» Kerio WinRoute Firewall (часть 3)

Керо то Тебе за чем Ты еще Isa поставь для двух компов, постаь себе какой нидь то ES Proxy вроде бы так, или у Вас там хакеры живут??? А так все в шапке есть!!

Проксю ставить нельзя ибо заюзают, роутер тож не вариант, сто пудово можно чтоб через керио Впн клиент ходил... там Нат нужен но как его сделать я незнаю (((( вот и спрашиваю мож еще что можно или кто подскажет как )) Заранее спс за помощь

lavren
В столбец translation впиши Ip ftp сервера 192.168.0.1 порт21

Bath
Выложи картинки трафик полиси с керио и ipconfig /all с компа керио и с компа с брата.

NegoroX
позволь на почту тебе закинуть - не умею выкладывать... извини...
bath1@yandex.ru - это я

Bath
кидай, в профиле мой ящик посмотри

NegoroX
получилось...
http://dvusrachek.ifolder.ru/6062510

Bath
скачал архивчик (3картинки+текстовый)завтра на работе гляну может что умное скажу

я настраивал как советовали в форуме на Керио сайте

Bath
Вот тут подробно настройки с картинками:
http://kerio-rus.ru/index.php?option=com_content&task=blogsection&id=4&Itemid=36
архив завтра гляну
вроде всё правильно - впиши на машине брата в свойствах обозревателя - подключение - настройка лан - галку использовать прокси 192.168.0.174 порт 3128 и на своей "сетевая в локалку" DNS убери
он твою машину нормально видит заходит на неё без проблем?

на машине брата в строке адреса введи:
h--p://192.168.0.174:4080/login
или
h--ps://192.168.0.174:4080/login
h--p замени на http что видишь?

lavren
Правило http://img356.imageshack.us/my.php?image=111cr5.png правильное для FTP и KWF на одной машине. И это http://img80.imageshack.us/my.php?image=pulefc3.png тоже правильное, если на разных. Попробуйте для начала вырубить KWF, если не поможет , то нужно искать траблу в самом Serv-U FTP Server v4.0. У меня стоит Filezilla 0.9.23 beta на отдельной машине, за KWF но на реальном IP (DMZ). Правило такое:
Source - Inet; Destination- Группа реальных IP (FTP-WEB сервера); Service - FTP
Все пашет.



Добавлено:
Serg41

Цитата:

есть два ip для интернета (даже одного провайдера) но нужно две компании пустить через свой канал интернета т.е. пользователи 1-й компании ходят через один ip, а вторая группа пользователей ходит через 2-й ip, т.е. чтоб разделить затраты жестко на своих сотрудников.

Прописываете на внешней сетевухе оба ip. Затем на каждую компанию пишите свое правило (или группу правил) где в Translation указываете NAT ip1 (или ip2 сответственно).
Да, еще можно каждую компанию посадить на свою сетевуху. Короче правило будет выглядеть так:
Source - локальный интерфейс компании 1; Destination - внешний интерфейс; Service - например Any; Translation - NAT ip 1-й компании. Для второй аналогично.
Если компании у вас в одной локалке, тогда нужно разделить их в Source например по IP компов или по логинам юзверов.

vimaret
Ему нужно из интернета на ФТП сервер находящийся в локалке, а ты предлагаешь ему
настройки из локалки на ФТР сервер находящийся в инете.

NegoroX

Цитата:

В столбец translation впиши Ip ftp сервера 192.168.0.1 порт21

Я уже перенес ФТП на машину с КВФ (ранее писал) так что уже ненужно!
vimaret
Поставил сервер Cerberus FTP Server 2.47 и тоже самое! Отрубил фирму от инета (вырубил КВФ) и ФТП побежал в вприпрыжку.
Что по вашему мнению, из настроек КВФ, может препятствовать работе ФТП?

[img] [/img]

сам парился, щас работает с этим правилом titan ftp, пользую снаружи Total commander в режиме пассивного FTP клиента (как браузер)

lavren
(по рдп у меня в 1с юзер из инета пашет, иногда нужно)
Пример привожу дословно :
(наме РДП) - (соурсе инет) - (дистинейшин файервол) - (сервице РДП, пинг) - (транслятион НАТ локал) - (прот. инспектор Ноне).

измени РДП на ФТР должно работать!

Добавлено:
ViktorA
И я тоже самое пытаюсь объяснить (сервице и трасляцион это по вкусу в зависимости от поставленной задачи) прот. инспектор в НоНе не нужен он.

NegoroX
RDP У меня работает уже давно!

