» Kerio Control (ex Kerio WinRoute Firewall)

Цитата:

Блин, экстрасенсы в отпуске...
Что за фтп, что умеет, кто должен к нему стучаться, почему должен стучаться...  
Тут больше вопросов по фтп чем по керио.

Речь идет про керио пользователей

Цитата:

И второй вопрос, допустим в локалке есть фтп сервер, в керио доступ к нему из инета настраивается на произвольный порт. Можно ли как то ограничить доступ к этому порту(фтп серверу) определённых пользователей в керио? например чтобы из 100 пользователей могли иметь доступ через интернет только пять?

AniQDuck
Так на вскидку что-т не придумывается.
Но можно поиграться с логикой отработки правил блокировки (сверху-вниз).
Ну или нельзя ... кто его знает...
Лучше всё таки самой фтпёй резать юзеров !

Меня интересует такой момент: можно ли в linux версии Kerio Control поднять OpenVPN и объединить в мост с физическим интерфейсом или то же самое, но с использованием виртуальной машины? На базе версии 7.4.2 всё легко и понятно, но на Windows разработчики Kerio забили (наверное лениво им было разбираться с сетевыми новшествами Windows 2012 R2). Кто пробовал реализовывать такую схему, какие были или могут быть подводные камни?

YuraseK, я когда-то пробовал кастомизировать Керио, но есть проблема - недостаточно места в разделе для установки софта, а перераспределить не позволяет работающий керио. Как загрузиться в шелл без загрузки керио не могу сообразить. А переразметка диска в акронисе или ещё че-то убивает керио (файлы остаются, но ось не грузится). Так что твоя затея если и осуществима, то с трудом. Но я не такой крутой *nix-админ, чтобы авторитетно заявлять. Наверняка, какую-то лазейку найти да можно

Добавлено:
А вообще я пришёл сюда со своей проблемой:
есть керио 8.3.3 и есть некоторый сайт, на котором висит виджет siteheart. Наверное все его знают. Если нет, то воть
В чём значится проблема и причём тут керио? Кагбе по нормальному данный виджет отрабатывает моментально. В сети же под управлением керио нужно подождать минуток 10-15 и быть может тогда данный фаерволище соизволит пропустить пакеты и начнётся чат. Самое интересное, что никаких запрещающих правил на пути работы виджета нет. Работает он веб-протоколам 80 и 443.
Есть ли тут кто сталкивался? Или может каким дельным советом да поможет кто?

Gowa90
Отключение протокол-инспектора для правила HTTP(S) не влияет на ситуацию?

Цитата:

Последняя проверенная версия (лекарство смотрим ниже):
Kerio Control 7.0.1 Build 1098, Released on: August 04, 2010

весь низ осмотрел но лекарство так и не увидил

Добавлено:
а есть у кого версия по свежее с таблеткой ? помогите плиз очень надо в инете только 7.2.0.3028 нашол

punkara
как-то плохо ты искал. На рутрекере давно уже 8.3.3

YuraseK
действительно, в этом беда была. Про него я и совсем забыл. Премного благодарен!

Доброго времени суток!

Если кто ставил Kerio Control не в виртуальную среду, а на железо прямо, поделитесь пожалуйста моделями/названиями.

На офсайте написано, для Software Appliance годится вот что:
CPU: 500 MHz
Memory: 1.5 GB RAM
Hard drive: 8 GB HDD space for OS, product, logs and statistics data
Network interface: 2 Ethernet (10/100/1000 Mbit)
Kerio Control is based on Linux kernel version 3.12

Но такого "скромного" железа, чтоб не грелось и не жужжало сильно - не найду никак..

Заранее спасибо!

Неттопы просмотрите. For example
http://techreport.com/review/24298/zotac-zbox-id42-plus-nettop-reviewed
правда в работе встроенного WiFi под Kerio не уверен. Там говорят своя версия Linux? так что - проеверяйте или сделайте запрос Kerio.

Добавлено:
Или HP Proliant Microserver G7, а если не жалко денег то и G8....

Добавлено:
В G8 будет ещё и возможность удалённого мониторинга и удалённой установки OS - HP ILO. Одно но - дорого....

Добрый день, "вытянуть" файл star.fdb по sftp получилось, а как измененный файл положить обратно с заменой? Использую Kerio Control 8.2.2

2 Iacoyn
- Спасибо!

Цитата:

Неттопы просмотрите

Неттопы в голову не приходили... Точнее, не приходило в голову, что там 2x10/100/... может быть

Цитата:

Или HP Proliant Microserver
В G8 будет ещё и возможность удалённого мониторинга и удалённой установки OS - HP ILO

IL0 - хорошее дело. Но в HP Proliant Microserver как будто всего один порт сетевой, тут написано:
Цитата:

Однопортовый адаптер 1 Гбит NC107i Ethernet на контроллер

Цитата:

поделитесь пожалуйста моделями/названиями

У меня один Керио установлен на такой - SuperServer 5018A-MLTN4
и два попроще (на атомах и с дополнительной четырехпортовой сетевой картой) -
на 5015A-EHF-D525
Все работает корректно. Встроенный в bios raid не поддерживается.
Атомы установлены в обычных 19" шкафах в помещениях без кондиционеров..

