» Kerio WinRoute Firewall (часть 4)

спрошу еще раз: какое правило надо создать чтобы у керио впн клиента заработали квоты?

jenkamf, керио впн не поднимал, но если пользователь ПРИ ДОСТУПЕ В ИНТЕРНЕТ ДОЛЖЕН авторизоваться, то правило для выхода в тырнет должно быть вида
Source: User
Destination: Internet
Service: HTTP, HTTPS.
Translation: NAT
Но, повторюсь, что я хз как работает керевский впн клиент.

Народ помогите, где копать?

[29/Jul/2008 03:39:00] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 195.222.187.11, 77.88.32.20, 195.210.147.234, ..., ports: 47885, 47898, 47900, 47901, 47902, 47903, 47904, 47662, 39156, 47863, ...
[29/Jul/2008 03:40:47] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 201.64.63.10, ..., ports: 47924, 47702, 47703, 47705, 47706, 47707, 46768, 46769, 46771, 46773, ...
[29/Jul/2008 03:41:34] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 195.222.187.14, ..., ports: 47702, 47703, 47705, 47707, 47758, 46768, 46769, 46771, 46773, 38342, ...
[29/Jul/2008 03:46:41] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 195.210.147.234, ..., ports: 47885, 47899, 47901, 47903, 47904, 24104, 47046, 47048, 47050, 47051, ...
[29/Jul/2008 03:47:26] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 201.64.63.10, 194.67.23.34, ..., ports: 47899, 47901, 47903, 47904, 47924, 3448, 47048, 47050, 47051, 48103, ...
[29/Jul/2008 03:48:16] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, ports: 47899, 47901, 47903, 47904, 47045, 47046, 47048, 47049, 47050, 47051, ...
[29/Jul/2008 04:00:11] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 217.199.222.4, 195.222.187.11, 190.6.10.83, ..., ports: 25, 48334, 48360, 48361, 48362, 48363, 48364, 48365, 48366, 48376, ...
[29/Jul/2008 04:06:42] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, ports: 47749, 47751, 47752, 47753, 47757, 48360, 48362, 48363, 48364, 48366, ...
[29/Jul/2008 04:07:27] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 190.6.10.83, ..., ports: 1294, 47751, 47752, 47753, 47757, 48362, 48363, 48364, 48366, 48376, ...
[29/Jul/2008 04:08:14] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 67.214.229.122, ..., ports: 48389, 47751, 63111, 47752, 47753, 47757, 48362, 48363, 48364, 48366, ...
[29/Jul/2008 04:32:46] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 195.210.147.234, 194.67.23.235, ..., ports: 48901, 49053, 53678, 49114, 49115, 49116, 49117, 49118, 49119, 49121, ...
[29/Jul/2008 04:40:01] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, ports: 48814, 48815, 48818, 48819, 48821, 49114, 49115, 49118, 49119, 49121, ...
[29/Jul/2008 05:19:36] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 195.222.187.11, 83.222.2.131, 186.0.4.227, ..., ports: 49923, 49924, 49925, 49926, 49927, 49928, 49929, 49932, 49904, 49916, ...
[29/Jul/2008 05:26:40] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 83.222.2.131, ..., ports: 49923, 49924, 49926, 49929, 50280, 50281, 50283, 50286, 59330, 49916, ...
[29/Jul/2008 05:27:25] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, ports: 49923, 49924, 49925, 49926, 49927, 49929, 50281, 50282, 50283, 50286, ...
[29/Jul/2008 05:28:13] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, ports: 49923, 49924, 49925, 49926, 49927, 49929, 50281, 50282, 50283, 50286, ...
[29/Jul/2008 06:19:35] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 194.67.23.34, 195.222.187.212, ..., ports: 50688, 50689, 50690, 50691, 50692, 50693, 58763, 50583, 50680, 50687, ...
[29/Jul/2008 06:20:58] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 77.88.32.20, 195.210.147.234, 221.206.19.248, ..., ports: 50688, 50689, 50691, 50692, 50706, 49744, 50598, 50607, 7115, 50687, ...
[29/Jul/2008 06:26:58] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 194.67.23.34, 195.222.187.212, ..., ports: 50689, 50691, 57152, 50757, 52402, 52404, 52405, 52406, 50680, 50687, ...
[29/Jul/2008 06:28:13] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 195.222.187.212, 221.206.19.248, ..., ports: 50689, 50691, 50706, 57152, 52402, 52404, 52406, 14052, 50680, 50687, ...
[29/Jul/2008 06:28:40] Port Scan: protocol: TCP, source: IP смотрящий в инет, destination: 217.199.222.3, 221.206.19.248, ..., ports: 50688, 50690, 50692, 50693, 50706, 52403, 52405, 52407, 52408, 14052, ...

