» Kerio WinRoute Firewall (часть 5)

помогите решить такую задачу:

необходимо заблокировать флеш-контент любых сайтов, кроме разрешенных.

создал (в политике HTTP) правило: если URL содержит: *.swf запретить доступ к веб-узлу.

это прекрасно работает, но блокирует все сайты. (сайты открываются но без флеша ибо не грузятся флеш-плейеры)
как изменить правило, чтобы это не распространялос на созданную группу URL (вида *youtube.com*)?

DzOOMer
Надо создать разрешающее правило, и поставить его выше запрещающего в списке.

легко сказать вот только непонятно как - вот пример блокирующего правила:



дело в том что нельзя выбрать два действия для URL - только одно.
каким образом указать в правиле, что если окончание URL .swf а начало из группы "Разрешить Flash", то не блокировать это?

DzOOMer
Походу надо через "группы URL" делать.
Например: разрешаем флеш на flashpark.ru и баним на всех остальных (и ютубе тоже):

Группа URL "Enable flash", в ней один пункт "http://flashpark.ru/*.swf"
В HTTP Policy: первым правилом в списке стоит разрешение доступа для этой группы,
вторым правилом - "URL begins with: *.swf"->"Deny access"

Результат (при включенном логе на обоих правилах):

Код:
[12/Aug/2009 01:39:47] DENY URL 'New rule2' (skip) HTTP GET http://s.ytimg.com/yt/swf/watch-vfl113049.swf
[12/Aug/2009 01:41:22] ALLOW URL 'New rule1' (skip) HTTP GET http://flashpark.ru/files/sonik-1203736504.swf
[12/Aug/2009 01:50:00] DENY URL 'New rule2' (skip) HTTP GET http://media.carnage.ru/b/92-500x150.swf?link1=http://www.carnage.ru/%3fp=10403-92

На сервере, где стоит Kerio, работает сайт на IIS.

Снаружи сайт открывается только по http://внешний_IP_сервера, а по http://доменное_имя не открывается.

nslookup доменное_имя отдает внешний_IP_сервера. Таким образом, проблему, наверное, можно решить подкруткой Kerio. Подскажите куда копать?

P.S. Знакомый начинающий админ попросил помочь и как оно обычно бывает - "раньше всё работало". У меня опыта с Kerio также ноль.

Подскажите, пожалуйста. Ситуация такая.
Есть 2 канала. Одновременно включенных. Есть необходимость перенаправить весь трафик через канал 2 (скорость плохая, но халявный), а через канал 1 (отличное качество, но дорого) чтобы цеплялся kerioVPN до центрального офиса и более по нему не ходил никакой трафик. Пытаюсь сделать NAT через интерфейс 2, инет умирает сразу..

Wenzel
Стать не читал, но такое возможно когда пересылку днс запросов организовываешь с внутреннего днс сервера, в обход керио.

Добавлено:
stmnf
может всё таки попробывать не фаиловер а лоадбалансинг? , а то получается, ты хочешь из машины самолёт сделать, функции похожи но решаются по разному.

Добавлено:
Markes

вникай, по твоеё проблеме

http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=131&nav=0,2


Добавлено:
clippart
скрины политик скинь сюда, посмотрим.

подскажите пожалуйста, а то я совсем запутался
как всетаки правильно сделать что бы закачивать с внешних фтп можно было через провайдера 1
а заливать на эти же фтп через провайдера 2
сейчас вот так
dl ftp - local - any - ftp - nat prov 1
up ftp - any - local - ftp - nat prov 2
но что закачка что заливка идет черз первого прова

Доброго времени суток!
Оень нужна помощь. Ситуация следующая:
1. Есть в сети Интернет удаленный сервак на котором поднят VPN под win 2003.
2. Есть сеть за kerio winroute 6.6.0 с керио впн.
Как настроить керио, что бы нормально 2 и более машин могли одновременно подключаться к удаленному VPN.

Настроить подключение получается только если я прописываю правило мапинга для соединений от VPN сервака к машинке вручную. Но при таком раскладе работает только одна машинас VPN.

Самое интересное, что из другого удаленного офиса все настроилось без проблем и все могут работать без мапинга, только керио там установлен 6.3.0 без керио впн... В чем проблема найти немогу, уже неделю торможу над этой загадкой



Все спасибо, ПОЛУЧИЛОСЬ... Отключил инспектора в PPTP. Включил снова и все поехало !!!!!

Tihon_one
делал и так
http://ipicture.ru/uploads/090813/XP8o7cGdFb.jpg
и так
http://ipicture.ru/uploads/090813/7xfdjxIq2G.jpg
впереди стоящих правил запрещающих что-то нету.

Приветствую. Помогите пожалуйста. В керио новичок и с ходу закосячил
В консоли КериоФВ отключил пользователя, под которым заходил в консоль.

