» Kerio Control (ex Kerio WinRoute Firewall)

Помогите настроить доступ по определенному правилу, при превышении квоты пользователя

Например
Браузером юзер исчерпал свою квоту на интернет. Но нужно чтоб он дальше мог работать с почтой через другое правило доступа (SMTP,POP3/IMAP)
у меня сейчас почтовое правило не счтитает траффик, но оно перестает работаь если юзер превысил квоту.

как мне сделать

Дудес, вот у меня такой вопрос возник. Установил Winroute и сразу понял, что не срастается что-то... начал мануал читать, а там написано, что используется программа с двумя сетевыми интерфейсами, то бишь основная функция, это трафик раздавать дальше - роутинг, и требования системные у неё, видимо поэтому, чуть завышены для меня. Мне нужна прога что бы firewall только был для одной системы. На сайте Kerio про firewall только информации нету, но у них он есть. Говорят поддержка сейчас прекращена. Нашел в инете где можно скачать. http://kerio-personal-firewall.en.softonic.com/ но доверия к ресурсу, в основном конечно из-за того, что сам разработчик устранился, нет, а прога хорошая. Помниться устраивала раньше всем, что сейчас случилось, непонятно.

P.S. Почему система куда Winroute устанавливается, в мануале называется Host? Это же сервер как бы наверное, если с него инет забирать будут, контролируемый этой программой.

Добрый день.
Подскажите - Kerio не воспринимает пользователей в группах внутри групп AD?

Пример:
Есть правила для Content Filter вида
- Социальные сети для группы Social
- Сайты поиска работы для группы Employment и т.п.
И есть группа VIP, которая входит во все эти группы AD.
Но почему-то пользователей из этих групп не пускает. Такое впечатление, что Kerio не видит дальше "1го уровня членства".

Можете это подтвердить или опровергнуть? Может я что-то делаю не так? На TMG так работало.

Если Kerio так не умеет, то придётся в каждое правило дописывать ещё группу VIP.

Update 1: Возможно "сам дурак". Обнаружил небольшой косяк в AD, из-за которого у Authenticated Users не было прав на чтение других учёток (права, членство в группах). Исправил, все пользователи теперь корректно показываются в нужных группах (раньше Kerio не показывал группы для некоторых пользователей). Уже сделал добавление группы VIP во все правила, завтра уберу, проверю. Может быть дело было в этом.

Отзовитесь, у кого при работе с KC бывают редкие (раз в несколько дней) эпизодические (на разных сайтах) бесситемные (неясной природы) сообщения "DNS Lookup Failed" ?
Ситуация нормализуется через несколько минут.

Настройки DNS в правилах трафика и основной DNS-сервер в порядке.
Основной и альтернативный DNS прописывается на компьютерах пользователей. У всех - одинаково.
Переадресация, разрешение, кэширование DNS в Kerio выключены.

Добрый день.
У меня необычный вопрос: как локальным пользователям вместо доступа в Интернет оставить только доступ к TeamViewer?
По запросу Kerio + TeamViewer вываливет только обсуждение его блокирования, а мне наоборот надо запретить отдельным пользователям доступ к Интернет, оставив возможность удаленного управления через TeamViewer.

nemoW вот адреса http://kerio-rus.ru/forum/showthread.php?t=9055
В чем необычность вопроса ??? по умолчанию есть правило ната на интернет интерфейсы тебе нужно такое же только на эти ip дальше правило запрета для этих пользователей. дальше разрешение для интернета на все другие компы...
П.С. В чем необычность вопроса "необычайно глупый" ? Это ведь легче чем установить кирио. Или у тебя есть еще проблема с чем-то ?

Здравствуйте!

Перешел недавно на appliance. Помогите разобраться.
Две сетевые, dhcp - kerio. Рабочие станции адреса получают, интернет тоже, правила работают. Однако постоянно не загружаются страницы как http так и https, т. е. вот страница загрузилась, через минуту тот же сайт не открывается, через 10 секунд опять нормально. В логах ничего путного не вычитал.

М.б у Вас проблема с DNS на интерфейсе смотрящем в инет какие днс-ки стоят (провайдера или ip модема/роутера)?

Народ а шейпер работает у кого-нибудь корректно? Завел пользователя с конкретным ip.
Установил ему ограничение на скорость скачивания. Проверил спидтестом один раз ограничение сработало, другой раз - качает на полную. И системное время после перезагрузки слетает. Если переключить птичку на NTP-серверах, то время подхватывается. Сабж версии 9.0.1-547, установлен на VirtualBox.

