» Kerio WinRoute Firewall (часть 4)

MagistrAnatol
так он у тебя и закрыт....открыт только те порты что красном помечены... нуууу пометить то их можно как угодно... но в твоем случаи....

mrkop
дааа??? тогда извеняй... а вот не напомниш нафига я это сделал... всмысле просил зачем???

Labigo4you

На прошлой странице есть... если не сложно вернись.В кратце керио обноруживает сканирование портов...а сканирует мой ком...посмотрел какие подключения Tcp, оказывается 1200 конектов керио и нода на 2 хоста.

mrkop
ну так запрети обращения туды... правилом в трафик полиси...
any host drop

предложение понятно?

MagistrAnatol
для надёжности можешь добавить правило
Source:Карта смотрящая в инет
Destination:Firewall
Action:Drop (Deny)
Service:http
Но если у тебя нет правила разрешающего доступ чего угодно из инета к файеру, то и без этого правила он должен отлично всё блокировать по дефолтному рулсу.

Labigo4you

Это то понятно

А вот почему это так ???может в керио троян сидит???

перестраховщик))))))

Добавлено:
vimaret

Цитата:

Цитата:
эммм поясни... я не понял...
без ната работать будет только если он подключается с машины непосредственно перед мадемом... тобиш керио....

А из-за НАТа , нельзя попасть на адрес 192,168,1,1 -он локальный. Но папасть на него можно с любого локального адреса сети 192,168,1,0/24 , т.е с самого файервола, но на внешней сетевухе обязательно должен быть адрес 192,168,1,х. И также с компов локалки напр. 192,168,0,0/24 . в этом случае файервол будет работать как роутер. Ну и конечно нужно правило резрешающее ходить из 192,168,0,0/24 в 192,168,1,0/24.

а если я пропишу ему роут указав интерфейс?

Kerio 6.5.1
Стоит непрозрачный прокси. Пользователи авторизуются. В Активных хостах видны машины и пользователи.
Траффик идущий через NAT (ICQ например) считается нормально.

Траффик идущий через непрозрачный прокси не считается на пользователей, а вешается на админа привязанного к машине с керио.
Т.е. пользователь открывает страницу а в Активных хостах идет прием/передача у админа.
При этом в логах трафик разбит по пользователям/IP, т.е все нормально и программы статистики (например IAM) все прекрасно видят.
Если пользователей привязывать по IP тогда трафик считается правильно, но это не выход в сети DHCP only.

Вобщем все бы ерунда, статистика в керио мне не нужна, но проблема в том что и квоты тоже не работают.

Кто сталкивался, может знаете куда шаманить?

А мой вопрос кто-нить может разрешить? http://forum.ru-board.com/topic.cgi?forum=8&topic=27988&start=846&limit=1&m=1#1

Еще обсуждение тут: http://www.winroute.ru/forum/viewtopic.php?t=7165

abudfv2008
ВЭБ авторизация?
чтобы юзеры когда ходили в инет вбивали совой логин и пас.
там гаачка есть требовать вэб авторизацию...

Labigo4you
Я же написал что пользователи авторизуются (через окошечко) и трафик считается, но лишь тот что не прокси.
Тот что прокси вешается на админа привязанного к машине с керио -> не работают квоты по пользователям.

эммм.... правильно ли я понял.... аунтифицируются только пользователи что пользуются натом?

Labigo4you
Такс. Еще раз.
NAT используется только для клиент-банков/асек/почты. Т.е. буквально 5 открытых севисов портов и все.
Весь HTTP,HTTPS идет через прокси. Т.е. они есть только у правила Firewall-Internet

Пользователи открывают броузер. Вываливается окошко аутентификации (не страничка а именно окошко), вводят свои данные своей AD учетки. Ну и поехали.

знаеш что страннно... одни офис живет примерно также... и трафик считается нормально... а логи... в логах что прописывается....

Labigo4you
Так и я говорю странно.
Было 2003+KWF6.1.3 все работало.
Стало 2008+KWF6.5.1 - и приплыли.
В логах все отлично прописывается.
Например в web.log
[11/Oct/2008 10:49:00] 192.168.0.11 buh01 "Rambler" http://www.rambler.ru/
В http.log
192.168.0.11 - buh01 [11/Oct/2008:10:49:00 +0400] "GET http://www.rambler.ru/ HTTP/1.1" 200 62668
А трафик в KWF на этого buh01 не идет.

... хмм... proxy inspectr for kerio
или
internet access monitor...

Labigo4you
Статистику смотрю Internet Access Monitor
Но не понял? Это тут при чем? С самой статистикой все в порядке. Какая разница чем смотреть - я же строчки привел - там все прозрачно.
Повторяю - если тупо привязать IP к юзеру, то трафик у пользователя "волшебным образом" тут же начинает считаться.

я мел ввидду что считай трафик ими... или попробуй переставить керио... хреновое предложение.... но мне на ум больше ничего не приходит

Labigo4you
Блин - вроде по русски пишу.
1. Мне нужно чтобы квоты работали, а они не работают, т.к. прокси траффик не считается по пользователям.
2. KWF только что установленный на свежеустановленный Server2008.

