» Kerio WinRoute Firewall (часть 4)

kerio 6.2.3 2027
вопрос, как выпустить rs-mail от клиент банка с локальной машины?
порт 99.
пытался нат в одну сторону - мап в другую.

самое верхнее правило
sourse - локальный ип.
destination - ип банка
service - TCP 99
UDP 99
translation - nat (интернет)
map (локальный ип, порт 99)
action - разрешить
протокол инспектор - отключен.

не работает и ошибка 10061 "сессия разорвана"
если вообще отключить это правило - пишет ошибку 10060 "не удалось соединиться".

DaiAshes ну собсна вот скрин моих настроек AD _http://kliv.newmail.ru/foto/AD.png

Logrim
А если MAP убрать?

Logrim
а настройки порта точно верны?....я долго мучался с клиент-банком пока мне не дали верные порты и протаколы которые он использует

niichavo

пробовал

mic59
не знаю, в банке говорят 99 и в отладочной информации пишет 99.
протокол не знаю, просто указал порты.

Добавлено:
блин, заработало, но как-то через жопу


niichavo
видимо ты был прав. почему не заработало с первого раза, когда просто нат прописал, непонятно. может где-то еще накосячил.

народ, с недавнего времени стал глючить керио, предпосылок к этому никаких не было...
вот в чём дело: служба керио зависает. Причём инет есть(но не работает IIS corbon, т.е. не секутся сайты), а в консоль админа зайти нельзя, повисает при открытии,так же не удаётся перезапустить службу. всё останавливается на "остановка службы"
в чём могут быть грабли???

народ. Подскажите пожалуйста как настроить Керио 6, чтобы он машинку из локалки пускал в инет напрямую в обход прокси.

Adek
Достаточно разрешить этой машинке по http прямой выход в инет. Вроде так. если не так, поправьте. Ну и что еще понадобится может. ftp, dns, https, icq.

Всем здравствуйте не подскажете как открыть почтовые порты, 25 и 110 порт? И вообще можно как то настроить KWF так что бы можно было пользоватся Outlook, а не читать почту через браузер так как у нас из за этого еще и банк-клиент не работает.

SysAdmMikhail
правило в трафик полиси
почта - инет - локал - SMTP - перминт
локал инет POP3

Adek
Что значит в обход? если ты имеешь ввиду прозрачны прокси, то правило нат надо сделать

"источник" адрес машинки(или интерфейс лок сети) - "назначение" инет - (набор разрешенных протоколов) - пермит - Nat (в инет)

на машинах лок.сети указать шлюз и днс на машину с винроутом

что то у меня такого интерфейса как "инет" ни в Source ни в Destination нет, при нажатии на Add у меня появлется следующее:
Host
IP range
IP address group
Network/mask
Network connected to interface (содержит Kerio VPN, Local Area Connection, Соединение по локальной сети, Dial-in)
VPN
Users
Firewall host

PS. как тут картинки вставлять?

в логах вот такая вот ошибка....
(7104:101) ISS OrangeWeb filter: URL categorization has been skipped due to internal error
из-за неё corbon не фильтрует трафик. сталкивался кто с подобным? чем лечится, народ???

voffka1984
Где то в теме по этой ошибке говорили, что это внутренняя ошибка фильтра... У меня после неё он так и не заработал, отключил нафиг... Как вариант попробуй реинсталл керио...

SysAdmMikhail
У каждого интерфейсы по разному называются, как их обзовешь в интерфейсах так и будут называться. Добавляй свои в пункте

Цитата:

Network connected to interface (содержит Kerio VPN, Local Area Connection, Соединение по локальной сети, Dial-in)

Stres
в теме про отключение его я только и нашёл. но отключать не хочется, он очень много отсекает не нужных сайтов.... а так у них доступ будет почти ко всему...

Цитата:

DaiAshes ну собсна вот скрин моих настроек AD _http://kliv.newmail.ru/foto/AD.png

А он мне банк клиент не зарежит? - Бухгалтерия не в домене сидит.

Добавлено:

Цитата:

Всем здравствуйте не подскажете как открыть почтовые порты, 25 и 110 порт? И вообще можно как то настроить KWF так что бы можно было пользоватся Outlook, а не читать почту через браузер так как у нас из за этого еще и банк-клиент не работает.

Это просто. Нада всего лишь в Трафик-политике воткнуть Службы SMTP+POP3, или все службы врубить.

voffka1984, версию Керио и ОС в студию! Также, желательно знать ломаный керио или купленый. Стоят ли антивирусные плагины? Мы же все тут стараемся друг другу помочь, ага?

sNAlexis
Версия керио 6.4.2.3672 с лекарством
ОС win2003 Standart SP2
McAfee отключен.
Лечил сначала патчем, а потом dll подменял для IIS(без этого не работал он, вернее вроде и работал, но не отсекал ничего) работало всё стабильно месяца полтора и потом начались вот такие глюки.

