» Kerio WinRoute Firewall (часть 3)

vimaret

Цитата:

Кто бы мог подумать... обычно его выключают

У меня, напрмер, без него не работает клиент-банк.
Так что у каждого своя ситуация. Общих правил не так много.

Цитата:

>garbals
> c впн по моему какба проще было

Естественно будет проще,
В мануале есть подробное руководство как поставить VPN сервер,

Цитата:

[/q][q]

стоит впн сервер и клиент конектится а вот интернет не идёт

lavren

Цитата:

Во всем виноват Protocol Inspector!

Не факт! По картинке нифига не понять... Есть правила которые пропускают фтп во внутрь... А исходящие где? Режим фтп пассивный/активный??

YuraseK

Цитата:

В общем это большой удар по безопасности

Ага и не говори...
Только если выходить из почты без logout то можно и без кеша попасть.
А скажика как у тебя пользователи авторизуются?
garbals

Цитата:

ну жно как установил VPN соединение с сервером со своим логином на тебе интернет

Ну так включи передачу маршрута по умолчанию.... Правда VPN подключение должно у клиента стоять первым.

Чтобы не кэшировалась почта, жми URL specific settings , и там указывай какие именно URL ты не желаешь кэшировать. У меня *mail*, *@*, ну и по адресам почовиков - www.mail.ru, www.list.ru, и тд..

Всем доброго дня!

У нас установлен winroute 6.4.2 3672
сеть ~70 юзеров, винроут адаптированно работает в АД, беря оттуда юзеров и авторизуя их прозрачно через прокси. Несколько дней в боевом режиме работало без нареканий, но сегодня заметил, что перестала считаться статистика использования интернет трафика, то есть кроме пары пользователей с несколькими килобайтами в разделе статистики полные 0, что не соответствует действительности. В разделе active host, кликая на имя пользователя отображается кол-во использованного трафика, но более никуда эта информация не попадает. Перезапуск машины не помог (((
Может кто знает как этой беде помочь?

есть комп с WinXP+kerio 6.4.2.3672, две сетевухи - каждая смотрит в свою подсеть, инет идет по ADSL модему.
При попытке открытия любой страницы керио показывает 600 коннекшинов и сайт ессесно не открывается. Ping, tracert всё работает норм..
в чём прикол??
настройки винроута и сетевух уже полностью перелопатил..

После перехода на последнюю версию, сервак поработал нормально дней 10, а сейчас виснет по 2-3 раза в день, все настройки перепроверил по 20 раз, не пойму в чем прикол. И не понятно следующее: у меня адрес проксика 192.168.0.1, и в алертах куча сообщений о сканировании ссервака с этого адреса. Но этот адрес и есть сам сервак, что за хрень? Может быть между этим и повисанием сервера есть связь?

grechikhin
используй альтернативу для траффика
SergFM
убери эту галочку вообще
Liderdomofon
показывай настройки

Несмотря на то что уже разобрался, хочется спросить, зачем тогда ваще винроут нужен будет, если использовать часть его функций в альтернативе

Ruza

Цитата:

Не факт!

У тебя есть какието факти или ты просто мне не доверяешь?

Цитата:

По картинке нифига не понять...

А что тебе ещо показать? Или сказать: клянусь!
Вот ещо картинка правил которые здесь обсуждались:


Цитата:

Есть правила которые пропускают фтп во внутрь... А исходящие где?

И без них работает!!!

Цитата:

Режим фтп пассивный/активный??

Пасивный, клиент Total Commander.

