» Kerio WinRoute Firewall (часть 4)

KlimKlim
фильтры сохранил, потом мой товарищ буквально за час каким-то скриптом все внес в керио, сейчас с ним связи нет. Вопрос по переносу актуален!

Надо найти эти фильтры.. а то руками забивать - бякость

KlimKlim
Посмотри структуру своих фильтров в керио они в текстовом файле хранятся. Думаю в TI тоже. Там все делается с помощью excel и word. Я когда то так фильтры с usergate переносил, тоже несколько тысяч было.

pilotro
дельный совет, щас даже попробую

Доброго времени суток. Столкнулся с проблемой Kerio WinRoute Firewall 6.5.0:
Есть два канала в интернет основной и резервный еще есть VPN-туннель до основного офиса в активном режиме (т.е. Kerio "звонит" на определенный адрес для установки туннеля), при падении основного канала все корректно переключается на резерв, прописываются маршруты через основной шлюз резервного провайдера но вот когда восстанавливается основной канал прокси и нат начинают ходить по основному а VPN-туннель остается висеть на резерве до токго момента пока не включишь/выключишь интерфейс резервного канала или включишь/выключишь VPN-туннель. В настройках VPN-туннеля вкладка дополнительно стоит использовать маршруты, автоматически предоставляемые удаленным конечным пользователем. Где копать?

KlimKlim

Цитата:

Спасибо за столь глобальны подход к вопросу
Ситуация следующая:
1. Мы - промышленное предприятие (сеть > 300 ПК)
2. Соответственно клиенты - одна локальная сеть.
3. Считать трафик надо самим.
4. Необходимо наличие нормального шейпера.
5. Необходима возможность в режиме реального времени отслеживать активность пользователей (текущая скорость, какие ресурсы посещает).
6. Используется NAT + прозрачный прокси (то есть некоторые клиенты работают только через прокси, а некоторые и через NAT и через прокси).
7. Фильтровать трафик - необходимо! Имеются фильтры в TI > 19000 строк фильтров. Плюс необходимы фильтры по времени и портам. Например:
Фильтр А. Группе ОМТО разрешено пользоваться интернетом с 8:00 до 17:00 с понедельника по пятницу. Разрешённый порты: 80, 443, 8080. Ограничения 256 кбит/с. Работа через прокси.
Фильтр Б. Группам Дирекция и Админы разрешено пользоваться интернетом круглосуточно 7 дней в неделю. Без ограничений. Работа через прокси и NAT.
Фильтр В. Группа БРИС имеет доступ в интернет 7 дней в неделю, но с 9:00 до 12:00 и с 14:00 до 16:00 запрещён доступ на 80 порт. Остальное время без ограничений. Работа через прокси и NAT.
....групп больше 10, и у всех различные временные ограничения

Понятно, ситуация проше, чем я предпологал. Я подаю на бизнес центр, где множество разных юрлиц. Поэтому вначале идет разделения на VLANы с подсчетом трафика и выставлением счетов провайдером, а вот уже у этих юрлиц свои локальные сети. Т.е. стоит два файервола на Керио Общий для всех (первый уровень), и второй уровень (у некоторых) -отделяющий локалку от первого и DMZ. У тех, кому я обслуживаю сети на втором уровне, как раз та схема, которая нужна вам. Локалка с включенным прокси, авторизацией фильтрацией и тд. В принципе самое сложное место, это авторизация пользователей. Но здесь на форуме уже много об этом писалось, найдете.
Самое трудоемкое остается реализовать логику фильтров. Хорошие советы использовать эксэл для преобразования текстовых файлов настроек вам уже дали. Я бы от себя порекомендовал не транслировать эти файлы в лоб, а подумать еще и об их оптимизации под керик. Вы сейчас потратите на это время, зато потом будет легче рулить. Суть оптимизации- разбить на какие-то группы по пользователям, по времени, по сервисам. Т.е. максимально использовать в консоле управления возможности разделов Defenition, Users & Group, Interfaces. Например, я у себя создал сервис Internet general, который объединяет список ТСР портов 21,989,990,80,443,5190,119,563,110,995,25. Тогда в правилах достаточно каждому пользователю давать по умолчению три сервиса: Any ICMP, DNS и Internet general. Кому-то надо запретить SMTP - ставлю запрещающее правило выше, нужно добавить банк клиент - ставлю дополнительное разрешающее правило и т.д.
Т.е. некоторое выделение общей для всех части позволяет улучшить читаемость правил, ну и соответсвенно легче рулить большое количество клиентов.
Я все-таки голосую не за скриптовый, а за ручной метод автоматизированный переносом настроек через текстовые файлы.

Yurok2002

Цитата:

Похоже сайт http://kerio-rus.ru/ тихо и мирно отдыхает или ему в этом очень помогли.

отлично работает. может он у вас блочиться каким то правилом или хостс?


Vedmak2
спасиБо за наводку
адо будет то же посмотреть в помент пропадания интернета или его тормозов - сколько памяти отьедает... а то и ногда раз в три дня то же проблема с авторизацей и вообще интернетом - грешил на глюк днс, теперь буду поглядывать и на размер в памяти

Весточка из будущего, memory leak посвящается (В релизе soon..., правда сколько они спать будут...?)