Цитата:

IL0 - хорошее дело. Но в HP Proliant Microserver как будто всего один порт сетевой, тут написано:

Если iLo есть - он может быть совмещен с основным адаптером. Физически будет один разъем на 2 логических порта.

Туплю очень сильно, поэтому прошу помощи.
Имеем: 8.3.3 build 2342 на отдельной виртуалке, 192.168.6.244
Отдельный DNS на DC - 192.168.6.254
Терминальник - 192.168.6.251. На нем настройки статикой:
IPv4-адрес. . . . . . . . . . . . : 192.168.6.251(
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.6.244
DNS-серверы. . . . . . . . . . . : 192.168.6.254

Раньше все пользователи ходили без ограничений. Появилась потребность разрешить определенным пользователям ходить только на определенные сайты. Для этого включаю прокси:

Создаем группу URL

Пользователей дергаем из домена

Засовываем терминальник в отдельную группу

Создаем правило фильтрации содержимого(тестовое - разрешено все)

включаем на клиенте проксю на клиенте

и получаем DNS lookup failed
This message was created by..
Вырубаем форвард dns на Kerio

и воз ныне там
Где ошибся?

2 fedmun

Цитата:

Если iLo есть - он может быть совмещен с основным адаптером

Ага, для трафика ILO можно использовать невыделенный порт, конечно.
Но я другое имел в виду: для Kerio Control хотелось бы не менее двух сетевых портов, желательно сразу на материнке

obtim
А DC с IP 192,168,6,254 DNS запросы нормально отрабатывает? Адреса пересылки прописаны? Самому DC выход в инет разрешен?

Serg0FFan
Эти же самые пользователи с этого же терминальника напрямую ходят нормально(dns 192.168.6.254). На DC доступ в сеть есть.

Serg0FFan
Странности продолжаются
Ребутнул Kerio - пропала проблема DNS
но теперь как-то странно срабатывают правила фильтрации
Насколько я помню, они должны работать сверху-вниз.
Задача дать доступ группе пользователей к определенным доменам. Если лезут на другой-редиректить их на страницу предупреждение.
Настройки такие

В Фильтрации содержимого независимо от того, какое правило стоит первым, все равно идет перенаправление на домен, указанный в правиле Deny all Medpersonal
Почему?

wwladimir

Цитата:

У меня один Керио установлен на такой - SuperServer 5018A-MLTN4
и два попроще (на атомах и с дополнительной четырехпортовой сетевой картой) -
на 5015A-EHF-D525

-Спасибо!
Есть к Вам вопрос:
Если не секрет, на каких дисках Kerio Control в этих системах живёт?
HDD или SSD/SD/USB Flash/Memory Card/m.2SATA/... ?
То есть выживет ли на электронном носителе, и как долго.
Заранее спасибо!

Диски обычные, медленные (по моему "грин" от WD). Там, где планировался raid теперь трудится один ноутбучный 2,5'. Нагрузка на диск не высокая и зависит в основном от вашего желания использовать кеширование (в моем случае примерно 150 активных пользователей и VPN).
SSD использовать не вижу смысла.
А состояние "здоровья" диска меня не волнует совсем. Время восстановления системы все равно
примерно одинаковое- накатываем с оптического носителя аплайнс и
с samepage.io восстанавливаем конфигурацию Керио (а он ее туда раз в сутки сам сохраняет).
Если время около получаса для вас критично-склонируйте диск заранее. Время сократится до
откручивания-прикручивания диска и обновления конфига. А на перенос (активацию) лицензии
всегда есть целый месяц.
Я бы и нетоп какой ни будь использовал бы, но там с сетевыми интерфейсами всегда "напряжно".
Ну и само слово "сервер" в платформе дает дополнительный + к надежности.

Цитата:

Срочно прошу помощи
KWF 6.7.1

дома Win 7 подключаюсь через керио клиент, со вчерашнего дня перестало работать удаленка. Керио подключается, но не пингуется даже керио шлюз. С компов с win XP все работает при этом.
А с Win 7 со вчерашнего дня, отвалилось на работе у программиста 1с, сегодня и у меня.

была у меня ситуация 6 мая 2014 года, тогда вопрос не решился, но после смены моего IP и IP программиста 1с заработало.

