» Kerio WinRoute Firewall (часть 4)

Помогите, есть такая проблема.
Количество входящих SMTP коннектов очень быстро превышает connection limit - соотв. другие сервисы, например РДП становятся недоступны. Что делать???

!!!!!! ПРОШУ ПОДСКАЗАТЬ СОВЕТОМ !!!!!!!!!!

Нивкакую KWF 6.5.0 не хочет видеть хосты локальной сети. При этом все правила работают, инет раздается. Без особых наворотов, просто выпустить всех из локальной сети наружу через NAT без ограничений по портам и адресам. Весь трафик общитывается в статистике как "незарегистрированные пользователи". В активных хостах фигурирует только Firewall, через него идут все подключения локалки наружу.
Пользователей создавал, привязку по IP делал, в статистике их видно но всегда по нулям. Всё суммарно на "незарегистрированных пользователях". Собирать статистику пользователей, в учете, галочка стоит. В логах на соединение с каких ипов куда пошли всё видно. Бьюсь уже который день, перелопатил кучу настроек, результата 0.
Пробывал следующее:
- Доступ к инту разрешал не всему интерфейсу, а только пользователям ( у которых -привязка по IP ) не выпускает тогда.
- Включал, выключал логирование NAT.
- Делал раздачу IP по DHCP, привязвал MAC к IP, бесполезно.
- Параметры аунтификации перекопал вдоль и поперек, различные варианты, никак.

Может кто сможет момочь дельным советом.. Заранее спасибо.

подскажите - как реализовать подмену ссылок в керио с интернета на локальные файлы?

Например если пользовтель в браузере пишет
http://forum.ru-board.com/google.cgi
то ему выдается файл, лежащий в корне диска C:
C:\privet.txt

HTTP Policy почемуто непринимает такие ссылки

spat0820 у юзверей в браузерах должно как минимум стоять в подключении автоматическое определение параметров

Добавлено:
и в сетевухах шлюз должен быть указан айпишник керио, если доменная сеть то днсы контроллеров, если раб группа то днсом должен быть указан айпишник керио

megaman79

Цитата:

Помогите, есть такая проблема.
Количество входящих SMTP коннектов очень быстро превышает connection limit - соотв. другие сервисы, например РДП становятся недоступны. Что делать???

Вообщето вам сюда: http://forum.ru-board.com/topic.cgi?forum=8&topic=27990&start=160
Но в двух словах скажу, ограничьте "Макс. число одновременных соединений SMTP, открытых с одного IP, на KMS (или другом вашем почтовом сервере)

SHRIKE74
Думаю настройки браузера клиента совершенно не причем, так как конекты есть не только HTTP. Протестировал - эффекта не дало.

По остальному всё так и есть. Роутером и DNS у клиентов внутренний IP KWF.


есть предположение что проблема в специфике подключения. KFW стоит внутри локалки, с одной сетевухой. На границе локалка-инет стоит аппаратный роутер DLINK. Машина с KWF поднимает VPN соединение с провадером инета. Тем самым внутрь смотрит IP локалки, а наружу через VPN.

Имеется: WinXP на раздачу инета и стоящий на ней KWF 6.4.2.
Проблема: статистика в веб-интерфейсе отображается только на текущую дату (Сегодня). Остальные вкладки не активны((
Что делать?!)

Здравствуйте!

Подскажите можно ли сделать чтобы
пользователи могли качать файл только в один поток.
А то откроют закачку в 10 потоков и Ineta нет.
Либо возможность установить например 160 Кбит/сек на все для данного пользователя !

Спасибо!

Цитата:

megaman79

Цитата:Помогите, есть такая проблема.
Количество входящих SMTP коннектов очень быстро превышает connection limit - соотв. другие сервисы, например РДП становятся недоступны. Что делать???

Вообщето вам сюда: http://forum.ru-board.com/topic.cgi?forum=8&topic=27990&start=160
Но в двух словах скажу, ограничьте "Макс. число одновременных соединений SMTP, открытых с одного IP, на KMS (или другом вашем почтовом сервере)

У меня не КМS, а Winroute Firewall+MDaemon

Ограничение в МДемон стоит естественно. Проблема в том что идет куча входящих SMPT коннектов, которые пытаются использоваться Winroute как Relay.
В итоге количество коннектов быстро достигает максимума и нет возможности создать еще один коннект, когда пытаешься подключиться через RDP например. или виснут существующие сессии RDP.

megaman79, увеличить конекш лимит?..

fuckerfox, они серым и рисуются. Предлагаю попробовать сменить браузер. Или разрешить в текущем яваскрипты.

spat0820, как минимум, закрываем доступ всем и разрешаем группе Authorised Users (всех юзеров заворачиваем на прокси). Вообще, тут без трафик полиси сказать сложно.