У меня подозрение что КВФ чемто другим (не правилом) коннект рубит! Ибо в Status\Connections коннекты появляются но после подвисают (данные не передаются, данные в столбцах Rx[KB] и Tx [KB] не изменяются).

ViktorA
У тебя кабанчик работает? DNS Forwarding включчен и как? В Configuration\Content Filtering\FTP Policy какие нибуть правила прописаны? В Configuration\Content Filtering\HTTP Policy\Proxy Server стоит галочка Enable non-transparent proxy server?

Добрый день!

У меня вот такая ситуация,
Kerio 6.4.2, вылечен таблеткой,

Настроен VPN - tunnel между двумя сетками,
Происходит следующее -
После некоторого времени VPN - tunnel перестает работать,
пакеты не идут , серваки не видны (не пингуются ) по IP

Хотя Kerio продолжает раздовать интернет сети, и все как
работает нормально кроме VPN - tunnel.

Решается проблема очень просто - полным рестартом сервака с Kerio,
Рестарт сервиса не помогает,

Что может быть, и как бороться?
Сейчас я например в пять утра рестарую сервак =)
но иногда пропадает и среди рабочего дня

NegoroX

Цитата:

У тебя кабанчик работает?
работал одно время, потом был какой-то косяк - трафик стопится начал - выключил (особо не нужен, трафика с лихвой хватает
)
DNS Forwarding включчен и как?
включен, переправляет на DNS прова

В Configuration\Content Filtering\FTP Policy какие нибуть правила прописаны?
есть штук 10, в том числе редирект NAI UPDATE, блокировка *.kerio.com*, всякие рестрикты на "особо злые" чаты

В Configuration\Content Filtering\HTTP Policy\Proxy Server стоит галочка Enable non-transparent proxy server?

нет выключен, есть AD и обязательная авторизация юзеров для выхода в инет

ViktorA
А какая версия КВФ?

lavren
6.4.0.3176

vimaret
Сорри за задержку с ответом, всё работает.
Подскажите, пожалуйста, есть ли ограничения на количество подключений к серверу на котором установлен Кирек?

NegoroX

Цитата:

Ему нужно из интернета на ФТП сервер находящийся в локалке, а ты предлагаешь ему настройки из локалки на ФТР сервер находящийся в инете.

Откуда вы делаете такой вывод?
Я молчу-молчу, но все-таки скажу: "Ну что вы сбиваете людей с толку, в частности lavren. Вы предлагаете правила с ошибками. Вот в этом например:
Цитата:

(наме РДП) - (соурсе инет) - (дистинейшин файервол) - (сервице РДП, пинг) - (транслятион НАТ локал) - (прот. инспектор Ноне).

НАТ не нужен, уберите его и убедитесь сами."
Когда пишется правило для доступа из внешней сети в локальку, то оно пишется так:
1. Source - Внешний интерфейс, кокретный IP, группа IP, внешняя сеть и т.п.
2. Destination - Внешний адрес вашего сервиса (т.е. реальный IP на который будут обрашаться из инета) . Можно Firewall, но лучше не надо, потому что Firewall подразумевает любой IP на компе, где установлен Керик. В класическом случае, когда Внешний интерфейс с одним IP плюс Внутренний интерфейс с одним IP правило, где в Destination указан Firewall будет работать нормально. Но в более сложном случае, например несколько IP на внешнем интерфейсе или несколько внутренних интерфейсов (VLANы, DMZ) правило может мапить некорректно. Я давно уже напоролся на эти грабли. Поэтому и рекомендую народу писать конкретный IP, дабы в будущем при усложнении правил не создавать потенциальных проблем.
3. Service - Указывается сервис, или порт, или группа сервисов (но не Any) к которым нужно получить доступ из инета. Лучше разделять разные сервисы в отдельные правила. легче дебажить траблы.
4. Translation - Указывается Map и локальный IP, где расположен сервис. Может быть указан порт, если он не стандартный. Но никаких NATов. NATы указываются в правилах выхода из локалки в инет. (при выходе с Firewall в инет NAT не нужен, т.к Firewall уже имеет реальный IP).


lavren

Цитата:

Отрубил фирму от инета (вырубил КВФ) и ФТП побежал в вприпрыжку.

Т.е вы выключили КВФ но не отрубили инет? И трафик пошел?
Вот даже не знаю, что вам еще порекомендовать, разве что "взвод делай как я". У меня ФТП стоит в ДМЗ на реальном IP, я уже писал об этом. Ну и прокси тоже отключен. В контент фильтеринг все отрублено.
Прочитайте еще в хелпе troubleshooting>FTP on WinRoute's proxy server может быть это натолкнет на какие-нибудь мысли.


alin

Цитата:

Подскажите, пожалуйста, есть ли ограничения на количество подключений к серверу на котором установлен Кирек?