Rinat2015
Ну, глупой была надежда, что существует какое-то изящное решение вместо регулярного прописывания адресов TeamViewer ручками.

а подскажите по DNS
KWF 6, включена служба переадресации для DNS
в правилах есть "доверенный/локальный" в "интернет" - служба DNS - разрешить - NAT
и второе правило Firewall - Интернет - DNS - разрешить

при этом включив лог на последнем блокирующем правиле вижу кучу записей

[25/Feb/2016 11:40:51] DROP "Default traffic rule" packet from WAN Optima, proto:UDP, len:128, ip/port:8.8.8.8:53 -> 192.168.100.100:62252, udplen:100
[25/Feb/2016 11:41:29] DROP "Default traffic rule" packet from WAN Optima, proto:UDP, len:72, ip/port:195.248.191.67:53 -> 192.168.100.100:62252, udplen:44

192.168.100.100 это KWF, инет приходит от роутера
инет то работает, но хочу прояснить этот момент

добавил в шапке ссылку на ч.1 (в Программах была) + поправил ссылку на ч.6 (стояла на текущую)..
// текущий бэкап #

Maza777
DNS с хоста керио работает ?


Цитата:

[25/Feb/2016 11:40:51] DROP "Default traffic rule" packet from WAN Optima, proto:UDP, len:128, ip/port:8.8.8.8:53 -> 192.168.100.100:62252, udplen:100
[25/Feb/2016 11:41:29] DROP "Default traffic rule" packet from WAN Optima, proto:UDP, len:72, ip/port:195.248.191.67:53 -> 192.168.100.100:62252, udplen:44

Это я так понимаю входящий dns трафик до внутреннего интерфейса керио, у вас есть правило разрешающее такой трафик (разрешить от WAN к Брандмауэру).

Цитата:

Это я так понимаю входящий dns трафик до внутреннего интерфейса керио, у вас есть правило разрешающее такой трафик (разрешить от WAN к Брандмауэру).

да вроде работает и без него 192.168.100.100 это WAN на KWF, 192.168.100.150 это роутер
вот
[25/Feb/2016 12:05:03] PERMIT "LAN --> DNS " packet to WAN Optima, proto:UDP, len:74, ip/port:192.168.100.100:1041 -> 192.168.100.150:53, udplen:46
[25/Feb/2016 12:06:42] PERMIT "LAN --> DNS " packet from WAN Optima, proto:UDP, len:298, ip/port:192.168.100.150:53 -> 192.168.100.100:43403, udplen:270

правило "LAN --> DNS "
источник - Firewall, Доверенный/локальный
назначение - интернет
служба - DNS
разрешить
NAT

при этом
[25/Feb/2016 12:11:08] DROP "Default traffic rule" packet from WAN Optima, proto:UDP, len:248, ip/port:195.248.191.67:53 -> 192.168.100.100:43403, udplen:220

то есть из инета в WAN блокирует

Добавлено:
изменил
правило "LAN --> DNS "
источник - Firewall, Доверенный/локальный, интернет
назначение - интернет, firewall
служба - DNS
разрешить
NAT

то есть из инета доступ к KWF разрешен, KWF это же и есть WAN порт вроде

[25/Feb/2016 12:17:58] DROP "Default traffic rule" packet from WAN Optima, proto:UDP, len:122, ip/port:8.8.8.8:53 -> 192.168.100.100:43403, udplen:94

p.s. при доступе из инета к KWF nat нужен ?

p.p.s.
с правилом
правило "DNS 2 "
источник - интернет
назначение - KWF, WAN
служба - DNS
разрешить

все равно получаю DROP

Цитата:

p.s. при доступе из инета к KWF nat нужен ?

NAT это трансляция, можно транслировать как внутрь, так и наружу. Главное понимать зачем. Например вы хотите транслировать исходящий трафик на определенный адрес внешней сети для внутренних абонентов. Или использовать для них определенный ip адрес. Внутрь сети транслируется обычно ваш внутренние сетевые сервисы, по типу http/s, dns и прочее для внешних абонентов (клиентов). Также можно использовать входящую трансляцию порта, например если у вас куча http/s серверов внутри и работают на разных портах.

Прямой ответ на ваш вопрос невозможно дать, потому как не ясна схема сети. Но я подозреваю, что у вас двойной NAT, то есть клиенты в качестве шлюза используют керио, в керио в свою очередь использует роутер. Если все работает можете забить на сообщения. При такой схеме по идее можно разрешить правило между внутренними интерфейсами роутера и внешними интерфейсами керио.

