» Kerio WinRoute Firewall

На серваке стоит керио и поднят ftp если лезть с инета на мой фтп, то логинится норамльно но при попытке ввести команду LIST, тихо и мирно висит минуты 2:
ftp> ls
200 PORT command successful.
потом отваливается с такой бякой:
425 Can't build data connection: Operation timed out.

В траффик полиси и ftp полиси всё разршено. Антивирус отключал - не помогает.
Исходящие на любой FTP заканчиваются тем же самым.

Hrist
Смотри ПМ и проверь почту. Пишет что, невозможно отобразить страницу. Как прокси отключу в IE - все отлично работает.

Я обновился с версии 6.0.9 до версии 6.0.11. Никто не сталкивался с такой проблемой: при отрытии некоторых страниц стало выводится "Requested method is not allowed" This message was created by WinRoute Proxy. Это возникает, например, при ответе на чье-либо письмо в ПМ. Может быть это проблема IE, но когда, раньше была версия 6.09 такой проблемы не было

Evgeny_Sorokin возможно ваш ftp пашет в passive mode или сам клиент прется в пассивном режиме, а порты выше 1023 у вас закрыты и фост не может создать сокеты

Mushroomer
Ussss я ступил... не прочитал внимательно про галку в ИЕ дляработы с непрозрачным прокси...

Так вот... да - на непрозрачном прокси не пускает на нестандартные порты... у меня то же самое...

Но! полазиф в гуугле я нашел - http://www.kerio.net.ru/forum/viewtopic.php?t=94&sid=70599128d811a04ab63ddcbeee37ce72

и там написано

Кстати, не заметил в какой версии это появилось, но в 6.0.9, в настройках прокси сервера есть опция "Allow connection to any TCP port". В доке я про эту опцию ничего не нашел, возможно эта галка тебе поможет.

Это помогло -все залетало и на непрозрачной проксе!

Hrist
Огромное спасибо. Подумать только, всего одна галка Configuration -> Content Filtering -> Http policy -> Proxy Server -> Allow connection to any TCP port и все заработало.

Вопрос по проксе. Тут много читал и понял, что непрозрачная прокси нафиг не нужна. но он нужен для анализа логов прокси инспектора. А для webspy analizer нужен прокси? или достаточно, что логи винрут пишит?

Artem12577
не все проги с НАТом работают нормально...
Иногда хочеться настроить на инет только одну прогу - но не дать возможности стучаться в инет всему компу...

по НАТу можно настроить логгирование в логах коннект и анализировать проксиинспектором фор винрут - причем это нужно только для ФТП т.к. для ХТТП он и по НАТу пишет логи если включена авторизация...... а вот будет ли эти логи разбирать вабспю - не знаю... (прокси инспектор то только недавно научился эти логи нормально смотреть)

Могу ли я с помощью файрвола назначить ограничение скорости (исх/вхд) на конкретное приложение из максимально допустимой скорости соединенияи к интернет? Допустим есть канал 10 кБ/с. Надо чтобы на IE ~ 2 кБ/с, Reget ~ 8 кБ/с.

Preston

Нет, такого в Винруте точно нет, есть спец. проги, которые этим занимаются, но их надо ставить на каждой машине отдельно.

как с домашнего ПК через обычный модем подключаться к модему установленному на шлюзе с последним Винрутом и выходить через него в Интернет? Шлюз в домене, права админа и входящие подключения в 2003 виндах настроены, интересуют настройки в винруте (интерфейс дуал-ап разрешен в правилах)

netvoron
нужно как я понимаю (сам не пробовал) настроить впн подключение - что бы он пднимал трубку при звонке на момед и создавал соединение и маршрутизацию пакетов.

All
Не было ни у кого такой ситуции: набираешь в IE какой-то адрес - вылетает "DNS lookup failed. This message was created by WinRoute Proxy". Нажимаешь Enter (типа еще раз зайти по данной ссылке) - все работает. Версия Kerio WinRoute Firewall - 6.09.

Mushroomer
постоянно такое повторяеться... и на всех версиях... еще с 4ой начиная...
как я понимаю просто время отклика днс у сервера меньше чем нужно kwr-у
и он не дождавшись выдает такое....

Добавлено:
причем при использовании непрозр. прокси чаще... при НАТе меньше

Preston
поставь Net Limmiter - он это прекрасно делает

А вот есть такой вопрос, где отключить (подстроить) реакцию Керио на сканирование портов, которая блокирует сеть (или частично блокирует). После чего сеть работает плохо или совсем замирает на некоторое время.
Как отключить это дело и в каком месте?

Народ - подскажите где грабли
сабж версии 6.1.1 build 419
У юзеров (их 15 штук) стоит лимит на ежедневный Download 8мб, авторизация через Web
У 13 юзеров все в порядке, а у двух постоянно на странице статистики орет, что квота превышена, хотя они ничего в этот день не качали. настройки у всех 15 абсолютно одинаковые.
Уже и убивал этих юзеров и заводил аккаунты по новой - та же фигня...

Похоже что это баг версии 6.1.1 build 419
http://forums.kerio.com/index.php?t=msg&goto=24365&S=c2bd5e5597086fca44e824c87404aa63&srch=quota#msg_24365

SLSL

Цитата:

А вот есть такой вопрос, где отключить (подстроить) реакцию Керио на сканирование портов, которая блокирует сеть (или частично блокирует). После чего сеть работает плохо или совсем замирает на некоторое время.
Как отключить это дело и в каком месте?

