» Kerio WinRoute Firewall (часть 3)

Вот кусок лога, подскажите пожалуйста, какое мне зделать правило для того что-бы в логе не было этого сообщения.


Код: [02/May/2008 12:23:31] DROP "Default traffic rule" packet from Подключение по локальной сети, proto:UDP, len:60, ip/port:10.1.55.2:1513 -> 89.104.120.39:64434, udplen:32
[02/May/2008 12:23:31] DROP "Default traffic rule" packet from Подключение по локальной сети, proto:UDP, len:60, ip/port:10.1.55.2:1513 -> 80.78.70.206:27797, udplen:32
[02/May/2008 12:23:31] DROP "Default traffic rule" packet from Подключение по локальной сети, proto:UDP, len:60, ip/port:10.1.55.2:1513 -> 83.208.227.59:41365, udplen:32
[02/May/2008 12:23:31] DROP "Default traffic rule" packet from Подключение по локальной сети, proto:UDP, len:60, ip/port:10.1.55.2:1513 -> 86.110.176.37:1841, udplen:32
[02/May/2008 12:23:31] DROP "Default traffic rule" packet from Подключение по локальной сети, proto:UDP, len:60, ip/port:10.1.55.2:1513 -> 83.149.19.162:25564, udplen:32

Garik_Lugansk
Самое простое
<Any><Any><Any><NAT>

Зачем тебе правило такое делать? Может луче отключи лог в правиле Default traffic rule?

lavren
Ему не лог надо отключить а Protocol Inspector настроить "Default traffic rule"> Protocol Inspector> Other> HTTP - но тогда будет только по HTTP писать.
А так странный вопрос - не нравится, можно не смотреть А если все-таки хочется смотреть удобном виде то анализатор логов в помощь!

lavren
Тогда перефразирую, как именно открыть этот порт UDP 1513 для всей локальной сети&

Кстати никто не пробовал подружить разных пользователей на разных компьютерах с NTLM авторизацией? Другими словами пользователи с разными правами на доступ в интернет пользуются разными компьютерами. У меня работает только если пользователю назначить определенный IP, но тогда нельзя заходить с другого компьютера по тем же пользователем, надо вводить пароль в браузере, если назначить определенный диапазон адресов то первая проблема решается, но появляется новая - если залогинен хоть один пользователь и его IP адрес попадает в этот список то все другие компьютеры с этого диапазона тоже заходят по тем же пользователем. Либо так как я хочу невозможно сделать либо что-то пропустил… Что?

Garik_Lugansk
Прочитать это и это.
Если лень читать то в "Default Traffic Rule" в колонке "Service" вместо HTTP, FTP и т.п. поставить "Any" (Двойной клик в нужной ячейке, вторая кнопка снизу вверх) остальное удалить. Но тогда откроется полный доступ наружу по всем портам.

Garik_Lugansk
<локальная сеть или група IP (или юзверей)><инет><UDP:1513><Пермит><NAT><олвейс>
Можеш посмотреть здесь!

Добавлено:
AndV

Цитата:

Ему не лог надо отключить а Protocol Inspector настроить

А причем здесь Protocol Inspector?


Цитата:

с NTLM авторизацией

Ты хочеш чтобы юзвер имел доступ к инету без привязки к IP?
Создаешь правило:
<група юзверей или один)><инет><HTTP, ...><Пермит><NAT><олвейс>
при входе с компа у которого IP не присвоен ни одному юзеру спросит пароль!


Добавлено:
Garik_Lugansk
И вобще ти не говорил что хочеш открыть порт, а хотел не видеть сообщений в логе:

Цитата:

что-бы в логе не было этого сообщения

Точнее вопросы задавай! Вот и AndV написал много буковец.

lavren

Цитата:

А причем здесь Protocol Inspector?

Если его отключить то в логах ничего писаться не будет, хотя признаю что метод немного варварский

Цитата:

Ты хочеш чтобы юзвер имел доступ к инету без привязки к IP?

