаются по таймауту, прогресс получения почты не виден (как правило сразу показывает 50 %, так и стоит), а без вложений пролетает пулей. Причем не важен ни пров, ни хостер, ни ось клиента, ни сам почтовый клиент, ни ось на шлюзе, ни версия самого винроута. Ясен пень, винроут ставим не первый раз, и работает же у всех, кроме вот двух случаев. На последнем больном пробовали и ось перезаливать, и разные версии винроута, включали/отключали втроенный антивирь и вообще какие то проверки трафика - резалт тот же. По симптоматике прикинули, что скорее всего винроут всё таки кэширует трафик, несмотря на то, что все проверки отключены. Как будто пытается таки проверить, скотина такая. Посему, решили полечить топором, убили у винроута описание сервиса поп3, и выставили в нат тупо 110 порт - почта полетела, прогресс получения стало видно ,кароч заработало всё. Решение некошерное ,поэтому хочется разобраться, что за хрень... Господа гугли и тындексы ессно уже опрошены с пристрастием, ничего подходящего не найдено. Могет чо нить сказать по поводу этого?

Цитата:

Обязательно нужно обновлять и KMS до схожей версии?

нет
чес гря не понял второго вопроса, в *.eml обычно хранится письмо..в любом случае лучше в другой топик по KMS..

EgOus

Цитата:

что за хр...

Есть три варианта:
1) Антивирус! Файл большой - вот он его и тянет-потянет и просканить хочет. Посмотри здесь и здесь!
2) Инспектор протоколов! Это, скорее всего, он если описание удалил и заработало! У меня на почту он отключен. Посмотри здесь и здесь!
3) Да все что угодно! В него столько по запихивали всего, что он ели работает! В версии 6.4.0 был баг с почтой (6.4.1- Fixed bug in POP3 inspector causing certain emails being blocked).

Цитата:

Цитата:Обязательно нужно обновлять и KMS до схожей версии?
нет

Ну понятно, какой вопрос, такой ответ. Жду пояснений в ветке про KMS.

Hamzter
Разрешаешь входящие и исходящие порты в самом вверху правил для сетевухи VPN LAN, типа такого:
VPN out | Firewall | VPN LAN (сетевой интерфейс, ака сетевуха, через которую идет коннект)| TCP 1723 (порт, через который идет коннект)| Разрешить|
VPN in | VPN LAN (сетевой интерфейс, ака сетевуха, через которую идет коннект) | Firewall | TCP 1723 (порт, через который идет коннект)| Разрешить|

Второе правило как обычно, для VPN дозвона (как ты его назовешь в Сетевых подключениях) например КОРБИНА:
Firewall Traffic | Firewall | КОРБИНА | (Сервисы или порты)|Разрешить|
Третье для локалки
И если нужно правило для NAT:
NAT | LAN | Корбина | (порты и сервисы, какие нужны на выход) | Разрешить | NAT (typical setting)

lavren

О, вот догадывался я, что есть что то типа фильтров, тут называется инспектор протокола. Действительно, помогло, спасип. Только вот непонятно, какова х.. он (инспектор) начинает лагать? Вот сегодня еще один случай, при этом Винроут уже давно пашет, отняли инспектора у поп3 и щастье.

з.ы. и хде ж эти инспектора настраиваются, если вообще настраиваются?

Работала связка: Band Speed Balancer(BSB) - в качестве авторизации компьютеров по мак и ограничителя на кол-во скачиваемых Мb, и winroute 4.1 в качестве прокси, на котором проходили авторизациию пользователи по логину-паролю. У BSB была отличная клиентская часть которая показывала юзверям скока осталось тем до исчерпания лимита.

Щас установил winroute 6.2.3 - вроде и пользователей авторизует и лимит поставить на аккаунт можно, но вот у пользователей теперь пропала возможность самомтоятельно отслеживать свои месячные лимиты

Может кто знает альтернативу bsb клиенту (тот не стал работать под win2k3) ? Ну и чтоб траффик корректно считал...

Цитата:

з.ы. и хде ж эти инспектора настраиваются, если вообще настраиваются?

Нигде! Он или включен или выключен!

