IL81
и тебе не хворать kerio-rus.ru
и тебе не хворать kerio-rus.ru
» Kerio WinRoute Firewall (часть 3)
snayper7
kerio-rus.ru/пардон_можно_по_конкретней_а_то_я_не_соответсвую_вашему_нику.спсб
kerio-rus.ru/пардон_можно_по_конкретней_а_то_я_не_соответсвую_вашему_нику.спсб
Консоль KWF+KMS Ссылка
(Новости/Новости)
Оригинальная консоль Kerio, не требующая инсталляции на компьютер. Поддерживает работу с flash-drive или CD, на компьютер устанавливается обычным копированием. Поддерживает работу как с WinRoute 6.2.x
11.02.2007 г.
p/s
кто догадается как зарегится, скажите плз, на форуме зареген, а вот для просмотра этой страницы как-то не нашел сцылку "регистрация" (может виноват понедельник
)
(Новости/Новости)
Оригинальная консоль Kerio, не требующая инсталляции на компьютер. Поддерживает работу с flash-drive или CD, на компьютер устанавливается обычным копированием. Поддерживает работу как с WinRoute 6.2.x
11.02.2007 г.
p/s
кто догадается как зарегится, скажите плз, на форуме зареген, а вот для просмотра этой страницы как-то не нашел сцылку "регистрация" (может виноват понедельник
) IL81
шутник )) вот
шутник )) вот
NegoroX
Цитата:
Хорошо уберу это:
Цитата:
Точно! Но один (который нормально подключается) заходит с машины которая подключена непосредственно к инету, а другой (которого рубит) заходит с машины в корпоративной сети тоесть из за фаервола! Думаю в этом и причина!!!
На форуме спрашивали уже об этом но никто не дал ответа.
Вот нарыл в инете:
FTP invalid PORT command. Если вы такое обнаружили, это означает, что совершается попытка вторжения в вашу FTP-систему. Немногие ЭВМ допускают такую атаку. Команда "PORT" является частью протокола FTP но обычно незаметна для пользователя, хотя он часто и получает статусные сообщения "PORT command successful". Это уведомляет противоположную сторону о том, кода следует направлять данные. Эта команда форматируется в виде списка из 6 чисел, разделенных запятыми. Например:
PORT 192,0,2,63,4,01
Данная команда сообщает противоположной стороне, что данные следует отправлять по адресу 192.0.2.63, порт 1025. Если эта команда искажена, то вероятно атакер пытается компрометировать FTP-сервис. Однако, так как большинство FTP-сервисов противостоит этому типу атаки, шансов у хакера в этом варианте немного.
Цитата:
В FTP policy что ? убери все галки если есть.
Хорошо уберу это:
Цитата:
клиенты точно одинаковые настройки имеют?
Точно! Но один (который нормально подключается) заходит с машины которая подключена непосредственно к инету, а другой (которого рубит) заходит с машины в корпоративной сети тоесть из за фаервола! Думаю в этом и причина!!!
На форуме спрашивали уже об этом но никто не дал ответа.
Вот нарыл в инете:
FTP invalid PORT command. Если вы такое обнаружили, это означает, что совершается попытка вторжения в вашу FTP-систему. Немногие ЭВМ допускают такую атаку. Команда "PORT" является частью протокола FTP но обычно незаметна для пользователя, хотя он часто и получает статусные сообщения "PORT command successful". Это уведомляет противоположную сторону о том, кода следует направлять данные. Эта команда форматируется в виде списка из 6 чисел, разделенных запятыми. Например:
PORT 192,0,2,63,4,01
Данная команда сообщает противоположной стороне, что данные следует отправлять по адресу 192.0.2.63, порт 1025. Если эта команда искажена, то вероятно атакер пытается компрометировать FTP-сервис. Однако, так как большинство FTP-сервисов противостоит этому типу атаки, шансов у хакера в этом варианте немного.
lavren
Цитата:
Что значит: "непосредственно к инету", даже виндовый файер отсутствует, неговоря уже про касперы симантеки и т.д.?
Может причина все-таки не файерволе, а в НАТе или в проксях. Попробуйте подключить кого-нить из корпоративки на реальный IP, но за кериком, например через отдельную сетевуху.
Цитата:
один (который нормально подключается) заходит с машины которая подключена непосредственно к инету
Что значит: "непосредственно к инету", даже виндовый файер отсутствует, неговоря уже про касперы симантеки и т.д.?
