» Kerio WinRoute Firewall (часть 4)

kaskad

Цитата:

Сваял правила,

это что шутка? фтопку и то не сгорит (догадался - пятница 13 -

ищу административную консоль версии 6.3.1-2906

HELP!!!

LokAr
посмотри тут
h++p://download.kerio.com/archive

Привет всем. Тупой вопрос - как создать правило для аськи, чтобы юзеры в фирме могли её юзать и при окончании квоты на траф. То есть в инет лезть не могли, а аську могли юзать нормально. Схема простая - рабочая группа, авторизация по IP без ввода паролей и прочего. Непрозрачный прокси отключен. Заранее извиняюсь за тупизм в этом плане. И всем спасибо.

Alex Zaguzin
Дело не в тупизме, а в самом программном продукте и твоих настройках.
При таком раскладе керио будет блокировать ВЕСЬ трафик с IP не зависимо от протокола, по которому юзер превысил квоту.
Тут либо надо обезличить юзера что бы трафик ICQ зачитался на "неавторизованного", либо настроить непрозрачный прокси и трафик ляжет на "файрвол".
Первое надо играться с http-rules и првилом типа:
localnet - aol.com - icq - permit - nat - not log - PI off
второе с настройкой прокси, но при условии авторизации по IP будут ли такие схемы работать не знаю.
Проще не блокировать трафик, а зарезать канал до 1 кб/с что вполне хватит для ICQ, но крайне не удобно для http.

что может загружаться и какой объем должен быть???
nai-update.kerio.com

грузиться каждый день по 200-300 мег.......

подкажите что такое прозрачный и непрозрачный прокси ?

Ruza - ясно. Дело в том, что мутить что-то уже с самой прогой не хочется. Схему выбрал простейшую так как не охота мучиться с компами юзеров-менеджеров что у них что-то не работает, аська и т.п из за юзания прокси. Замучился с этим в своё время в TI. Жаль конечно что простым правилом не отделаешься. Прогу начал юзать только неделю назад....Скрины тут политики. Юзеров 10 штук. Шеф, зам и бух - на безлимите, остальные - 300мб в месяц, обяз авторизация отключена, веб обозр - тоже, только по IP автоматом. Дело в том что шеф - мой друг детства, работаю бесплатно. Настрою и уйду, админить никто не будет ничего, вот по этому и хотелось всё настроить сразу и навсегда. Но всё равно спасибо.

protel
прочти тут
h++p://sniper.my1.ru/publ/1-1-0-16
h++p://www.hardline.ru/4/48/2392/

Alex Zaguzin
Я ж написал влепи правило гдето сверху
localnet - aol.com - icq - permit - nat - not log - PI off
в http-rules поставь разрешение пользовать сервис аськи без авторизации...
Работы 10 мин...

Salaman

Цитата:

что может загружаться и какой объем должен быть???

Я так подозреваю что скачивется обновление антивируса по умолчанию каждые 6 часов...

protel

Цитата:

подкажите что такое прозрачный и непрозрачный прокси ?

Сие тайна великая есть.

Ruza
втом то и дело что антивирь отключил...
в смысле нод стоит и со своих серваков обновы тянет!
а что kerio тянет понять немогу???

Salaman
логи что говорят?

kaskad
Извиняюсь, что забыл про вопрос. Спасибо, что напомнили через личку. Отвечу здесь, чтобы другие при надобности пользовались.
Итак. Есть нерадивый юсер Вася, жаждущий сожрать траффик со всех компов и есть желание сделать так чтобы сожрав траффик на своем компе с IP 10.0.0.31 и переметнувшись к другому, на всех других он увидел дулю вместо интернета. Ну или просто, чтобы Вася сидел за своим рабочим местом.
1. Идем в консоли Керио на Конфигурация - Пользователи и группы - Пользователи и создаем там стандартного пользователя Vasya, без привязки по IP
2. Конфигурация - Определения - Группы адресов и создаем две группы - User Permit и User NON Permit, как на картинке:

