» Kerio WinRoute Firewall

Leo1000
так они должны стоять, поставь и все будет. Одна из них точно должна стоять,а вторая позволяет автоматически авторизовать или переправлять на ручную авторизацию.

Добавлено:
crapaud
звиняй если оффтоп,а как при этом лекарство работать будет, от новой версии корректно ляжет?

kliv1

Цитата:

Как можно безболезненно перейти на более позднюю версию винороута, т.е. установить новую версию

Да, обычно, накатывай поверх. Для страховки, конечно, предварительно сохрани свой каталог с KWF целиком, но обычно проблем нет.

Leo1000
цитирую:
"Всегда требовать аутентификацию пользователей ... (Always require users to be authenticated ...)
Активируйте эту опцию, чтобы требовать аутентификацию всегда, когда неудостоверенный пользователь пытается открыть web страницу. При этом неудостоверенный пользователь будет автоматически перенаправляться на страницу аутентификации . Требуемая web страница откроется после успешной регистрации."
А вторую галку снимай.Она для автоматической авторизации.

Indikator
Цитата:

Не пускает на некоторые сайты - пишет: "DNS lookup failed.

Вопрос уже обсуждался в топике. Ищи "DNS lookup failed", ну вот здесь, например, http://forum.ru-board.com/topic.cgi?forum=5&topic=7347&start=1123&limit=2

kliv1
Цитата:

Как можно безболезненно перейти на более позднюю версию винороута, чтобы остались все настройки и правила

Q: How do I backup the configuration?
A: описание где сидят все настройки _http://www.kerio.com/manual/kwf/en/ch21s01.html

Мужики можете ругаться сколько хотите. Но пожайлуста объясните мне тупому.
Как учитывать трафик по FTP. создал группу User записал туда USER с указанным IP в Trafic Police сделал правило PERMIT USER-> DNS,HTTP-PROXY(включено non-transporensy proxy, кэш отключен) и все.
Этот продвинутый пользуется РЕГЕТОМ внутри FTP client настроен на настройки обозревателя входит на FTP (dowload.kaspersky.com) и загружает базу но в логах в WinRoute нигде не проскальзывает вообще упоминание на это и конечно я не могу его трафик отследить. Вообще в winroute можно отследить трафик по FTP а то мне тут подсовывают программу UserGate но она то подвисает то иногда выдает такой трафик что черт её поймешь.

AndreyPA
В Trafic Police в правиле на пользователя в графе LOG включаешь ведение логов и в connectin.log будет подробный лог ВСЕХ соединений по этому правилу

AndreyPA
ну наверное необходимо после
Цитата:

PERMIT USER-> DNS,HTTP-PROXY

ещё добавить log connections и в логах будет тебе отображение чего куда и откуда..
что то вроде такого получится

Цитата:

192.168.2.48 - - [08/Nov/2005:09:36:30 +0300] "GET http://www.cct/images/logos/vgasu_big_new.gif HTTP/1.0" 200 11264

только для ftp

Может кто встречал проблему при использовании Download Master'a и Kerio WinRoute Firewall.
При закачке чего либо - оба процесса съедают по 40 процентов производительности. (Athlon 1.2, 384 MB).
С чем это может быть связано ?

UnknowART
Уточни имеешь ввиду использование DM и KWF на одной машине или как?.

Добавлено:
ситуация получается такая после того как этот user с РЕГЕТОМ начал закачивать с FTP базы касперского у него отказала докачка файлов. после недолгих эксперементов я обнаружил если пускать FTP через прокси то докачка не работает. Также я читал что POP3 и SMTP тоже не работают через прокси. Следовательно эти протоколы для нормальной работы надо настраивать через НАТ.
Вопрос:
ПРАВИЛЬНО или есть всетаки возможность всех пускать через прокси?

Я сделал 2 группы : downloadFTP и EMail в
TraficPolice создал для каждой группы правила
downloadFTP Группа(source)
Internet (destinations)
FTP (service)
PERMIT(action)
LOG(log)
NAT(Translation)
аналогичное правило для EMail группы
EMail Группа(source)
Internet (destinations)
POP3,SMTP,IMAP (service)
PERMIT(action)
LOG(log)
NAT(Translation)
И включил тех кому разрешаю в эти группы
Вопрос
Будет ли возможность при таком Traffic Policy отслеживать их телодвижения по этим протоколам с помощью Internet Access Monitor. В самом Kerio в STATISTIC показывает закачку по FTP и EMail а вот IAM только показывает HTTP - PROXY и все. При этом все остальные протоколы запущенны через USER(группа) -> FIREWALL ->DNS,HTTPProxy-> PERMIT

Добавлено:
ситуация получается такая после того как этот user с РЕГЕТОМ начал закачивать с FTP базы касперского у него отказала докачка файлов. после недолгих эксперементов я обнаружил если пускать FTP через прокси то докачка не работает. Также я читал что POP3 и SMTP тоже не работают через прокси. Следовательно эти протоколы для нормальной работы надо настраивать через НАТ.
Вопрос:
ПРАВИЛЬНО или есть всетаки возможность всех пускать через прокси?