Нет, я хочу чтоб каждый пользователь когда войдет под своим виндовс логином получал то что ему нужно не важно за какой компьютер сядет, и чтоб при этом его не спрашивало пароль в браузере.

Люди други, подскажите, в документации внятного объяснения не нашел
Как можно для пользователей считать раздельно траффик http, ftp, почтовый, мессенджеры, торренты...
Общая статистика и http по хостам есть, интересно получить разбивку по протоколам.

uncleroot
HELP> Kerio StaR — statistics and reporting> Users by Traffic

AndV

Цитата:

не спрашивало пароль в браузере

Гдето читал но не пробовал!
Статя для борьбы с последствиями!

lavren
То что нужно! Спасибо! Только не понял с какими последствиями боротся?

Доброго времени суток!!
Такой трабл: KWF 6.3.1. Ставлю IIS под Server 2003. Создаю сайт. Из локалки видно, из нэта нет. Сижу за DSL, нужные порты настроены на пересылку с модема на Firewall.
Помогине советом, че проверять илои хотя бы где копать???
Спасибо заранее!!

AndV
Настройка приблизительно такая:
1. в керио настроить доменную авторизацию.
2. через доменные политики сбросить у пользователей уровень безопасности в ИЕ на уровень "по умолчанию".
3. Через те же политики записать хост с керио в "надёжные узлы" в ИЕ для каждого юзера.

Правда я пока не разобрался с сертификатом - т.е. при входе в инет юзера спрашивает принимать сертификат или нет, но пароль не спрашивает.

ChtGivara
А порты с Керио настроены на пересылку или на разрешение из вне? И с чего ты решил что керио блокирует? В журнале есть записи блокировки? Может из-за двойного НАТ проблема...

Ruza
могу перефразировать. возможно ли разрулить VPN клиентов по двум ОДНОВРЕМЕННО подключенным каналам интернета. Оин канал - VPN подключение - второй канал - модем по эзернету.

Вопрос следующий, все никак не получается нормально настроить KWF 6.3, создал мастером правила, и в итоге работает только ICQ (и на машине с Керио и на машинах в локалке), все остальные протоколы Керио не пропускает, хотя в активных соединениях видно что юзер подключен. Даже в правилах решил разрешить все, тоже самое

utp_ss
Для начала: правило Local - на самый верх , а потом - вспомнить о том, что пакеты должны ходить в обе стороны.

utp_ss
ipconfig /all машины с керио и локальной машины(vmware) - в студию.

Сервер:

Клиент:

и вот переделанные правила:

П.С. при попытке выйти в инет с машины с Керио, все просит авторизацию...но ее не проходит, думал может в ней дело, хотя различные варианты не помогают

utp_ss
что б твой веб из инета был виден создай правило:
adsl - firewall - http - map 192.168.x.x:80
ps
А типа для вмнет вместо 111.1 поставить 1.3 и шлюз прописать

NegoroX

Пока об этом и речь не идет, у меня инет не пашет не даже на машине с Керио, кроме аськи((

п.с. извиняюсь, немного отредактировал ipconfigi, запутался в рисунках)

AndV

Цитата:

Если лень читать то в "Default Traffic Rule" в колонке "Service" вместо HTTP, FTP и т.п. поставить "Any" (Двойной клик в нужной ячейке, вторая кнопка снизу вверх) остальное удалить

И как это вы собрались править "Default Traffic Rule"?, там можно лишь Deny на Drop поменять и лог включить/выключить.

Weterok1

Цитата:

при стабильно работающем керио юзеров периодически выбрасывает из аськи,..... Подскажите пожалуйста в каком направлении искать проблему-то?..

У вас однозначно проблема не в керио. Либо в железе файервола, либо модема. Еще может быть проблема канала, если вы подключены к провайдеру через авторизацию (PPPoE или VPN), в этом случае нужно подключиться через маршрутизацию сети. Кроме аски,такая проблема еще возникает при удаленных подключениях 1С.

