» Kerio WinRoute Firewall

Hrist
Да. Наверху. В понедельник попробую грохнуть правила локалки совсем.

Анекдот: Сегодня вдруг начисто пропал NAT (остался только прокси). А до этого вдруг внезапно пропал прокси (работал только NAT). Помогла только переустановка. Дурдом...

RemComm
Тоесть я так понял тебе плевать кто лезет в инет с сервера , вроде зачем если всё работает . Странная модель безопастности . KWF стена серверная по определению , иначе зачем NAT , Proxy и тд .

CWG
Я солидарен с RemComm и считаю что такой функционал проги, подобные KWF, не имеют по определению. Им он не нужен, поскольку на серваке с файером никаких левых программ запускаться не должно. Отсюда и анализировать нечего. Что касается прог, запускаемых на машинах клиентов локальной сети, то какая разница стене что за прога ломится в закрытый порт? Анализ этого - не ее дело.
Что касается упомянутого Outpost-а, то он - персональный файер, для которого эта возможность действительно не является лишней.
Так что вряд ли когда в обозримом будущем у трафиковых файеров появится такой функционал.
ИМХО конечно...

mozers
Вот смотри сам , керио стена под Win , в Winе куча преложений которые очень любят интернет , причём тебе об этом никак не узнать в этом случае . С Outpost всё понятно , вот приложение , вот адрес , вот порт , всё как на ладони . Если ты не контролируешь приложения то это явная дыра , так как любой троян или ещё какой модуль сам себе хозяин и ходит куда хочет в любое время .

CWG

Цитата:

любой троян или ещё какой модуль сам себе хозяин и ходит куда хочет

Не надо подменять понятия. Никто никуда не ходит (если порты перекрыты).
Анализ активности приложений - совершенно другая задача и стоит ли ей заниматься файеру вопрос скорее филосовский.
(Спор тут имхо - бесполезен - у любой стороны найдутся доводы... А толку?)
Если тебе очень нравится Outpost, то никто не мешает отрубить встроенный в прокси файер и использовать вместо него Outpost. У моего друга давно уже работает связка UserGate+Outpost, я некоторое время эксплуатировал связку WinGate+Outpost и WinGate+VisNetic. Правда в работоспособности связки KWF+Outpost у меня большие сомнения. Мой короткий печальный опыт подсказывает мне что тормознуть файер KWF практически невозможно. Может быть я и ошибаюсь...

CWG

Не все равно... Вопрос в том, что для керио клубоко пофиг, что там стоит - серверная ось или клиентская, винда или линух или еще чего. Для него существует только одно определение - клиент сети, куда раздается траффик. И практика показывает, что среди множества всевозможных конфигураций оправдывают себя лишь те, где стена установленна на отдельной машине и выполняет функции шлюза онли!

А на шлюзе ничего лишнего акромя самого шлюза крутиться не должно, ибо дырка. А даже для самого шлюза правилами можно переткнуть все, что угодно. Я разрешаю шлюзу ходить на винапдейт в то время, когда мне охота установить какой-нить апдейт. При этом я знаю, что сам шлюз в иное время никуда ходить не должен, ибо зачем? А все остальные хосты ходят в нет согласно установленным правилам. А контроль вирусов/троянов/спайваре/етц - это задача не для стены. Стена должна быть просто хорошей стеной, а не 37 в 1... На функционале керио у меня за пол-года пользователями не поймано ни одного виря/трояна/етц не смотря на огромное желание с их стороны.

А вопрос, является ли KWF серверной стеной... Хм... Если я на W2K Pro профиксил лимитейшн на 10 соединений до 20000 и поставил KWF с одним интерфесом наружу - это серверное исполнение или клиентское?

Добавлено:
Да, еще небольшое дополнение - несколько раньше я писал про проблему с фильтрацией контента.

С проблемой разобрался. Проведя многократные установки начисто и как обновление добился четкого воспроизведения проблемы при определенных условиях. Собственно проблема возникает при обновлении(!) 6.1.1.419 до 6.1.2.603. С чем связано - не выяснено. При установке начисто проблема пропадает.

mozers
RemmCom

Я просто тему не до конца развернул видимо . Итак пример "из жизни" . Ставим керио , нагружаем его работой , тут же видим никакой пользовательской активности нет но траффик уходит , анализируем , выясняется что за 10 минут работы в интернет вылазили IE Outlook и ещё кучка всяких прог . Вопрос , чё они там делали и почему я об этом ничего не знаю , меня подобная самостоятельность пугает . Лазили все абсолютно легально по порту скажем 80 открытым тобой для раздачи инета . Как бороться с данной проблемой ? Считаю что контроль приложений вешь не менее необходимая нежели сама стена или антивирус . Могу вывалит список запрещённых приложений накопленный мной за полгода работы с Аутпотсом , так чисто для примера .