антивирусами проверял ничего нет... что за шняга от меня в инете сканерит?

Для начала локализуй проблему. Отруби все компы от себя, посмотри будет ли такое твориться.
ЗЫ: где проверял и чем?

антивирями проверял шлюзовую тачку, на ктоторой KWF
проверял AVZ, DrWeb.
на машине стоит AVG

IcebergV, для пущего комильфо можно пройтись еще и CureIt. А что если, как уже говорил компы отключить от керио и посмотреть какая картина будет.

jenkamf

Цитата:

какое правило надо создать

правилом не отделаешься.. либо юзать AD, либо каждого VPN-щика настраивать по квотам отдельно в Usesr&Groups -> Users...

Цитата:

jenkamf, керио впн не поднимал, но если пользователь ПРИ ДОСТУПЕ В ИНТЕРНЕТ ДОЛЖЕН авторизоваться, то правило для выхода в тырнет должно быть вида
Source: User
Destination: Internet
Service: HTTP, HTTPS.
Translation: NAT
Но, повторюсь, что я хз как работает керевский впн клиент

Не помогает.


Цитата:

правилом не отделаешься.. либо юзать AD, либо каждого VPN-щика настраивать по квотам отдельно в Usesr&Groups -> Users...

так и сделал, не считает.

jenkamf
Что то меня гложут смутные сомнения...
Ты всё таки ВСЕ правила покажешь? И HTTP Policy не забудь.

А то получается какой то групповой секс по телефону.
Типа сделй это - не не встаёт, а это, тож не встаёт...

http://img247.imageshack.us/img247/7884/tpyr1.jpg

в HTTP Policy что именно надо то?
в самом низу стоит правило DENY ALL OBJECTS.

Если ВПН клиенты, это конкретные айпи машин, то считаться ничего не будет. Если же это юзвери, то по идее рулса верная. И у меня несколько другое понятие слова ВСЕ. Но если вломы показывать все правила, то покажи ка нам правило, которое отвечает за выход юзеров в инет. А хттп полиси тоже ВСЁ надо.

- необходимо ограничить скорость пользователей, так как многие сидят в одноклассниках и трафик просто сжирается, а уберешь много вони, гама.
- каким образом запретить инет для неизвестных пользователей(так как под каждым пользователем закреплен ip адрес)

Банально можешь сделать правило в ТП, где в сурсе стоит не локальная карта, а аутентификейтед юзерс, и тоже самое можешь сделать в http полисис, то ись для все аутентифицированных мона, а для пользователей, не требующих аутентификации бородос).
Скорость можно ограничить в бандич лимитере, но не думаю, что он настолько гибок, что там можно ограничить к конкретному сайту

StBender


Цитата:

Для начала локализуй проблему. Отруби все компы от себя, посмотри будет ли такое твориться.
ЗЫ: где проверял и чем?

Локализовал проблему. Ночью таких сообщений нет. Т.е. получается что с какой-то локальной машины происходит сканирование хостов?

IcebergV, выхлдит, что так. Теперь желательно узнать что за машины. Хотя странно, что в сурсе он показывает айпишник, который смотрит в нет, ну да ладно.
ЗЫ: вполне вероятно, что ничего страшного и нет, может какая программа проверяет что-либо, но проверить тем не менее стоит.

Помогите настроить прозрачный прокси сервер через kerio winroute firewall, а также чтобы не надо было вводить пароли для доступа в и-нет.
К Пк_1 подключен и-нет(выдается марш. ip) а также к Пк_1 подключен Пк_2
dhcp server не подымыл на kerio winroute firewall.
адреса в локальной сети(сеть между Пк_1 и Пк_2) прописал вручную

1. В Traffic Policy настроил NAT, и добавил в разделе Firewall Traffic различные сервисы как и в правиле с натом(днс, хттп, фтп, поп3 и т.д.)
2. Http Policy=>Proxy server выключил правило "enable non-trasnparent proxy server"
3. днс форвардинг тоже включил.
4. Добавил юзеров, выбрал аутентификацию "Internal user database", если я использую беспарольный доступ - то пароль не указывал.
Далее указал ip-адрес "Specific host ip addresses"

В итоге, на днс-форвардинг работает,
Пк_2 определяет ip-адрес доменного имени,но не пингует его и через браузер http - не работает.
на Пк_1, в cmd - определяется ip-адрес доменного имени и пингуется нормально доменное имя, но через браузер в ПК_1 и-нет не заходит.