в группе Permit - IP нашего усера - 10.0.0.31 а в группе NON Permit - остальной диапазон наших машин, разбитый на "ДО" и "ПОСЛЕ" его IP.
3. Конфигурация - Фильтрация содержимого - Политика HTTP создаем правило, разрешающее ходить Васе в интернет со своего компа, как на картинках:

То есть в правиле выбираем определенного юзера и на второй вкладке определенный набор IP (на второй картинке подсвечено синим), в нашем случае User Permit
4. Здесь же Конфигурация - Фильтрация содержимого - Политика HTTP сразу под только что созданным правилом создаем следующее, как на картинках:

То есть правило, обратное предыдущему. Усер тот же, а группа адресов инверсная его компу и ставим запрет в этом правиле. На второй вкладке, при желании можем задать описание причины отказа, можно даже в нецензурной форме , А можно просто пустую страницу.
Вобщем то все.
Первое правило позволяет Васе ходить в инет только со своего компа, а второе запрещает ему же ходить туда со всех остальных
Следует отметить, что данная уловка работает для ограничения ретивости 5-10 пользователей. В большой сети, если задать много правил фильтрации, Керива начнет тормозить по взрослому и тянуть за собой весь инет, чему все жители сети будут, конечно недовольны. Но как показывает практика, если в стране (сети) их (ретивых) больше, это уже проблема не сетевого админа, а руководства компании!

NegoroX

Цитата:

это что шутка? фтопку и то не сгорит (догадался - пятница 13 -

Очень конструктивно, товарищ ) Я прям горжусь, что удостоился Вашего внимания. А поподробнее нельзя, что не понравилось, о гуру?

kaskad
в твоем тексте ответ "интернет работает даже если отключить правило Proxy, ссылается на правило Firewall и работает."
А зачем тогда КВФ нужен если никаких правил?

NegoroX

Цитата:

"интернет работает даже если отключить правило Proxy, ссылается на правило Firewall и работает."

Так меня так не устраивает ( Если посмотреть там правила повнимательнее, то видно, что я хочу ограничить выход в интернет через непрозрачный прокси двум пользователям (admin и user1, согласно правилу Proxy). А выпускает всех, ссылаясь на правило Firewall. Гдк косяк в этой наборе достаточно примитивных правил? Плюс ко всему ещё и статистику по пользователям не ведёт (

kaskad
Создай две группы в одну группу пользователей "все разрешено" в другую ограниченные.
правила можно изначально мастером создать потом можно будет добавить изменить плюс к этому можешь ограничить хождение в политеке НТТР какой группе чего на этапе наладки включи логирование и для локального трафика - подними его в самый верх и отключи для него протокол инспектора.
Я примерно так изначально настраиваю ( сижу на версия 6.2.3 в твоей версии шейпер есть тоже ограничитель
( статистика в некоторых новых версиях сбрасывается при переходе летнее-зимнее время и может появлятся в с некоторой задержкой

Ruza
говорят что с этого сайта идет хороший трафф, (nai-update.kerio.com)
а что конкретно неуточняется....?
Где данную инфу можно поднять??? (что пришло и куда упало) и как думаеш это вообще нормально???

Ruza, не подскажеш шо может быть за хрень - сервис керио постоянно ложиться,проверял и нодом и последним каспером все чисто,вроде , стоит вынь 2003.
Когжа пытеюсь запустить сервис - тачка ложится,потом сервис керио отрубается и комп растормаживается.Система была ругнулась на DEP я ее установил токо для основных файлов,если ставлю керио в исключения в ДЕПе, служба всеравно ложиться

MagistrAnatol
если на компе стоит нод то будет всё время ложиться

Да грохнул я уже его,но результата никакого,видать придется переставлять сервак

NegoroX

Цитата:

Создай две группы в одну группу пользователей "все разрешено" в другую ограниченные.
правила можно изначально мастером создать потом можно будет добавить изменить плюс к этому можешь ограничить хождение в политеке НТТР какой группе чего на этапе наладки включи логирование и для локального трафика - подними его в самый верх и отключи для него протокол инспектора.