Цитата:

eleases notes версии 6.5.2:

Changes since KWF 6.5.1:
- fixed memory leak in DNS forwarder
- fixed 100% CPU bug when emailing alerts
- fixed possible crash in LDAP (this fix supposed to be in 6.5.1 but wasn't)
- fixed web interface login page did not show in Internet Explorer 5

Farby
Однозначо, тормозят зачем-то, хотя недоработка серьезнейшая!

Можно ли как-то ограничить соединения на определенный порт по 1 уровню домена, то бишь указать, что например с *.de, *.ua не могут подключаться на 80й порт?

подскажите плиз какое прописать правило чтобы на тачке где стоит керио был выход в инет. керио работает как прокси сервер. и приходится на серваке указывать прокси сервер на себя.

sergikhack
Да, конечно, создаешь группу по маске в правилах, потом в доступах ставишь на самый верх правило на запрет трафика с группы

Уважаемые, нужна помощь!
Сразу скажу, что поиском (и Гуглем) пользовался, но ответа так и не нашёл.

Дано: от прова приходит витая пара с тырнетом. Этот провод втыкается в роутер (D-Link DIR-100). Роутер воткнут в первую сетевую карту компа, от второй сетевой карты этого же компа к 8-и портовому хабу идёт другая витая пара. К этому же хабу подключены ещё 3 компа. На компе с двумя сетевухами установлено Kerio WinRoute Firewall (6.5.1.5000). На нём же установлено RealVNC и NetOp School (управляющая часть). Чтобы не париться из-за динамического ip, на нём же установлено No-IP и на их сайте зареген адресок. На остальных 3-х компах установлена клиентская часть NetOp School.

Вечером настраиваю сеть. TheBat! почту с удалённого сервака получает, аськи работают, скайпы тоже. Локалка пашет без вопросов. Админ панель Керио в настройки пускает. Короче, всё пучком, кроме одного - не работает удалённый доступ извне, т.е. все мои попытки пробиться извне к компу с RealVNC ни к чему не приводят (хотя проброска 5900 порта на роутере настроена, в Керио правило создано).

Утром меня начинают донимать тем, что TheBat! не качает почту. Приезжаю. Интернет на компы в локалке продолжает раздаваться, аськи и скайпы работают, а ни Аутглюк, ни Бат получить почту не могут. telnet подключение к почтовику через 25 и 110 порты проходит (ил ине проходит? После набора команды получаю просто чёрное окно с заголовком "Telnet XXX.XXX.XXX.XXX.), а Бат с Аутглюком ругалются на невозможность подключиться. Это раз.
Консоль администрирования Керио отказывается запускаться мотивируя это тем, что "OpenSSL error". В логах ошибок Керио что-то про невозможность запустить SSL-VPN... Это два...

6-кратное удаление/переустановка Керио (с чисткой реестром ручками и удалением всех файлов/папок) ситуацию не изменила ни на йоту. В результате комп с Керио полностью отрезан от локалки и хавает тырнет в одну морду, благо оно должно раздаваться через него...

Сегодня убрал из этой схемы роутер. Теперь кабель от прова втыкается напрямую во вторую сетевуху главного компа, а в первой его сетевухе по-прежнему торчит шнурок от локалки. Керио всё так же не пускает в админ панель (уже даже переставил без VPN-компонента)... Удалил Керио, расшарил подключение - всё работает, кроме одного: ни Бат, ни Аутглюк по-прежнему не могут получить почту с сервака, хотя сервак по тому же телнету простукивается... И удалённый доступ извне (ни RealVNC, ни удалённый раб. стол) всё так же не работает...

Подскажите, что я сделал не так, КАК они могли за вечер ТАК убить Керио и ЧТО мне теперь делать? Статистику хождения по Сети там считать надо, т.к. трафик ограничен, а народ любопытный. Да и удалёнка нужна... Если нужны будут доп. сведения - могу завтра в районе обеда предоставить.

С уважением, Владимир.

AlNinyo
может дело в настройках бата и аутглюка? попробуй еще один почтовик поставить, если он зарабоатет, копай настройки почтовиков. В логах керио пакеты бата и аутглюка появляются?

Цитата:

может дело в настройках бата и аутглюка? попробуй еще один почтовик поставить, если он зарабоатет, копай настройки почтовиков. В логах керио пакеты бата и аутглюка появляются?

Настройки Бата не менялись, но вечером он почту проверял, а утром перестал. В процессе занятия любовью с ним и Аутглюком параллельно, последний один раз почту принял, а потом тоже начал ругаться на невозможность подключиться.

Т.е. вроде как ничего не менялось вообще нигде, но вдруг перестало работать. Вечером перед этим начальник, задержавшийся на работе, смотрел статистику в Керио. Божится, что ничего больше не делал...

У меня в окне DNS Forwarder нет пункта "Forward DNS queries for the specified DNS server(s)" и соответствующего поля для ввода списка DNS-серверов.

