» Kerio WinRoute Firewall

Господа!

Подскажите, плз, как отрфильтровать скачиваемые файлы по типу (например, запретить загрузку аудио и видео)?!
FTP закрыт (только через Firewall и с включенным FTP Filter)
HTTP только через Proxy (Firewall)
Очень надо!!! Канал лимитирован по объему трафика, а я только вторую неделю с WinRoute!

gvi2004
А что в правилах Ftp Policy стоит? Закладка Configuration -> Content Filtering. Там ведь по дефолту стоят ограничения для скачивания mp3 и avi, только галочку поставить и все.

У меня проблема осталась: как настроить, чтобы исходящая почта через The Bat работала? С входящей проблем нет.

Preston
а в чем проблема? у меня работает. Правда если посылаешь файл с приличным по размеру вложением, то некоторое время тупит, но все равно отправляет.

Кто-то может подсказать как зайти на машину закрытую Kerio из под FreeBSD?

Spiki
Зайти локально или удалённо? Если удалённо то никак. тока если свалить каким то образом сервис этого самого керио.. а локально..да тоже наверняка никак.. если всё грамотно настроено.

crapaud
Я не знаю почему, в настройках сервиса абсолютно ничего не менял. Может все-таки связано с конфигурацией самого Бата??? А по поводу того что тупит, так это видимо то, что Kerio сначала скачивает себе в кэш, проверяет и посылает на твой почтовик.

Preston
Хм.. м том-то и дело, что проверку SMTP я отключил, так что проверять ему вроди нечего... однако все равно тупит. А какие-нить другие почтовики не побывал использовать? Как они работают? Еще был у меня такой глюк с почтой. Уже аутглюк экспресс не хотел ни отсылать ни посылать письма. Оказалось, проблема в антивирусе на машине клиента - там еще стояла дополнительная сквозная проверка http и POP3 с SMTP (IMON NOD32). Так вот, если отключаешь проверку на вирусы только на фаере - все идет. Если на только клиенте вырубаешь IMON - тоже. А вместе - нифига! Причем если ставишь Бат - все идет (но там по тех. причинам должен стоять именно OE) . Вобщем отключил я там локальный монитор почты и все запахало. Если на самом хосте фаера включить этот монитор - то сам керио ругается - дескать они не могут работать в месте - тут все понятно... но на клиентских машинах?...
Вобщем смысл в чем - можт у тя действительно конфликт каких-нить антивирей между собой происходит? Я уж думаю, в политиках там протупить сложно...

Гуру памажите!!!
Имеется локальная в сеть, в ней 3 компа моих. У каждого из них свой постоянный ip в сетке.
На одном из них получаю инет по VPN из той же сети. У него имеется ip в инет( по VPN) а также внутренний(в сеть).
На нём же стоит http-сервак.
Чтобы отдать инет остальным двум свом компам поставил winrout 6.
Инет отдаю через прокси.
Проблем такой. Если я ставлю авторизацию при соеденении к прокси, то http-сервак не видно из локалки.
Если не ставлю - видно, но есстественно любой желающий может воспользоватся моим прокси для выхода в инет,
что нежелательно так как траффик не самый дешёвый
Из инета доступ к нттр есть всегда, создано правило интернет-фаервол- пропускать нттр.
Как сохранить авторизацию при подключении к прокси при этом оставив свободный доступ к http-серваку из локалки.

подскажите, что прописать чтобы пускало по HTTPS ?

alexvn555
в политиках HTTPS - permit
А вааще вопросы нада задавать по человечески!

Electric
ну создай правило, разрешающее выход в инет только этим 2м компам (по ip)
2 IP host - INET - all - permit - NAT translation
а остальным только вход на firewall host по http
Local network - firewall - http - permit - no translation

только непрозрачный проксик на 3128 порту отключи на всякий случай

Братья! Помогите!!! Кто подскажет - как надо писать ип для того что бы сконектиться с серваком у которого есть общественный ип; шлюзовой ип и у провайдера настроена на шлюз трансляция портов? Естесственно стои керио фаер...

WINNIEPOOH2000
ничего не понятно из твоего выступления. потрудись вразумительно задать вопрос

Есть комп - сервер сетки... На нём стоит роутер от керио. Настроен ВПН. Общественный ип - это ип провайдера. Есть ип на сервере - внутренний ип , присвоенный провайдером... Получается ххх.ххх.ххх.ххх - общественный --- ххх.ххх.ххх.ххх:порт - шлюзовой ип и порт. Провайдер сделал трансляцию на ип шлюза. Что надо вводить в ВПН для соединения?

