» Kerio WinRoute Firewall (часть 5)

dumpert
3. Добавляешь в http-политики траффик, который блокирует все url, записанные в виде ip-адреса. И всё. Отвалится вся аська и скайп. Много чего другого отвалится, но нормальным пользователям оно и не надо. Сам не ожидал, что скайп так легко заблокировать.

У меня выше есть правило для аськи разрешающее (отдельным юзерам).

Народ, спасайте!
Как на KWR Appliance поднять TFTP и BIND (names)??

Есть очень классная программа Ad-Muncher кто-нибудь из Вас пробовал ее подружить с керио на одной машине для фильтрация HTTP трафика?

Vadik_K

Цитата:

3. Добавляешь в http-политики траффик, который блокирует все url, записанные в виде ip-адреса. И всё. Отвалится вся аська и скайп. Много чего другого отвалится, но нормальным пользователям оно и не надо. Сам не ожидал, что скайп так легко заблокировать.

Покажи пример правила.

есть проблемка, товарищи помогите. запутался.
Есть KWR 6.5.2 на вин 2003. Не могу настроить работу по отсылке почты через любого почтового клиента. Входящие POP на 110 ходят не вопрос, исходящие на 25, ну никак.
Клиент пишет, соединение с SMTP прошло удачно
потом пишет письмо не отправлено и сервер сообщает "no local sender over smtp"
Что делать? доп инфу предоставлю, если надо!

valmond25

Цитата:

доп инфу предоставлю, если надо!

а куда же без нее ))
1. настройки клиента.
2. ТП

adjuster

Цитата:

1. настройки клиента.
2. ТП

http://www.filehoster.ru/files/fa0323
настройки почтового клиента стандартные без изменений Соединение обычное.
Рабает по протоколу POP\SMTP и 110 и 25 порты, соответственно!

attaattaatta
Да я еще раз говорю, нет у меня еще одного компа. Да и с какой стати. Я не верю что нельзя торрент и керио держать на одном компе. Просто другое дело что мы чего-то не знаем, какие-то тонкие настройки - это да! А так прибегать ко второму компу, имхо тупо. Я почему-то уверен что с таким же успехом он со второго компа забьет все порты, и керио грохнется.
Тут проблема во взаимоотношениях между керио и торрентом, а не разделении нагрузки...

в первую очередь -- заблокировать в торрент-клиенте UDP.
для uTorrent я уже описывал как.

иначе каждый UPD пакет керио считает как соединение, и быстро исчерпывает любой разумный лимит.

т.е. в правилах только TCP оставить? Попробую.

А кстати, сейчас уже идет речь о том что переходят наоборот на UDP полностью отказываясь от TCP. Многие популярные треккеры скоро перейдут на этот режим. Как тогда жить?

valmond25
Вынеси SMTP в отдельное правило и отключи на нем PI.

ANTHONYZIMMER

Цитата:

Я не верю что нельзя торрент и керио держать на одном компе.

И правильно!!!
У тебя проблема вовсе не в сетевых приложениях, а в движке KWF. Точнее в DNS.
Необходимо проверить - во время очередного зависания просто откой браузер и набери не имя сайта, а его IP (заранее узнай).
Далее будет ясно, что у тебя с базой данных.

Korsar

Цитата:

наче каждый UPD пакет керио считает как соединение, и быстро исчерпывает любой разумный лимит.

Неужели???
Вот пример: стоит utorrent на машине Firewall, в KWF выставлено 600 соединений.
При работе торента самое больше кол-во одновременных соединений = 50.
Остальное сжирает UT (вот он еще тот проглот).

Кстати, в uTorrent не нашел опции UDP, зато в самом керио в правиле для торрента можно выставить вместо TCP/UDP только TCP. Но правда это будет касаться только исходящих соединении... А входящие проходить будут по общему правилу "Трефик межсетевого экрана". Как тут быть?

ANTHONYZIMMER
не выйдет -- не зря патчи к uTorrent 2.0 лепят.
провайдеры начали блокировать UDP-torrent трафик, или "нежнее" -- пропускать один пакет из 20.

недавно встречал обсуждение этого на форуме провайдеров.

Причина проста -- "хотели как лучше, а получилось как всегда" -- непродуманный протокол поднимал нагрузку на оборудование провайдеров в несколько раз (при малейшем сбое уменьшался размер пакетов, а как раз куча мелких пакетов -- самая большая нагрузка на оборудование).

Они там делились опытом, как определять такой трафик и нещадно фильтровать, так что TCP - это наше все.

