» Kerio WinRoute Firewall

jtjoker
Сними вааще с них галочки. Если ты и так это все разрешил.
И такой вопрос - он у тя где стоит - на машине с WR или на клиенте? И через что FTP идет, через проксю или через NAT? Если это клиент из сети, надо шоб он шел через NAT? проблем не будет. Лучше всего запости все свои политики.

crapaud
Флэшгет стоит на машине с WR. Скачивает по http протоколу.
Политики вот:

Подскажите, как пользователям в локальной сети в Винроуте в.6.0.11.0 забирать почту с почтовых ящиков минуя почтовый сервер Винроута?
И еще, поддерживается ли докачка в вышеупомянутом Винроуте?

jtjoker
чаво-то не открывает у меня твой рисунок - рамка одна...
Adrew_Kin
а не спутал ли ты с керио майл сервером? у винрута нет своего сервака почты. Для того, чтобы клиенты без проблем забирали почту из инета с бесплатных серверов и отправляли нада протоколы POP3 и SMTP разрешить в WR в политиках на NATе.

Спасибо! Проблему с почтой решил. А докачка похоже не поддерживается.
Скажите пожалуйста, какие версии пожжерживают? А то диал-ап обрывают без предупреждения и перекачивать заново файл большая проблема.

Adrew_Kin
Ну с докачкой почты не знаю....Можт если активировать непрозрачный прокси на 3128 порту и соответственно кешированеие на нем включить... и качать POP3 через него... можт и прокатит. А вааще протокол pop3 докачку походу не поддерживает, эт ж не FTP... поставь лучше себе ADSL, раз у тя письма такие огромные

Возможно меня не правильно поняли. Имеется ввиду докачка файлов менеджерами закачек.

Adrew_Kin
Ну об это я уже объяснял jtjoker. Не знаю, че у него не получилось. Если менеджер закачек стоит на машине с керио, то достаточно отключить встроенный в керио антивирь и убрать ограничения в FTP политиках. Ну и разрешить FTP в политиках безопастности. Для того, чтобы сетевые клиенты тоже могли использовать менеджеры закачки, докачку и скачивание несколькими кусками дополнительно открой FTP через NAT, так же как с почтой.

Kerio WinRoute Firewall 6.1.0 RC1

Цитата:

Latest Changes:
- Transparent user mapping in Active Directory domains
- Support for multiple Active Directory domains
- Customizable routing configuration for VPN tunnels
- Server certificate validation in VPN clients
- Kerio Clientless SSL-VPN

http://download.kerio.com/dwn/kwf6-beta.exe

мдя... новая версия а новго как кот наплакал...
лучше бы отчеты нормальные сделали и нарезку скорости канала... :(((

Hrist
Это они тока ПЛАНИРУЮТ! не то што бы даже планируют а испрашивают общего мнения делать или не делать?? балбесы.. сырой продукт...изначально. Помню Tiny Winroute был..так таа придраться не к чему было..а как Kerio перекупила сабж и началаса гонка за фишечками новомодными..а функционал и качество работы - пофигу.. по инерции все еще сижу на сабже.. надолго ли хватит не знаю. Они бы свой талант што вкладывают в защит - вкладывали бы в латание дыр...и прислушивались бы к мнению и пожеланиям народа.. идиоты.

Сорри за оффтоп.

Всезнающий all, подскажите, есть ли какие-то плагины для сабжа, пишущие очень подробные логи о юзверях? То есть, все, что идет от юзверя - все пакеты - записывать в логи. Включая даже заголовки.

Eugen3d
сабж "понимает" только антивирусные плагины ето рас.. и второе..а чем тя в логах окно debug не устраивает? правую кнопку на ём нажми..тама в меню будет Messages и в них ставь нужные галки ёпруст..

Serg0FFan
Шпасибки! Думал все так просто, а нет - там еще правая кнопка мыши решает. Благодарю!


Добавлено:
Раз уж на то пошло - можно ли как-то отслеживать по логам, что бы юзвери у себя не ставили прокси и не давали доступ другим компьютерами?

Eugen3d
Хм....вот уж не знаю..наверняка можно. по хедерам запросов судить..может быть.
Но что мешает юзеру его поменять? Ваще штобы юзеры ничего у себя не ставили нужно ставить 2000/ХР им и систему прав использовать..т.е. простой юзер не имеет права ничего устанавливать и т.д.. только админы... ну ето уже оффтоп ето не здесь такие вапросы задвать надо.

Ребята помогите ламаку.. Стоит winroute 4.2.5 русский, правила все стандартные, привожу ниже, облазил все форумы, все перечитал про настройки, и никак не могу настроить ICQ.. уперся уже, сил никаких нет.. А очень нужно.. Если кто знает как помогите пожалуйста... ICQ стоит 2003b. Очень прошу..
Где *.*.*.* Ip кот смотрит в инет
Входящие
источник любой узел протокол TCP порт =110 на адрес *.*.*.* разрешены - разрешили получение почты
источник любой узел протокол TCP порт = 80 на адрес *.*.*.* разрешены - разрешили инет
источник любой узел протокол TCP порт = 5190 на адрес группа адресов кот разрешена аська порт >1024 разрешены - разрешили аську на определенные IP
источник любой узел протокол UDP порт = 53 на адрес *.*.*.* по протоколуUDP порт > 1024 разрешены
источник любой узел протокол UDP порт = 53 на адрес *.*.*.* по протоколуUDP порт = 53 разрешены
источник любой узел протокол UDP на адрес любой узел по протоколуUDP запрещены
источник любой узел протокол TCP на адрес любой узел по протоколу TCP потры < 1024 запрещены
источник любой узел протокол TCP на адрес любой узел по протоколу TCP только при установке связи (флаг SYN) запрещены

