» Kerio WinRoute Firewall

Стоит 6.1.4 patch 2 - ломаный.
На этом же компе стоит eMule - через некоторое время (приблизительно через час) количество конекшинов переваливает за 2000 а иногда и за 3000. В следствии этого в нет попасть из другого приложения становится нереально.
Версии мула менял - ничего не помогло убрать такой рост конекшинов.
В чем может быть проблема?
В муле стоит ограничение на количество конекшинов - 150

Добавлено:
Даже после выгрузки eMule конекшены остаются - age на умирание почему-то 40 минут.
Где это можно поправиить?

Andy_Urb
а у меня такая же фигня была с ftp соединениями... причем с 6.0 версии.. и до сих пор. Я их просто ручками убиваю. Видимо глюк винроута... Причем где время жизни соединения уменьшить я так и не нашол...в реестре надо копаться наверняка.

Этот глюк начался в новогоднюю ночь - подвис инет на все праздники.
Это послужило поводом для апгрэйда до последней версии winroute - с тех пор проблема насущная.

Так чего вы мучаетесь? Напишите в саппорт...они нормальные ребята - помогают делом!

Цитата:

cpeHuKc
попробуй отрубить анти-спуфинг
и лимит коннектов...
кстати небезизвестный налиман 0 советует отрубать его вообще с самого начала

Были и так отрублены, врубил-вырубил ещё раз, все равно Баунс Атаку ловит...
Может есть ещё какие-нибудь способы?

аааааааааааааааа у меня маккофе перестал обновляться...
все сделано редиректами... значи смена ип тут не причем....

Добавлено:
аааа все понял... я просто пересел на другую машину и соотв - не авторизуюсь теперь на сервере интернетовском а разрешающего правила для хождения без авторизации на сайт маккофе не было....

Так что с айпишником маккофевым делать, как вернуть работу обновления ?

И всё таки NAT в керио работает кривовато.
Второй раз натыкаюсь, когда проги с постоянным соединением (1 раз https, 2 раз игра Ragnarok) после соединения не могут работать.
Т.е. соединение происходит, но через какое-то время (1-2 секунды) пакеты ходят только в одну сторону. Ответных пакетов не видно
Что бы это могло быть?

Такой вопрос... можно ли в KWR сделать так чтобы он на любое соденинение с компа и на комп выдавал сообщение (ну типак как Агнитум или Персонал Файрвол) и на основе этого делал правила.?

Нет нельзя, можно только логировать это и потом просматривать это в логах.
Я обычно разрешал всё для выбранной машины и потом смотришь по логам куда она лезет, и уже на основании этого создаешь правила.

Arryl

Цитата:

Такой вопрос... можно ли в KWR сделать так чтобы он на любое соденинение с компа и на комп выдавал сообщение (ну типак как Агнитум или Персонал Файрвол) и на основе этого делал правила.?

KWF это корпоративный пакетный фаерврол, а не персональный с контролем приложений. В них контроль приложений абсолютно ненужная вешь - транзитный тарфик на уровне приложений не разруливается.
Итого - нельзя.

All После 4 winroue сладывается впечатление что кеширование не работает вообще, или работает так криво ..
Стоят галочки как и в 4ке - Ignore server Cache-Control Directive и Cache Response "302 Redirect"

WinTester

Цитата:

После 4 winroue сладывается впечатление что кеширование не работает вообще, или работает так криво ..
Стоят галочки как и в 4ке - Ignore server Cache-Control Directive и Cache Response "302 Redirect"

Да у меня то же постоянно сомнения насчет нормальной работы кеша. Хотя когда заходишь на страницу с керио, он там кажет что-то, что вроде есть в кеше.

Цитата:

KWF это корпоративный пакетный фаерврол, а не персональный с контролем приложений. В них контроль приложений абсолютно ненужная вешь - транзитный тарфик на уровне приложений не разруливается.
Итого - нельзя.