Цитата:

О, вот догадывался я, что есть что то типа фильтров

Прочти здесь!

tatcenter
Пусть юзеры открывают страницу http://<твойкерио>:4080

Arakcheev

Такой вариант рассматривался и пока используется - но уж больно не удобен он. На практики поьзователи заходят туда тока когда страница не подгружается и в голову приходит мысль что кончился лимит

tatcenter
Если сеть на уровне домене, то политиками принудительно поставить стартовой страницей этот адрес или рассылать на е-майл этим пользователям письма.

to All: Я так понимаю, других идей по красивой реализации функции донесения статистики до пользователей нету, кроме предолженой Arakcheev.
Очень странно редко кому требовалось?

tatcenter

Цитата:

других идей по красивой реализации

да сейчас вроде даже в мало мальской сетке есть внутренний (а-ля корпоративный) сервер, можно туда ссылку забацать для выхода на статистику.

Цитата:

редко кому требовалось

да в первую очередь это должно конечного пользователя волновать. Если ему "в лом" ститистику посмотреть, пускай поработает немного в конце месяца, чем в "односокамерниках" сидеть

Реально ли в Керио закрыть сайты типа вконтакте? если учесть что большинство пользователей грамотные и пользуются интернет проксями типа vtunnel.com и hideme.ru.
Можно ли закрыть по чему нибудь другому? Что в голову ничего не приходит

Стоит KWF 6.4.0. 3176 Во вкладке Active Hosts в графе Host Name видим хост Firewall (со значком керио) а юзер почему то на нём Sklad т.е. почему то фаервол цепляеться на левого юзера, и соответственно там набегает уйма траффика. Как убрать эту проблему?

Fritz88
Реально. Заводите URL Groups или Forbidden Words.
У меня с помощью Forbidden Words закрыты все знакомства.

<b>Fritz88</b>
1) Вводить политику в компании надо, за нарушение которой будет выговор или депремирование!

2) Посмотри какими они еще пользуются и создай правило закрывающее все порты для этих сайтов-прокси.
Если находят все новые и новые прокси, то тут уже точно надо применять пункт 1.

Добавлено:

Цитата:

Стоит KWF 6.4.0. 3176 Во вкладке Active Hosts в графе Host Name видим хост Firewall (со значком керио) а юзер почему то на нём Sklad т.е. почему то фаервол цепляеться на левого юзера, и соответственно там набегает уйма траффика. Как убрать эту проблему?

Найди этого юзера и настучи ему по голове.

Встань в строку Firewall и визу выбери закладку Connections и будет тебе счастье...увидишь какой Ip генерит у тебя в сети трафик.

камрады, поможите кто может
вобщем был у нас сервачёк-проксичёк (с вингейтом), умер бедняга от старости. решил новый с керюхой ставить. поставил по мануалу настройки и правила
теперь он в инет пускает машину, если в настройках её браузера не прописан сервер
а как сделать, чтоб пускал только если сервер прописан (ака 192,168,1,1:3128 )? жутко не хочется бегать по разным концам города и менать на 150 машинах пастройки браузеров..

и ещё, мне тут сказали, что 2003 вынь с кирюхой не потянет стока машин.. правда?

Eric Lazzy

Цитата:

2003 вынь с кирюхой не потянет стока машин.. правда?

неправда.

Цитата:

менать на 150 машинах пастройки браузеров

если домен - групповой политикой и не надо бегать

Цитата:

92,168,1,1:3128

включить прокси в керио, пускать через него.

lambadakursk
Потому что включен прокси на керио. Выключи его и все юзеры пойдут напрямую

Добавлено:
Eric Lazzy
... и выключи НАТ на керио

5555555

Цитата:

неправда.

ура

Цитата:

если домен

ненастроено

Цитата:

включить прокси в керио, пускать через него

пробовал.. что-то не получается

Arakcheev

Цитата:

и выключи НАТ на керио

сделано

Нужна помощь! Как сделать чтобы одного юзера только пускать на порт аськи и все а остальные нормально как всегда?

Цитата:

Потому что включен прокси на керио. Выключи его и все юзеры пойдут напрямую

Если можно поподробнее как это сделать?