CWG

Видимо это я не вполне доступно обьяснил.
Поправлюсь наводящим вопросом: каким образом, без действия пользователя запускались те самые ишак, аутглюк и еще куча прог на той машине, где они по определению запускаться не должны?

Если это случай совмещения десктопа и гейтвея - то это в корне не верно.

Не надо вываливать список запрешенных приложений. Так же не надо ставит KWF туда, где он по определению не должен стоять - в данном случае это десктоп, за которым перманентно работает пользователь. KWF позиционируется именно как многофункциональный шлюз, а не как персональнай файрвол. Именно поэтому керио выпускают иную софтинку, которая именуется и позиционируется именно как персональный файрвол. И там реализован соответствующий функционал контроля приложений. Раскрывать понятие "шлюз", полагаю, не надо?

А то ведь известны и более оригинальнве конфигурации - DC и gateway на одной машине интерфейсом наружу... В случае пободных конфигураций о безопасности приходиться говорить исключительно ради разговора о ней, а не ради ее обеспечения.

ЗЫ: не восприйми, пожалуйста, как попытку обидеть или оскорбить, но это действительно не самая грамотная реализация.

задавал вопрос в сисадмине. не дождался - увидел этот топик.
интересует возможность задавть юзерам квоты (1), юзерам видеть использованный траффик (2), ну и собственно реалтаймовость всего (3). а то в ИСЕ (которой сейчас пользуюсь - отчеты генерятся на след. день - что очень неудобно, а квотирование делается сторонними продуктами...

Hi
Anyone please write for me working rules with Bitcomet.

Thx

RemComm

Цитата:

каким образом, без действия пользователя запускались те самые ишак, аутглюк и еще куча прог на той машине, где они по определению запускаться не должны?

Эти ребята обладают потрясающей самостоятельностью , вроде вылетела какая нибудь ошибка а ишак уже ломится к своим в интернет . Один Билл знает чего там понакрученно . Такая же ситуёвина с многими прогами в винде , я даже не знаю зачем проги в моих "запрещённых приложениях" лезли в инет , видимо реагировали на какое-то системное событие или ещё зачем . В общем запускаются они сами , а так как Вин это IMHO один большой spyware , то от таких ходоков надо обороняться .
В моём случае квартирной сети , ситуация относительно сложная . Емею три компа : сервер и два клиента . За всеми тремя будут работать , в случае с сервером относительно редко . Видимо придётся использовать связку Outpost + WinGate .

CWG

То что ты описал - все конечно интересно, но важно только:

Цитата:

Емею три компа : сервер и два клиента . За всеми тремя будут работать , в случае с сервером относительно редко

по этому вопросу я уже выразил мнение...

KWF не решает таких задач, ибо не предназначен для этого.

Вопрос такой:
Наскока я понял в KWF различные прокси (кроме HTTP:3128) отсутстуют как класс (разработчики решили что NAT-а достаточно)?
Или я туплю???
Я б, например, мечтал о FTP и SOCKS прокси...

у меня машина с KWF используется как админсткая..
конечно не правильно но другого выхода нет...
и собственно проблем с софтом который щемится в инет тоже... просто закрыто и всё тут.. прописал в качестве гейтвея свой же комп.. и правилах поставил
firewall -> internet DNS permit для того что бы другие то могли работать и не более ..
вот и всё... больше ничего на машине с Керио в инет не выходит..
а софт он и не должен отслеживть..
представте себе если в сети 10 машин и у каждого свой софт ... а если их 100 или 1000 а?
кто то пользуется одним кто то другим..
люди правильно сказали .. это серверное приложение.. ему это не надо..

если хотите контролировать активность .. так ради бога ставте какой нить домашний на клиентские машины..
а работать в инете на машине с KWF это не то.. совсем... IMHO

mozers

Нет у него ни socks ни FTP прокси. Тут ты прав.

Мне необходимо в WinRoute 6.09 сделать так:
- запретить все сайты всем пользователям;
- разрешить некоторые сайты некоторым пользователям.

Сделал два правила: первое разрешает доступ и второе запрещает - как я описал выше. Но так работает не правильно - все сайты блокируются.