vimaret
NegoroX
Новая пища для мозгов! Подскажите почему КВФ блокирует некоторых клиентов по ФТП
Вот [more=лог]
[09/Apr/2008 15:50:50] FTP: Bad server reply: client: 217.196.ххх.ххх, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,12,102)
[09/Apr/2008 16:23:47] FTP: Bad server reply: client: 195.114.ххх.ххх, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,12,194)
[09/Apr/2008 16:23:48] FTP: Bounce attack attempt: client: 195.114.ххх.10, server: 192.168.0.1, command: PORT 10,1,4,7,195,94
[09/Apr/2008 16:24:17] FTP: Bad server reply: client: 195.114.ххх.10, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,12,195)
[09/Apr/2008 16:24:17] FTP: Bounce attack attempt: client: 195.114.ххх.ххх, server: 192.168.0.1, command: PORT 10,1,4,7,195,123
[09/Apr/2008 16:25:00] FTP: Bounce attack attempt: client: 195.114.ххх.ххх, server: 192.168.0.1, command: PORT 10,1,4,7,195,197
[09/Apr/2008 16:25:23] FTP: Bounce attack attempt: client: 195.114.ххх.ххх, server: 192.168.0.1, command: PORT 10,1,4,7,195,226
[09/Apr/2008 16:29:50] FTP: Bounce attack attempt: client: 195.114.ххх.ххх, server: 192.168.0.1, command: PORT 10,1,4,7,196,243
[09/Apr/2008 16:43:44] FTP: Bad server reply: client: 217.196.ххх.ххх, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,13,34)
[09/Apr/2008 16:55:10] FTP: Bounce attack attempt: client: 195.114.ххх.ххх, server: 192.168.0.1, command: PORT 10,1,4,7,205,69
[10/Apr/2008 09:28:21] FTP: Bad server reply: client: 217.196.ххх.ххх, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,9,64)
[10/Apr/2008 09:29:24] FTP: Bad server reply: client: 217.196.ххх.ххх, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,9,67)
[10/Apr/2008 15:19:23] FTP: Bad server reply: client: 195.114.ххх.ххх, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,13,80)
[10/Apr/2008 15:19:23] FTP: Bounce attack attempt: client: 195.114.ххх.ххх, server: 192.168.0.1, command: PORT 10,1,4,7,224,181
[11/Apr/2008 16:14:15] FTP: Bad server reply: client: 217.196.ххх.ххх, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,15,122)
[11/Apr/2008 16:14:46] FTP: Bad server reply: client: 217.196.ххх.ххх, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,15,123)
[11/Apr/2008 16:16:16] FTP: Bad server reply: client: 217.196.ххх.ххх, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,15,126)
[11/Apr/2008 16:16:51] FTP: Bad server reply: client: 217.196.ххх.ххх, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,15,128)
[11/Apr/2008 16:17:43] FTP: Bad server reply: client: 217.196.ххх.ххх, server: 192.168.0.1, response: 227 Entering Passive Mode (172,16,ххх,ххх,15,133)
[/more].
Как отучить блокировать?

snayper7 решение наподобие анекдота: "доктор, когда я сгибаюсь у меня спина болит... - так вы не сгибайтесь"
галочка нужная и отключать её я не рекомендовал бы.....
вобщем, дождался до 7000 открытых соединений и дальше ждать не стал...
такое впечатление что сцылки зацыкливаются - маразм получается

SergFM
да выключи ее.... сильно нужна?

lavren
Правильние будет Прот. Инспектор не default а FTP.
В FTP policy что ? убери все галки если есть.
клиенты точно одинаковые настройки имеют?

Будет ли поддержка в Kerio Winroute шейпинга траффига или каким образом можно её сделать по конкретным IP адресам, а также интересует привязка IP к MAC адресу, кто нибудь занимался данным вопросом ?

drezdenwork
Manual курить не пробывал?

шейпер довольно примитивный, настройка его понятна при внимательном рассмотрении через 10 минут. Но вот работа его меня лично не устраивает: он то шейпит то нет в чем дело не понять, такое чуство, что при первоначальном включении все работает, при последующих корректировках все больше и больше путается система. На предыдущей версии мне кажеться работало несколько лучше. Отдельного юзера или группу юзеров ты можешь указать либо для шейпера, либо для исключения из правил шейпера, вот главный принцип настройки. Но более непонятна настройка на последней вкладке, где задаётся пауза после скачивания задаваемого объёма трафика. Почему то, ее не отключить, можно лишь поставить 0 для объёма трафика.

Цитата:

да выключи ее.... сильно нужна?

snayper7 млин...не в галке дело..я её убрал, открываю любой сайт, пишется "ожидание"..смотрю в керио количество конекшинов увеличивается (дошло до 7 тысяч, дальше ждать не стал), а результата нет...
вобщем пока грешу на дистрибутив винды..

