» Kerio WinRoute Firewall (часть 3)

Olezka
Авторизация рулит. Заставь всех проходить авторизацию...
Либо если по ИП то придётся делать 2 правила:
1. разрешить аську конкретному ИП
2. Запретить всё этому же ип.
(правила ТОЛЬКО в такой последовательности)



Добавлено:
lambadakursk
HTTP Polisy - Proxy server - Снять галку "Разрешить не прозрачный прокси сервер"

Цитата:

HTTP Polisy - Proxy server - Снять галку "Разрешить не прозрачный прокси сервер"

Спасибо!

Есть ещё один вопрос.

В "эрор" логе идёт такая ошибка:

Цитата:

[16/Feb/2008 01:03:17] (0:10054) recv() failed in DNS resolver recv_thread()
[16/Feb/2008 01:03:20] Last message repeated 5 times
[16/Feb/2008 01:03:22] (0:10054) recv() failed in DNS resolver recv_thread()
[16/Feb/2008 01:03:26] Last message repeated 4 times
[16/Feb/2008 01:03:28] (0:10054) recv() failed in DNS resolver recv_thread()
[16/Feb/2008 01:03:32] Last message repeated 7 times
[16/Feb/2008 01:03:34] (0:10054) recv() failed in DNS resolver recv_thread()
[16/Feb/2008 01:03:38] Last message repeated 3 times
[16/Feb/2008 01:03:41] (0:10054) recv() failed in DNS resolver recv_thread()
[16/Feb/2008 01:05:55] (0:10054) recv() failed in DNS resolver recv_thread()
[16/Feb/2008 01:06:01] (0:10054) recv() failed in DNS resolver recv_thread()
[16/Feb/2008 01:17:26] (0:10054) recv() failed in DNS resolver recv_thread()
[16/Feb/2008 01:17:27] (0:10054) recv() failed in DNS resolver recv_thread()

В чём проблема? Вроде всё работает, настраивал по FAQ на Winroute.ru

lambadakursk
Проверь настройки ДНС как на картах так и в правилах.
А также посмотри не конфликтует ли ДНС форвардинг с реальным ДНС.

А как в kERIO wf ограничивать скорость соединение по Юзверям, не ужели еще одну проксю надо ставить в дополнение к KWF не верится!!??

Frose
Так совсем по "Юзверям" не получится...
Есть возможность ограничения только группе.
А настраивается тут:
Configuration - Bandwidth limiter...

спасибо , так я и думал , что по -любому есть!!!!

Почему-то после авторизации дает выход в инет на 3минуты...
и закрывает напрочь...
просмотрел все настройки... такого ограничения нет...
Может кто подсказать где искать...
один день и поработал правильно. Смотрю по статистике...
А, что слетело... не пойму...

teo77
Куплена как?
Что в журналах?

какой из журналов?
даже ошибок нет за последние 2 дня...

Такой вопрос, вот есть Пользователи, у каждого пользователя ограничен доступ, но пользователи на компе меняют IP и сидят по инету без ограничений.... как сделать чтобы только пользователи из USERS имели доступ к сети?

У пользователей во время просмотра страниц вылезает, окошко Принятия СЕРТИФИКАТА, как убрать это окно чтобы оно не вылезало? прям достали уже!!!!

Bear39

Цитата:

У пользователей во время просмотра страниц вылезает, окошко Принятия СЕРТИФИКАТА, как убрать это окно чтобы оно не вылезало?

Если при первом просмотре (аутентификация) - убрать в настройках web-интерфейса HTTPS (SSL).

teo77
Как куплена программа???
Если кракнутая то попробуй переставить. Может поможет, мне в своё время не помоголо .

seva1
Что ты сам себе противоречиш...

Цитата:

вот есть Пользователи, у каждого пользователя ограничен доступ

Цитата:

пользователи на компе меняют IP

Цитата:

пользователи из USERS имели доступ к сети?

Ты подробнее напиши... про авторизацию.

Bear39

Цитата:

во время просмотра страниц вылезает, окошко Принятия СЕРТИФИКАТА

Какого сертификата? Если от керио то просто установить его надоть и поставить керио в доверенные узлы.

seva1

Цитата:

Такой вопрос, вот есть Пользователи, у каждого пользователя ограничен доступ, но пользователи на компе меняют IP и сидят по инету без ограничений.... как сделать чтобы только пользователи из USERS имели доступ к сети?

Нужно настроить авторизацию пользователей по паролю при выходе в инет или по NTLM, если вы в домене.
Но можно и по ИПшникам корректно разделить юзеров, если поставить управляемый свитч с протоколом 802.1Q и настроить тагированные VLANы. Тогда юзера смогут подключить компы к сети только с теми IP, которые вы им выделите. А правилами в Керике уже рулится все остальное. (В частности трансляция в реальные IP для учета трафика на уровне провайдера)

Всем привет!
Подскажите пожалуйста. Имеется проблема абсолютно аналогичная описнной вот тут: http://forum.ru-board.com/topic.cgi?forum=8&topic=22219&start=1580 От 13:10 13-02-2008 EgOus'ом.
Так же я описывал эту проблему вот на этом форуме: http://forum.allbat.info/index.php?showtopic=1895

Однако по коментариям и советам, проблема увы так и не решилась. Проделал следующие манипуляции: http://ipicture.ru/uploads/080219/GeU3Ht2xtN.jpg

Уже сломал всё возможное включая голову, но так и не нашёл решения. Ну не загружаются письма и всё! Зависание происходит приблезительно на 350-400 килобайтах...