Добавлено:
ANTHONYZIMMER
в настройках uTorrent
bt.transp.disposition

adjuster
Попробую обязательно. Но забегая наперед могу сказать что скорее всего по IPшнику сработает. Потому что когда керио отваливается, внешка пингуется нормально, т.е. ping mail.ru возвращает IP адрес и пингуется, а значит скорее всего и откроется через IP. Если это так будет, что мне надо сделать? Куда глянуть? Это же означает что ДНС отваливается

Korsar
Может быть, только я из Казахстана, не думаю что здесь те же меры предпринимают, хотя скорее всего предпримут позже, вслед за Российскими провайдерами. Но вопрос не в этом. Я не понял как отрубить UDP в uTorrent? Что с этой опцией bt.transp_disposition сделать, какое значение установить? Хотя теперь уже исходя из последнего сообщения adjuster не уверен что это надо делать... ))

ANTHONYZIMMER

Цитата:

Если это так будет, что мне надо сделать?

Тогда отключай на правилах PI и проверяй стабильность работы. Если все пойдет и зависонов не будет, значит проблема с движком KWF. Возможно у тебя на этой машине стоит файловый сервак и KWF просто задыхается - тогда решений масса, от отключения драйвера на локальном интерфейсе, до переноса файлового срвака с машины KWF.

adjuster
А что такое PI? )
А на счет нагрузки на сервер... Возможно вы не читали первые мои сообщения на 89 странице, я писал что у меня домашняя сеть и домашний аля сервер, т.е. это обычный комп работающий под WinXP SP3, просто добавил туда KWF, и на вайфай модеме-рутере D-Link 2640U отключил DHCP и заменил PPPOE на Bridge.
В итоге DHCP на серваке (KWF выполняет эту роль), а интернет выведен в виде Dial-UP соединения на сервак (так же раздает его KWF). В итоге одна сетевуха, один модем, и 2 интерфейса - один Локальная сеть, другой Интернет (mini-port).
На сервере 2 терабайтных винта с информацией разной (фильмы, музыка, программы), но сказать что идет дикая нагрузка - вряд ли, 3 пользователя (ноутбуки), максимум это фильм смотрят по сети и все. И то это по вечером-ночью перед сном, а утром все уходят. А эта беда зависает как раз днем, когда локальная сетевая активность нулевая. Т.е. зависает именно из-за того что торрент включен все время на сервере.

Цитата:

максимум это фильм смотрят по сети и все.

Ну этого достаточно, чтобы ввести в ступор KWF службу. Похоже причина найдена.

handleft
на счет команды для просмотра ресурсов: зайти в любую из консолей (Alt+F2 или Alt+F3) введя имя root и пароль админа, и там дать команду top

adjuster
Ну а если я добавлю детали: фильм примерно смотрят до 12 ночи, потом отрубаются. Я сижу за ноткой и еще один человек до 3-4 ночи. Как правило на это время торрент бывает выключен потому что нужен интернет для серфинга скачки и т.д.(кстати интернет 8Мбит входящий и 1 Мбит исходящий). Перед сном снова врубаю торрент (часа в 3-4)
Далее в 7-8 утра все уходят не включив даже ноутбуки. А я проснувшись часов в 12-14 включаю нотку и вижу что нета нет - просто надпись "загрузка..." на любой адрес и все. Аська при этом работает. И на сервере торрент качает. На сервере так же не открывается ни одна страничка. Помогает только рестарт сервака(не керио).

Подскажите как решить проблему пожалуйста. После обновления KWF до версии 6.7.1 patch 2 build 6544 при входе в админку керио пишет следующее: "KWF определил наличие шлюзов по умолчанию, настроенных на интерфейсы, отличные от тех что используются при переподключении при отказе. Обычно такая настройка неверна, так как шлюз по умолчанию не должен быть сконфигурирован на таких интерфейсах. Пожалуйста проверьте настройки TCP/IP." Используется режим переподключения при отказе в KWF. Интерфейсов в инет 2 штуки и обе работают через PPPoE. Для того чтобы обойти ограничение виндовс в одно такое подключение я использовал raspppoe.


