» Kerio WinRoute Firewall (часть 3)

Lovec

Цитата:

Что плохого что юзеры видят страницу СВОЕЙ статистики? Наоборот могут себя контролировать, чтобы лишнего не накачать. А все запреты что выставлены в ХТТП полиси, можно с нее убрать, чтоб бзера не видели. Как сделать, я писал в этом топике.

плохо то, что юзера - студенты .. на второй закладке могут поменять пароль к примеру, да и вообще не нужно им видеть ничего, связанного с сервером..

lavren
мне же не всем запрещать надо

Vsevolod

Цитата:

а не работает этот запрет, а вот http://icq.com попасть действительно нельзя
правило, как *icq.com* Deny

почему не работает? а если ниже правило запрет на все?

snayper7
так мне предлогали это в http policy
если там запрет на всё, то нодо открывать, тогда, куда можно

Добавлено:
Всё, чего-то до меня сразу не дошло. В политике трафика можно же группу выбрать сразу, для которой можно или нельзя. Спасибо, получилось.

Vsevolod

Цитата:

мне же не всем запрещать надо

А кто говорит всем? В Sourse ставишь тех кому хочеш запретить...

Про мессаги через почтовик: тестовое сообщение уходит (и приходит тоже ))), а при окончании квоты сообщения нет. В логе запись Communication to SMTP reley denied by Traffic rules Куды дунуть ?

А как в керио запретить скачку файлов по HTTP размером более определённого количества мегабайт?

настроил поделючение модема в режиме bridge ...теперь не могу зайти в настройки модема...

Господа, поясните, или ткните ссылкой толковой по вопросу "подружить Kerio & DC++".

Ситуация: сервер-роутер с Керио (6). На нем 3 сетевых интерфейса: Инет, 192.168.1.0 и 192.168.0.1. На нем же и Птока висит. в правилах сетевых настроены свободные подключения к серверу для скачки файлов, подключения к нету. Сети 192.168.1.0 разрешен просмотр нет-биос ресурсов сети 192.168.0.0, а наоборот - запрещено.

DC++ из обоих подсетей подключается к птоке нормально, но как заставить толково работать клиетов ДЦ в активном режиме между подсетями через роутер - ХЗ.
кто-нить сталкивался?

Цитата:

DC++ из обоих подсетей подключается к птоке нормально, но как заставить толково работать клиетов ДЦ в активном режиме между подсетями через роутер - ХЗ.
кто-нить сталкивался?

порты прокидывают обычно

У мну другой вопрос, по поводу статистики....Перечетал почти всю 3 часть форума...не могу подитожить, не критично т.к анлим, но все же интересно почему не считает...
Для того что бы считался трафик по пользвателям, нужно:
1. Включить прокси сервер
2. Включить логирование в трафика
3. Включить статистику (Configure/Accounting)
4. Привязать ip каждого хоста к пользователю (а если они перемещаются, как считать по пользователью)
5. Авторизация

что забыл? где ошибся?помогите подитожить

Цитата:

NOD32 3 c Kerio WinRoute Firewall 6.4. Скачал nod_kwf_en.exe, но тот ругается "Could not copy nod32.dll"

Аналогичная проблемма, весь инет перерыл, всё перепробовал и как я понял этого не решишь... т.к. это третья версия нода в ней вообще нет такой библиотеки... и когда решат эту проблему Керио хз

Цитата:

У мну другой вопрос, по поводу статистики....Перечетал почти всю 3 часть форума...не могу подитожить, не критично т.к анлим, но все же интересно почему не считает...
Для того что бы считался трафик по пользвателям, нужно:
1. Включить прокси сервер
2. Включить логирование в трафика
3. Включить статистику (Configure/Accounting)
4. Привязать ip каждого хоста к пользователю (а если они перемещаются, как считать по пользователью)
5. Авторизация

что забыл? где ошибся?помогите подитожить

Похоже, что из всего тобой перечисленного нужен только 5-й пункт, потому как для 3-го я никаких манипуляций не производил.

работать с прокси или нет решать тебе, логирование трафика нужно для того чтобы смотреть детальные отчеты по тому кто куда ходил непосредственно в самой керио консоли (на детальности самой статистики это не скажется и используется для сигнализирования админу чего-либо), а привязка ипа к юзеру в качестве аторизационного метода имхо неверно с точки зрения безопасности.

А подскажите плиз, можно ли в керио сделать не блокировку сайтов плохих, а что пользователь набирает плохой сайт а попадает на сайт корпоративный например.
И я так и не нашел где в керио можно втянуть список плохих сайтов, не руками же набивать.

