подскажите как должно выглядеть правило для работы с торрент-клиентами?
спс...
спс...
» Kerio WinRoute Firewall (часть 4)
2All Доброго времени суток.
Вопрос по сабжу, версия 6.4.2 работает на ура (спасибо ru-board'у). Столкнулся с запоминанием (кэширование?) регистрационных данных пользователей на всяческих почтовых сервисах, т.е. если юзер не нажал кнопку "Выход" скажем на pochta.ru, то следующий входящий на этот сайт (причем на другом компьютере) может спокойно тереть чужие письма. Разъяснительная работа о пользе кнопки "Выход" проведена, но хотелось бы знать где эта фича (баг) отрубается.Спасибо
Вопрос по сабжу, версия 6.4.2 работает на ура (спасибо ru-board'у). Столкнулся с запоминанием (кэширование?) регистрационных данных пользователей на всяческих почтовых сервисах, т.е. если юзер не нажал кнопку "Выход" скажем на pochta.ru, то следующий входящий на этот сайт (причем на другом компьютере) может спокойно тереть чужие письма. Разъяснительная работа о пользе кнопки "Выход" проведена, но хотелось бы знать где эта фича (баг) отрубается.Спасибо
Stres
Ты бы темку то почитал... И ru-board был бы благодарен
Было уже это и не однократно.
Проблема по большому счёту не в керио. А во включённом кешировании сессии на серверах web-почты. Приучай пользователей жать на кнопочку Logout в web-интерфейсах.
Georgi4
Помнится мне что там ещё одна закладка есть... Но не local user DB. Вот там то и настраивается доменная авторизация.
daledale
Как юзеры авторизуются?
Dasky
Ну как обычно, либо зелёненькая, либо серенькая полоска, а может быть красненькая заполненная всякой лабудой. Типа:
1. torrent - any - any - permit - NAT - PI off
2. any - firewall - PORT - permit - MAP to torrent:PORT - PI off
Ты бы темку то почитал... И ru-board был бы благодарен
Было уже это и не однократно.
Проблема по большому счёту не в керио. А во включённом кешировании сессии на серверах web-почты. Приучай пользователей жать на кнопочку Logout в web-интерфейсах.
Georgi4
Помнится мне что там ещё одна закладка есть... Но не local user DB. Вот там то и настраивается доменная авторизация.
daledale
Как юзеры авторизуются?
Dasky
Ну как обычно, либо зелёненькая, либо серенькая полоска, а может быть красненькая заполненная всякой лабудой. Типа:
1. torrent - any - any - permit - NAT - PI off
2. any - firewall - PORT - permit - MAP to torrent:PORT - PI off
Stres
Это не баг. Это фича. Но попробуйте отключить кэширование переадресованных ссылок.
Это не баг. Это фича. Но попробуйте отключить кэширование переадресованных ссылок.
Ruza
Цитата:
Авторизуются по IP, в правиле NAT в source стоит LOCAL см. screen в моём посте выше.
Цитата:
Как юзеры авторизуются?
Авторизуются по IP, в правиле NAT в source стоит LOCAL см. screen в моём посте выше.
daledale
Видел я скрины... Но думаю ограничить только http не получится т.к. трафик по определению спишется на юзера не зависимо от протокола передачи, вернее на ИП.
Реально сменить метод автризации?
Видел я скрины... Но думаю ограничить только http не получится т.к. трафик по определению спишется на юзера не зависимо от протокола передачи, вернее на ИП.
Реально сменить метод автризации?
Ruza
Цитата:
Тут и не ставится задача "только". Достаточно чтобы почта после превышения работала как ни в чём не бывало. Остальное - до фени, вплоть до того, что пусть совсем не работает. Только SMTP и POP3 - FULL SPEED. Всё.
Цитата:
Да нет проблем. Другой вопрос (если имеется ввиду source - authenticated users, плюс авторизацию через браузер и впоследующем Logout и т. д.), юзвери настолько трудные - что это будет ох как сложно для них. Имею ввиду Logout.
Менее кровавый способ есть?
