» Kerio WinRoute Firewall (часть 3)

почту я забираю на майле. а со шлюзом всё просто! я не могу поставить на локальной машине шлюзом ip kerio, т.к. он должен работать именно как прокси.

как это он не может?! просто есть пример, где прокси-сервер настроен прогой WinGate и там оутлук нормально снимает почту при работе через прокси

Где то я это уже видел - дежавю аднака.

Тут либо я тупой либо мы не о том говорим....
Я до сих пор не могу понять прикола со шлюзом - религия не позволяет? Попросту разрешить на керио выход по ПОП3 и СМТП протоколу а хттп пусть идёт по прокси?


Цитата:

просто есть пример, где прокси-сервер настроен прогой WinGate и там оутлук нормально снимает почту при работе через прокси

Не путать с pop3/smtp прокси. Если лучше ВинГейт и ты поклонник танцев северных шаманов, то что мешает поставить указанный софт и перейти в другую ветку флорума.

Добавлено:
voffka1984


Цитата:

Попросту разрешить на керио выход по ПОП3 и СМТП протоколу а хттп пусть идёт по прокси?

Подразумевается всё таки прописывание шлюза, но согласно правил хттп трафик не NAT'ится а доходит только до firewall и там разворачивается на проки порт.
А раз админ запретил то тогла остаётся добавление постоянного маршрута
route -p add (IP mail.host) (IP kerio.host)
что даст возможность работать Оутлуку без прокси и без прописывания основного шлюза для всего трафика/направлений.

Помогло вот это! спасибо всем за помощь!!!

На клиентских машинах устанавливается адрес машины с Керио
Код:
Source: LAN
Destination: Firewall
Service: TCP:8111
Translation: NAT, MAP pop.xxx.ru:110


Добавлено:
а кто-нить настраивал qip через проксик Керио? какие настройки нужно сделать?!

voffka1984
всё как обычно для аськи: разрешение хождения через порт 5190 из LAN в Inet.
Ну а в QIP соответственно:
HTTP(S), Firewall, 3128 и инфа авторизации.

а почему порт 5190 если http(s) автоматом выставляет порт 443?

voffka1984
"S" в скобках, т.е. HTTP или HTTPS
а по какому порту ходить - тебе решать.
хочешь кульной секурности - правь руль в KWF для хожения через 443.

Вопрос (повторюсь, ибо никто не ответил).
Стоит авторизация по пользователям через прокси.
Если конектишься к инету через IE спрашивает Логин/Пароль и все ок.
А если конектишься через Opera спрашивает Логин/Пароль - но ничего не признает, а в логах http пишет только IP без Логина... в чем трабл? Спасибо.

PAVlion
похоже в Опере
в IE, я так понимаю, указан прокси, порт и не юзать прокси для локальных адресов.
а в Опере?
Инструменты - Настройки - Дополнительно - Сеть - Прокси-серверы
там одно и то же для всего и "включить HTTP 1.1 для прокси-сервера"
Так?

Цитата:

PAVlion
похоже в Опере
в IE, я так понимаю, указан прокси, порт и не юзать прокси для локальных адресов.
а в Опере?
Инструменты - Настройки - Дополнительно - Сеть - Прокси-серверы
там одно и то же для всего и "включить HTTP 1.1 для прокси-сервера"
Так?

Разумеется так... иначе он бы не конектился к проксе и не спрашивал Логин/Пароль
Если включить постоянную авторизацию на проксе, тогда пропускает.

Подскажите пожалуйста адрес и номер порта реально действующего прокси-сервера?

qmguz124
искать не пробовал?
первое сообщение - сразу не в тему... тут

voffka1984
Ты вообще понимаешь про что говоришь или нет? 1. прокси и почта - это вообще нормально? 2. Кто у тебя шлюз в сети?. если не керио то и копай настройки маршрутизации на компе со шлюзом.

Weterok1

Цитата:

Что значат эти строчки в логах security? И как с этим бороться?
[25/Apr/2008 12:55:36] HTTP: Non-ASCII bytes detected in HTTP request: client: 192.168.0.6, server: 194.186.121.68

Нашел случайно через гуглю ваш старый пост и вот на, что обратил внимание. Адрес 194.186.121.68 уже давно стоит у меня в блэк листе и включен на него лог. При этом то один, то другой мой клиент вдруг начинает упорно (каждую минуту) долбиться на этот адрес. А в конце месяца приходит с круглыми глазами и вопросом: "откуда у меня такой большой трафик? " . Я думаю они по очереди цепляют какой-то троян, но Макака его не видит.
Рекомендую забанить этот адрес.

qmguz124
192.168.0.1:3128

такой вопрос: сейчас qip работает через http(s) и порт который у меня прописан для прокси(4444) но стоит задача ограничить асю некоторым людям и если я закрою им порт 4444, то соответственно закрою и весь инет.
как настроить керио чтобы ася работала по порту например 443, через socks 5 например?!