Ребят возникло несколько проблемм:
1. Вообщем ситуевина такая, юзвери быстро расходуют свой траффик при чем лазиют не на те сайты куда надо, ну не по работе, мне не хочется банить сайты, после этого пользователи ходят обидчивые очень, Я подумал и решил может можно как то урезать скорость на эти сайты, пусть ждут по два часа пока страничка открывается, как это можно сделать???? Если можно!!
2. Лог подключений разросся просто до огромных размеров , в настройках его вроде бы можно резать , так вот как это сделать более правильно , и будет ли потом с этими резанными логами работать IAM??
3. Кому верить MAccaffi или Nod32, в одном месте включил макаку, и он много обьектов выдерает из страниц(скрипты , вирусы и т.д), В другом месте макака не работает у юзверей стоит НОд32 и его IMON ни чего не находит, кому же верить. Нод пока еще вроде бы не подводил.

Народ, не подходит пароль к Керио О_О
как его снести ? Помогите, пожалуйста.
вопрос снят, нашла строчку, которую нужно было удалить

Подскажите пожалуйста можно ли с помощью Kerio WinRoute Firewall на одном компьютере раздавать 2 или 3 интернет подключения для 3 подсетей
(
т-ть есль 2 интернет подключения (от разныхпровайдеров) есть комп с 5 сетевыми картами
есть 3 локальные подсети 192.168.0.Х, 192.168.1.х, 192.168.2.х)
смогу ли с помощью этой программы кореектно раздавать инет (нужно в 2 подсети через одного прова одна подсеть через другого)
если у кого работает отпишитесь так как не уверен в возможностях программы
)

Я думаю все будет работать , это же корпаративный файервол который в принципе и расчитан на что то именно такого масштаба. У Тебя там есть конкретные настройки для каждого интерфейса, ну соответственно и в правилах остается только указывать нужные интерфейсы.

Frose
а встроенный прокси сервер? и VPN сервер он куда выпускать будет через какое соединение?

Frose
1. В начале месяца отчет кто сколько съел - пусть сами думают.
2. смотри закладку аккаунтинг-лог сетинг-правой кнопкой эдит - задай максимальный размер лога ( при изменении размера лога у меня он один раз обнулился )
для IAM размер лога влияет за какой период ты сможешь отчет составить (при маленьких может и текущий месяц не охватить)
3. макаку убил так как она временами нужное и абсолютно безопасное блокировала (ну что взять с обезьяны) НОД не юзал отзывы неплохие.

Добавлено:
valdi77
Возможности Трафик инспектора не смотрел? (не уверен но все же:
http://www.smart-soft.ru/
я думаю проще две машины поставить.

NegoroX

Цитата:

я думаю проще две машины поставить.

Проще не всегда лучше Вопервых 2 компа когда выделили деньги на один + начальство говорит, оно знает как лучше и так точно луше и наверняка на линуксе так можно проблема что я в линуксе не очень, а нужно настроить сразу а не в течении месяца.

valdi77
даже если предположить, что ты это запустишь, то у тебя всегда будет гимор с учётом трафика по пользователям, и ГОРАЗДО проще и лучше, и правильнее - если уж у тебя подсети разные - поставь таки вторую машину, либо поставь железный маршрутизатор недорогой, + керио. Если запустишь все через одну машину, поимеешь гимор, и потеряешь своё бесценное время )))

Цитата:

начальство говорит, оно знает как лучше

вот это самая большая проблема!!!

Liderdomofon
SergFM
Согласен с вами что будут проблемы если честно сам очень сомневаюсь что заработает, Вопрос если не керио, то что?

valdi77
в конторе где умные начальники старых машин нет? керио не очень требовательна и на вчерашних компах хорошо работает.

Цитата:

Вопрос если не керио, то что?

Это смотрел? :
http://www.smart-soft.ru/?page=tispec
поставить проверить 5минут
если нет то удивительное рядом - Линукс

Лучше пусть сначала сюда залезет
http://forum.smart-soft.ru/forum_topics.asp?FID=1
Если совсем внапряг..... то лучше сюда :
http://www.mikrotik.com/software.html

Всем привет.
Хотелось бы знать как сделать portable версию kerio admin - какие файлы, ключи реестра куда пишутся.
Заранее благодарю.