Исходящие
С группы адресов (которым разрешено отправлять почту) с портов больше 1024 на *.*.*.* на порт 25 разрешено
источник *.*.*.* протоколTCP порт > 1024 на адрес любой узел порт =80 разрешены - разрешаем инет
источник *.*.*.* протоколTCP порт > 1024 на адрес любой узел порт =110 разрешены - разрешаем получение почты
источник группа адресов которым разрешена аська протокол TCP все порты на адрес любой узел порт = 5190 разрешены
источник группа адресов локальной сети протокол TCP на адрес любой узел запрещены

Привет Всем

Прочитал половину топика но ответа не нашел. Может кто-то сталкивался с этим, если да то расскажите плиз:
Ситуация такова, есть безлимитный трафик на скорости 256 Кб/с по выделенки на нем стоит KWF 6.0.9 и там же развернут на его базе VPN сервер. Есть удаленная точка, которая подключается на этот сервер, помогите настроить ICQ через VPN сервер чтобы аська ходила по тому трафику. Инет ходит просто замечательно, а аська отказывается, что нужно указать в аське и в полисах KWF чтобы убрать трабл.
P.s. с сети основной точки аська замечательно конектится. С удаленной точки если по прямому соединению с инетом тоже, чудненько, а по VPN не хочет. Народ кто так делал отзовитесь, плиз.

Подскажите как в Винроуте сделать такую схему:
В определённое время у юзера лимит трафика, в остальное - лимита нет?
Винроут настроен распознавать юзеров по IP и в свойствах юзера лимитируется трафик.

spetiolizer
не встречал у винрута такой приблуды... с биллинговой системой у него проблемы - до сих пор даже отчеты нормальные не делают... тут выбор - или защита или другой продукт с хорошей тарификацией но фиговой настройкой защиты..
Garic30

Цитата:

Ребята помогите ламаку..

хотел написать про скриншот трафик полици и у видел что версия то у тя сааавсема другая %)

кстати тут не ветка 4.2.5 - это по сути и организации совсем другой продукт...

и кстати у меня аська ходит по 5190 порту socks5

Скжите а кто нибудь ставил Winroute 6 с IPSec? Проблема вот в чем не могу заблокировать исходящие HTTP FTP даже если поставить выше всех правил все равно все лезут куда хотят .... Причем в Winroute 4 и OutPost наапример все нормально блокируется .... такое ощущение что он внутри IPSec тунеля пропускает весь трафик

товарищи модеры! не хотите вынести в отдельную тему Kerio SERVER Firewall? а то прям не знаю куда вопрос кинуть..

Люди! Я чего-то туплю после вчерашнего!!! Как мне в 6.0.11 KWF с NAT без VPN сделать невидимой локалку из инета, подключение через сетевуху? И еще, где можно проверить безопасность сетки извне?

Объясните чайнику, что такое "DNS lookup faild" и как это побороть? Операционка на сервере Винроута XP Home. DNS настроен на автомат.

Adrew_Kin
В старых версиях сабжа DNS падал... версия у тя какая?

Скaжите а кто нибудь ставил Winroute 6.0.8 с IPSec? Проблема вот в чем не могу заблокировать исходящие HTTP FTP даже если поставить выше всех правил все равно все лезут куда хотят .... Причем в Winroute 4 и OutPost наапример все нормально блокируется .... такое ощущение что он внутри IPSec тунеля пропускает весь трафик

rules

firewall > any > ping > permit

firewall > ipsecserver > ike, ipsec > permit
ipsecserver > firewall > ike, ipsec > permit

firewall > Network connected to internet > https, pop3, smtp > permit

ну и дефолтное правило типа все остальное дроп

Да если самым первым правилом поставить

firewall > any > http > drop/deny эффекта 0

а если то же самое только вместо HTTP поставить any то соответственно все нормально блокируется. Мож я че туплю?

Цитата:

В старых версиях сабжа DNS падал... версия у тя какая?

Версия 6,0,11

Вынь 2003 сервер, родной брандмауер отключен.
Через НАТ ходит всё и все, а ФТП отказывается. Используется одно правило для всех протоколов - пускать всех из внутренней сети во внешнюю сеть через НАТ по любому протоколу.
В логах пишет, что пакеты на ФТП улетели, н не получен ответ. Может это баг самого НАТ, он не ретранслирует адрес обратно по ФТП протоколу? Но на свой ФТП зайти могу без проблем, он находится на той-же машине, что и Керио. В чем грабли не могу понять? В политиках ФТП тоже стоит все для всех и когда угодно.
Помогите плиз, гибну.

Dikiy Tema
Запости все свои правила, лучше всего скриншот. Тада будет все понятно.

Version 6.1.0 - June 23, 2005

Major new features:
+ Transparent user mapping in Active Directory domains
+ Support for multiple Active Directory domains
+ Kerio Clientless SSL-VPN
(web-based secure access to network shares in LAN)
+ Customizable routing configuration for VPN tunnels
+ Spanish localization

crapaud
Как мне приаттачить файл?
или давай на мыло скину
Вот что мне пишет в логах:

filter:
[23/Jun/2005 13:45:38] PERMIT "NAT" packet from Local, proto:TCP, len:40, ip/port:192.168.100.185:3069 -> 192.151.52.187:21, flags: ACK , seq:1527224621 ack:2508859006, win:65473, tcplen:0

connection:
[23/Jun/2005 13:47:14] [ID] 567994 [Rule] NAT [Service] FTP [User] Admin [Connection] TCP 192.168.100.185:3066 -> hpat951.external.hp.com:21 [Duration] 122 sec [Bytes] 0/230/230 [Packets] 0/4/4