Я сделал 2 группы : downloadFTP и EMail в
TraficPolice создал для каждой группы правила
downloadFTP Группа(source)
Internet (destinations)
FTP (service)
PERMIT(action)
LOG(log)
NAT(Translation)
аналогичное правило для EMail группы
EMail Группа(source)
Internet (destinations)
POP3,SMTP,IMAP (service)
PERMIT(action)
LOG(log)
NAT(Translation)
И включил тех кому разрешаю в эти группы
Вопрос
Будет ли возможность при таком Traffic Policy отслеживать их телодвижения по этим протоколам с помощью Internet Access Monitor. В самом Kerio в STATISTIC показывает закачку по FTP и EMail а вот IAM только показывает HTTP - PROXY и все. При этом все остальные протоколы запущенны через USER(группа) -> FIREWALL ->DNS,HTTPProxy-> PERMIT

Народ, помогите, что-то мозги закипели. В поиске что-то не нашел
В общем задача такая у меня. Подключил на работе резервный выход в инет по ADSL
Сетка на это канал будет не более, чем 3-5 машин, плюс 2 пользователя будут иногда заходить по диал-апу. Поставил 6-й KWF и не могу разобраться с dial-in.
Если поднимаю на сабже проксю непрозрачную, то могу прицепиться к этому серваку через модем и всё работает. Но хотелось бы через NAT работать. Как только поднимаю NAT, то через модем захожу на сервак с KWF, но в инет никак не получается, хотя сам сервак пингуется...
И еще вопрос. При работе через NAT с авторизацией через web-интерфейс разобрался, но напрягает, что запрос на авторизацию требует только один раз. Если я после авторизации закрываю браузер и захожу по-новой, то проваливаюсь в инет сразу.
Это настраивается? Хотелось бы запрос авторизации при каждом запуске браузера...
Заранее спасибо всем

AndreyPA, Да, всё на одной машине.
У меня следующай ситуация:
Дома ПК и ноутбук, для удобного использования домашей сети решил использовать Kerio WinRoute Firewall, думаю с выбором я не ошибся. Только вот мистика присуща непонимающим
При скачке/закачке со скоростью более 2 мб, Керио сжирает 80-90% системных ресурсов, естественно меня такой порядок вещей неустраивает и я решил обратиться за советом.

Ну а с DM'ом тоже интересная ситуация, тот же ReGet ни в какой форме процессор не грузит в отличии от DM'a.

Как запретить пользователю с динамическим IP пользоваться ICQ.
В источниках указал имя компа, получатель инетовский интерфейс, сервисы Any - все равно ходит через NAT.
Даже полный запрет на пользование инетовским интерфейсом не дает эффекта.

Добавлено:
И как заставить всех проходить обязательную авторизацию при использовании любого сервиса на инетовском интерфейсе?

Цитата:

Как запретить пользователю с динамическим IP пользоваться ICQ.

ты правильно начал копать в сторону авторизации юзверей...

Цитата:

В источниках указал имя компа, получатель инетовский интерфейс, сервисы Any - все равно ходит через NAT.

из твоего повествования непонятно, это правило запретное или разрешающее?

Цитата:

Даже полный запрет на пользование инетовским интерфейсом не дает эффекта.

значит ходят через прокси

Есть сеть с доменом, в винроуте пользователи импортированы из домена, у каждого юзера указан статический IP (и на компе и соответственно в винроуте) , по идее винроут должен автоматически авторизовать по IP, а он по прежнему пересылает на страницу авторизации(а есть пользователи которые пользуются только почтой и ,конечно, не могут ее получить).Автоматически авторизуется только комп с винроутом. Где здесь могут быть грабли?

UnknowART
Често говоря я попробывал твой вариат у меня как раз сейчас идет настройка инета для одной фирмы поэтому взял чистую машину поставмил W2K ptof (не сервер) и Internet Access Monitor и DM (из последних) вроде все пашет и нет загрузки проца. Хотя я стараюсь не использовать машину где стоит WR все делаю со станции. Может быть у меня такой скорости нет всего максимум 150-200 Кб/сек показывает DM


Добавлено:
Вопрос
есть правило Traffic Policy
*
Доступ прочих (name rule)
USERS (группа) (source)
Firewall (destination)
DNS,HTTP_Proxy (service)
EANABLE (action)
*
Ниже другие группы почта, DownLoader соответсвенно для почты и FTP закачек
Потом идут стадартные правила созданные Wizardom
Local Traffic
Firewall Trafic