Цитата:
думаю ограничить только http не получится
Тут и не ставится задача "только". Достаточно чтобы почта после превышения работала как ни в чём не бывало. Остальное - до фени, вплоть до того, что пусть совсем не работает. Только SMTP и POP3 - FULL SPEED. Всё.
Цитата:
Реально сменить метод автризации?
Да нет проблем. Другой вопрос (если имеется ввиду source - authenticated users, плюс авторизацию через браузер и впоследующем Logout и т. д.), юзвери настолько трудные - что это будет ох как сложно для них. Имею ввиду Logout.
Менее кровавый способ есть?
2Ruza
Было такое предположение, но проблема все-таки в керио, ибо если компы пускать мимо него, то все хорошо. Про кнопку "Выход" (Logout) уже писал.
2Arakcheev
Я так понимаю речь идет о галке: Cache responses "302 Redirect" на вкладке KWF -> Configuration -> Content Filtering -> HTTP Policy -> Cache -> Cache Options ?
Все галки у меня там сняты, попытаюсь включить выключить. Будем смотреть...
Спасибо за ответы!
Было такое предположение, но проблема все-таки в керио, ибо если компы пускать мимо него, то все хорошо. Про кнопку "Выход" (Logout) уже писал.
2Arakcheev
Я так понимаю речь идет о галке: Cache responses "302 Redirect" на вкладке KWF -> Configuration -> Content Filtering -> HTTP Policy -> Cache -> Cache Options ?
Все галки у меня там сняты, попытаюсь включить выключить. Будем смотреть...
Спасибо за ответы!
Stres
Видимо проблема на сайтах. У меня юзеры постоянно читают свою веб-почту. и еще ни у кого не было таких проблем. Единственное, что поначалу пугало юзеров, это наличие в поле "логина" логин другого пользователя... но что бы попасть в сам ящик....
Видимо проблема на сайтах. У меня юзеры постоянно читают свою веб-почту. и еще ни у кого не было таких проблем. Единственное, что поначалу пугало юзеров, это наличие в поле "логина" логин другого пользователя... но что бы попасть в сам ящик....
Stres
Цитата:
Вот с этого ИБО подробнее...
daledale
Цитата:
Вот смотри, в твоём случае получается что от имени пользователя ничего не зависит... Как тут не крути но трафик считается на ИП, а будет там Петя/Коля/Вася керио по барабану он посчитает трафик только кому то одному, а вернее тому кто прописан на этом ИП.
Логичнее было бы посмотреть в сторону NTLM авторизации что-бы юзер вообще ничего не вводил, но это только с доменом и IE и возможно firefox.
А на счёт Logout настройка есть - время сессии поменьше...
AmunRa
Цитата:
Ну я бы фильм какой нибудь посмотрел... Типа "Matrix Revolution" там блин тож несуразица такая же.
OUTLOOK НЕ МОЖЕТ РАБОТАТЬ ЧЕРЕЗ ОБЫЧНЫЙ ПРОКСИ!!!
Только NAT сможет помочь отцу русской демократии...
KlaxOn
Цитата:
Плакаль... Только что то всё грустно стало...
Ты сам то понял что написал... Для того же TheBat! твой юзер что попу баян... Как ты предполагаешь запихнуть в протокол SMTP ещё и транзитную авторизацию?
Для того что бы керио пропустил SMTP/POP3 нужно юзеру сначала зайти браузером И ТОЛЬКО ПОТОМ забирать почту. Можно правда авторизовать по ИП, но это ИМХО моветон.
Цитата:
ибо если компы пускать мимо него
Вот с этого ИБО подробнее...
daledale
Цитата:
Тут и не ставится задача "только".
Вот смотри, в твоём случае получается что от имени пользователя ничего не зависит... Как тут не крути но трафик считается на ИП, а будет там Петя/Коля/Вася керио по барабану он посчитает трафик только кому то одному, а вернее тому кто прописан на этом ИП.
Логичнее было бы посмотреть в сторону NTLM авторизации что-бы юзер вообще ничего не вводил, но это только с доменом и IE и возможно firefox.