Ed_73 действительно нужна только авторизация, а считает он на шлюзе, те если у тебя не указано в свойствах соединения, укажи - и все будет считать.

Цитата:

А подскажите плиз, можно ли в керио сделать не блокировку сайтов плохих, а что пользователь набирает плохой сайт а попадает на сайт корпоративный например.

- TohaDub, Конечно можно.




Цитата:

И я так и не нашел где в керио можно втянуть список плохих сайтов, не руками же набивать.

- А вот этого нет вроде. У тебя какая версия керио кстати?

Добавлено:
В 6.4.2 у всех крови подсчёт трафика идёт? Говорят последния версия, в которой корректно работала статистика - 6.2.3.

Цитата:

А вот этого нет вроде. У тебя какая версия керио кстати?

Хмм. Такая прога кульная, а импорта нету, бред.
Будем искать в реестре, и сами делать импортилку.


Цитата:

В 6.4.2 у всех крови подсчёт трафика идёт? Говорят последния версия, в которой корректно работала статистика - 6.2.3.

У меня 6.4.2.3672 (в двух канторах) - полет нормальный, считает вполне правильно.

Считает нормально, по крайней мере не хуже, но вот интерфейс пользователя - статистика_, с появлением Керио Стар стал менее информативен, появился индикатор квоты, который изначально пустой, и заполняется по мере работы, но сколько и чего именно - не указано. А пользователь смотрит, видит, что квота его заканчивается, и думает- смогу я еще сейчас скачать 100 метров, или нет?

TohaDub, есть вариант править winroute.cfg который лежит тут C:\Program Files\Kerio\WinRoute Firewall\.
Ищи там <list name="UrlGroups">

Хелп- полезли баги!!!!
есть сервер с керио 6.4.2 и 2-мя сетевыми(192.168.0.1 и 10.0.0.5) и АД ДНС(знаю что плохо это, но работает). и сервер терминалов с резервным АД и ДНС. На днях начались непонятки: в Active Hosts появился хост 192.168.0.255 (бродкаст) с соединениями UDP netbios-dgm netbios-ns.

Full image
Последствия:
1. Невозможно соединится терминалом с компа с керио на 192.168.0.4 (такая же ситуация и в обратную сторону), хотя пинги идут и со всех компов сети подключится можно .
2. Не реплицируются между собой АД и ДНС между серверами, такое чувство, что они не подключены к сети (друг для друга), хотя компы сети все нормально работают в домене.
3. С бооооольшим таймаутом, но можно обратится к сетевым ресурсам с одного сервера на другой, с остальных все ОК.
попробовал добавить правило:
Source: Any
Destination: Any
Service: Any
Action: Permit
Не помогло
Дальше - отключил с сетевого интерфейса 192.168.0.1 службу Kerio Winroute Firewall и ООООООО чудо все заработало!!!!, но все сетевые соединения всех компов сети с инетом стали отображаться в ActiveHosts в соединениях Firewall и как следствие непонятно кто куда идет.

Пожалуйста подскажите что не так настроил?
Есть контора, стоит kerio 6.4.0 build 3176? к ней настроено подключение через ADSL и установлен дома VPN клиент. Инет работает но как то странно, если посмотреть трафик то он скачит от 0 до 1.5 (т.е. максимального канала на фирме) при этом на фирме канал стабилен. В чем может быть не верна настройка?

Interfaces:
VPN server: 10.1.1.0

на вкладке
DNS: Use Winroute as DNS Server

В трафик полиси 3 правила для VPN:
первое ip дома пускать на firewall, services Kerio VPN
второе все VPN соединения пускать в инет
третье все VPN соединения пускать в локалку

в Difinitions все vpn ip прописаны в группе админов которым разрешен инет, прописаны- внешний ip домашнего модема, его внутренний и то что раздает керио для vpn т.е. 10.1.1.2


Два вопроса:
1. Как отрубить динамическую раздачу ip для vpn клиентов т.е. строго вбить 10.1.1.2 и все?
2. Почему прыгает инет у vpn клиента? например это четко видно при закачке файлов там скорость от 0 до 1.5. по многу раз скачет?
Да забыл сказать vpn клиент версии 6.4.2 может в этом дело?

Цитата:

действительно нужна только авторизация, а считает он на шлюзе, те если у тебя не указано в свойствах соединения, укажи - и все будет считать.