AlexKost, курим "Ограничение полосы пропускания".

DzOOMer, на сколько я знаю, и не примет. Проще поднять веб сервер локальный и заворачивать на него.

AnatoliyE, а если в настройках доменов эксченджа указать разные порты для пересылки сообщений и пробрасывать эти порты на разные интерфейсы?

Vitaly_SP, у стара базы на фаерберде. Это должно помочь в вопросе =) Вот только уж очень много попыток поправить базы заканчивались их окончательным падением =)

Сеть без домена.
Кeрио стоит на отдельной машине с Windows XP sp3 (ip=192.168.1.1).
Поставил сниффер OmniPeek на машину с керио.
Сижу, гляжу, изучаю.

Когда пытаюсь с клиентской машины (192.168.1.2) куда-нибудь сходить, в сниффере вижу, что сначала идет запрос к DNS серверу на разрешение имени 2.1.168.192.in-addr.arpa, тип запроса - PTR. Причем, запрос повторяется два раза. Затем идет DNS запрос на разрешение адреса сервера, куда я пошел (например, yandex.ru), и тоже два раза. На запрос по "yandex.ru" приходит ответ, и, далее, идет http-трафик.
По поводу запроса 2.1.168.192.in-addr.arpa сначала ничего не приходило в ответ, а через некоторое время стал приходить ответ со статусом "Error name" для доменного имени 168.192.in-addr.arpa и данными MNAME = prisoner.iana.org и RNAME = hostmaster.neva.ru.
Если же пытаюсь пойти в интернет на машине с Керио, то вместо DNS запросов с локальным IP адресом отправляются запросы на разрешение имени "IP-адрес основного шлюза".in-addr.arpa (этот IP-адрес сообщает провайдер).

Вопрос:
Можно ли сделать так, чтобы керио не отправлял запросы с локальными адресами провайдеру? Или это не Керио?

Спасибо.

j7

Цитата:

Сеть без домена.

Цитата:

Можно ли сделать так, чтобы керио не отправлял запросы с локальными адресами провайдеру?

Подними и настрой домен.

спрошшу есчо раз.
можноли впн клиентов в интернет пустить и как, если можно (прокси не предлагать).

Доброго времени суток всем ! Так и не получилось решить проблему, которая была изложена ранее:

Цитата:

Вобщем есть KWF 6.2.2, правила настроены, домена нет, веб авторизация. Допустим юзер работает с почтовым клиентом, правила настроены так, чтобы ICQ, SMTP и POP3 работали без авторизации. Но когда юзер логинится на фаерволе по HTTP/S, то трафик по всем пратоколам считается на этого юзера. А мне нужно сделать чтобы по ICQ, SMTP и POP3 работали без авторизации и на конкретного юзера считался только HTTP/HTTPS/FTP траффик. Подскажите пожалуйста как это реализовать ?!

Прилагаю скрин настроеных мной правил, подскажите пожалуйста, что сделал не так ?



З.Ы. забыл добавить, best - локалка, inet - внешний интерфейс , BENET - резервное vpn-подключение к инету.

Всем привет!

Проблема так и не решилась. Есть шлюз с керио 6.5.1. Поднят ВПН, клиенты коннектятся, все нормально. Но им присваиваются разные айпи адреса, а не те, которые прописаны в настройках пользователя. Куда копать?! Очень надо.

Scream_Err
Попробуй смотреть здесь в конце!

что-то 2 недели не обновляется макафи..переадресация настроена..что делать?

sadafaga

Цитата:

Подними и настрой домен.

Спасибо, за совет.
Только мне домен пока не к чему, т.к машин (все WinXP) всего-то 10, да и использую часть из них в качестве терминалок, а это не совместимо с доменом, по крайней мере так сказано тут.

Вопрос был как отучить керио разрешать локальные IP адреса в DNS-имена.
Нашел два решения:
1. Прописать все локальные хосты, которые ходят в интернет, в файле hosts на машине с керио с какими-то именами.
2. Установить альтернативный DNS сервер, отключив при этом DNS форвардинг в керио. (Я пробовал Simple DNS plus, догадываюсь, что и DNS сервер домена помог бы).

ps
Информация для хозяев шапки этого топика.
При открытии этого топика, две картинки, которые сверху, загружаясь с керио.ком, отправляют на сайт керио адрес этого топика в качестве referer'a, ну и IP-адрес посещающего фиксируется в качестве адреса клиента.
Извините, не удержался. Паранойя одолела .