А на счёт Logout настройка есть - время сессии поменьше...
AmunRa
Цитата:
Я настроил http - работает через прокси.
Microsoft Outlook использует те же настройки что и ИЕ, но при этом выдает ошибку
Ошибка подключения к серверу. Ошибка сокета 10060 и т.п.
Что можно посмотреть?
Ну я бы фильм какой нибудь посмотрел... Типа "Matrix Revolution" там блин тож несуразица такая же.
OUTLOOK НЕ МОЖЕТ РАБОТАТЬ ЧЕРЕЗ ОБЫЧНЫЙ ПРОКСИ!!!
Только NAT сможет помочь отцу русской демократии...
KlaxOn
Цитата:
Может кому пригодится: в traffic policy для правила с NAT в источнике ставится не интерфейс локальной сети, а конкретные пользователи.
Плакаль... Только что то всё грустно стало...
Ты сам то понял что написал... Для того же TheBat! твой юзер что попу баян... Как ты предполагаешь запихнуть в протокол SMTP ещё и транзитную авторизацию?
Для того что бы керио пропустил SMTP/POP3 нужно юзеру сначала зайти браузером И ТОЛЬКО ПОТОМ забирать почту. Можно правда авторизовать по ИП, но это ИМХО моветон.
Ruza
Цитата:
А вы уверены в своих словах?
Если уже в корень посмотреть, то можно ЛЮБОЙ емейл-клиент заставить через ПРОКСИ! Безовсяких НАТов.
Цитата:
Ну я бы фильм какой нибудь посмотрел... Типа "Matrix Revolution" там блин тож несуразица такая же.
OUTLOOK НЕ МОЖЕТ РАБОТАТЬ ЧЕРЕЗ ОБЫЧНЫЙ ПРОКСИ!!!
Только NAT сможет помочь отцу русской демократии...
А вы уверены в своих словах?
Если уже в корень посмотреть, то можно ЛЮБОЙ емейл-клиент заставить через ПРОКСИ! Безовсяких НАТов.
Arakcheev
Угу. Можно. Но как раз слово "заставить" и вызывает некоторые затруднения, в виде плясок с бубном, чтения мантр, и громких матов.
Угу. Можно. Но как раз слово "заставить" и вызывает некоторые затруднения, в виде плясок с бубном, чтения мантр, и громких матов.
Цитата:
Плакаль... Только что то всё грустно стало... Для того что бы керио пропустил SMTP/POP3 нужно юзеру сначала зайти браузером И ТОЛЬКО ПОТОМ забирать почту.
К чему сарказм? Я ему разве не тоже самое написал?
Цитата:
ну пускай правилом NAT только авторизованных пользователей( но для этого пользователю придется сначала авторизоваться, или автоматическую авторизацию поставить)
2Arakcheev
У меня такие же симптомы логинами юзеров, очень уж они слабонервные, пугает их чужой логин )) проблем не было замечено тока с mail.ru
2Ruza
Что бы проверить причастие/непричастие керио к вышеозначеной проблеме ставил на компе пользователя шлюзом либо сервак с керио, либо роутер что в инет смотрит.
У меня такие же симптомы логинами юзеров, очень уж они слабонервные, пугает их чужой логин )) проблем не было замечено тока с mail.ru
2Ruza
Что бы проверить причастие/непричастие керио к вышеозначеной проблеме ставил на компе пользователя шлюзом либо сервак с керио, либо роутер что в инет смотрит.
kliv1
Цитата:
Извини. Протупил - не удалил твою цитату...
Просто когда так советуют типа - может кому то надо будет, то надо отдавать себе отчёт в том что у других так скорее всего не заработает и породит волну вопросов...
Цитата:
К чему сарказм? Я ему разве не тоже самое написал?
Извини. Протупил - не удалил твою цитату...
Просто когда так советуют типа - может кому то надо будет, то надо отдавать себе отчёт в том что у других так скорее всего не заработает и породит волну вопросов...