вообще опять такая же ситауция, трое VPN клиентов работают нормально, а четвертый не работает. От него подключение есть, но не от него не пингуется керио и все что за ним, ни с керио шлюза не пингуется его IP внутрений. У него дома настроен VPN клиент и на компе домашнем и на ноуте, и там и там не работает. Из чего делается вывод что привязка идет только к внешнему IP адресу клиента. Понимаю что звучит довольно бредово. И если бы блокировал мой роутер ихний IP, то соединение VPN бы не устанавливалось наверно при этом т.к. были бы заблокированны все подключения с ихней стороны, а так клиент показывает что соединение успешно, я на шлюзе его вижу, IP внутренний выдается, но ничего не ходит при этом между ними.

свой роутер и KWF перезагружал. Со стороны клиента роутер перезагражался и сменился после этого внешний IP , но тоже не помогло.
Чудеса опять.

wwladimir

Цитата:

Если время около получаса для вас критично-склонируйте диск заранее. Время сократится до
откручивания-прикручивания диска и обновления конфига.

Боюсь, что не взлетит, ибо..

Код: # cat /boot/boot/grub/grub.cfg|grep -A1 -B4 -ehd0,1
if [ ! "${boot_version}" ]; then
# note: installer script will change the UUID
kernel_root="loader=UUID:a60ac191-67d5-4235-8202-63c6041afd65 acpi=off"
initrd="/boot/initrd"
root="(hd0,1)"
fi

MAGNet
Хорошо... Не клонирование, а заранее предустановить на этом же железе Керио, импортировать
конфиг. Вынуть диск и положить на полку (оставить внутри машины вынув Sata кабель).
При сбое останется только активация лицензии.

Вот решил поднять у себя в сети сервер сетевой загрузки PXE через TFTP.
Настройки указал на DHCP настройки в керио 8.3.4
066 192.168.0.254
067 pxelinux.0
НЕГРУЗИТСЯ!
Посмотрел в дебаг и вон оно че (((
ОПЦИИ 066 СЕрвер не посылает ((
[19/Sep/2014 12:44:35] {dhcp} DHCP address handler [Transaction ID 0x5FB91414]: found existing lease for chaddr 00-15-5d-b9-14-14 (leased address = 192.168.0.132)
[19/Sep/2014 12:44:35] {dhcp} DHCP server [Transaction ID 0x5FB91414]: sending DHCPOFFER to 00-15-5d-b9-14-14 (dest ip = 255.255.255.255, offered address = 192.168.0.132)
[19/Sep/2014 12:44:35] {dhcp_opt} DHCP option handler [Transaction ID 0x5FB91414]: generated options >>>>>>>>>>
[19/Sep/2014 12:44:35] {dhcp_opt} DHCP option handler [Transaction ID 0x5FB91414]: 053 Message type : 2
[19/Sep/2014 12:44:35] {dhcp_opt} DHCP option handler [Transaction ID 0x5FB91414]: 054 Server identifier : 192.168.0.253
[19/Sep/2014 12:44:35] {dhcp_opt} DHCP option handler [Transaction ID 0x5FB91414]: 051 Lease time : PT12H00M
[19/Sep/2014 12:44:35] {dhcp_opt} DHCP option handler [Transaction ID 0x5FB91414]: 001 Subnet mask : 255.255.255.0
[19/Sep/2014 12:44:35] {dhcp_opt} DHCP option handler [Transaction ID 0x5FB91414]: 003 Default gateway : 192.168.0.253
[19/Sep/2014 12:44:35] {dhcp_opt} DHCP option handler [Transaction ID 0x5FB91414]: 006 DNS server : 8.8.8.877.88.8.8
[19/Sep/2014 12:44:35] {dhcp_opt} DHCP option handler [Transaction ID 0x5FB91414]: 067 Bootfile name : pxelinux.0
[19/Sep/2014 12:44:35] {dhcp_opt} DHCP option handler [Transaction ID 0x5FB91414]: 255 DHO_END
[19/Sep/2014 12:44:35] {dhcp_opt} DHCP option handler [Transaction ID 0x5FB91414]: <<<<<<<<<< option dump end
Ставить другой сервак DHCP не хочется как бороться не представляю. Кто сталкивался и может быть разрулил?

Может кто разбирался с snort?
Есть полезное правило Rule ID: 1:2001795, но им ошибочно интерпретируется и нужный мне ip.
Понимаю, что можно 1:2001795 вообще в игнор сигнатур внести, но хотелось бы так чтобы именно нужный ip под это правило не попадал, а остальные отрабатывались как положено
Как сделать исключение для конкретного IP?

wwladimir
к слову, как показала практика, диски мрут крайне редко.
если учесть, что сабж работает на..

Код: # uname -a
Linux control 3.2.0-k2-kerio-686 #1 SMP Debian 3.2.32-1~kerio25 i686 GNU/Linux

MAGNet
Так это и не я спрашивал.