Был бы крайне признателен за любой совет.

DarthVader666
А то, что EgOus в конце поста написал не помогло?
И кстати, по скриншоту ты не так сделал. Нужно удалить сервисы POP3 и SMTP из Services и в трафик полисях прописать просто порты.
У меня то же самое, но оказалось, что это у провайдера проблема. Посмотрим, что они там нарешают - только сегодня зарядил заяву.

Yips
Не портите впечатление народа от керио.
В Services у ПОП3 и СМТП надо просто отключить Protocol Inspector.

Помогите пожалуйста решить проблему. Здесь и здесь я приводил данные.
В настройках подключения к сети провайдера указан основной шлюз, когда подключаешь VPN для выхода в Интернет появляется другой основной шлюз. Керио ругается на это и не только, большая часть пользователей которые подключаются к моему компу из локальной сети начинают отваливается.

Arakcheev
Это не помогает. И ничего я не порчу. Если существует проблема, то стоит о ней повоговорить.

DarthVader666

Цитата:

Так же я описывал эту проблему вот на этом форуме: http://forum.allbat.info/index.php?showtopic=1895

А вот на этом форуме вы пишите, что ось XP SP2 RUS. А, слабо попробовать на W2K3 server. Может собака здесь зарыта? Ведь если я правильно понял, у вас не мало клиентов работает с почтой. Может быть возникают какие-нибудь конфликты при одновременной работе нескольких клиентов. При этом не серверная ось просто не тянет многопользовательскую работу...
alin

Цитата:

большая часть пользователей которые подключаются к моему компу из локальной сети начинают отваливается.

В ваших настройках сети с VPN криминала не вижу. Что касается локальных пользователей, то они и должны отвалиться, потому что вы подключаетесь VPN-ом куда-то. При этом устанавливается как бы труба в это куда-то, она и есть ваша локальная сеть, а все прочие, кто был к вам подключен до того, уже чужаки и вы для них тоже. Поэтому, если вы хотите и то и другое одновременно, то нужно продумать другую топологию сети.
Кстати какой VPN (клиент) вы используете? Кериковский или Виндовый?

камрады, имеется сетка с кучей машин, на всех в браузерах стоит настройка "юзать прокс 192.168.1.1:3128"
поставил на сервак керио по мануалу. в инет не пускает
если у юзера снимаю "юзать прокс" то в инет пускает
как правило прописать, чтоб не надо юыло по всем зверям бегать и менять настройки браузера?

пробовал
сурс - локалка
назначение - внешка
служба - любая
транcлир - мап 192.168.1.1:3128 (т.е. по мануалу тут шёл нат)

при таком правиле у зверей браузеры грят "готово" и ничего не грузят, но и не ругаются..

что где ковырнуть надо?

Eric Lazzy
Ты не смешивай нат и прокси в одном стакане...
Чтобы

Цитата:

юзать прокс 192.168.1.1:3128

Должно быть
1. localnet - firewall host - tcp port 3128 - permit
2. firewall - any - permit - nat


Цитата:

сурс - локалка
назначение - внешка
служба - любая
транcлир - мап 192.168.1.1:3128 (т.е. по мануалу тут шёл нат)

А это ты по какомуто мануалу писал ХЗ, дай линку самому интересно стало...
Вообще получается что локалка прошла фаер и трафик принудително разворачивается обратно в порт 3128.

Ruza

Цитата:

А это ты по какомуто мануалу писал

дык скачал откуда-то и распечатал.. уже не помню откуда

Цитата:

Должно быть

а не хочет

Eric Lazzy
А ты прокси непрозрачный вообщето включил?

Ruza
конечно

vimaret

Цитата:

Кстати какой VPN (клиент) вы используете? Кериковский или Виндовый?

Использую Виндовый, подскажите можно ли подлечить мою сеть чтоб её не логало.
Заранее благодарен!

Ребята обьясните пжл почему не работает данное правило

IL81
Нужно весь листинг выкладывать. С пояснениями.

IL81

Цитата:

Ребята обьясните пжл почему не работает данное правило

Потому что Оно вообще "не бог весть что..."
Вы лучше скажите, что вы хотите получить, и тогда подумаем вместе как это сделать.


Добавлено:
alin

Цитата:

подскажите можно ли подлечить мою сеть чтоб её не логало

Можно, но давайте начнем с того, что вы хотите? Например: мне нужно, чтобы один компьютер работал как шлюз инет для локальной сети. Этот шлюз должен получать инет от провайдера, подключаясь к нему через VPN (или PPPoE, или...). Юзера должны выходить в инет... ну и т.д.

vimaret
Имеется внутренняя сеть (домашняя) в ней 3 компьютера, 2 с уcтановленной WinXPSP2 (клиенты) и один с win2003R2 (сервер). На сервере настроены параметры указанны выше (выход в локальную сеть провайдера и выход через VPN в интернет). На сервере установлен Керио, клиенты могут ходить в локалку провайдера и работают все службы (pop3, icq и др.). Так же на сервере установлен чат, к которому подключаются мои клиенты и юзеры из локалки провайдера.
Задача: раздать интернет моим клиентам и обеспечить бесперебойную работу юзерам из локальной сети провайдера, т.к. при выходе в интернет большая часть их отваливается.
Спасибо за содействие!