Ruza
Спасибо, у меня все так и работает

Цитата:

Правда я пока не разобрался с сертификатом - т.е. при входе в инет юзера спрашивает принимать сертификат или нет, но пароль не спрашивает.

Может надо поставить галку "Always require users to be authenticated when accessing web pages" ?

vimaret
Цитата:

И как это вы собрались править "Default Traffic Rule"?,

Сбило с толку то что в Traffic Policy это правило называется "Default Rule" а в логах пишет "Default Traffic Rule", я подумал что у человека так было названо правило которое его не пускало... Век живи, век учись..

На машине kerio - две сетевухи(1- пров с выделенным ip, 2- подсеть 192.168.0.*),
сеть с доменом + DNS, без DHCP, каким образом настроить vpn соединение после которого можно будет увидеть компы сети офиса где стоит kerio?

AndV

Цитата:

Только не понял с какими последствиями боротся?

Название стати: Автоматический LogOut. Если несколько юзверей работают за компом то может неправильно статистика работать! При выходе из сеанса Windows (логаут) например что бы залогинился и начал работать другой пользователь - забывают сделать LogOut на KWF и трафик вновьзалогиненого (другова) пользователя продолжает считаться трафиком вышедшего пользователя!

Всем привет!!! У меня такой вопрос все таки как проверить точнее посчитать сколько реально трафика нам экономит кеш, то что файлы в кеша такие то такие лежат это понятно что можно посмотреть, но вот от туда ли берет он все страницы, файлы и т.д. Отключить кеш и посмотреть сколько сожрем тогда, ну это не выход каждый раз тратится все поразному можно не верные данные получить!!

Цитата:

На машине kerio - две сетевухи(1- пров с выделенным ip, 2- подсеть 192.168.0.*),
сеть с доменом + DNS, без DHCP, каким образом настроить vpn соединение после которого можно будет увидеть компы сети офиса где стоит kerio?

Если речь идет о входящем VPN соединении, то решением может выступить SSL-VPN
или, вероятно, VPN тунелинг (когда 2 сети связывают в одну тунелем).
Лично я не знаю решения, при использовании обычного входящего VPN соединения. Буду рад если поделитесь.

Frose
В HTTP логе в конце каждой строки два числа. Если мне память не изменят, то первое - размер данных принятых извне, а вторая - отданного из кеша (сколько сэкономили)....

ne0_2002
Ссылка Объясни, какие именно?

192.168.1.18 - who [05/May/2008:15:23:20 +0400] "GET http://64.12.163.130/monitor? HTTP/1.0" 200 582

прочитал , ну и где же там хоть что нибудь о входящем траффике, нету там ни чего??? ну что же тогда анализаторы смотрят то??? как все таки посчитать оьем сэкономленного трафа???

Добрый день .

Столкнулся с таким вопросом. Надо подключить комп со спецоборудованием и спецпрограммами к интернету (ниже цитата из мануала).
Как реализовать пункты 2 и 3 в керио?


Цитата:

9.3. Подключение диспетчерского компьютера к сети Интернет

Рассмотрим два типовых варианта подключения.

Вариант 1. Диспетчерский компьютер находится в корпоративной сети предприятия, которая имеет шлюз для выхода в Интернет. В этом случае необходимо выполнить следующие настройки.

1.1. Диспетчерскому компьютеру в настройках сетевого подключения задается фиксированный внутренний IP-адрес. Подчеркнем, что при настройке АССВ-030 необходимо будет указывать в качестве IP-адреса диспетчера не этот внутренний адрес, а IP-адрес Интернет-шлюза.

1.2. Настроить систему безопасности на шлюзе таким образом, чтобы приходящие из Интернета на адрес шлюза пакеты с портом назначения 2060 переадресовывались на внутренний IP-адрес диспетчерского компьютера.

1.3. Если сеть предприятия имеет разветвленную структуру, в настройке сетевого подключения диспетчерского компьютера следует указать внутренний шлюз, который обеспечит передачу по сети ответных пакетов по направлению к Интернет-шлюзу.
...

подключение к интернету идет через сервер на котором Win2k3, AD, Kerio