» Kerio WinRoute Firewall

pridecom
Ну во первых - правило Local traffic подними на самый верх, как приоритетное.
Во вторых - правило Firewall traffic - это как раз что разрешено с машины- где стоит керио. Убери оттуда "подключение по локальной" сети(у тебя в правиле "NAT" и так уже все касаемое клиентов описано). И если у тебя почтовый сервер висит на хосте с керио - открой там (Firewall traffic) доступ по POP и SMTP.
Вместо правила ICQ разреши сервис ICQ в правиле "NAT" и "Firewall traffic".
Да, и кстати, если у тебя нет никаких VPN соединений, удаленных подключений пользователей по модему, убери из правил все, что касается VPN и Dial-IN
Из правила NAT в колонке Source убери Dial-UP

Зайди на сайт _http://www.kerio-rus.narod.ru/ и внимательно почитай про настройку правил Керио для разных сетей, там все очень неплохо написано.

crapaud

Да все так и делал, все удалил, создал по новой.
Все заработало и Нат и Локалка и Инет у клиентов, но вот инет на локальной мшине не работает!
Хотя почемуто аська конектится нормально.

Повторный вопрос
Проблема после установки KWR.
Nat работает, машины со шлюзом в инете работают нормально, но.
При включении KRW 6.1.3-746 инет на самом сервере работать перестает, хотя на клиентах все нормально.
Почта (110, 25), интернет - все это жутко тупит и не работает.

ICQ при всем при этом работает!

1. OS WINDOWS 2003sp1
2. KRW 6.1.3-746 Trial
3. MDServer
4. Соединение Dial-Up

Здраствуйте!
Проблема возникла: перестал пускать некоторые DNS запросы через Kerio...
Выглядит в логах это так:
DROP "Default traffic rule" packet from Internet, proto:UDP, len:100, ip/port:195.161.208.135:53 -> 192.168.1.2:1092, udplen:72,
Причем пишу я сейчас с того же компьютера! Т.е. не все запросы блокируются. А раньше, что интересно, работало все...
Kerio 6.1.3.746, ломаная. Триал истек.
Апдейт: Включил логирование пакетов стандартного правила, получил такую вот фишку:
PERMIT "Firewall Traffic" packet from Internet, proto:UDP, len:129, ip/port:195.161.208.135:53 -> 192.168.1.2:1041, udplen:101
Т.е. все нормально вроде бы. Но - не все запросы отрабатывают...

pridecom
запости теперешнее сосояние правил

Serg0FFan

Цитата:

Bakardi
В сервисах найди правило HTTP и включи для него протокол инспектор..выбери HTTP тама.. ну и для остальных протоколов какие используют твои юзвери тоже самое сделай с другими сервисами по аналогии.

Включен... всё равно не работает

Уважаемые админы! Целый день читаю эту ветку форума, дабы не задать тупой вопрос. Походил по всем ссылкам, скачал кучу мануала, но ответа нигде не нашел. Стоит KWF-6.1.3. Сеть у меня без домена - рабочая группа. Каким образом импортировать пользователей из винды в винроут? В версии 5 (до этого стояла) все было без вопросов - "импорт", "дополнительно" и пр. пр., в итоге выдавался список юзеров компа. Тут требует ввести имя домена (которого нет) или активную директорию. Ну, ладно бы у меня Винда серверная стояла - автоматом-бы юзеры переносились, а тут-то че делать? Пробовал каждого юзера пальчиками забить - где-то что-то не учитываю - не согласовываются с виндовыми данными. Плиз, помогите кто нить, пока совсем крыша не уехала.

crapaud
Вот правила
1 Fire LAN Any
2 LAN Fire Any
3 LAN DIALUP Any NAT
4 Fire DIALUP Any
5 DIALUP Fire 25, 110
По памяти вроде так, ну по крайней мере я бы так сделал

Такой вопрос: Когда клиент начинает качать что-то по FTP то на сервере с Kerio, через который проходит траффик, процесс WinRoute.exe начинает грузить проц на 80%. Как только работа по FTP протоколу прекращается - загрузка 5%

Люди, ну если лень ответить на тупой вопрос, хоть мордой ткните в какую-нить ссылку, где про это толково разжевано. И еще, объясните в двух словах чем удобнее админить рабочую группу - NAT или прокси.

pridecom
Точно нада однако...