Понимаю должно в полисах стоять, пускать только авторизированых юзверей
и в User and Group/Users/Authentification Options, должна быть Галки на "Всегда перенаправлять на страницу авторизации" (нужно для тех кто не в домене) и "Включить автоматическую авторизацию by Web Browser" (что бы глупых вопросов много не задавал, для домена)
Так?

Добавлено:
drsmoll
NetBIOS: друг или враг?

может поможет

Цитата:

Как отрубить динамическую раздачу ip для vpn клиентов т.е. строго вбить 10.1.1.2 и все?

Users and Groups\Users\<конкретный юзер>\Edit User\IP addresses\VPN client address\Assign static IP address to VPN client Смотри здесь!

NegoroX

Цитата:

включаем мозг и доводим до ума свою конфигурацию.

Класс!!!

Столкнулся с проблемой:
KWF 6.4.2 + Visnetik 4.6.1.5 качаем ФАР-ом тестовую мелварь с ФТП. Керио кричит "Ахтунг! Зараза! Запрещаю скачку!", уведомляет об этом в логах и письмом.
Действительно ФАР показывает "Cannot download. Retry in 10 sec." И как обещал повторяет скачку через 10 секунд и успешно СКАЧИВАЕТ ЭТОТ файл уже без всякой ругани от Kerio.
При этом этом в параметрах стоит:
- запрещать скачку инфицированных файлов;
- размер максимального размера проверяемых файлов значительно больше тестового файла;
- файл имеет расширение *.exe и в настройках стоит проверять такие файлы
- стоит проверять скачку по ФТП.

Факт, имеет место какая-то недоработка, но вопрос в другом можно ли как-то это дело обойти??? Настройкой кэша и т.п.?

Liderdomofon

Цитата:

Хочу поставить в локалку (несколько подсетей, роутер KWF на отдельной машине, инет- прокси KWF на другой) почтовик и вебсервер, почитал в нете, что для этого надо создать DMZ . Как создать DMZ на KWF ? Ставим сетевуху, а дальше? какие правила , что писать на интерфейсах керио, почтовика, и вебсервера? Трафик почтовика надо обсчитывать, веб сервер не надо.

Все правила почти такие же как для локалки, с той лишь разницей, что DMZ делается на реальных ИПшниках и НАТ не используется. Вот с маршрутизацией реальных ИПшников есть заковыка. Я делал так. У провайдера заказывал отдельную сеть например ххх.ууу.zzz.0/28 т.е 16 адресов. Далее на сетевухе, которая смотрит в DMZ пишем IP ххх.ууу.zzz.1, MASK 255.255.255.240, Gate нет. На севухах компов в DMZ пишем IP ххх.ууу.zzz.2 (и т.д.), MASK 255.255.255.240, Gate ххх.ууу.zzz.1
Пакеты будут уходить в инет через внешний интерфейс вышего файервола, но, чтобы они возвращались, нужно просить провайдера прописать у себя маршрут в сеть ххх.ууу.zzz.0/28 через него же, т.е через Gate, который указан у вас на внешнем интерфейсе. Короче пров должен знать, как смаршрутизировать клиенту две сети через один интерфейс.

R3G3Oxl3

Цитата:

успешно СКАЧИВАЕТ ЭТОТ файл уже без всякой ругани от McAfee.

Ложные срабатывания McAfee, как лечить? не проверять на КВФ, а проверять на компе адресата или другой антивирь поставить.
да и каждый архив пока распакуется-проверится, а совпадет что несколько юзеров архивчики одновременно скачивать будут - это ж тормоза.

NegoroX
Я опечатался вместо McAfee в этой строке надо читать Kerio. Суть проблемы в том, что Kerio позволяет скачать инфицированный файл (файл однозначно инфицированный - специальный стестовый образец), хотя и определяет его как угрозу.

Что значат эти строчки в логах security? И как с этим бороться?
[25/Apr/2008 12:55:36] HTTP: Non-ASCII bytes detected in HTTP request: client: 192.168.0.6, server: 194.186.121.68
[25/Apr/2008 12:55:41] Last message repeated 567 times
[25/Apr/2008 12:55:41] HTTP: Non-ASCII bytes detected in HTTP request: client: 192.168.0.6, server: 194.186.121.78

Как изменить в заголовках пакетов TTL и убрать начисто адрес отправления? (наглухо спрятать сеть)

Weterok1

Цитата:

Что значат эти строчки в логах security? И как с этим бороться?

лечение - измени в winroute.cfg:
<table name="ProxyHTTP">
<variable name="DetectMaliciousHeaders">1</variable> 1 -> 0