Может причина все-таки не файерволе, а в НАТе или в проксях. Попробуйте подключить кого-нить из корпоративки на реальный IP, но за кериком, например через отдельную сетевуху.
lavren
это пример, с такими настройками из своей сети через керио по ФТП ресурсам местной локалки брожу:
в тоталсоммандоре закладка настройка ФТП
1. галка пассивный режим
2. галка использовать брандмауер или прокси-сервер галка ХТТП соннект
указать - имяпрокси:3128 ну и юзер пароль
это пример, с такими настройками из своей сети через керио по ФТП ресурсам местной локалки брожу:
в тоталсоммандоре закладка настройка ФТП
1. галка пассивный режим
2. галка использовать брандмауер или прокси-сервер галка ХТТП соннект
указать - имяпрокси:3128 ну и юзер пароль
vimaret
Цитата:
В смысле с прокси, с машины где стоит firewall (Kerio если я не ошибаюсь 5.5)!
Цитата:
"непосредственно к инету"
В смысле с прокси, с машины где стоит firewall (Kerio если я не ошибаюсь 5.5)!
Хочу спросить у всех кто как пользуется логами в KWF 6.4.2 для просмотра лога пользуюсь тремя так сказать анализаторами(первый хоть и не анализатор но все таки-стандартная статистика KERIO). Вообщем статистика Керио показывает одно , IAM соответственно второе а Kerio Star третье ну как как с этим бороться , у кого то почти все совпадает , а у кого то аж целые дни вылетают. Ну и как быть то , кому верить ????
IAM - логи прекрасные , но ..... , такое чувство что не правельно показывает.
Статистика Керио -стараюсь ей верить , но подробно ни чего не посмотришь.
Kerio Star- ни рыба, ни мясо куча всего не нужного, и не особо все наглядно видно, быть может есть какая то наливалка логов из него куда нибудь??
Еще один вопрос который и раньше задавал , Кешированные страницы вычитаются из квоты пользователя или нет????
IAM - логи прекрасные , но ..... , такое чувство что не правельно показывает.
Статистика Керио -стараюсь ей верить , но подробно ни чего не посмотришь.
Kerio Star- ни рыба, ни мясо куча всего не нужного, и не особо все наглядно видно, быть может есть какая то наливалка логов из него куда нибудь??
Еще один вопрос который и раньше задавал , Кешированные страницы вычитаются из квоты пользователя или нет????
Frose
анализатор винроут спай попробуй
анализатор винроут спай попробуй
Ребят, проблема вот в чем: трафик полиси настроен как на картинке ниже, т.е. юзеров, прошедших аутентификацию - пускать всюду(правило NAT). Появилась проблема с почтовыми программами, они не коннектятся к серверу (pop.xxxx.xx). Почему такое может быть?
с этим разобралась, чисто моя невнимательность ..
Вопрос новый созрел:
одноранговая сеть, домен в проекте, но пока еще нету. При логине юзера на прокси сервере - его сразу бросает на страницу статистики. Как сделать, чтобы для простых пользователей после ввода имени и пароля страница статистики не открывалась совсем, но при этом веб-интерфейс работал?
с этим разобралась, чисто моя невнимательность ..
Вопрос новый созрел:
одноранговая сеть, домен в проекте, но пока еще нету. При логине юзера на прокси сервере - его сразу бросает на страницу статистики. Как сделать, чтобы для простых пользователей после ввода имени и пароля страница статистики не открывалась совсем, но при этом веб-интерфейс работал?
Народ, помогите советом… Есть Winroute Firewall, свя сеть наружу ходить только через него, есть пара юзерей с icq, ходящей через этот winroute - и надо как-то организовать логирование сообщений. Куда смотреть, что искать?
Weterok1
Цитата:
Интересно как ты этого добился (наверное они у тебя набирают h--p://192.168.0.1:4080/login ?) - должно быть: юзер на машине открывает ru.ru всплывает окно авторизации юзер вводит правильный логин пароль и идет на ru.ru
А вев морду ты им зря показал на ней есть сведения что им запрещено - голосить будут что ущемляешь
PeterQ
Цитата:
ICQ скользкая вещь ходит в инет через все щели - есть прога (название не помню) читает все сообщения входящие и исходящие, но сетку тормозит.
Цитата:
При логине юзера на прокси сервере - его сразу бросает на страницу статистики.
Интересно как ты этого добился (наверное они у тебя набирают h--p://192.168.0.1:4080/login ?) - должно быть: юзер на машине открывает ru.ru всплывает окно авторизации юзер вводит правильный логин пароль и идет на ru.ru
А вев морду ты им зря показал на ней есть сведения что им запрещено - голосить будут что ущемляешь
PeterQ
Цитата:
есть пара юзерей с icq, ходящей через этот winroute - и надо как-то организовать логирование сообщений. Куда смотреть, что искать?
