» Kerio WinRoute Firewall

Народ помогите!!!

У меня стоит Kerio WinRoute Firewall 6.0.3 и есть ряд проблем нуждающигся в решении?

1. Как привязать к ІР мак адреса сетевих? А то в сети много хитрах юзеров. ИЛИ Как привязить к каждому юзеру пароль? В настройках стоит что запрашивать пароль, но он не запрашываеца. Может ето связано с тем што у меня стоит прямой доступ через НАТ.

2. И из-за чево может глючить сама сеть на даном компе где стоит Kerio 6. Штоб заити в робочую групу надо ждать пару минут и также на какую нибуть машину.

Заране спосбо.

P.S. У меня одна сетевая смотрящая в в сеть, входит в комутатор в каторый входит ИНТЕРНЕТ, трафик щьолкаэт нормально.

Цитата:

Как привязать к ІР мак адреса сетевих?

Никак, WinRoute это не умеет

Цитата:

Как привязить к каждому юзеру пароль? В настройках стоит что запрашивать пароль, но он не запрашываеца. Может ето связано с тем што у меня стоит прямой доступ через НАТ.

Посмотри правило, которое пускает локалку в Интернет и если у тебя стоит что-то типа

Цитата:

Lan Internet HTTP,DNS,FTP и тд Permit NAT

то замени на

Цитата:

Authenficated users Internet HTTP,DNS,FTP и тд Permit NAT

Будет пускать только залогинившихся

Цитата:

И из-за чево может глючить сама сеть на даном компе где стоит Kerio 6. Штоб заити в робочую групу надо ждать пару минут и также на какую нибуть машину.

Попробуй на карте смотрящей в инте отключить NetBIOS через TCP\IP

fdl
3 LocalNetwork Firewall Any
4 Firewall Internet Any
5 LocalNetwork Internet Any

ты случайно проверяешь все это не стой же машины где и прокся стоит?
естессно что

когда ты отключаешь 4 прпавило - ты отключаешь доступ в инет машины которая считается файрволлом и проксей

на 5ом правиле у тя не включен НАт?
если включен и локалка настроена ходить через нат да по всем протоколам - то все что после этого правила - на ее доступ в инет уже ничего не влияет

напомню что иструкция по настройкам находится тут: www.nalim.com.ru/kerio/index.html
это не мои инстр... а налмана

кстати совсем не понял зачем тебе правила с 6 по 10
ты открыл доступ извне на свой файрвол по всем основным протоколам...
у тебя стоит почтовый сервер?
и к тебе по смтп на этот сервер приходит почта?
у тебя стоит сервер фтп и хттп и на него ходят из инета?

fdl
Hrist правильно говорит, в правилах явная избыточность!
Судя по

Цитата:

Когда отключаю 4-ое правило, действительно не могу попасть в инет.

ты действительно

Цитата:

проверяешь все это стой же машины где и прокся стоит

А посему выключение правила

Цитата:

6 Internet/Firewall Internet/Firewall SMTP/POP3

не уберет возможность забирать почту, тебя все равно пустит правило

Цитата:

4 Firewall Internet Any

Правило

Цитата:

7 Internet Firewall HTTP MAP192.168.0.1:80

вообще не может повлиять на открывание страниц ни на севере с проксей ни из локалки.
Это разрешение из интернета ходить на HTTP-сервер на компьютере с IP 192.168.0.1 (включен маппинг).

У меня тоже вопрос, как у Hrist: у тебя IP сервера с проксей случайно не 192.168.0.1?
Если так, то маппинг вообще включать в правилах с 7 по 9 не нужно!

KostiKL, Hrist
Понял, спасибо.
Собственно, настройки и брал с
http://www.nalim.com.ru/kerio/index.html
Я просто почему-то решил, что правило
4 Firewall Internet Any
это только допуск С компа В интернет
и чтобы пустить назад (т.е. чтобы реально работать с инетом) нужна еще парное к нему правило
(как было в 4-м Винруте)

Еще вопрос. Я теперь настроил правила при помощи мастера.
Все работает, более того, прошел все тесты с pcflank.
Но вот тесты с www.atelierweb.com/awft/ --- увы...
Как я понимаю, KWF не предназначен для ловли таких штук. Это задача для прог типа Аутпоста, так? Но ведь с KWF вместе ничего не поставишь. Мне даже Norton Internet Security из NAV2005 приходится отключать.
Можно ли тут что-то использовать совместно с KWF?

fdl

Цитата:

www.atelierweb.com/awft/

Интересный тест!
Пробиться из локалки наружу минуя защиту... хе хе
У меня 4:6!
Даже знаю.. тесты с проксей по 80 порту не прошел!

Добавлено
Первые четыре теста умудрялся выиграть разлогиниваясь с WinRout'а!
Пятый и шестой все равно проигрываю!
Здесь поможет только Outpost.
Только он может контроллировать, что браузер в памяти незаметно пропатчили!