Цитата:

ustal
Если не секрет, на каких дисках Kerio Control в этих системах живёт?
HDD или SSD/SD/USB Flash/Memory Card/m.2SATA/... ?
То есть выживет ли на электронном носителе, и как долго.

С дисками согласен ( хотя второй после блоков питания компонент по частоте замены, а в
raid-ах на серверах у меня первый).
Оставленный мной в наследство на предыдущей работе winroute уже десять лет
живет на какой-то м.б с Савеловского (по моему Абит), четвертом пне и диске 80 PATA.
За это время менял в нем блок питания и электролиты на плате перепаивал(году на втором эксплуатации).

Помогите пожалуйста.
Есть Proxy Kerio Control 8.0.0 build 551 на Linux. Работал около полугода стабильно и без проблем.
Недавно слетела лицензия, обновили. После этого не работает Web filter, пишет не активированно, хотя в лицензии указано что Web filter лицензирован.

Цитата:

Я бы и нетоп какой ни будь использовал бы, но там с сетевыми интерфейсами всегда "напряжно". Ну и само слово "сервер" в платформе дает дополнительный + к надежности.

Я ж давал вариант - hp Proliant Microserver. Там в новых версиях и web интерфейс аппаратный ILO. Не неттоп, но почти. Кубик http://www8.hp.com/h20195/v2/GetDocument.aspx?docname=c04128132
Network Controller HP Ethernet 1Gb 2-port 332i Adapter
на предыдущей серии не Gen 8, а Gen 7 что-ли - там нет iLo (удаленное управление через встроенный чип), зато дешевле, но одна сетевуха - слот для установки второй есть.

Добавлено:
Ещё у гигабайта есть мать ITX с двумя сетевыми.

Добавлено:
http://www.gigabyte.com/MicroSite/318/7-series-mini-itx.html

Добавлено:
Ещё у Zotac есть такие цацки
http://www.zotac.com/products/mini-pcs/zbox/product/zbox/detail/zbox-iq01-plus/sort/starttime/order/DESC/amount/10/section/specifications.html
https://www.google.by/search?q=site%3Ahttp%3A%2F%2Fwww.zotac.com+2+x+10%2F100%2F1000Mbps&btnG=%D0%A8%D1%83%D0%BA%D0%B0%D1%86%D1%8C&client=opera&oe=utf-8&channel=suggest&gws_rd=ssl

Добавлено:
Networking Ethernet      2 x 10/100/1000Mbps
WiFi      802.11ac + Bluetooth 4.0

Добавлено:
ну или вообще непонятно что http://www.amazon.com/Intel-D2500-Fanless-Mini-ITX-D2500CCE/dp/B008KB5YCK/ref=pd_sim_sbs_pc_10?ie=UTF8&refRID=1B2Y46AJF0QFG9MZGW7R#productDetails,
но с двумя сетями и в пассивном охлаждении....

Добавлено:
а ещё больший экстрим - http://www.amazon.com/Barebone-Embedded-NF9D-2550-Motherboard-AD3RTLANG/dp/B007GGGBM2/ref=sr_1_6?s=pc&ie=UTF8&qid=1411565114&sr=1-6
с 5 сетями...

Добавлено:
Как бедный атом с таким количеством сетевух справляется....

Всем привет, хотел спросить кто-нибудь настраивал оповещения по эл.почте Kerio Control 8.3.3 build 2342?
Я настроил у себя и меня вместо правильных писем шлет вот такие


ZSBJbWFnZVJlYWR5ccllPAAACsNJREFUeNrsXQt0FcUZngQsJEUDiC0qRSBEsPGRtmIUpKLY
AlZp6xPRoq0IWPFtre+DUBWordQqYk+t+KI+8Cj2aLRF68GmBWwt0tpygMo7JiYIBjAYxPT/
ud82f4bZe3dzd5O95f/O+U/uvmZnZ+b7XzO7yWtqajIKhcKYPCWDQqFkUCiUDAqFkkGhUDIo
FEoGhSIcGaqHDDyAfk8hGUvyxYTVsYZkHupXr12maC16Vq5IT4b3Bw/Yn/7+ieTohD/LcpIT
SbZptyriIEM+yW05QASDOt6uXaqIC/lwjXIFY7XLFHGS4dAcqu8hJJ212xRxkSHXoGRQKBkU
CiWDQqFkUChynwzbSeq0eRX7Mhl2kzxGUkoygOQ+kp3azIp9hQy8uOltkptJ+pBcRLKe5EOS .

Если кто поправил, то скажите как исправить?

Цитата:

Всем привет, хотел спросить кто-нибудь настраивал оповещения по эл.почте Kerio Control 8.3.3 build 2342?

У меня все работает нормально именно на этой сборке.
галка на шифрование ssl снята (не помню как она по умолчание есть или нет).