Есть пользователь USER который входит в группу USERS и он привязан на статический IP как я понимаю что притаком правиле он ходит через прокси(у него на компе прописан шлюз и ДНС с адресом компа где WR стоит ). Если я хочу его временно отключить вхожу в него (в WR) и ставлю галку Accaunt DISABLE и думаю что он не ходит в инет Не тут-то было он ходит как всегда. Что можно сделать чтобы быстро запретить этого ЮЗЕРА

Добавлено:
Сам себе ответ
Один из вариантов я попробывал сделать группу DASABLE INTENET
поптом в Traffic Policy написал правило
*
DisableInternet (name rule)
Daisable Internet группа (source)
Internet,Firewall (destination)
Any(service)
Deny(action)
*
и поставил его на самый верх после этого вожу usera в эту группу и все и нет у него инета но это дей ствует только на тех у кого статические IP и привязка идет по IP

После перезагрузки сервера Kerio 6.1.2 build 603 обнулил всю статистику и стал считать с нуля. Согласен, я дурак, что не перепроверил. А возможно как-нибудь эту статистику все-таки сохранить стандартными средствами, без помощи анализаторов логов и пр? Заранее спасибо.

yuuyake

У меня стоит сейчас в тестовом режиме 6.1.2 не могу сказать какой build и вот уже вторую неделю включаю и выключаю комп но статтиска не сбрасывалась ни разу когда я игрался с правилами пришлось даже спецально самому обнулять её для проверки расхождения Internet Access Monitor. Может она хранит только месяц там ведь разделение текущий день, последняя неделя и последний месяц.

Привет всезнающий All, у меня вопрос: Как можно заставить аутлук работать без указания шлюза в настройках сети, т.е через проксю, может есть какая програмулина аналогичная клиенту ISa сервера

KomissarovAG
Боюсь, что никак, и это касается не только Outlook.

AndreyPA

Ясно, значит буду искать. Спасибо.
Да нет, он и Total показывает за периуд с последней перезагрузки.

yuuyake
А чем тебя не устраивают анализаторы логов я вот поигрался с Internet access monitor вроде большинство трафика показывает полностью. Есть некоторые недочеты но я списываю их на некоторую специфику нашего подключения к ADSL и ведения логов WR. мне не нравятся программы которые надо инсталировать. Есть еще программка которя вообще не надо исталировать она нигде не прописывается и и работает либо через ключи с команндной строки либо через Ini файлы называетс WRLA есть еще WRSPY это вообщее открытый проект как я понял т.е. умеешь программировать то можешь сам покапаться в ней. я думаю поработать с ней

всем привет, не скажу что прочитал всю ветку, но все же бегло посмотрел и не нашел ответа на следующий вопрос - возможно ли поставить данную софтину в режиме слежения, т.е. чтобы все порты были открыты, что бы все работало по-старому (статический роутинг), но в логах можно было бы посмотреть какие машины на какие порты ломятся ???

slaj1

ну в приниципе можно
ставь local -> internet -> permit (service ALL) NAT и ставь лог соединений и(или) пакетов

тогда будет указанно в логах кто и куда и чего хотел

slaj1
теоретически да - создать правило разрешающее все и включить логи - но ты замучаешься разгребать их - да и чесно говоря - это срельба из пушки по тараканам...

лучше поставь простой фаерволл (есть пока и этой фирмы -но кажеться скоро перестанут поддреживать)....

Вобщем согласен с slaj1 в какой то степени.. всё зависит от размера сети в которой сотит (будет стоять) KWR если махонькая то сойдёт и это (типа подсветка в логах или анализатор логов) а если чуть больше то конечно же слишком много времени будет уходить на то что бы разобратся кто и куда

проще разрешить только отдельные (нужные порты) а всё остально DROP
и не волноватся на счёт того кто куда ломится

Hrist
разве простой firewall тут поможет.. в нём ведь нет ни прокси ни NAT .....

Всем привет, у меня вот какой вопрос: при запушенном Kerio WinRoute FireWall невозможно перевести комп в «Ждущий режим». При попытке перехода вылетает следующее сообщение

помогите разобратся: з локалки на сервер вихожу по ссилке "http://server:4080/" и выдает ошибку
"Firewall configuration error
Failed to load firewall message file.
Ask your firewall administrator to solve this problem."
а когда то такого не било всегда откривалось окно керио подскажите где может бить ошибка
(ей помогите как заставить чтоби появлялось окно на локалках когда стоит правило ДЕНИ (правило в хттп полисях) доступ запрещон Но пишет Firewall configuration error
Failed to load firewall message file.
Ask your firewall administrator to solve this problem."
)

maleev
скорее всего тебе нужно будет написать bat файл в котором сначала будет останавливатся сервис керио а потом переходить в сон

maleev
а зачем переходить в ждущий режим, если у тя прокся работает? монитор отключать, это да, а шоб совсем спать... думаю, такого и не предусматривалось... так что согласен с Mikes, наверное это единственно возможное решение.