ICQ скользкая вещь ходит в инет через все щели - есть прога (название не помню) читает все сообщения входящие и исходящие, но сетку тормозит.
PeterQ
KWF для записи/чтения логов аськи тебе никак не поможет. Нужно стороннее ПО. Типа Ufasoft icqsnif. Тока глюки от нее по сети идут жуткие...
ALL
Народ, кто-нить подскажите структуру http.log. Где там что?
Хочу попробовать написать простую прогу для подсчета трафика.
Собственно интересует только окончание строчек. Нашел только 2разных окончания типа:
"GET http://counter.rambler.ru/top100.cnt? HTTP/1.0" 200 796
или
"GET http://205.188.248.209/monitor? HTTP/1.1" 200 730 +255
Что они означают?
KWF для записи/чтения логов аськи тебе никак не поможет. Нужно стороннее ПО. Типа Ufasoft icqsnif. Тока глюки от нее по сети идут жуткие...
ALL
Народ, кто-нить подскажите структуру http.log. Где там что?
Хочу попробовать написать простую прогу для подсчета трафика.
Собственно интересует только окончание строчек. Нашел только 2разных окончания типа:
"GET http://counter.rambler.ru/top100.cnt? HTTP/1.0" 200 796
или
"GET http://205.188.248.209/monitor? HTTP/1.1" 200 730 +255
Что они означают?
NegoroX
Просто видела, что при логине именно с этой странички h--p://192.168.0.1:4080/login появляется окошко "Вы авторизированы успешно" или что-то в этом роде.
Просто видела, что при логине именно с этой странички h--p://192.168.0.1:4080/login появляется окошко "Вы авторизированы успешно" или что-то в этом роде.
lavren
Спасибо
Я правильно понял, что строчка
"GET http://205.188.248.209/monitor? HTTP/1.1" 200 730 +255
означает что получено 730 байт, а не 730*255?
Weterok1
Что плохого что юзеры видят страницу СВОЕЙ статистики? Наоборот могут себя контролировать, чтобы лишнего не накачать. А все запреты что выставлены в ХТТП полиси, можно с нее убрать, чтоб бзера не видели. Как сделать, я писал в этом топике.
Спасибо
Я правильно понял, что строчка
"GET http://205.188.248.209/monitor? HTTP/1.1" 200 730 +255
означает что получено 730 байт, а не 730*255?
Weterok1
Что плохого что юзеры видят страницу СВОЕЙ статистики? Наоборот могут себя контролировать, чтобы лишнего не накачать. А все запреты что выставлены в ХТТП полиси, можно с нее убрать, чтоб бзера не видели. Как сделать, я писал в этом топике.
Есть ли программа полного удаления Керио?
Уже пришлось сносить винду из-за него раз.. не хочу повторения.. пока обхожусь системой восстановления, но она тоже не идеальна.
С первой попытки керио всегда перезагружает комп не доходя до конца инстала, поэтому не ставится до конца.. вторая и третья попытки подвисают..
До установки керио поставил касперского (только прверка файлов). Модули проверки трафика не усанавливал.
Стоит еще УСБ ключ шифрования со своей программой впн доступа.. пока не разобрался из-за чего именно керио не может поставиться.
Уже пришлось сносить винду из-за него раз.. не хочу повторения.. пока обхожусь системой восстановления, но она тоже не идеальна.
С первой попытки керио всегда перезагружает комп не доходя до конца инстала, поэтому не ставится до конца.. вторая и третья попытки подвисают..
До установки керио поставил касперского (только прверка файлов). Модули проверки трафика не усанавливал.
Стоит еще УСБ ключ шифрования со своей программой впн доступа.. пока не разобрался из-за чего именно керио не может поставиться.
Lovec
Незнаю! Я не читал!
Незнаю! Я не читал!
Цитата:
Mafia80
отключи каспера на время установки. кеио ставит свои модули McAfee. их все антивирусники распознают как вирусы. и видимо не дают установить. из-за этого инсталл перезагружает комп.
NegoroX
Цитата:
Нет разницы (проверял) так как default говорит о том что будет использоваться Инспектор Прот. указанный в Configuration\Definitions\Services\(имя сервиса, в нашем случае FTP)\Protocol inspector, а там тот же FTP.
Цитата:
Клиенты да, а вот инет идет по разному, у одного через керио, а у другого линух
Цитата:
Пробовали разными способами -- никак не идет!!!