Нужно уточнить к Инету, или к расшаренным ресурсам винды, или к статистике керио....? К керио и инету только лицензии самого Керио. К винде - лицензии винды. Ну и если вы организуете тагированные VLANы на интелловых сетевухах с поддержкой 802.1Q и управляемых свитчах, то сами свитчи имеют ограничения на количество VLANов в зависимости от модели и Intel Advanced Network Service Protocol тоже ограничивает по 64 VLANа на каждый интерфейс.

vimaret

Цитата:

Т.е вы выключили КВФ но не отрубили инет? И трафик пошел?

Да! Стопнул службу КВФ и друг зашел на ФТР и скачал большой файл!

vimaret

Цитата:

Я молчу-молчу, но все-таки скажу:

Да и не нужно держать в себе на то и форум
правила пишутся под себя (соблюдая основные законы написания этих правил)
написанное выше работает не один год юзеры претензий не имеют - чего и всем желаю.
PS
из принципа правильности на предыдущей странице я писал :
В столбец translation впиши Ip ftp сервера 192.168.0.1 порт21
PSss
lavren
Ну ничем у народа настройки не отличаются от тех что я рисовал на предыдущей странице
посмотри тут:
http://kerio-rus.ru/index.php?option=com_content&task=view&id=34&Itemid=44
Поиграйся другими настройками например (прозрачный непрозрачный прокси, отключи кеш

NegoroX
vimaret
ViktorA
Народ я в шоке! Во всем виноват Protocol Inspector!
Да, согласен, я его отключил, как и советовали! Но в этом и траблы!!!
Наткнулся на посты здесь и здесь.
Решил испробовать, поставил Default в Protocol Inspector и ФТП заработал! Сделал мапинг - тоже бегает! Мистика и все!
Сейчас правила такие:

Спасибо что помогли докопаться до истины!

lavren

Цитата:

поставил Default в Protocol Inspector и ФТП заработал!

Да уж, надо взять на заметку, какой ФТП зловредный.

как сделать ? чегото не соображаю
есть комп полключен по VPN и интерету поднат нат авторизацыя через вебинтерфейс
чтобы работал интернет пользователи прописывают себе шлюз на роутер и DNS

так вот
как раздавать интернет через VPN подключение чтото не сображу как сделать
ну жно как установил VPN соединение с сервером со своим логином на тебе интернет

бля чего это надо
в сетке у нас несколько провайдеров интернета у меня есть свой личный интернет вот и хочю его раздавать кому надо а так приходится пеписывать шлюз и dns
с впн по моему какба проще было

>garbals
> c впн по моему какба проще было

Естественно будет проще,
В мануале есть подробное руководство как поставить VPN сервер,

А у кого какие настройки кэширования в Kerio WinRoute? Просто бывали случаи, когда при работе на какой-либо машине в сети при открытии, например, mail.ru, уже был вбит электронный адрес абсолютно другого человека, который за этим компьютером и не работал. Бывало при авторизации на почте tut.by человек попадал не в свою почту. В общем это большой удар по безопасности, если знать закономерность глюка, а использование кэширования довольно таки эффективная штука. Используется Kerio WinRoute 6.4.1.3519.

lavren

Цитата:

Народ я в шоке! Во всем виноват Protocol Inspector!

Рад, что удалось победить траблу. Кто бы мог подумать... обычно его выключают. Я посмотрел свои правила, тоже включен.
Если не сложно, попробуйте еще объединить правила с FTP и портами в одно для полноты эксперимента. Может начнет глючить? Тогда можно будет сделать вывод, что для доступа к FTP протокол инспектор должен быть включен и правило для FTP сервиса должно быть отдельное.
Полезная информация, ее бы в шапку не помешало.

Добрый день всем!

Устал уже бороться с проблемой.

Стоит Керио 6.4.0 билд 3176, правила настроены по умолчанию визардом. Юзеры ходят без авторизации в инет. Периодически наблюдается такая проблема - у некоторых юзеров траффик резко уменьшается за пару часов. Ничего не качалось, в usage statistic пусто, internet access monitor тоже ничего не показывает, но керио инет юзеру обрубает (стоят квоты). Подскажите в какую сторону копать?

И еще. Почему такое большое несоответствии по траффику в керио и в internet access monitor. Например, за апрель уже выкачано в общей сложности 3,6 Гб, iam показывает всего лишь 1,2 гб. Куда делись 2,4 Гб.

Protocol Inspector выключен.

Подскажите плиз, уже устал бороться...