Теперь не могу войти в консоль. Как нибудь в файлах конфигурации можно это исправить?

Спасибо!

lilooo
При остановленном сервисе фаера, в файле userDB.cfg надо найти "<variable name="AccStatus">0</variable>" (без кавычек) и поменять 0 на 1.
Запустить сервис.

Wenzel!


СПАСИБО!

помогите прикрутить СlamAV

короче удалось прикрутить тока clamav-0.94.2-1a - это устаревшая версия
брал тут _http://code.google.com/p/clamav-sosdg/

тут же есть и бета clamav-0.95-1a.exe но запустить её на KWF не удалось

также нашел _http://oss.netfarm.it/clamav/ тут самую новую clamav-win32-0.95.2
вот по поводу неё и остаеться вопрос актуальным

КАК ПРИКРУТИТЬ clamav-win32-0.95.2 до KWF ???

Cosmit
Помнится есть некоторые проблеммы с этой версией. Если надёшь способ, дай знать плиз!.

Спрашивал на kerio-rus.ru и ixbt, но пока безрезультатно.
Может кто сталкивался?

На Viste/Windows 7 скрипт автологина не срабатывает нормально (открывается окно IE и не закрывается)
Вот мой:

Код: var $serverURL="https://server.domain.by:4081/nonauth/login.php?NTLM=1&internal=0";
var oIE = WScript.CreateObject("InternetExplorer.Application");
oIE.Visible = 0;
oIE.navigate($serverURL);
while ((oIE.Busy) || (oIE.ReadyState != 4)) WScript.Sleep(300);
WScript.Sleep(100);
oIE.Quit();

AleksMak1

Цитата:

На Viste/Windows 7 скрипт автологина не срабатывает нормально

UAC в ноль ставил и DEP в off?

NegoroX

Цитата:

UAC в ноль ставил

Оно!!!
Вот что значит на XP годами сидеть

подскажите плиз, есть 2 шлюза. В керио выбран вариант распределения нагрузки трафика. Можно ли как то заставить ходить часть пользователей только через шлюз№1, а других только через шлюз №2 ???

365kim

проверить бендвич лимитер.

365kim
блин! крупнее не смог?
лицензия на керио слетела-закончилась и будет скорость 4кб на всех.

Не спешите переходить на 6.7.0

"В данный момент зарегестрированна и уже в процессе решения "неисправность" №41836,
Наши разработчики заблокировали возможность получать update KWF(6,7,0) до момента устранения неисправности!"

Пунктуация службы поддержки сохранена.
Речь идет о появлении проблемы с авторизацией на AD, если сервер AD указан по имени. Т.е. никого не авторизует и никуда не пускает.
Решение проблемы в замене имени IP адресом AD сервера. Правда, если у вас административный вход на консоль Winroute - пользователь в AD, тогда весьма проблемно подключится и к самому файрволу.

Доброго времени.
Сегодня весь день интернет рою, но так и не нашел ответа на мой вопрос. Единственно, что удалось выяснить, это что проблема достаточно актуальная, но у некоторых решена. А вот из рекомендаций решений не нашел ничего. Или не получается, или не хватает моего опыта в реализации.
Подскажите пожалуйста как настроить просмотр IPTV на клиентских машинах (небольшая домашняя сеть из трех машин, Win XP SP3, на одном вде карточки, одна в сторону провайдера, другая во внутреннюю сеть). На машине где стоит две карточки все показывает нормально. На остальных не получается настроить. Общался сегодня с ТП провайдера - сказали, что такое у них не практиковалось и подсказать ничего не смогли.

s0s
Ну блин поставил запятую не там фигли теперь поделать 80)))
А вообще хранить хотя бы одну локальную административную уз полезно бывает иногда.

конечно же ИМХО

день добрый всем, подскажите куда покопать
поставил KWF 6.6.0
настройки мастера по умолчанию
2 внешних интерфейса в балансировку объеденены
скорость при включенном KWF и на локальных интерфейсах и на внешние отсутствует...1kbps чисто символически каким-то чудом гуляет и не более...
поотключал фильтры, покуралесил с настройками...еффекту нет. может кто сталкивался

с выключеным керио все летает

dvsx
керио то, активирован ?

Цитата:

dvsx
керио то, активирован ?

само собой...из соседней темы все взято, согласно мануала сделано...
по стартовой сводке - лицензия вечная получилась.

s0s
"Спешим сообщить, что с сегодняшнего дня доступно обновление KWF 6.7.0 patch 1, которое устраняет проблему подключения к AD.
Вы можете загрузить его, через систему автоматических обновлений."

Приветствую всех!

Подскажите, есть ли возможность в керио ставить квоты пользователям учитывая только входящий трафик?