Indikator
А что значит админить?

Цитата:

NAT или прокси

- это вопрос, касательно удобства пользователей

Accessor
Имеется ввиду разрешать/запрещать пользователям выход в инет и на конкретные сайты.
Мне важно не удобство пользователей а функциональность и безопасность - что им легче обойти и пр. пр.

Добавлено:
Злые вы какие-то. Хрен с ними - с юзерами. Снес всех и забил заново - вроде все пошло как надо. С импортом уже хочется разобраться из принципа. У меня вот новый вопрос: В данный момент настроен как проксик - у всех в браузерах прописан прокси и порт и авторизация идет вроде нормально. Получается, правило NAT больше не требуется? Какое правило можно создать, разрешающее выходить только ограниченному кругу юзверей?

Indikator

Цитата:

Имеется ввиду разрешать/запрещать пользователям выход в инет и на конкретные сайты.
Мне важно не удобство пользователей а функциональность и безопасность - что им легче обойти и пр. пр.

Как мне видится этот вопрос - так оно одинаково, т.е. можно как запретить так и разрешить все действия при прозрачном, так и при непрозрачном выходе в Инет; просто в случае непрозрачного выхода в инет админу и пользователям потребуется совершать множество доп.телодвижений для того, чтобы разрешить и настроить тот или иной сервис.

Цитата:

Злые вы какие-то. Хрен с ними - с юзерами.

не, не злые просто видимо таким никто здесь не занимается

Цитата:

Получается, правило NAT больше не требуется?

да, верно

Цитата:

Какое правило можно создать, разрешающее выходить только ограниченному кругу юзверей?

создай группу, в неё внеси всех своих юзверей, которым будет позволен Инет, а потом создай правило в котором Source будет твоя вновьсозданная группа, Destination - firewall, Service - HTTPProxy и все

Accessor, ты - добрый! Спасибо большое. Вроде начинаю соображать.

Kerio WinRoute Firewall 6.1.3.789

Цитата:

Changes:
· fixed serious bug in authentication of Active Directory users

http://download.kerio.com/dwn/kwf6-win.exe (21 Мб)

Народ, можек кто подскажет, а то совсем уже запутался... Есть домен в который входит и машинка kwf. Нужно сделать так что-бы весь народкоторый ходит в инет, автоматически аунтифицировался через домен, подчеркну автоматически, а не с помошью web интерфейса! Долго ковырялся в звкладках Active Directory и Authentication option, но так ни чего и не вышло

Bakardi
А у тя уже последняя версия, с патчем? (см. пост выше своего от Nick 2003)

Bakardi
http://www.kerio.com/manual/kwf/en/ch07s01.html
Машинка домен должна без проблем видеть. и на вкладке третьей в юзерс тоже всё коректно указать чтобы она могла туда обращаться если что.
Я так сделал, довольно удобно, единственно опера не поддерживает эту фичу, и ё так или иначе редиректнет на аутентификационную страничку керио.

А я вот не могу разобраться как сделать так, чтоб при авторизации не выскакивало окошко браузера, в котором можно поставить галочку и потом ходить любому юзеру под одним именем. В средней вкладке юзеров есть два окошечка под галочки. Сейчас галка стоит только в верхнем. Пробовал разные варианты - упорно авторизует через браузер. Как сделать, чтоб через Керию?

Bakardi
одно из условий, если не ошибаюсь, является то, чтобы домен работал в Native mode а не в Mixed mode.