Проблема, я подозреваю, вот в чем:
[10/Apr/2008 15:19:23] FTP: Bounce attack attempt: client: 195.114.ххх.ххх, server: 192.168.0.1, command: PORT 10,1,4,7,224,181
195.114.ххх.ххх - внешняя IP клиента
10.1.4.7 - внутренний IP клиента
Линух (через который они ходят в инет) не подменяет команду PORT 10,1,4,7,224,181 на PORT 195,114,ххх,ххх,224,181, керио смотрит что запрос пришел от 195.114.ххх.ххх но в запросе указано что данные нужно отправить на 10.1.4.7 и делает вывод что это злостные хакеры подменяют IP, и рубит конект!!!
Цитата:
Правильние будет Прот. Инспектор не default а FTP.
Нет разницы (проверял) так как default говорит о том что будет использоваться Инспектор Прот. указанный в Configuration\Definitions\Services\(имя сервиса, в нашем случае FTP)\Protocol inspector, а там тот же FTP.
Цитата:
клиенты точно одинаковые настройки имеют?
Клиенты да, а вот инет идет по разному, у одного через керио, а у другого линух
Цитата:
1. галка пассивный режим
2. галка использовать брандмауер или прокси-сервер галка ХТТП соннект
указать - имяпрокси:3128 ну и юзер пароль
Пробовали разными способами -- никак не идет!!!
Проблема, я подозреваю, вот в чем:
[10/Apr/2008 15:19:23] FTP: Bounce attack attempt: client: 195.114.ххх.ххх, server: 192.168.0.1, command: PORT 10,1,4,7,224,181
195.114.ххх.ххх - внешняя IP клиента
10.1.4.7 - внутренний IP клиента
Линух (через который они ходят в инет) не подменяет команду PORT 10,1,4,7,224,181 на PORT 195,114,ххх,ххх,224,181, керио смотрит что запрос пришел от 195.114.ххх.ххх но в запросе указано что данные нужно отправить на 10.1.4.7 и делает вывод что это злостные хакеры подменяют IP, и рубит конект!!!
Каспера полностью выгружал во время инстала..
Последний раз вообще все убил из процессов включая эксплорер - тогда инстал прошел более менее успешно.
Но работать он не хочет. пакеты никуда не проходят. взял старый конфиг - тоже самое.
После полной загрузки компа - винроут нельзя выгрузить из памяти никакими методами.
Удаление проги не прошло.. заткнулся на удалении драйвера опять.
Еще раз откатился на контрольную точку.
Попробую поставить версию постарее чем 6.4.2 build 3672.. может в ней проблема.
Последний раз вообще все убил из процессов включая эксплорер - тогда инстал прошел более менее успешно.
Но работать он не хочет. пакеты никуда не проходят. взял старый конфиг - тоже самое.
После полной загрузки компа - винроут нельзя выгрузить из памяти никакими методами.
Удаление проги не прошло.. заткнулся на удалении драйвера опять.
Еще раз откатился на контрольную точку.
Попробую поставить версию постарее чем 6.4.2 build 3672.. может в ней проблема.
Блин, народ!
Никак не могу разобраться в разнице строк в http логе:
192.168.3.30 - EvgenijaP@domen.local [20/Mar/2008:00:00:20 +0300] "GET http://dalas.ru/forum/archive/archive.css HTTP/1.1" 200 1181
и
192.168.3.30 - EvgenijaP@domen.local [20/Mar/2008:00:01:13 +0300] "GET http://mail.rambler.ru/ HTTP/0.0" 0 21433
Интересует то, что после кавычек. В первой строке: ответ сервера 200 (т.е. "ОК") и принято 1181 байт.
Во второй строке: что за HTTP/0.0 и ответ сервера 0 ?
Что бы это значило? Мож то, что из кэша берется инфа?...
ПоможИте.....
Никак не могу разобраться в разнице строк в http логе:
192.168.3.30 - EvgenijaP@domen.local [20/Mar/2008:00:00:20 +0300] "GET http://dalas.ru/forum/archive/archive.css HTTP/1.1" 200 1181
и
192.168.3.30 - EvgenijaP@domen.local [20/Mar/2008:00:01:13 +0300] "GET http://mail.rambler.ru/ HTTP/0.0" 0 21433
Интересует то, что после кавычек. В первой строке: ответ сервера 200 (т.е. "ОК") и принято 1181 байт.
Во второй строке: что за HTTP/0.0 и ответ сервера 0 ?
Что бы это значило? Мож то, что из кэша берется инфа?...
ПоможИте.....
поставил 6,2,3 вроде версию..
ни одна не поставилась более успешно чем эта..