Также в случае двойного ната можно использовать полноконусный нат для сервисов. В этом случае соединения инициированные с внешней стороны будут падать до керио по указанным разрешающим правилам. Но для этого также возможно нужно будет донастроить роутер.

Добавлено:

Цитата:

все равно получаю DROP

Покажите таблицу правил.

долгое смотрение в экран

Цитата:

[25/Feb/2016 12:35:55] PERMIT "LAN --> DNS " packet to LAN , proto:UDP, len:130, ip/port:8.8.8.8:53 -> 192.168.103.50:64029, udplen:102
[25/Feb/2016 12:40:32] PERMIT "LAN --> DNS " packet to LAN , proto:UDP, len:75, ip/port:8.8.8.8:53 -> 192.168.103.108:53585, udplen:47
[25/Feb/2016 12:37:43] DROP "Default traffic rule" packet from WAN Optima, proto:UDP, len:116, ip/port:8.8.8.8:53 -> 192.168.100.100:43403, udplen:88
[25/Feb/2016 12:38:25] DROP "Default traffic rule" packet from WAN Optima, proto:UDP, len:110, ip/port:8.8.8.8:53 -> 192.168.100.100:43403, udplen:82
[25/Feb/2016 12:43:27] DROP "Default traffic rule" packet from WAN Optima, proto:UDP, len:124, ip/port:8.8.8.8:53 -> 192.168.100.100:43403, udplen:96
[25/Feb/2016 12:44:57] PERMIT "LAN --> DNS " packet from WAN Optima, proto:UDP, len:196, ip/port:8.8.8.8:53 -> 192.168.100.100:60833, udplen:168
[25/Feb/2016 12:44:57] PERMIT "LAN --> DNS " packet from WAN Optima, proto:UDP, len:196, ip/port:8.8.8.8:53 -> 192.168.100.100:37302, udplen:168
[25/Feb/2016 12:48:25] DROP "Default traffic rule" packet from WAN Optima, proto:UDP, len:94, ip/port:8.8.8.8:53 -> 192.168.100.100:43403, udplen:66

натолкнуло меня на мысль что ДРОПается всегда запрос с портом 43403

Добавлено:
я к чему полез в эти настройки DNS, у меня такая фигня происходит
что на клиентских ПК (разных) пропадает интернет и перестает работать почта

остальная локальная сеть вся работает, шлюз 192.168.100.100 пингуется, потери пакетов нет

на клиентcких ПК IP получало от DHCP шлюз и DNS 192.168.100.100
попробовал прописать вручную IP и поставил альтернативным DNS 8.8.8.8
В керио DNS Forwarder включен

вот сегодня утром ситуация, вытягивание сетевого кабеля не помогает

Цитата:

C:\Documents and Settings\user-127>tracert ya.ru
Не удается разрешить системное имя узла ya.ru.

C:\Documents and Settings\user-127>nslookup ya.ru
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.100.100: Timed out
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 8.8.8.8: Timed out
*** Default servers are not available
Server: UnKnown
Address: 192.168.100.100

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

C:\Documents and Settings\user-127>nslookup ya.ru
Server: post
Address: 192.168.100.100

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to post timed-out


C:\Documents and Settings\user-127>ping 192.168.100.100

Обмен пакетами с 192.168.100.100 по 32 байт:

Ответ от 192.168.100.100: число байт=32 время<1мс TTL=128
Ответ от 192.168.100.100: число байт=32 время<1мс TTL=128
Ответ от 192.168.100.100: число байт=32 время<1мс TTL=128
Ответ от 192.168.100.100: число байт=32 время<1мс TTL=128

Статистика Ping для 192.168.100.100:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

помогает перезагрузка клиентского ПК, но после этого в течении дня ситуация может повториться еще раз
раньше пробовал flushdns на клиентском ПК и не помогало никогда, сейчас попробовал и помогло

вот я и подумал посмотреть что там в DNS у меня, т.к. объяснить эту дурацкую ошибку я не могу

Добавлено:
еще ДРОПаются запросы с портом 37253

Цитата:

[25/Feb/2016 12:56:24] DROP "Default traffic rule" packet from WAN Optima, proto:UDP, len:128, ip/port:8.8.8.8:53 -> 192.168.100.100:37253, udplen:100

потому что на другие порты проходит запрос

Цитата:

[25/Feb/2016 13:03:20] PERMIT "LAN --> DNS " packet from WAN Optima, proto:UDP, len:122, ip/port:8.8.8.8:53 -> 192.168.100.100:58772, udplen:94