Спасибо всем, всё получилось...
Возникла другая проблемма: пользователи аунтифицируются, а вот текушую скорость и количество закачаного в Hosts|Users не отображается. Отображается только для firewall. И в статистике тоже самое... Пользователь появился но в In, Out, Total стоят нули...

Indikator
Цитата:

А я вот не могу разобраться как сделать так, чтоб при авторизации не выскакивало окошко браузера, в котором можно поставить галочку и потом ходить любому юзеру под одним именем

Ну это только до того момента пока пользователь не отлогинится. И надо время Automatic logout выставлять в минимальное (у меня 5 секунд) через файл конфигурации, а не в программе. В программе минимум 1 минута.

All
А как в Kerio WinRoute Firewall настроить такую вещь, что если пользователь выходит в инет с определеного внутренего IP адреса, то он получает определенный внешний IP адрес? Или это делается не средствами Kerio WinRoute Firewall?

Цитата:

Ну это только до того момента пока пользователь не отлогинится. И надо время Automatic logout выставлять в минимальное (у меня 5 секунд) через файл конфигурации, а не в программе. В программе минимум 1 минута.

Дык нет - ставят галку и при следующем запросе просто выбирают в окошке "рабочего" юзера и идут смело в инет. У меня как-то случайно недельку назад получалось сделать авторизацию через сайт Керио, но сейчас туплю - не могу сообразить где косяк.

Indikator
Цитата:

Дык нет - ставят галку и при следующем запросе просто выбирают в окошке "рабочего" юзера и идут смело в инет

Надо приучать чтобы, когда пользователь закончил работать с инетом, он делал завершить сеанс, а другой пользователь входил под другим доменным именем и со своим паролем. Иначе они все будут сидеть в инете под "первым" пользователем

Цитата:

авторизацию через сайт Керио

А что это такое? Если мне не изменяет память, то есть всего 2 типа авториации: через браузер и FireWall (http://server:4080/fw/login - Web интерфейс).

Ага точно, неправильно выразился - через вебинтерфейс файерволла. Да приучаю я их, но иногда удобнее не завершая сеанса вынырнуть в инет пусть даже с чужого рабочего стола, но введя в запросе на авторизацию свое имя и пароль.

Уважаемые опытные пользователи!
Такой вот вопросик:
KWF 6 стоит на машине с WinXP. К инету машина подключена через ADSL модем.
У всех пользователей есть инет, тут все в порядке.
НО!
Никто из пользователей локально сетки (кроме компа на котором KWF) не может пинговать внешние ресурсы. Пинги уходят и не возвращаютя.
Кусок лога:

[19/Nov/2005 13:25:43] PERMIT "ICMP traffic" packet from Подключение по локальной сети 2, proto:ICMP, len:60, ip:192.168.0.2 -> 213.180.204.8, type:8 code:0
[19/Nov/2005 13:25:43] PERMIT "ICMP traffic" packet to InterTelecom, proto:ICMP, len:60, ip:192.168.0.2 -> 213.180.204.8, type:8 code:0

И так все время.
То-есть пинг-ответ не возвращается.
Очень нужна помощь!
Если знаете как - помогите плз!

LostWarrior
Для хождения пингов должно быть правило, позволяющее сервис Ping, у меня, например, оно разрешено в правиле NAT, поэтому пинги ходят нормально. А правило "ICMP traffic" разрешает пинги только "к" и "от" KWF.

У меня тоже разрешен PING и в NAT и в FWTraffic, а Пинги как не ходили, так и не ходят

1. Подскажите, пожалуйста при NTLM аунтификации не считается трафик пользователей, кроме firewall, как обойти проблемму?
upd. В закладке General (Hosts/Users) отображается куда чел лезет, а вот в Connections пусто... Может проблемма в этом?
2. Как сделать автоматически NTLM аунтификацию в ICQ и firefox?

PetSerVas
ты просто констатируешь факт или хочешь решить свою проблему? Если первое - то это никому не интересно, а если второе - то покажи скриншот Traffic Policy