WINNIEPOOH2000
Или я что-то не понимаю, или одно из двух. Если тебе был выделен конкретный IP твоим провайдером, то этот IP должен быт доступен извне. При этом этот IP должен быть назначен какой-то твоей железяке, будь то сетевая карта, DSL-модем или Wi-Fi. Этот интерфейс обязан быть доступен извне и обеспечиватеся доступ твоим провайдером. Вот его ты и должен указывать в своем коннекте.

P.S. а термины общественный IP, шлюзовой IP и внутренний - это я просто не могу понять, т.к. твоя терминология отличается от общепринятой.

хм.. седни интернет отвалился конкретно... создался файл в корне диска С ZendOptimizer_errors.txt
а в нем [1092] Unable to view file mapping:[487]Попытка обращения к неверному адресу.

пришлось выкл вкл. винрут... запахало заново... странно... раньше такого не было..
КВР стоит 6.1.2.603 (и еще во время глюка заметил в коннектионс - немеряную кучу соединений от компов наших дублирующих одно другое)

Hrist
У мня такая же фигня была на версиях 6.0.х....на 6.1. перестало.. проявлялоса не так уж и часто.. с чем связанно даже не догадываюса..чвота проблемы с памятью наверное со свободной....

Serg0FFan
Это не проблема с памятью. Инет у Hrist отвалился из-за кобиана. Он именно так себя и ведет. в эррорлоги пишет кучу одинаковых ошибок и весь хттп поток стоит, другие потоки (фтп, поп, смтп и тд.) работают.
В этом случае надо просто выключить кобиан и все.

Раньше был 1 выход в инет через модем и все работало, сейчас подключили еще один выход в инет через сетевую карту. Через новую карту можно выйти в инет только отключив старое модемное подключение, а оно нужно для работы почтовой программы. Пожалуйста, подскажите как настроить WinRoute.

vavaka2
Нужно прописать статические маршруты в Routing Tables. Укажи IP адрес твоей почты и назначь, что ходить туда через интерфейс модема, а остальное оставь как есть, т.е. все остальное - через сетевую плату.

Код:
Version 5.0.3 - May 7, 2003
- Interface exclude from firewall sometimes didn't work properly
- More Dial-In clients can now be connected simultaneously
- Fixed line dialing for connections forbidden by traffic policy
- Fixed non-working antivirus after several hours of run
- Fixed possible crash in HTTP protocol handler
- Fixed forwarding of HTTP POST requests to parent proxy
- Fixed occasional dropping of destination NAT connections
- Fixed Cobion "no license" warning message
- Fixed security bug in remote administration
* .pac script now excludes ftp protocol from proxy server
* HTTP cache can now be up to 8GB
* Web titles logged in UTF-8 charset
+ Support for Windows Server 2003
+ FTP antivirus filtering based on filename
+ Customized external commands on dialing events
+ Enhanced content rules settings
+ Ethernet adapter vendor names in DHCP leases
+ Default DHCP options

Цитата:

Вопрос - действительно ли есть ограничение кеша в 2 Гига?

В мануале написано, что 2 гектара для фат16, а для остальных файловых систем, 4.

Accessor
Я читать умею. Меня это "несоответствие" мануала с реальностью и заставило взяться за перо.

6100004
более ничем помочь не могу, т.к. никогда не экспериментировал со столь гигантским размером кеша.

Кто-нить сталкивался с такой проблемой?
Есть тачка с вин 2000. Две сетевухи - одна смотрит в локалку, другая в инет.
Из локалки в Инет все бегает нормально. А вот из инет в локалку не могу сделать ни трансляцию определенного порта ни портмаппинг.
Где грабли?

В данный момент существую проблемы при подключении к спутнику, а именно:

имеем сеть с внутренними адресами вида 192.168.0.1 - 192.168.0.20
На так называемом сервере стоит WinXP и в качестве файервола Winroute 6.0.9. Внутренний IP адрес сервера 192.168.0.1. Через него же все пользователи локалки выходят в инет.
На сервере стоит WWW и Mail сервер.

На данный момент есть два подключения к инету:
1. Наземный провайдер - подключение по протоколу PPPoE, статический адрес, выделяемый при подключении 193.194.153.XXX
2. Спутниковый провайдер Радуга, Intelsa 904 - Подключение по VPN


При подключении только к наземному провайдеру проблем со связью не возникает. И внутренние пользователи в инет лазают и из вне есть доступ к WWW и Mail серверу.

При подключении к спутниковому провайдеру происходит очень странная ситуация: изнутри все работает, а из вне нет доступа к WWW и Mail серверу (вернее нет ответа от сервера), хотя пинг снаружи до сервера проходит.