А не сочтите за труд по примеру уважаемого Germanus сделать пару скринов с работающего таким образом Керио. Заранее пасип. А то очень расплывчато...

ЗЫ: В соседнем топике про настройку такой же вопрос подняли. Значит, нас, страждующих, как минимум двое

kaskad
Всё расписано тут ( даже с картинками) :
http://kerio-rus.ru/index.php?option=com_content&task=view&id=13&Itemid=36
и тут описание
http://www.redline-software.com/rus/support/docs/winroute/

Salaman

Цитата:

говорят что с этого сайта идет хороший трафф, (nai-update.kerio.com)
а что конкретно неуточняется....?
Где данную инфу можно поднять??? (что пришло и куда упало) и как думаеш это вообще нормально???

обновления антивируса McAfee

MagistrAnatol
Тут как раз собака и зарыта......одним словом ХЗ. У меня было то же самое и раз пришлось переставлять - то переставил основательно вплоть до замены ОС на Linux.

Salaman
Трафик большой потому как макака почемуто постоянно тянет полную базу...
Да не нормально это... Включи макаку, примени измениения, сними галку с автоапдейта антивируса, примени изменения, а потом отключи макаку.
Создай одним из первых правило: локалка - наи.апдейт - пермит - лог (всё) - нат и посмотри кто и зачем.

NegoroX

Цитата:

Всё расписано тут ( даже с картинками) :
http://kerio-rus.ru/index.php?option=com_content&task=view&id=13&Itemid=36

В тот-то и проблема, что НИГДЕ нету FAQ по настройке "Непрозрачного прокси сервера с авторизацией пользователя и рабочей статистикой без использования NAT". И тут тоже нет ) Даже без картинок. Но спасибо за попытку

kaskad
Я тоже так и не смог настроить
Цитата:

Непрозрачного прокси сервера с авторизацией пользователя и рабочей статистикой

а правильность статистики была нужна и точные отчеты были нужны, чтобы квоты работали и т.д. В конце концов просто прищлось отказаться от непрозрачного проксика и работать без него. А то все валилось на "неопознанные пользователи" и начальство нервничало.

kaskad

Опишу свою сеть может пригодится.
PppOe соединение настроено у нас на роутере (dlink.ru/ru/products/5/1227.html), он же раздает инет через нат только на машину где установлена керио. Остальные сидят в инете через её (керио) прокси.

Прокси сервер: 192.168.0.200:3128




--------------------------------------------

Правила для использования внешних ящиков почтовыми клиентами не умеющих работать с прокси (у нас Outlook Express).:



--------------------------------------------

Правило Local-Inet раздает инет через проски на порту 3128 указанным IP.
Правило Stop –Inet запрещает инет но дает возможность оставить почту.
Правило Stop Local-Inet просто блочит всех остальных кому ни почта ни инет не нужны (на всякий случай)
Правило Firewall-Inet – тут понятно.



--------------------------------------------
Статистика работает.



-------------------------------------------
Минус (не для меня) моих правил: Те кто пользуются почтой через мэпинг должны авторизоваться только по АйПи иначе если после последнего разлогона пользователь прежде чем полесть в инет полезет в почту трафик упадет на Анрегистра пользователя. У кого почты нет авторизуются как угодно.

добрый день. Возникла потребность в сборе статистики по объёму скаченного трафика пользователями. Но по определённым группам(отделам). Во встроенной статистике Star нет объединения по группам или нескольким пользователям. Ни кто не сталкивался с определённой проблеммой?! Есть ли анализатор логов, способный помочь мне в данном вопросе?!

Помогите бестолковому, как его вообще настраивать??? У меня сейчас сеть из 16 компов один сервер win2003, сейчас схема такая стоит асдл который подключен к концентратору, на всех компах стоит основной шлюз Ip асдл, а днс ip сервера win2003, имеется на сервере 2 сетевые карты, как настроить Kerio WinRoute Firewall? Как только я его ставлю у меня вообще пропадает интернет. Только пожалуйста не надо меня ни куда посылать .