P.S. Обнаружилась еще одна вещь. При включении Protocol Inspector для правила Firewall-Internet странички у юзеров перестают открываться (хотя по идее не должны)

Подскажите умные люди:
1. В KWF возможно настроить приоритизацию трафика?
2. Приоритизацию всего трафика, но только для одного компа? (т.е. 1 ком в сети, допустим BOSS, должен иметь всю ширину канала, когда получает данные из инета и туды их отправляет, а все остальные страждущие довольствуются остатками канала)

з.ы. связка WinXP SP3 + KWF 6.5.0
канал 256Кб/с

Подскажите пожалуйста, возможно-ли прикрутить к керио список запрещенных url-ов? Проблема в том, что подписка на кабана закончилась, керио лицензионный, и кабана руководство покупать не хочет. Имеется бесплатный ресурс - http://www.url2ban.com, где можно скачать список урлов для бана в txt формате, вот и хотелось бы узнать, возможно-ли это, и как это осуществить?

Добавлено:
johnny99
Дык режь трафик всем остальным, а одному пользователю оставь канал не резанный, к примеру ограничь трафик по првышению квоты всем пользователям кроме BOSS, и квоту поставь 1 метр, отметь, что после превышения трафик не банить, а только ограничивать. Может способ корявый, первое что пришло в голову...

johnny99

Цитата:

1. В KWF возможно настроить приоритизацию трафика?

Дык в керио "красивой" приоритезации нету. Что б юзеру на FTP столько-то Кбайт/с, на HTTP - столько-то, а почта - без ограничений. Или одной группе пользователей - вся ширина канала, пока насяльнику в интернет не надо. Другой софт нужен - хз какой
flaitsman

Цитата:

Дык режь трафик всем остальным, а одному пользователю оставь канал не резанный, к примеру ограничь трафик по првышению квоты всем пользователям кроме BOSS, и квоту поставь 1 метр, отметь, что после превышения трафик не банить, а только ограничивать

Идея неплохая, Ваш способ режет канал по каждому пользователю/группе в отдельности. Еще можно поиграться с Large Data Transfers и квоты оставить. Например, Limit downloads 10 KB/s - FTP трафик - все пользователи или группа адресов - при передаче 1 КБ за 1с. В итоге все пользователи делят канал в 10 КБ/с на FTP.

Добавлено:
flaitsman

Цитата:

Подскажите пожалуйста, возможно-ли прикрутить к керио список запрещенных url-ов?

Ога, можно. Только без автообновления
Вот из загашника
http://anonym.to/?http://slil.ru/26309700
http://anonym.to/?http://slil.ru/26309705
http://anonym.to/?http://slil.ru/26309718

Добавлено:

Цитата:

Интерфейсы на роутере:
1 - внутренний интерфейс (local) : IP 172.0.0.1 mask 255.255.255.0

antonclass
Первое: неправильно выбран диапазон локальной сети
Должно быть: 172.16.0.0 — 172.31.255.255
http://ru.wikipedia.org/wiki/IP
Labigo4you
Да балансировка появилась в 6.5.0:
http://www.kerio.com/link-load-balancing.html
http://www.kerio.com/manual/kwf/en/sect-loadbal.html
на русском сайте пока нет описания
До этого было только резервирование канала (connection failover).

Вот интересно... а я всю жизнь резервирование канала роутами делал)))) хмммм старею... неудосжался разобраться....

Добавлено:
abudfv2008
эммм.... туплю однако... бывает....
ну мне на ум приходит только одно... создание полного образа системы и переустановка керио... конфиги модно сохранить путем копирования файлов с расширением cfg в директории керои

Всем доброго времени суток.

Господа. Возник вопрос по безопастности...
Как блокировать удаленные прокси сервера (глобальные прокси как закрыть? - есть ли простой вариант, или придется их отслеживать и резать?

DaiAshes
Кабаном и ручками

antonclassА что за "кабан"?

ArticDT

Цитата:

Первое: неправильно выбран диапазон локальной сети
Должно быть: 172.16.0.0 — 172.31.255.255

Это с чего это ты взял, что так должно быть??
Данная подсеть - небольшая. В ней десяток компов не наберется. А ты предлагаешь выделить для этого чуть ли не миллион . Помимо этого, у провайдера эта подсеть зарезервирована (так же зарезервированы адреса 10.х.х.х и 192.168.х.х

Добавлено:
DaiAshes
Как что? почитай в документации и по форуму. Cobion - фильтр.
полно об этом говорится...

antonclass

Цитата:

Это с чего это ты взял, что так должно быть??
Данная подсеть - небольшая. В ней десяток компов не наберется. А ты предлагаешь выделить для этого чуть ли не миллион . Помимо этого, у провайдера эта подсеть зарезервирована (так же зарезервированы адреса 10.х.х.х и 192.168.х.х

эммм вообщето это адреса зарезервированные IANA за локальными сетями, для использования в часных сетях А, В, С классов... и единственнное отличие их от от всех остальних в том что они немаршрутизируются в интернете...


по простому тебе ничего не мешает назначить адрес 1.1.1.1 /24 или /8 просто если ты попытаешся выйти интернет с таким диапозоном внутренней сети скорее всего ты столкнешся с роблемой что некоторые сети для тебя будут просто недоступны.... т.к. шлюз будет думать что они вест локально... ну и днс тоже будет с ума сходить... хотя... если ты использеш непрозрачный прокси и внешний днс... то вполне возможно что будет работать...

[b]Labigo4you[b]
Да это всё понятно. однако эти адреса, хоть и зарезервированны кем-то, но реально их в общем доступе нет (см Whois). И даже если бы и были за какими-то Сайтами (службами и пр), то я не много бы потерял (здались они мне). Я с успехом мог бы взять адреса всего сегмента Японии, например, учитывая что врядли понадобится лазить по их сайтам...

Цитата:

ArticDT

THNX! Очень помог!

antonclass
ты знаеш что это за компания IANA???
ты либо неправильно читаеш либо я непонятно пишу... либо ты не в теме...