Срочно помогите. Устроился на работу. А тут просят кэрио настроить. Читать мануалы пока нету времени, но обязательно прочту. Пока нужно срочно решить проблему.

Нужно чтобы только два компьютера могли выходить через сервак в сеть. а остальных не пропускала

Xapkep

Создаешь группу, туда заносишь пользователей, которым надо запретить доступ в сеть. Потом в HTTP Rules добавляешь правило запрета и туда добавляешь созданную группу. Это самое быстрое и простое средство.

Scream_Err
Самое быстрое и простое - это запретить по ip

ДЛя того чтобы создать группу туда нужно каждый ip вводить? а можно какнить по маски всем запретить? и открыть только определенным ip.

Добрый день!
Подскажите что может быть, я уже незнаю!
Есть комп с КЕРИО 6,2,3 WIXNP SP3 он раздает инет в мою сеть, но не пускает меня на ftp сервера. В чем может быть проблема? на этом компе стоит роутер zuxel p330, маппинг портов настроен на пропускание 21 20 портов на комп с керио.


Добавлено:
Есть еще один глюк, не пускает меня КЕРИО удаленно через РАДМИН, стоит ЗЮХЕЛь но на нем фаервол отключен и настроен маппинг на комп с керио по нужному порту))!
Что может в керио блокировать?

stilus34, без Керио фтп пашет? ТП в студию!

Я оооочень сильно извиняюсь, но
Xapkep, А ТЫ ДЕЛАТЬ НАЧНИ ИЛИ ДАЙ ДЕНЕГ, ЧТОБЫ СДЕЛАЛИ! Попробуй создать группу, там в выкидухе есть пункт "Сеть/маска". Даже обезьяна поймёт, что это значит.
Так, я успокоился.
Начнем с начала. Керива должна быть на шлюзовой машине. На всех компах должен быть прописан шлюз. Шлюзовая машина имеет два сетевых интерфейса. Один смотрит на прова (интернет), второй смотрит на юзеров (локалка).
Интерфейс локалки ставим в доверенный (в настройках самого интерфейса на кериве)
Два айпи заведены в группу "АГА".
Дальше создаём примитивные правила (именно в таком порядке сверху):
1. керива + локалка --- керива + локалка --- любой --- разрешить (Инспектор протоколов отключен)
2. АГА --- интернет --- список протоколов --- разрешить (инспектор включен)

Все, в сеть никто не ходит, в том числе, сам фаервол.

Добавлено:
забыл НАТ указать...

sNAlexis
[img] [/img]

Добавлено:

ух, мелко-то как =)) странно, ТП в норме (на сколько разглдел=))
а что в логе коннекта к ФТП говорится?
и таки я так и не понял, зачем роутер? =)))

Добавлено:
о, теперь вторая прогрузилась картинка =)))

sNAlexis
Ммм я чуток не разобрался.

Вот что сейчас имеется


Еще есть локальная сеть с сетевыми принтерами.

Вообще все както сложно. Это не оутпост блин. крыша едит от всех этих вкладок.

Так вот что мне где поменять из того что указано на картинке чтобы только с двух ip выходить в сеть.

И еще как вывести статистику по ip? сколько скачано. где лазал? это возможно?

Заранее извиняюсь за тупость, но сегодня впервые столкнулся с этой программой.
Уже скачал мануалы, пока нечего не понятно. Надеюсь в будущем разберусь. Но час срочно нужно разобраться с задачей прошу помощь

sNAlexis
В роутере вбиты логин и пароль для подключения PPOE и все!
Подскажите что не так!
Вот что пишет при подключении к ФТП в IE



Error
FTP server return:

530 User anonymous cannot log in.

[Logo] Generated by SERVINTERNET (Kerio WinRoute Firewall 6.2.3 build 2027)

1) Переношу инет-сервер с одной машины на другую

2) Перестаёт работать инет у клиентов - на самом сервере тоже частичные потери пакетов. Отрубаешь Керио - локально никакого пакет лосса.

3) Пытаешься зайти на шАры других машин в локалке - подвисает Explorer и пока не остановить Керио, шАры не открываются.

4) Конфиги Керио с старого сервера на новый перенёс и немного переиначил под интерфейсы нового сервера - настройки абсолютно одинаковые.

5) Настройки Traffic Policy http://img56.imageshack.us/img56/3154/96032312ii8.gif

6) У клиентов пинги идут (с пакет лоссами) - но инет не пашет...

2 VIP858
А ты не пробовал удалить в настройках керио интерфейсы из твоих конфигов и заново их настроить ?
По правилам не совсем понятно, какие где интерфейсы, куда смотрят и для чего нужны.
Например NAT, ну и по другим бы неплохо пояснение.