А как это сделать?

может правила порядком поменять?
а то сначала применяется разрешающее, а потом запрещающее и результат такой.

Цитата:

может правила порядком поменять?

Менял местами - то же не работает. Может это глюк версии 6.09? Хочу перейти на версию 6.12.

День добрый уважаемые...
Возник небольшой проблем... или может быть я туплю...
Раньше никаких проблем небыло с Винроутом, а сейчас чё-то невыходит нифига... Итак проблема:
Есть 2 сетки - 192.168.2.x и 192.168.3.x, есть канал между ними. Хочу организовать чтобы эти сети видели друг друга. Есть 2 машины с Винроутом - 192.168.3.116 и 192.168.2.116. Организовал Vpn туннель между ними - пишет Connected на обоих.
Что должно быть прописано в правилах? Про инет обсуждать небудем - просто с соединением бы разобраться....
В доках написано всё просто... Пытался просто сделать по ним - невыходит... даже непингуют друг друга шлюзы(как внешние так и внутренние адреса)...
Да и чего должно быть прописано на других машинах? просто шлюз 192.168.x.116? Винроут 6.1
заранее благодарен...

напоминаю адрес бесплатного анализатора логов http://www.wrspy.ru
я его несправедливо забыл - пользуясь ломаным проксиинспектором
а тут понадобилось точно узнать какой файл с сайта и когда точно качался пользователем - поставил врспай - и быстро узнал (кстати он куда больше трафику насчитал на пользователей чем тот же проксииспектор)

Возник проблем, с которым сталкнуться совсем не ожидал.

Есть комп Win2000 на нем Винрут.
Два интерфейса. Один смотрит в инет 212.12.х.х
Другой - локалка 192.168.0.30.

Нужно всего-лишь, чтобы пакеты из инета по одному порту перебросить в локальную сеть на IP 192.168.0.3.

Сделал как сказано в инструкции (создал портмапинг с интернет адаптера до хоста Винрута на адрес 192.168.0.3) - И НИХРЕНА НЕ ПАШЕТ.

При этом если сделать портмапинг не на IP 192.168.0.3 а на IP локального сетевого интерфейса, а затем портмапингом с него с помощью Юзергейта до 192.168.0.3 то все пашет.

Никак не пойму где грабли.

xzotik
Как тута часто грят: правила в трафик полиси в студию!

1 Service Клиент IQLA Firewall Клиент 192.168.0.30

2 ICMP traffic Firewall Any Ping

3 NAT Ethernet IOLA Any NAT (Default outgoing interface;

4 Local Traffic Ethernet Ethernet
Firewall Firewall Any
VPN clients VPN clients

5 Firewall Traffic Firewall IOLA Any

6 Service Kerio VPN IOLA Firewall kerio VPN

7 Ident IOLA Firewall Ident Deny
8 Default rule Any Any Any Deny

Как через реестр сбросить запрос пароля при деинсталяции клиента?

Я так понимаю, что трабла с таблицами роутинга.
Но победить эту хрень никак неудается.

Почему антивирь McAfee находит какие-то непонятные вирусы в папке
C:\Program Files\Kerio\WinRoute Firewall\tmp\eicar.tmp => eicar.tmp.Vir?

Как через консоль установить возможность разных настроек для Клиентов?

Preston
Потому, что это тестовый файл для проверки встроенного в Kerio антивирусного модуля. Выбрасывается при инициализации этого модуля. Если ты его используешь, исключи из мониторинга своего обычного антивиря следующие пути:
C:\Program Files\Kerio\WinRoute Firewall\tmp и
C:\Program Files\Kerio\WinRoute Firewall\Qarantine

иначе сканирование трафика нормально работать не будет

Kanev75
Краткость конечно сестра таланта, но не в данном конкретном случае...

Возник тут еще один вопрос. Стоит на серваке этот Kerio, на машине пользователя почта почему-то работает только по протоколу POP3, т.е. только входящая, а вот исходящая никак... Что мне поправить в настройках?
И почему на самом серваке если пользоваться выходом в инет, то Kerio его блокирует? В пользователи добавил клиента с IP-шником сервера...

Preston
Значить што-то в политиках перемудрил. Для того чтобы был доступ с самого сервака в инет нада прописать в политиках разрешение для фаервол хост...
Вааще, запости лучше свои политики - там видно будет. И сходи на _http://www.kerio-rus.narod.ru/ там хорошие и наглядные инструкции по настройки политик...