В Status=>Active hosts, отображается:
NAT HTTP 192.168.0.2 (Пк_2) _www.ya.ru

П.С.
добавлял как юзера - ПК_1, на котором kerio - установлен, в Status=>Active hosts - он вообще не отображается, ип-адрес для него указывал 192.168.0.1

Установлен nod32 v3 хотел его в kerio winroute firewall внедрить, в настройках kerio выбираю из списка антивирус нод32, указываю системную папку нод32,
пишет - antivirus not running


В чем может быть проблема?
Почему на Пк_2 и на Пк_1 может не работать http трафик?

zepterman, надеюсь ИМОН у нода отключен?
А вообще кидай свои ТП. и ipconfig /all со шлюза и с клиента.

Вопрос Господа:
Желаю поставить Керио на ОСь WinXP Pro SP2 - во время установки ругается на возможность не совместимости с ОСью... Не страшно?

Добавлено:
Можно ли внедрить в Керю Аваст?

DaiAshes, да вродь у народа стоит, не жалуются.

StBender
Спасибо.

Спасибо, вопрос снят.

Есть два сервака, один используется под SQL (ось Win2003 x64) и сервер терминалов, к нему подрубаются тонкие клиенты, второй используется роутер, через него ходят в инет, на нём стоит несколько прог, которые народ пользует по сети, поднят сервер терминалов. Никак не могу настроить, чтобы ко второму был доступ по RDP из инета или по радмину, создаю ТП:

source: any
destination: firewall
service: RDP (или TCP 3389)
action: permit

вроде бы всё просто, но не работает. есть мнение, что трабла связана с тем, что на серваке сервер терминалов поднят, и поэтому с инета нет входа по рдп.

Petro8i4
Странно. А по радмину заходит (порт по-умолчанию 4899)?

Petro8i4
сделай маппинг на внутренний интерфейс

niichavo
Нет по радмину тоже не заходит.

SHRIKE74
маппинг делал, внешняя сеть 193.34.xx.xxx, внутренняя 192.168.0.1, делал MAP 192.168.0.1:3389, ничего не меняется, может я забыл о какой-нибудь простой вещи?!

может какая ещё инфа нужна для решения вопроса?

Цитата:

А вообще кидай свои ТП. и ipconfig /all со шлюза и с клиента

что такое тп?

Пк_1 ipconfig /all
========================================
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : host_1
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : kievnet.com

Kievnet - Ethernet адаптер:

DNS-суффикс этого подключения . . : kievnet.com
Описание . . . . . . . . . . . . : SiS190 100/10 Ethernet Device
Физический адрес. . . . . . . . . : 00-13-8F-1B-F9-94
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 193.138.146.3
Маска подсети . . . . . . . . . . : 255.255.255.192
Основной шлюз . . . . . . . . . . : 193.138.146.1
DHCP-сервер . . . . . . . . . . . : 91.193.172.3
DNS-серверы . . . . . . . . . . . : 193.138.144.2
193.138.144.10

Kerio VPN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-17-C8
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 169.254.125.69
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 169.254.125.68
NetBIOS через TCP/IP. . . . . . . : отключен


local - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link AirPremier DWL-AG132 Wireless USB
Физический адрес. . . . . . . . . : 00-1B-11-0A-40-B2
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.20.20.1
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . :
========================================

Пк_2 ipconfig /all
========================================
local - Ethernet адаптер:
Имя компьютера . . . . . . . . . : host_2    
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link AirPremier DWL-AG132 Wireless USB
Физический адрес. . . . . . . . . : 00-1B-11-0A-40-B1
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.20.20.2
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 172.20.20.1
DNS-серверы . . . . . . . . . . . : 172.20.20.1
========================================

Petro8i4
Ну а через Administration Console можешь зайти удалённо?
Может скриншотик правил выложишь, дабы удобнее было?

jenkamf

Цитата:

так и сделал, не считает.

у самого керио считает траф по каждому пользователю, но квот начальство не вводит. собсно поэтому и не использую.. но ради такого случая поковыряю и попробую разрулить твою проблемку... максимум к среде думаю результат какой-нить будет..

zepterman, ничего у тебя не выйдет с интеграцией третьего нода в керио, поскольку (по крайней мере, на сколько мне известно) на данный момент существует плагин нода 2.7 к керио, вот такие дела. И качается он отдельно откуда-то с сайта керио.
Более того, у меня третий нод начинал жутко конфликтовать с керио (6.4.2) и машина входила в ступор, вот.

Подскажите, пожалуйста, есть ли возможность выборочно некоторым пользователям ограничить скорость, а то в Bandwidth Limiter можно только ограничить всем пользователям скорость при скачивании больших файлов либо ограничить скорость при израсходовании квоты.

Т.е. в принципе можно ограничить скорость выбранному юзеру установив ему квоту в нули и выбрав при превышении квоты огораничивать скорость, но вот именно хочется чтобы при израсходовании трафика юзер блокировался, но при этом у него сразу была ограниченная скорость.
Спасибо.