Цитата:

такой вопрос: сейчас qip работает через http(s) и порт который у меня прописан для прокси(4444) но стоит задача ограничить асю некоторым людям и если я закрою им порт 4444, то соответственно закрою и весь инет.
как настроить керио чтобы ася работала по порту например 443, через socks 5 например?!

При чем тут порт прокси и порт qip
Разве 443 - https не включен по дефолту

voffka1984
здесь найдешь инструкцию по запрету аськи

Вопрос (повторюсь, ибо опять никто не ответил).
Стоит авторизация по пользователям через прокси.
Если конектишься к инету через IE спрашивает Логин/Пароль и все ок.
А если конектишься через Opera спрашивает Логин/Пароль - но ничего не признает, а в логах http пишет только IP без Логина... в чем трабл? Спасибо.

Добавлено:

Цитата:

voffka1984
здесь найдешь инструкцию по запрету аськи

http://kerio-rus.ru/index.php?option=com_content&task=view&id=82&Itemid=74

сделал всё как тут сказано...
http://kerio-rus.ru/index.php?option=com_content&task=view&id=82&Itemid=74
но ася работает один фик)))
мож у кого ещё есть какое лекарство?http://kerio-rus.ru/index.php?

Разве 443 - https не включен по дефолту. включён, но если я его закрываю в полисах, ничего не происходит((( ася как работала так и работает.
так можно как-нить через сокс сделать?

Цитата:

Разве 443 - https не включен по дефолту. включён, но если я его закрываю в полисах, ничего не происходит((( ася как работала так и работает.

NAT включен? А почему именно socks?


Цитата:

KWF Proxy самостоятельно, без туннелирующего ПО-"посредника" не поддерживает метод Socks
HTTPThru - программа, дающая возможность туннелировать SOCKS5 запросы через HTTP proxy.

Стоит керио, 2 сетевухи (1-сеть, 2-нет). нет идет в сеть, все настроено и работает. Добавил вай-фай адаптер. что нужно прописать в нем (днс, шлюз, какой ИП) чтоб на него шел нет?

Vadimka_DDD
В Configuration\Interfaces он появился? Керио както ево увидел?

pavlion, я наверно что-то коряво делал. прописал правило firewall - no icq - 443 drop и всё заработало
спасибо

lavren
да, есть. уже разобрался - решение вопроса

но у меня ещё вопрос) есть подсеть 192.168.1.х в ней стоит керио. как организовать доступ из подсети 192.168.11.х
маршрутизация прописана и эта сеть нормально функционирует, в неё можно зайти, пинговать и т.д. обе сети находятся в одном домене
но юзеры из 11ой подсети не могут соединиться через проксю.
Керио работает как прокси сервер.

Цитата:

Стоит керио, 2 сетевухи (1-сеть, 2-нет). нет идет в сеть, все настроено и работает. Добавил вай-фай адаптер. что нужно прописать в нем (днс, шлюз, какой ИП) чтоб на него шел нет?

В Local Traffic добавь...

В шапке сказано ...............................................................................................
в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.

и ни слова о том какой будет с ним дружить
через пару дней понял чтоб подружить kerio winroute + eset smart security
надо в ess добавить в исключения для http - winroute.exe ....
у кери в опциях мало что влияет на их дружбу а вот ess опции помогут

Для контроля приложений если стоит керя подойдёт ess (фаер у него продвинутей)
С ess работает при правильной настройке ess ПРОВЕРЕНО
С outpost'ом возможно тоже будет работать если керю в исключения добавить
с другими персональными фаерами не тестил тк меня ESS полностью устроил.

Керя + ESS рулят

dawwab
Ну и чего ты этим хотел сказать? Зачем шлюзу такая дружба?

Добрый день, задам глупый аопрос т.к. нет сил и желания читать все 116 страниц

так вот вопрос такой:

как дать пользователю возможность выходить в инет, но только авторизованному, и не только по HTTP протоколу, и без использования броузера )
чтобы была авторизация по IP (АЙПИ) и только по нему, нужно чтобы если пользователь захотел выйти в инет только аськой или другим приложением, и чтобы не приходилось перед этим лезть в броузер для авторизации

Vali76
В настройке пользователя пропиши ему ИП адрес и будет счастье...