хотя это и похожу на бред, сейчас дропается 40021
должна же быть какая то причина, что одно пропускает. а второе нет

Maza777
У вас случайно не работает кериовская штука для блокирования пирингового трафика ? Отключите ее на время.

attaattaatta
Дополнительные параметры - Фильтр P2P
При обнаружении peer-to-peer трафика в сети - Не блокировать никакой трафик

сейчас блокирует 51451 порт

Включен Anti-Spoofing
в журнале security нету записей с номером такого порта

Maza777
А нет уточняющих правил для сервисов в 6 версии ? Там можно указать для каждого сервиса входящие и исходящие номера и диапазоны портов. У меня в 8 версии это Службы, выбираем dns и там порт источника должен стоять "любой"

attaattaatta
Службы
DNS
Протокол TCP/UDP
Порт источника - любой
Порт назначения - 53

Добавлено:
опа

правило "DNS 2 "
источник - 8.8.8.8, 192.168.200.59
назначение - 8.8.8.8, 192.168.200.59
служба - ВСЕ
разрешить
NAT

Цитата:

[25/Feb/2016 15:53:09] DROP "DNS 2" packet from WAN Optima, proto:UDP, len:122, ip/port:8.8.8.8:53 -> 192.168.100.100:36528, udplen:94

все равно дропает, даже по новому правилу, которое разрешает вообще все между двумя этими адресами
протокол инспектор и включал на этом правиле и выключал

действие стоит разрешить, а оно дропает его. такая загадка

Меня больше интересует почему на клиентских пк пропадает инет и как с этим бороться

Maza777
Инет пропадает потому что не может резолвить хосты. Используйте роутер как днс ретранслятор (сервер) для клиентов. Либо организуйте свой рекурсивный/прямой днс сервер после керио в дмз зоне.

attaattaatta
почему тогда почта не работает, к POP3 и SMTP почтовые программы обращаются по IP 192.168.103.100
а перезагрузка клиента решает проблему
что такого происходит на клиенте, что перестает работать и что происходит после перезагрузки
ведь даже с прописанным альтернативным 8.8.8.8 оно не могло его резолвить
потому что проблема бывает единично на одном клиенте, а не так что у всех в один момент перестало работать. Может весь день у всех работать нормально, а может на 1 или 2 ПК такое случится, что им требуется сходить на перезагрузку


сеть роутера 192.168.100.0
KWF LAN - 192.168.103.100 WAN 192.168.100.100
сеть офиса 192.168.103.0

Maza777
Вы меня так спрашиваете, будто я у вас администратор.

Объясню как смогу, даже с прописанным 8.8.8.8 трафик идет через маршрутизатор, я же вам предлагаю не использовать керио для этого типа трафика. перечитайте мое сообщение выше.

attaattaatta
понял, или поднять рядом другой DNS сервер или ходить через роутер (хотя весь траффик все равно будет в таком случае проходить через KWF то оно может все равно его блокировать на пути к роутеру)

но все равно хочется понять, почему он вдруг блокирует DNS запросы и на клиентах пропадает интернет

Maza777
Если так хочется, установите на клиента wireshark и пишите дампы днс трафика, там все будет понятно.
Кстати керио умеет же логировать пакеты. Вот и логируйте, создайте правило с лоигрование пакетов днс исходящего трафика с натом, потом смотрите что там вам сдампилось.

Maza777
Может ограничение числа подключений срабатывает? Стандартом у керио 600 стоит, как правило этого маловато. Хотя это должно в логах отражаться.

Kokhanavets
ограничение подключений отключено

Цитата:

Подскажите, пожалуйста, почему может не открываться страница статистики в Kerio? Версия 9.0.1.
При попытке открыть страницу статистики, открывается страница авторизации с адресом вида:
https://HOST:4081/login/blocked.php
и текстом:
The following user is currently logged on from your computer
admin
Not you? Logout

И поля для ввода логин/пароль

У пользователя полный доступ к статистике. Пользователь доменный.
Пробую под локальным - работает.

Дело в том, что данный узел находится в зоне "Местная интрасеть", для которой включен по-умолчанию режим совместимости, либо вручную добавлен в список узлов отображаемых в режиме совместимости.

Maza777
Веб-фильтр у вас включён ?
У меня тоже проблемы с DNS возникают периодически.
Отключил веб-фильтр, вроде, реже вылезает "DNS Lookup failed".

HankHank
Kerio Web Filter включен
за "Правила URL" он отвечает ? у меня там ВК и прочяя фигня блокируется