Ruza
там три вкладки: выбор базы,
локальная или с домена
[img]
[/img]
Настройка аутентификации, (http://img54.imageshack.us/my.php?image=123sw1.jpg) здесь я настраивал Веб аутентификацию, и таймаут
И 3 настройка AD.
Вот в 3 вкладке я настраивал мапинг, прописывал имя домена, настраивал доступ, там в принципе и настраивать не чего. База исправно качалась с домена, но они не могли заходить под своими именами, поэтому в первой вкладке я импортом переволок базу юзеров в керио, они выходят под своими именнами но трафик не ведётся.
Вот.
Добавлено:
Ruza
выключил force non-trancparent proxy server authentication, на вкладке authentication option, юзеры полезли в инет под своими аккаунтами из AD! но проработало это не долго. сначала Керио перестала пускать меня как админа, ну соответственно ни кто другой тоже не мог выйти в инет, в консоль админа тоже не пускала, пытался конфиги ковырять, опыта мало поэтому просто реинстал, настроил так же как было, но не работает, хрень какае-то, то пускает, то не пускает, теперь всё работает по старому, force non-trancparent proxy server authentication отключено
там три вкладки: выбор базы,
локальная или с домена
[img]
[/img] Настройка аутентификации, (http://img54.imageshack.us/my.php?image=123sw1.jpg) здесь я настраивал Веб аутентификацию, и таймаут
И 3 настройка AD.
Вот в 3 вкладке я настраивал мапинг, прописывал имя домена, настраивал доступ, там в принципе и настраивать не чего. База исправно качалась с домена, но они не могли заходить под своими именами, поэтому в первой вкладке я импортом переволок базу юзеров в керио, они выходят под своими именнами но трафик не ведётся.
Вот.
Добавлено:
Ruza
выключил force non-trancparent proxy server authentication, на вкладке authentication option, юзеры полезли в инет под своими аккаунтами из AD! но проработало это не долго. сначала Керио перестала пускать меня как админа, ну соответственно ни кто другой тоже не мог выйти в инет, в консоль админа тоже не пускала, пытался конфиги ковырять, опыта мало поэтому просто реинстал, настроил так же как было, но не работает, хрень какае-то, то пускает, то не пускает, теперь всё работает по старому, force non-trancparent proxy server authentication отключено
Ruza
т.е. это баг оутлука?
есдли бат поставим, он будет работать через проксю?
т.е. это баг оутлука?
есдли бат поставим, он будет работать через проксю?
В WinRoute 6.4.2 не показывает статистику по пользователям на закладке Statistics/User Quota. Показывает только общую для всех пользователей и для "unrecognized users". При этом в списке отображаются все пользователи, которые выходили в инет.
Что может быть? Переустановка керио не помогла.
Что может быть? Переустановка керио не помогла.
YuraseK
на іпикчере залил но с трудом
на іпикчере залил но с трудом
Всех приветствую.
Господа. Подскажите, направте...
Как настроить Учет трафика по пользователям отдельно?
Попробывал задать пользователей, но трафик не считает отдельно, только общий.
+ Из домена не получается список подключить.
п.с. Я могбы книгами закопаться, но времени в обрез.
Господа. Подскажите, направте...
Как настроить Учет трафика по пользователям отдельно?
Попробывал задать пользователей, но трафик не считает отдельно, только общий.
+ Из домена не получается список подключить.
п.с. Я могбы книгами закопаться, но времени в обрез.
YuraseK
да,у меня стоит 6.5 бета
да,у меня стоит 6.5 бета
DaiAshes
Чтобы корректно считался трафик по пользователям необходимо настроить авторизацию. Самая простая авторизация - авторизация по IP адресу. Если пользователей немного и не требуется NT авторизация или авторизация по логину и паролю, то достаточно будет создать n-ое количество пользователей равное количеству машин в сети и выполнить привязку к IP аресу.
Чтобы корректно считался трафик по пользователям необходимо настроить авторизацию. Самая простая авторизация - авторизация по IP адресу. Если пользователей немного и не требуется NT авторизация или авторизация по логину и паролю, то достаточно будет создать n-ое количество пользователей равное количеству машин в сети и выполнить привязку к IP аресу.