Сенкю KostiKL, сегодня попробую.

Поставил Керио. Вроде все работает кроме одного.
Не могу заходить на фтп представленные в виде IP. В логах ничего не пишет про попытки коннекта или блокировки. А так же эти фтп даже не пингуются.
Стоит остановить керио вход на данные фтп нормальный.

Подскажите где грабли...

Ну то что он ен пингуется это надо правило создать на ICMP. а на счёт входа на FTP это надо смотреть правила.

Halyava
Правило есть. Пингуются любые адреса кроме тех что в виде IP.
По Http протоколу без проблем IP адреса ходят. А по ftp облом

правила у меня такие
1. ICMPtraffic Firewall any Ping Permit
2. ISSOrangeWebFilter Firewall Any Https/TCP6000 Permit
3. NAT Dial-In/Local Dial-Up DNS/FTP/HTTP... Permit
4. LocalTraffic Dial-In/Firewall/Local Dial-In/Firewall/Local Any Permit
5. FirewallTraffic Firewall Dial-Up DNS/FTP/HTTP... Permit
6. FTP Dial-Up Firewall FTP/TCP1024-65534 Permit
7. Ident Dial-Up Firewall Ident Drop
8. DefaultRule Any Any Any Drop

Добавлено
В ftp политиках сделал правило
IP adresses from group и в нем дал нужные айпишки
но это не помогает

Дык блядь потому что у тебя всё по что идёт из Dial-In по ftp порту транслируется на Dial-Up поэтому у тя такое.
Припиши после 2-го типа dial-in на firewall host по ftf permit только перед правилом nat

Подскажите пожалуйсат.

Есть:
Win2003 Server
Kerio WinRoute Firewall 6.0.6 (проблема была и с предидущими версиями)

1.
Настройки:
Поднимаю NAT на Win2003 Server.
На KWF настраиваю политику: вся локальная сеть - на любой IP - любой порт - разрешить
В HTTP полиси настраиваю any user без идентификации на сервере (любой) - URL: * (любой) - резрешить.
В FTP полиси настраиваю any user без идентификации на сервере (любой) - Any Server (любой) - разрешить.
В HTTP и FTP отключил сканирование трафика на вирусы.

Проблема:
При попытке зайти на любой сайт возвращает ошибку:
Соединение с сервером www.***.ru неудачно (Сервер не отвечает.)
И так на все хостинги какие не набирал.
На любой FTP всегда запрашивает логин и пароль (в результате тоже никакого доступа не имею)

Пинги проходят отлично, ася работает, т.е. порты открыты вроде в норме, но не все...

2.
Настройки:
Поднимаю NAT на Win2003 Server.
На KWF настраиваю политику: вся локальная сеть - на любой IP - любой порт - разрешить - поднимаю нат с интерфейса локалки в инет
В HTTP полиси настраиваю any user без идентификации на сервере (любой) - URL: * (любой) - резрешить.
В FTP полиси настраиваю any user без идентификации на сервере (любой) - Any Server (любой) - разрешить.
В HTTP и FTP отключил сканирование трафика на вирусы.

Проблема:
Проблемы нет, вроде все работает, и сайты, и FTP, и пинги.

3.
Настройки:
Не поднимаю NAT на Win2003 Server.
На KWF настраиваю политику: вся локальная сеть - на любой IP - любой порт - разрешить - поднимаю нат с интерфейса локалки в инет
В HTTP полиси настраиваю any user без идентификации на сервере (любой) - URL: * (любой) - резрешить.
В FTP полиси настраиваю any user без идентификации на сервере (любой) - Any Server (любой) - разрешить.
В HTTP и FTP отключил сканирование трафика на вирусы.

Проблема:
Трафика вообще нет, полный затуп.


Это нормально или нет? когда приходиться врубать 2-а NAT-а на ОС и в KWF.
Скорость вроде нормальная, но одно только понятие двух натов меня уже настораживает.

Halyava
Все разобрался. Проблема была не в этом. Но спасибо за участие

Неужели никто не ответит на мой вопрос? ^^^

Что за гляк такой? Хотел посмотреть статистику по пользователям в Винроуте... а логах вот така беда:
29/Oct/2004 09:05:59] (5019) Initialization error: Incorrect version of file d:\kerio\winroute firewall\users.stat.
[29/Oct/2004 09:05:59] (6004) Unable to read user statistics file: d:\kerio\winroute firewall\users.stat.
[29/Oct/2004 09:05:59] (5019) Initialization error: Incorrect version of file d:\kerio\winroute firewall\interfaces.stat.
[29/Oct/2004 09:05:59] (6004) Unable to read user statistics file: d:\kerio\winroute firewall\interfaces.stat.
[03/Nov/2004 11:40:39] (5019) Initialization error: Incorrect version of file d:\kerio\winroute firewall\users.stat.
[03/Nov/2004 11:40:39] (6004) Unable to read user statistics file: d:\kerio\winroute firewall\users.stat.
[03/Nov/2004 11:40:39] (5019) Initialization error: Incorrect version of file d:\kerio\winroute firewall\interfaces.stat.
[03/Nov/2004 11:40:39] (6004) Unable to read user statistics file: d:\kerio\winroute firewall\interfaces.stat.