хотя траблы с тормозами при загрузке остались.. но все быстро заработало и начало раздавать инет..
есть ли какие-то версии стабильные после этого билда? имеется в виду при установке на новую ось.
Толи с инсталятором они намудрили, толи дрова кривые или совсем не совместимые с 7-м каспером.
есть ли какие-то проги для раздачи нета через 2-ю сетевуху на несколько компов?
мне в принципе даже фаер не нужен и проверка трафика и ничего не нужно.. только тупая раздача без лишнего гемора и впн клиентов.
ни одна не поставилась более успешно чем эта..
хотя траблы с тормозами при загрузке остались.. но все быстро заработало и начало раздавать инет..
есть ли какие-то версии стабильные после этого билда? имеется в виду при установке на новую ось.
Толи с инсталятором они намудрили, толи дрова кривые или совсем не совместимые с 7-м каспером.
есть ли какие-то проги для раздачи нета через 2-ю сетевуху на несколько компов?
мне в принципе даже фаер не нужен и проверка трафика и ничего не нужно.. только тупая раздача без лишнего гемора и впн клиентов.
Mafia80
Каспер старше 5й версии нормально с керио никогда не жил, ибо на низком уровне внедряется в сетевую инфраструктуру оси (так же как и фаер). Если ничего из функционала фаера-прокси не нужно - проще использовать встроенный в любую винду (2000й и выше) ICS (основанный на NAT). На несколько компов это самое то. Минимум настроек, никаких сторонних программ.
Каспер старше 5й версии нормально с керио никогда не жил, ибо на низком уровне внедряется в сетевую инфраструктуру оси (так же как и фаер). Если ничего из функционала фаера-прокси не нужно - проще использовать встроенный в любую винду (2000й и выше) ICS (основанный на NAT). На несколько компов это самое то. Минимум настроек, никаких сторонних программ.
Mafia80
Цитата:
выше этой версии керио ставит свой сетевой драйвер как следствие полная несовместимость керио и Каспера, а что мешает другой антивирус использовать.
Цитата:
поставил 6,2,3 вроде версию
выше этой версии керио ставит свой сетевой драйвер как следствие полная несовместимость керио и Каспера, а что мешает другой антивирус использовать.
Можно использовать в качестве антивируса модуль Visnetic - у него базы Каспера.
lavren
Цитата:
А не пробовали в Configuration > Advanced options > security setting убрать галочку
Enable Anti-spoofing. Мне такое помогло для одного из VPN клиентов, у которого время от времени вылетала (насколько сейчас помню) подобная ошибка. А ISA так вообще его не пропускала, поэтому я и ушел с нее.
Цитата:
Проблема, я подозреваю, вот в чем: ......керио смотрит что запрос пришел от 195.114.ххх.ххх но в запросе указано что данные нужно отправить на 10.1.4.7 и делает вывод что это злостные хакеры подменяют IP, и рубит конект!!!
А не пробовали в Configuration > Advanced options > security setting убрать галочку
Enable Anti-spoofing. Мне такое помогло для одного из VPN клиентов, у которого время от времени вылетала (насколько сейчас помню) подобная ошибка. А ISA так вообще его не пропускала, поэтому я и ушел с нее.
Везде пишут что стандартное правило Local Traffic разрешает любой трафик между компьютерами сети. В порядке эксперимента переместил это правило наверх, установил Action - Deny и пприменил изменения. Теперь получается внутрисетевой трафик я запретил. НО после этого все узлы могут друг друга пинговать и перекидывать друг другу файлы. Так какой же трафик это правило разрешает/запрещает?
4kusnik
Цитата:
Вы не забывайте, что локалка, как правило ходит мимо файервола, это зависит от свитчей. Вот если у вас будет две локальных подсети, например 192.168.0.0 и 192.168.10.0 (для VPN клиентов), то между этими сетями трафик оборвется.
А правило это создается "мастером" для общего случая. Как правило вся сеть 192.168.0.0 , кроме файервола 192.168.0.1, гуляет мимо.
Цитата:
Так какой же трафик это правило разрешает/запрещает?
Вы не забывайте, что локалка, как правило ходит мимо файервола, это зависит от свитчей. Вот если у вас будет две локальных подсети, например 192.168.0.0 и 192.168.10.0 (для VPN клиентов), то между этими сетями трафик оборвется.
А правило это создается "мастером" для общего случая. Как правило вся сеть 192.168.0.0 , кроме файервола 192.168.0.1, гуляет мимо.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788
Предыдущая тема: Не расшариваются SYSVOL и NETLOGON
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.