Это нормально, или у меня неправильная версия Kerio Winroute Firewall (у меня 6.5.0 build 4794, лечен средством от Farby)?

подскажите плиз какое прописать правило чтобы на тачке где стоит керио был выход в инет. керио работает как прокси сервер. и приходится на серваке указывать прокси сервер на себя.

angelform
Это обязательное условие что нужно в группах прописать? ведь это тоже самое что создать правило без группы перечислив все содержимое.
Просто раньше пробовал создавать правило по маске *.domain (где domain - домен первого уровня, да хоть тот же ru) - не работало, судя по всему не понимал маску.

у меня стоит KWF на серваке 2003 -конфиг 2 сетевухи одна смотрит в инет, другая в локалку..KWF раздает все службы через NAT. Не нахожу где указать авторизация по IP? Кроме того есть необходить ограничить юзеров по внешнему трафу (есть безплатное кольца провайдера-на него мне плевать)! подскажите как лучше это дло организовать?

sabrek

Цитата:

Не нахожу где указать авторизация по IP?

У каждого пользователя на последней вкладке!

там где IP адреса автоматическая регистрация и поставить галку допуск к сетевому экрану?

Ребят вопросик такой теоритически понимаю что все можно сделать, а практически пока не пробовал но может кто нибудь делал, вообщем надобно сделать следующее:
1 . Есть удаленная точка , связь -диалап, белого ИП нет, нужно наладить связь, думаю сделать так , поставить там Kerio VPN, конектиться к нему когда он сам подключится.
2. Нужно проникнуть в сетку того компа , и управлять компами если что , думаю что все будет работать. МОЖЕТ ЕСТЬ КАКИЕ КАМНИ????

Здрасти всем ! Есть у меня такая проблема, может кто подскажет решение. Вобщем есть KWF 6.2.2, правила настроены, домена нет, веб авторизация. Допустим юзер работает с почтовым клиентом, правила настроены так, чтобы ICQ, SMTP и POP3 работали без авторизации. Но когда юзер логинится на фаерволе по HTTP/S, то трафик по всем пратоколам считается на этого юзера. А мне нужно сделать чтобы по ICQ, SMTP и POP3 работали без авторизации и на конкретного юзера считался только HTTP/HTTPS/FTP траффик. Подскажите пожалуйста как это реализовать ?!

Конфигурация =>Учет

Люди, спасайте. Я уже вообще ничего не понимаю. Сегодня снёс винду, поставил заново, а всё равно при попытке попасть в админ панель Керио вылезает ошибка OpenSSL error. Устанавливаю TMeter, так там тоже полная Ж. Открываю консоль управления, а оно ругается, что не получена контрольная сумма от службы...
ДрВеба отключал совсем, брандмауэр тоже. Что ещё может убивать эти проги? Очень надо считать трафик, но просто какая-то засада. Самое обидное, что ведь работало же несколько дней назад и с тех пор ничего не меняли.

Подскажите, где копать-то хотя бы?

oldGuest
Убрать Log Packets и Protocol Inspector с правила "ICQ, SMTP и POP3"

Здравствуйте, есть такая проблема:
Два сетевых подключения, одно безлимитное другое с большой локалкой. Нужно сделать так, чтобы небезлимитное подключение ходило только по локальным для него адресам,а внешние не видело., список локальных сетей имеется.
Возможно ли это осуществить с помощью данного файерволла? Если да, то как? Если нет, подскажите пожалуйста какую программу использовать.

Max9k
Для этого файрволл не нужен.
[offtop]
Поставь на сетевой карте подключенной к "локалке" метрику интерфейса больше чем на безлимитном интерфейсе (например 2 и 1 соответственно). Это нужно, чтобы предочтительным каналом был именно безлимитный. Потом пропиши маршруты для локальных адресов командой route add (например, route add 192.168.0.0 mask 255.255.0.0 192.168.x.x -p, где 192.168.x.x адрес сетевой, смотрящей в локальную сеть).
[/offtop]

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
--------------------------------------------------------------------------------
Всем привет!
Возникла проблема с винроутером.

Собран мощный двух процессорный сервер, 12 гб памяти, raid контроллер Adpatec 5805, шесть SATA дисков в stripe (скорость чтения/записи 490/450мб в сек)
Windows 2008 x64
Winroute 6.4.2-3672 x64
соответсвенно гигабитная сетка intel

Расшарил диск массива,
с остановленным винроутером, качаю с сервака большие файлы, скорость около 60-57 мегов в сек, заливаю на сервак-скорость тоже около 57 метровв сек, графики загрузки сети практически ровные.
ВКЛЮЧАЮ винроутер скорость записи на сервак падает до 50-45 мегов(терпимо), а чтение до 10-8 мегов!!! причем скорость скачет, графики загрузки сети как пила

В винроутере ни чего не настраивал, единственное правило "pass all any to any".
В win2008 тоже ни чего не настраивал, только поставил все драйвера и отключил браундмауер, ни каких ролей не включал.

Подскажите с чем связано такое значительно падение в скорости, тем более на чтение?
Может есть какое-нить решение?

Может Macaffi трафик проверяет.