возможно тебе поможет Advanced Option - Securiti Setting - убрать галку Anti-Spoofing

а вообще проще и вернее будет исключить локальные интерфейсы из слежения керио -
Zamp
НАПИСАЛ
Обнаружил, что если в конфиге прописать для локальных интерфейсов
<variable name="FirewallExclude">1</variable>
то не только исчезают тормоза и загрузка процессора при интенсивной работе локальной сети, но и появляется возможность вообще убить правила для локального трафика (они все равно не работают), что дополнительно разгрузит проц.

Hrist
Гмм..., антиспуфинг отключен, в правилах провбовал делать все и всем (any any) (безрезультатно).
А вот конфиг подправить попробую

Kerio WinRoute Firewall 6.1.2
http://download.kerio.com/dwn/kwf/kerio-kwf-6.1.2-603-win.exe (21 Мб)

Да... Только поставил WinRoute и сразу же ощутил тормоза при работе локальной сети. С RAdmin-ом вообще работать невозможно (жуткие тормоза).
Зашел сюда - вижу что про трабл то этот все знают...
Hrist
Совет хороший. Хоть маленько стало можно дышать.
Но, увы, лишь маленько Полностью проблема не исчезла.

Билин... Помучаюсь недельку и опять WinGate поставлю.
снес то по дурочке - не смог найти микстуру для антивируса

Version 6.1.2 - September 7, 2005
+ Russian translation of all user interfaces excluding admin console
+ Admin console now warns if a new traffic policy could disconnect it
+ All domain controllers may now be detected automatically
* Windows Update HTTP rule was changed to work with current Windows Update
- Wrong HTTP rules were sometimes applied immediatelly after user login
- Possible crash after deleting user's statistics
- Possible crash when in lack of system resources
- Certain combination of routes to VPN tunnels could cause 100% CPU
- Changing 'VPN Tunnel' to 'VPN Clients' in Traffic Policy could corrupt configuration
- Scripts/ActiveX filtering often corrupted pages
- Newly created group could be assigned wrong rights
- Nested AD groups didn't work properly for primary groups
- Account used to access AD database did not suppor non-ASCII characters
- Quota counter was is not reset at the end of its time interval
- Quota was not applied immediatelly when reached, only after several seconds
- Mail temporary files were sometimes left on disk
- Cannot open folder in SSL-VPN if its name contained an ampersand (&)
- Admin console runtime error when deleting address group
- "Error: function called with invalid parameters" when killing connections
- Changes in configuration of users were not logged into config log
- HTTP log did not log username for all requests
- P2P alert message sometimes showed innocent ports
- Gzip encoding for HTTP servers in LAN was always turned off
- Parent proxy password was unencrypted in configuration
- VPN was not able to deliver very small fragmented UDP packets
- Hibernation was not allowed even if VPN is not installed
- Sometimes connection failover alert might not be sent
- Alert messages in Spanish and Slovak were displayed as plain text only
- Update checker didn't indicate failures

Changes in Kerio VPN Client:
+ Russian translation
- Autoconnect only works for the first server in advanced mode
- Taskbar notification area messages were incorrectly formatted

Неужели и на нашей улице перевернулся грузовик с апельсинами ! :
- Quota counter was is not reset at the end of its time interval
- Quota was not applied immediatelly when reached, only after several seconds
+ Russian translation of all user interfaces excluding admin console

Нашел ресурс полезный. Добавил в шапку.
(Только не советовал бы все, что там написано воспринимать как истину в последней инстанции...)

А кто-нить уже 6.1.2 поюзал?

У всех ли поюзавших корректно работает WWW content scanning? А то видьмо я маленя перегрелся: После перехода на нее Яву как отрезало... Все теги <script меняются на <!--ipt и хоть че ему делай... Любая комбинация флажков игнорится безапелляционно. Debuglevel=4 и в логах тишина.

В чем грабли?

ЗЫ: таки баг в протокол-инспекторе HTTP (ептыть - дайте две). Лечится отключением оного. Нашел на форуме керио. Прийдется откатываться, а фиксы то полезные...

RemComm
гм... ч зачем сие? никогда это не пользовал...

Добавлено:
mozers
а правила локалки наверх задвинули - на самый самый?
некоторые говорят что после правки конфига вообще можно их удалить...

Hrist

А это такая штука полезная... Когда босс желает в чате баб разводить, и чтоб странички с DHTML у него красявые были, а по корпоративному секюрити полиси яву из внешних сетей разрешено только с апрува специальной инстанции (ну, типа по маленькому - не возражаю). А босам типа всегда и все положено... Так эт штука позволяет сказать кому дать скриптов и всяких других объектов, а кому шишь.

Поздравляю всех с русским интерфейсом . Но вот вопрос , неужели в такой большой и мощной программе не нашлось места для скромного контроля приложений . И как вы тогда его реализуете ? У меня в ХР даже "сапёр" в интернет просится . Приходится на сервере держать Outpots , совсем не серверную стену

CWG

А ты как-то нашел способ контроллировать приложения на удаленных машинах по отношению к KWF? Который тоже совсем не серверная стена... Серверная стена - есть отдельный продукт для этих целей

RemComm
Я про приложения на самом сервере , на клиентах есть локальные стены . IMHO KWF гораздо более серверная стена нежели Outpost .

CWG

Ежель на машине крутиться KWF, то это по определению шлюз, а значит ничего левого там крутится и не должно. имхо KWF более пограничная стена чем серверная.