При более детальном 'расследовании' оказалось что:
запрос снаружи приходит по земле, а отправляется по воздуху (хотя ответ должен так же по земле уходить)

Вот выдержка из лога если подключиться только к наземному провайдеру:
[18/Oct/2005 16:02:14] PERMIT "Service SMTP" packet from Technolink, proto:TCP, len:60, ip/port:217.118.90.1:52317 -> 193.194.153.XXX:25, flags: SYN , seq:413032969 ack:0, win:48960, tcplen:0
[18/Oct/2005 16:02:14] PERMIT "Service SMTP" packet to Technolink, proto:TCP, len:52, ip/port:193.194.153.XXX:25 -> 217.118.90.1:52317, flags: SYN ACK , seq:2193032938 ack:413032970, win:65535, tcplen:0
[18/Oct/2005 16:02:15] PERMIT "Service SMTP" packet from Technolink, proto:TCP, len:40, ip/port:217.118.90.1:52317 -> 193.194.153.XXX:25, flags: ACK , seq:413032970 ack:2193032939, win:48960, tcplen:0
[18/Oct/2005 16:02:18] PERMIT "Service SMTP" packet to Technolink, proto:TCP, len:90, ip/port:193.194.153.XXX:25 -> 217.118.90.1:52317, flags: ACK PSH , seq:2193032939 ack:413032970, win:62560, tcplen:50

А вот если подключиться еще и к спутнику:
[18/Oct/2005 15:55:14] PERMIT "Service SMTP" packet from Technolink, proto:TCP, len:60, ip/port:217.118.90.1:13344 -> 193.194.153.XXX:25, flags: SYN , seq:307690686 ack:0, win:48960, tcplen:0
[18/Oct/2005 15:55:14] PERMIT "Service SMTP" packet to Raduga, proto:TCP, len:52, ip/port:193.194.153.XXX:25 -> 217.118.90.1:13344, flags: SYN ACK , seq:63381972 ack:307690687, win:65535, tcplen:0
[18/Oct/2005 15:55:20] PERMIT "Service SMTP" packet to Raduga, proto:TCP, len:52, ip/port:193.194.153.XXX:25 -> 217.118.90.1:13344, flags: SYN ACK , seq:63381972 ack:307690687, win:65535, tcplen:0
[18/Oct/2005 15:55:23] PERMIT "Service SMTP" packet to Raduga, proto:TCP, len:52, ip/port:193.194.153.XXX:25 -> 217.118.90.1:13344, flags: SYN ACK , seq:63381972 ack:307690687, win:65535, tcplen:0

Интерфейсы можно посмотреть тут http://www.texnopark.ru/winroute/interfaces.jpg
Трафик полиси тут http://www.texnopark.ru/winroute/trafficpolicy.jpg

Так как же мне сделать что бы и инет через спутник работал и сервер был доступен из вне.
Если уже где-то обсуждалось, то сильно не пинайте. Третий день бьюсь с этой проблемой и в инете пробовал искать, но тока немного схожие проблемы у людей а решения нет.

Прошу помочь в столь запутанном деле.

Eugeny_Kosourov

Цитата:

При подключении к спутниковому провайдеру происходит очень странная ситуация: изнутри все работает, а из вне нет доступа к WWW и Mail серверу (вернее нет ответа от сервера), хотя пинг снаружи до сервера проходит.

Это потому, что меняется таблица маршрутизации, в частности строка 0.0.0.0

Цитата:

При более детальном 'расследовании' оказалось что:
запрос снаружи приходит по земле, а отправляется по воздуху (хотя ответ должен так же по земле уходить)

Не должен, смотри таблицу маршрутизации, в частности строку 0.0.0.0
Поможет магическая комманда
route -p add 217.118.90.1 IP_шлюза_на_земле (193.194.153.XXX)

Цитата:

Так как же мне сделать что бы и инет через спутник работал и сервер был доступен из вне.

А никак (с одной машиной). нУжно 2 тачки - одна к наземному провайдеру подключается (через нее извне доступ к WWW и Mail серверу осуществляется), а вторая (с DVB и VPN) будет для всех шлюзом в Интернет.
Возможно, имея 2 внешних IP адреса и правильно настроив таблицу маршрутизации, можно замутить и на одной машине, но не уверен.


Добавлено:
xzotik

Цитата:

Где грабли?

Скорее всего в драйвере кривые_руки.sys
Правила сюда, посмотрим, подскажем.

Странно до недавнего времени хоть как-то но работало!!! с этими же настройками.
Хотя не скажу что стабильно. Дня три нормально, а потом ... перезагрузка компутера помогала.

А на днях пришлось переставить систему заново, и никак..... Еще более странно.

xzotik
ты случайно не за DSL модемом прячешьси?

xzotik

правда похоже на DSL... там нада сначала настроить перенаправлять запросы по всем портам на хост с Winroute/ Тада все заработает...

6100004

А мне сможет помочь в данной ситуации подключение к спутнику через прокси?