» Kerio WinRoute Firewall (часть 4)

exdee

Цитата:

а как узнать какой порт может занимать его?

Можно, например, с помощью этой программы (_нttр://nirsoft.net/utils/cports.html). Смотри по колонке "Local port".

Lwa

Цитата:

Подскажите, как подружить MS VPN сервер с Kerio WinRoute Firewall? MS VPN сервер работает, навесил Керио, открыл на вход порт PPTP и GRE. В итоге соединение клиента с MS VPN происходит, но ни байта от клиента не пропускает. Долго изращался с настойками и анализом логов, в итоге попробовал разрешить все и всем - что любопытно, так же ни байта по VPN каналу от клиента не пропускает.

Вообще-то нужно более подробно описывать проблему, а именно приводить правила и ipconfig-и чтобы не гадать на кофейной гуще. Ну, а без этого думаю, вам не хватает в правиле для локальной сети Dial-in интерфейса (Керио ассоциирует с ним виндовый RRAS). Т.е. правило для локалки должно выглядеть примерно так:
name=(Local) src=(iface:"Dial-In"iface:"Local Area Connection"Firewall) dst=(iface:"Dial-In"iface:"Local Area Connection"Firewall) service=(any) snat=(any) dnat=(any) action=(permit), time_range=(always) inspector=(none)

Спецы, подскажите как настроить настроить ограничения доступа в интернет пользователю, привязанному к самому серверу.
Задача в том, чтобы ПК, где установлен сам kerio подпадал под ограничения HTTP policy и т.д.

ne0_2002 Просмотрел это программкой. 80й порт вообще не занят никаким приложением. Ни керио ни какое либо другое приложение не слушает на этом порту.

MagistrAnatol

Вы представили кучу картинок, но толку от них немного. Что надо блокировать? Выход в инет? Тогда создаем правило "No inet" вносим туда всех юзеров, или тех, кому требуется запретить доступ, ставим галку "Deny access to the web site", а потом во вкладке Advanced ставим time interval и "вуаля"

Scream_Err
Да надо закрыть доступ в нет

Добавлено:
Ето имееться ввиду правила HTTP? - но мне надо закрыть не токо броузер,но и торенты
которые имеют наглость работать по довольно широкому спектру портов,как быть тогда?

golon

Цитата:

подскажите как настроить настроить ограничения доступа в интернет пользователю, привязанному к самому серверу.
Задача в том, чтобы ПК, где установлен сам kerio подпадал под ограничения HTTP policy и т.д.

Почти никакой разницы с компьютерами находящимися за файерволом. Уберите правило типа firewall - Any- Any если таковое имеется, и пишите правило с нужными ограничениями. Единственное отличие от правил локалки - это отсутствие NAT.

Да и по моих картинках, если я отключаю пользователя он всеравно нагло работает работает?

MagistrAnatol

Цитата:

Да и по моих картинках, если я отключаю пользователя он всеравно нагло работает работает?

Я смотрел Ваши правила, но так и не понял где дыра. Вы в момент работы пользователя посмотрите в Статистику-> Подключения, там должно быть видно через какое правило он работает. Оттуда и нужно искать. Если его там вообще не видно, то ищите дыру в сети. Возможно пользователи как то обходят файервол. Ну к примеру какой-то пользователь имеет отдельный выход в инет через ADSL, Dial-Up, VPN, или что-то в этом роде, и шарит это подключение через себя для остальных. Идея троянов на файерволе обходящих его из области фантастики, но в принципе, ничего невозможного нет, тоже нужно проверить.

vimaret


Цитата:

Почти никакой разницы с компьютерами находящимися за файерволом. Уберите правило типа firewall - Any- Any если таковое имеется, и пишите правило с нужными ограничениями. Единственное отличие от правил локалки - это отсутствие NAT.

Можно поподробнее пожалуйста.
В Traffiс policy для хоста Firewall как написано у Вас, без Any и без NAT`а
в HTTP policy пользователь привязанный к ПК с керио тоже добавлен в ограничения вместе со всеми, но вся локалка не может на запрещенный сайты ходить, а этот ПК может

golon
а пользователь случаем не через прокси ходит?

golon

Цитата:

Можно поподробнее пожалуйста....В Traffiс policy для хоста Firewall ..... без Any и без NAT`а
в HTTP policy пользователь привязанный к ПК с керио тоже добавлен в ограничения вместе со всеми, но вся локалка не может на запрещенный сайты ходить, а этот ПК может

Тогда и подробнее свои полисы вывещивайте, конфиденциальную инфу подтирайте(изменяйте), а остальное сюда, будем смотреть.

А на мою проблему будут какие нибудь мысли?

Цитата:

Добрый день. Проблема в следующем: Kerio 6.4.0.3176, перестала работать такая штука. Есть url группа запрещающая просмотр определённых сайтов и есть соответствующее http policy в котором при заходе на запрещённую страничку должна у пользователя выскакивать надпись о запрете на просмотр данной страницы. Так проблема в том, что до недавнего времени всё отлично работало, а сейчас перестало. Вместо страницы с словами о запрете выскакивает просто: Невозможно отобразить страницу. В чем может проблема? Заранее благодарен.