YuraseK
А есть варианты всетаки на основании АД списка считать трафик, а то если пользователи в чихорду начнут играть...?
А есть варианты всетаки на основании АД списка считать трафик, а то если пользователи в чихорду начнут играть...?
Цитата:
авторизация по логину и паролю,
У меня, кстати, авторизация по логину и паролю, но статистику показывает только общую, по пользователям не показывает.
DaiAshes
Можно и через AD авторизовать, можно пользователей из AD импортировать и авторизовать их по IP, можно их же авторизовать по запросу логина и пароля, это уже как именно вам удобно будет...
Для работы с AD есть вкладка Active Directory в разделе User, ставишь галку "map user accounts from the Active Directory....." , заполняешь имя своего домена и учетку для доступа к списку пользователей домена.. и все, во вкладке user Accounts появится домен и список его пользователей..
Что бы статистика считалась только по авторизованным пользователям, в правиле, выпускающим сетку в инет, можно указать не интерфейс сетевой, а разрешенных пользователей или группу, но тут есть свои нюансы, о которых выше уже писали( про почту к примеру)
Можно и через AD авторизовать, можно пользователей из AD импортировать и авторизовать их по IP, можно их же авторизовать по запросу логина и пароля, это уже как именно вам удобно будет...
Для работы с AD есть вкладка Active Directory в разделе User, ставишь галку "map user accounts from the Active Directory....." , заполняешь имя своего домена и учетку для доступа к списку пользователей домена.. и все, во вкладке user Accounts появится домен и список его пользователей..
Что бы статистика считалась только по авторизованным пользователям, в правиле, выпускающим сетку в инет, можно указать не интерфейс сетевой, а разрешенных пользователей или группу, но тут есть свои нюансы, о которых выше уже писали( про почту к примеру)
Цитата:
У меня, кстати, авторизация по логину и паролю, но статистику показывает только общую, по пользователям не показывает.
Все, проблему решил. Просто убрал галочку "Always require users ...", сохранил, потом обратно поставил и сохранил. После этого начал считать статиститку по пользователям.
Цитата:
Можно и через AD авторизовать, можно пользователей из AD импортировать и авторизовать их по IP, можно их же авторизовать по запросу логина и пароля, это уже как именно вам удобно будет...
Вот не выходит... у меня англ версия, я англ не знаю... скиньте плиз скрин настроек.
Цитата:
Для работы с AD есть вкладка Active Directory в разделе User, ставишь галку "map user accounts from the Active Directory....." , заполняешь имя своего домена и учетку для доступа к списку пользователей домена.. и все, во вкладке user Accounts появится домен и список его пользователей..
Есть но импортировать не хотит... мож чего не верно делаю? ФаерВол отдельный сервак у мну, АД тоже.
Цитата:
ФаерВол отдельный сервак у мну, АД тоже.
Локальный DNS нормально работает? С компа с винроутом пингуется контроллер домена по имени домена( к примеру ping mydomen.lan) ?
Всем спс. Отдельно получилось считать...
Осталось допиреть как список юзеров АД интегрировать в Кирю...
Добавлено:
Цитата:
Все пингует... щас копаюсь... "попробую почитать мантры"
Добавлено:
Не выходит... кто на списке АД работает... скиньте скрин настроек плиз.
Осталось допиреть как список юзеров АД интегрировать в Кирю...
Добавлено:
Цитата:
Локальный DNS нормально работает? С компа с винроутом пингуется контроллер домена по имени домена( к примеру ping mydomen.lan) ?
Все пингует... щас копаюсь... "попробую почитать мантры"
Добавлено:
Не выходит... кто на списке АД работает... скиньте скрин настроек плиз.
я с AD работаю, там и настроек-то нет почти... скрин могу тока завтра на работе сделать, вот почитай очень подробную инструкцию по настройке винроута в AD http://kerio-rus.ru/index.php?option=com_content&task=view&id=12&Itemid=26
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: realtek rtl8169 and vlan
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.