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : makteksrv
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

LAN DSI - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon 88E8056 PCI-E Gigabit E
net Controller
Физический адрес. . . . . . . . . : 00-22-15-63-BC-F2
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.1.1
NetBIOS через TCP/IP. . . . . . . : отключен

Kerio Virtual Network - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 172.26.135.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 172.26.135.2
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 6 апреля 2010 г. 12:16:37
Аренда истекает . . . . . . . . . : 7 апреля 2010 г. 12:16:37

LAN BWC - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet Ad
r #2
Физический адрес. . . . . . . . . : 00-24-01-12-66-D0
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.2.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.2.1
DNS-серверы . . . . . . . . . . . : 192.168.2.1
NetBIOS через TCP/IP. . . . . . . : отключен

DSI - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 91.185.48.227
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 91.185.48.227
DNS-серверы . . . . . . . . . . . : 195.206.40.177
195.206.40.175
NetBIOS через TCP/IP. . . . . . . : отключен

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI G
it Ethernet Controller
Физический адрес. . . . . . . . . : 00-22-15-63-D0-8F
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.30
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.30

ANTHONYZIMMER
вообще-то значения описаны в хелпе. поставь 5

можно почитать на эту тему вот тут:
http://homenet.corbina.net/index.php?showtopic=252374&mode=threaded&pid=1064361099

ссылку на форум провайдеров - "как резать uTP" - не помню


еще по теме:

http://www.securitylab.ru/news/391267.php
http://habrahabr.ru/blogs/p2p/85443/

adjuster
как именно настроеить правило на СМТП и что означает ПИ?
Обьясни как блонде, я за керио 3 день!

Народ, подскажите кто знает, реально ли слепить 2-а в одном, Керио ВинРоут Appliance и Керио Коннект...
стоит ли заморачиваться, а то на конторе всего 1-на железяка под шлюз выделена, и она не блещит супер производительностью...
Сорри за кривой русский.

ArtCont

Я использую связку из KWF и Mdaemon на одном хосте и все работает замечательно)


valmond25


на что именно тебе правила надо? Чтоб с керио-хоста и из локалки с почтой работать? Или может тебе надо изнутри почтовый сервер наружу вывести? Уточни что именно надо )))

Anatoliy736 adjuster
Есть сервак, на нем куча ролей прикручено.
Стоит керио винроут фаервол версии 6,5,2 билд 5172
в сетке 50 компов смотрят в этот шлюз. Все работает. Только не отправляется почта с почтовых агентов типа bat. По приему почты клиентами- вопросов нет POP на 110 положеном порту-работает как часы.
SMTP на отправку почты обычным методом через 25 порт-не проходит, ну никак.
Политика трафика http://fb.vitebsk.by/files/Pol_traf.jpg

valmond25

Цитата:

как именно настроеить правило на СМТП и что означает ПИ?
Обьясни как блонде, я за керио 3 день!

По аналогии с правилом NAT - дублируешь это правило и удаляешь из него все протоколы, кроме SMTP. На этом правиле отключаешь PI = Protocol Inspector = Инспектор Протоколов, как его показать ищи по теме - уже мильОн раз писАли.

ArtCont

Цитата:

Народ, подскажите кто знает, реально ли слепить 2-а в одном, Керио ВинРоут Appliance и Керио Коннект...

Конечно можно это сделать и будет все стабильно работать. Возможно возникнет проблема с запуском админок, но это решается. Ставь с уверенностью. У меня, к примеру, на KWF машине стоит Hmail Server - проблем нет.

Anatoliy736
Такое бывает, когда используется 2 шлюза по умолчанию. KWF все равно пишет об этом, но работает стабильно.
Можешь убрать шлюз 192,168,2,1, если он используется только для подключения PPPoE, тогда маршрут придется прописать через этот IP.
А лучше это соединение поднять в модеме, тогда вообще хлопот не будет.

adjuster

Цитата:

По аналогии с правилом NAT - дублируешь это правило и удаляешь из него все протоколы, кроме SMTP. На этом правиле отключаешь PI.

Сделал как ты сказал, PI отключил, выкидывает ту же ошибку, что и раньше. НЕ ПОМОГЛО

valmond25
так в таком случае на данном правиле включи инспектора smtp, и в протоколе debug включи логирование Protocol Inspection\SMTP воспроизведи отправку сообщения и лог суда положи, так же проверь что нет антивирусов на шлюзе, а если есть то отключи все сетевые фильтры.

Уважаемые, а никто не видел мануалов для Linux версии? Не тех что для консоли администрирования, а тех что для текстовой консоли, непосредственно на роутере.
Всякие полезности по управлению дисками (исправление ошибок например) и т.д.

Народ, подскажите пожалуйста такой момент.
У меня заведены юзеры и группы, каждому юзеру я зада его ip. Если в сети появляется новый юзер без аккаунта в Керио, то на него не действуют те правила, которые я задавал на других юзеров. те по сути могут качать и делать что угодно, как этого можно избежать? Может есть какая-то настройка, не могу найти. Спасибо.