уважаемые, тут есть кто-нить с форума Kerio RUS??
помогите зарегистрироваться, тамошний тест прохожу с первого захода, заполняю анкету логин/пасс/мыло/CAPTCHA.. после этого меня опять посылают проходит "тест на дибилизм" без разъяснения причин (мыло не то, логин занят, и т.п.). плюс есть еще "Проверка вопроса системы антиспама "NoSpam!" мы Бот?" - что хотят в качестве ответа - да/нет или yes/no
после восьмой попытки чувствуешь себя неполноценным..

exdee

Цитата:

Вместо страницы с словами о запрете выскакивает просто: Невозможно отобразить страницу

Так может перестал работать не редирект на страницу о запрете, а сама, запрещенная вами страница скисла. Вы пробовали зайти на нее пользователем, у которого все разрешено, или с какого-нибудь другого инет подключения?

Цитата:

уважаемые, тут есть кто-нить с форума Kerio RUS??
помогите зарегистрироваться, тамошний тест прохожу с первого захода, заполняю анкету логин/пасс/мыло/CAPTCHA.. после этого меня опять посылают проходит "тест на дибилизм" без разъяснения причин (мыло не то, логин занят, и т.п.). плюс есть еще "Проверка вопроса системы антиспама "NoSpam!" мы Бот?" - что хотят в качестве ответа - да/нет или yes/no
после восьмой попытки чувствуешь себя неполноценным..

- та же проблема была недавно. Хотел - не получилось - бросил.....Жаль...Прошу прощения за офтоп.

exdee
Гы и правда никто не слушает Извините за дезинформацию.
я нашел эту страницу. http://[имя шлюза]:[порт для керио, обычно 4080]/nonauth/deny.php
откройте посмотрите что пишет.
Если никто ничего не выдаст, то покажите настройки web интерфейса Advanced Options -> Web Interface / SSL-VPN
Надо что бы стояли птички на Enable HTTP Web interface и\или Enable HTTPS (SSL-secured) Web interface.
Если стоят и не работает, посмотрите вообще работает ли KerioStar. http://[имя шлюза]:[порт для керио, обычно 4080]. Если ничего не выдаст то переустанавливайте керио.

А да, порт можно глянуть вот здесь Advanced Options -> Web Interface / SSL-VPN -> Advanced... (в User Web Interface)

Здравствуйте, возникла следующуая ситуация

У нас локальная сеть скажем 20.20.20.* стоит керио 6.5(три сетевых, интернет, локалка и канал для другой организации) имеются вненшние стат. айпи(100.100.100.1-16) крутиться сайт (100.100.100.2), на машине керио крутиться также почта.
у нас в здании есть еще одна организация(20.20.21.*) которой мы подали интернет через наш керио. У них стоит керио тоже 6.5, так вот задача - надо поднять почту и сайт это организации.

Вообщем вопрос, реально ли настроить сайт и почту в этой организации(тоесть дать сайту и почте внешний айпи из нашей группы внешних айпи адресов)?
если да то хотя бы примерно как?

Alex Zaguzin
nikolaevsergey
Проверим. Спасибо за информацию.

pilotro
KerioStar работает и всё открывается. статистику можно просматривать как и раньше. В чём может быть ещё загвоздка?

exdee
а как насчет http://router:4080/nonauth/deny.php ?

pilotro

Цитата:

Доступ запрещен
В соответствии с правилами доступа к сети Интернет, заданными для межсетевого экрана, доступ к запрашиваемой странице не разрешен.
В случае сомнений относительно правомерности отказа в доступе к этой странице обратитесь к системному администратору.
Страница входа в систему

exdee
ээ тогда не понял что не работает. Я так понимаю не появляется именно это страница?

Есть HTTP Policy на запрет определённых страничек и когда это правило отрабатывает раньше выскакивало окно, что просмотр этой странички запрещён правилами фильтрации и всё такое (что напишешь в policy, то и будет появляться). А сейчас ничего не появляется... С настройками ничего не ковырял, до этого всё работало как часы...

Это не то окно которое появляется по ссылке http://router:4080/nonauth/deny.php ?

не то... Должно появляться:

Цитата:

Просмотр данной страницы запрещёно ООО 'оп-оп'. О попытке просмотра данной страницы будет сообщено системному администратору.

А появляется обычная страница microsoft о не возможности отобразить страницу.

Цитата:

Доступ запрещен
В соответствии с правилами доступа к сети Интернет, заданными для межсетевого экрана, доступ к запрашиваемой странице не разрешен.
В случае сомнений относительно правомерности отказа в доступе к этой странице обратитесь к системному администратору.
Страница входа в систему

а вот этот текст со стандартной страницы microsoft?

Добавлено:
Но вообще так как ты говоришь будет если в настройках правила на закладке Advanced поставить точку не на Show denial page, а на Show blank page (without any text or graphics)

так и стоит...и текст свой написан, но он не отображается. отображается, то что писал выше. вот в чём проблема.

Коллеги, вопрос:

Установлен KWF v6.5.2 b5172 на Win2k3 x32 EntEd ENG (с двумя сет. интерфейсами).
Такая проблема - периодически у пользователей пропадает интернет, пробую с ПК пользователя пинговать сервер, не пингуется. Проходит пара минут - все ОК, и пингуется и нет появляется. И так несколько раз за день. Никаких ошибок в логах сервера нет.
Может кто сталкивался? В чем может быть проблема?

Спасибо.

Доброго времени суток
Тут возник такой вопрос - на шлюзе есть процесс avserver.exe. Насколько я понимаю - это антивирусный сервер WinRoute (у меня стоит версия 6.5.2). Вот этот процесс отедает 200 метров оперативки у системы и держит ее.
Как считает сообщество - это нормальное явление если используется только встроеный McAfee? А то меня это немного напрягает - оперативка хоть и не дорогая вещь, но постоянно ее наращивать достаточно проблематично. Может существует какая возможность прекратить это "обжорство"?

Заранее спасибо за ответы и мнения