.. А ведь сАААвсем недавно УСЕ работало...

Kerio Winroute Firewall 6.0.8
_http://download.kerio.com/dwn/kwf6-win.exe

Цитата:

Version 6.0.8 - November 4, 2004
- fixed nonfunctional user accounts that were imported from WinRoute Pro 4.x in the past

Прочитал всю ветку, но не встретил аналогичной проблемы:

5.1.7 - 6.0.1
Проблема одна и та же для всех версий - "висят" соединения с таймаутом 24 часа, много соединений.. все к удалённым 21 портам.

А в чём причина: локальный веб-сервак с php-сервисом сканирования ссылок http и ftp на доступность. С http всё в порядке, нашёл ссылку и отсоединился, не нашёл - небольшой таймаут и тоже убрался. С ftp всё иначе..
Если для правила поставить protocol inspector на Default или FTP, то сканер находит все включенные компы сети - и с фтп и без фтп, но показывает что у них открыт 21 порт! С соединениями всё ок, быстро разрываются..
Если protocol inspector отключить, то находит именно только FTP серверы, НО у остальных (что находились как лишние в верхнем случае) возникает соединение с таймаутом в 24 часа!!! Пользователей много и таких соединений за день около 500, что жутко снижает производительность сервака (P3-800, 512, Win2k)!

Может кто знает: можно ли установить для юзера не лимит размера, а лимит скорости?

to fronik

Зачем поднимать серверный NAT? Прибей его и используй NAT KWF.

Скачал kerio-kwf-6.0.8-win.exe, он ругается на установленый WinRoute 4.2.4 Чего так, они что не могут работать вместе? В сети 2 ПК, WR обязателен.

Добавлено
Что за прикол. Установил 6.0.8, вылечил, перезагрузил. Ввожу свой пароль, и ошибка: "Cannot connect to Kerio WinRoute Firewall at 'localhost'.
Server application is not running."

Добавлено
Ошибки больше нет, перезагрузка помогла. Но вот на клиенте Интернета нет. Клиент к серверу подключен через сетевую плату, а сервер через сетевоу карту к ADSL модему. Как это все настроить?

Добавлено
Главное, сайты провайдера открываются(www.alkar.net), а вот yandex.ru или что-то другое нет. Не пойму что и где прописывать. При WR ничего делать не нужно было

IDreamer


Цитата:

Скачал kerio-kwf-6.0.8-win.exe, он ругается на установленый WinRoute 4.2.4 Чего так, они что не могут работать вместе? В сети 2 ПК, WR обязателен.

имхо - не могут, или 4 версия или апгрейд её до 6.

Fireblast
Я вот одно не пойму, Kerio WinRoute Firewall уже сожержит сам WinRoute, или это два отдельных продукта? И как в Kerio WinRoute Firewall настроить на работу Клиента?

попробуй посмотри там _http://www.nalim.com.ru/kerio/index.html

http://www.nalim.com.ru/kerio/workgroup.html Все проделал как показано. Интернет заработал.

Скажите пожалуйста, ктонибудь на Windows Server 2003 ставил KWF (5.x, 6.x)?
Работает?

Цитата:

на Windows Server 2003 ставил KWF (5.x, 6.x)?
Работает?

Успешно работает уже месяца четыре версия 6.0.1. Но тут вопрос деликатней, нужно спрашивать с какой именно лицензией... об этом - тссс...

нужно перенести настройки KWF на другой сервак - где он их хранит?

Народ, есть еще задача шейпить особо несознательных и не в меру активных пользователей. В KWF все устраивает, особливо кабан. Потому перезжать на что-то другое оснований нет. Сушествуют ли в природе шейперы под винду, которые могут без проблем сожительствовать с KWF? Честно сказать, я их некоторе количество попробовал, но были бока. Может есть у кого успешная практика относительно указанной задачи? KWF не используется как прокси. Но как брандмауэр + роутер. Т.е. речь идет не о квотах, а об ограничении пропускной способности на отдельные IP или их группы. В KWF такой функциональности нет. Пробовал TI - приятная штука, но как всегда, продукт в чем-то выигрывает, в чем-то проигрывает. Править же правила руцями под каждый конкретный случай (permit/deny) - это спортивный подход, не более того...

Народ, стоит у меня уже давным давно винраут версии 4.
решил обновить его до 6 и возник вопрос:
есть ли в шестом mail-server?

Veyron
Сходи на керио, маил-сервер идет как отдельный продукт...