DaiAshes

Цитата:

А он мне банк клиент не зарежит? - Бухгалтерия не в домене сидит.

А это уже от твоих трафик полиси зависит

если кто найдет способ нафиг исключить из слежения керио за локальной сеткой - решит проблему многих админов на серваках где стоит еще и 1с в придачу...
в старых версиях в конфиге можно было поправить строчечку и керио вообще не следил за пакетами локальными... но начиная с 6.4 версии (если память не изменяет) эта строчка перестала работать... отключение прокси инспектора на локальных трафик полисях не помогает (он завсегда был отключен на этих правилах ибо нефиг)

кто ставил 6.5.0 там встроен русский язык?
если да то где переключить с английского на русский?

DzOOMer
Язык переключает в панели консолей.

win2003 сервер,ad,dns.Машина долнительный контроллер домена. Версия керио 6.2.2-1746. На него лекарство.KWF_grugs-All.exe .Нод 32 антивирусник.В интернет выходим через VPN соединение провайдера. Без kerio VPN работает, с керио нет.. В праивлах всё отрубил выставил ani,ani,ani пермит.Ситуация та же.
Если керио отрублен:
WAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PL Network Connection
Физический адрес. . . . . . . . . : 00-30-48-87-3F-3D
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.249.6.158
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.249.6.254
DNS-серверы . . . . . . . . . . . : 80.252.131.163
192.168.4.1

kontakt - PPP адаптер: - //это VPN провайдера

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 88.84.212.236
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 88.84.212.236
DNS-серверы . . . . . . . . . . . : 80.252.128.254
80.252.133.174

Если врублен, то соответственно kontakt отпадает и при подключении kontakt выскакивает ошибка 800 - не удалось создать Vpn соединение (сервер недоступен или параметры безопасности соединения настроены неверно). Подскажите что предпринять

vovochka2
для начала скрин трафик полиси покажи, у меня тоже через VPN пров идет, проблем небыло вроде(правда не такое лекарство было)

Где-то было описано, в одном из прошлых форумов, конфлик впн виндовского сервера и впн керио. Или одно, или другое. Попробуй произвести установку Керио БЕЗ впн сервера, а вообще в описании к Керио описана процедура "пропуска пакетов стороннего впн" почитай, попробуй настроить как написали дяденьки. Но если все стоит на одной машине, то пробуй ставить керио без его впн, а потом и настраивать.

to kliv1:я для теста выставил один эни,эни,эни пермит в трафик полиси. Больше ничего нет.
to liderdomofon: ок - сенкс счас попробую. Отпишу.
Мот ещё у кого мысли есть?

vovochka2 что в логе фильтра пишется?

[10/Sep/2008 21:03:56] PERMIT "New rule" packet to kontakt, proto:UDP, len:73, ip/port:88.84.212.236:1029 -> 192.168.4.1:53, udplen:45
[10/Sep/2008 21:03:56] PERMIT "New rule" packet to kontakt, proto:UDP, len:73, ip/port:88.84.212.236:1029 -> 192.168.4.1:53, udplen:45
[10/Sep/2008 21:04:00] PERMIT "New rule" packet to kontakt, proto:UDP, len:70, ip/port:88.84.212.236:1029 -> 192.168.4.1:53, udplen:42
[10/Sep/2008 21:04:01] PERMIT "New rule" packet to kontakt, proto:UDP, len:70, ip/port:88.84.212.236:1029 -> 80.252.128.254:53, udplen:42
[10/Sep/2008 21:04:01] PERMIT "New rule" packet from kontakt, proto:UDP, len:145, ip/port:80.252.128.254:53 -> 88.84.212.236:1029, udplen:117
[10/Sep/2008 21:04:02] PERMIT "New rule" packet to kontakt, proto:UDP, len:70, ip/port:88.84.212.236:1029 -> 192.168.4.1:53, udplen:42
[10/Sep/2008 21:04:08] PERMIT "New rule" packet to kontakt, proto:UDP, len:70, ip/port:88.84.212.236:1029 -> 192.168.4.1:53, udplen:42
[10/Sep/2008 21:04:08] PERMIT "New rule" packet to kontakt, proto:UDP, len:70, ip/port:88.84.212.236:1029 -> 192.168.4.1:53, udplen:42
Это то что писалось вчера - счас отрубил керивский vpn сервер - вообще не пишет ,но и не подключается по прежнему. Сча буду пробовать с нуля ставить ещё раз без VPN.

пакеты летят, все норм. внутренний днс не хочет отвечать, но это уже не от трафик полиси зависит. косяк, скорее всего, в роутинг тейблах.