Хорошо, тогда как выставить правила, чтобы по максимуму защитить сервак и локальную сетку

Примерно так:
1.INET -> FW -> HTTP,FTP, POP3,SMTP (и т.д. - это если только на машине с керио подняты эти службы, PING можно не ставить чтоб не пинговалась машина с инета (для параноиков))
2. FW -> INET -> PING,DNS,HTTP,FTP,HTTPS,POP3,SMTP,ICQ(и.т.д) -> allow
3. LAN -> INET -> PING,DNS,HTTP,FTP,HTTPS,POP3,SMTP,ICQ(и.т.д) -> allow - NAT
4. LAN,FW -> LAN,FW -> ANY -> allow
5. any -> any -> any -> drop (ну это стандарное)

Так вроде.

Arryl Я тут видал один корпоративный фаер, в котором есть контроль приложений - ViPNet OFFICE FIREWALL 3 Наши делают. Один парнишка на форуме грозился к нему ключедел сварганить...
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=20370#1 - тут мона посмотреть
_http://www.infotecs.ru/Soft/office_f.htm - это прямая ссылка на сайт производителя.

Есть несколько интересных особенностей, но в целом функционал к сожалению пока еще далек от того же винрута...

Evgeny_Sorokin

Цитата:

Да у меня то же постоянно сомнения насчет нормальной работы кеша. Хотя когда заходишь на страницу с керио, он там кажет что-то, что вроде есть в кеше.

Оно то есть, можно даже посмотреть его из панели управления кешом. Но при обращении клиентом по той же ссылке что есть в кеше - например rambler.ru и даже ya.ru ВСЁ грузится опять Простветы в виде реальной работы кеша проскакивают крайне редко и всё время как то не вовремя, типа отображения статистики инета на странице у провайдера.
Winroute 4 если кешировал, то уж работало всегда.

Скажите пожалуйста...такая проблема...
настроен керио....все работает нормально, но в статистике выдает трафик только юзера в сети...а сам себя не считает, то есть не считает трафик машины на котором установлен керио????? в чем может быть проблема??????

А ты логинишся на машине с керио ?

Arryl
хочу вставить свои пять копеек и добавить к словам WinTester
вот что: поскольку Рвота - это корпоративный фаер, то подразумевается его установка где-то на выделенной машине, на которой, по идее кроме Ровты ничего работать не должно, ну, или минимум, например синхронизация времени или ДНС или апдейты и т.п. вещи, это означает, что таких приложений очень мало и их взаимодействие с Инет хорошо известно админу; соответственно, если приложений мало, то спрашивается -зачем нужен контроль приложений? с другой стороны, отследить приложения на клиентах Рвота не может поэтому и не делает, ей глубоко фиолетово, что, например, пришел запрос на 80 порт от Эксплорера, Оперы или Лисы, она просто должна либо пропустить пакет, либо задержать его в соответствии с установленными правилами, поэтому о приложениях никто не говорит; в конце концов этот запрос может придти с мобилы или КПК и опять же Рвота должна поступить по правилам. Вот

Проблема следующая, стоит KWF 6.1.4 patch 2 билд 1086, при попытке подцепиться к http://mail.yahoo.com выдает что сервер недоступен. При этом пинги на этот адрес проходят, порты http и https открыты на доступ. Пробовал разные варианты, но что-то не помогает. I need help! Мозги уже кипят, а результата 0.

OldTartar
Насколько я помню доступ на yahoo по pop3 за денюжку.

как правильно выдать статические маршруты по dhcp в kerio ?

нашел static route в настройках DHCP

но при этом получайю маску 255.255.255.255
а мне нужно 255.255.255.0

как сделать?

Привет всем! Такая проблема: установлен сабж 6.1.3 патч 1. все вроде работает нормально. Сверху установлен трафик инспектор как билинг + шейпер. Бага в следующем: винроут грузит трафика в полтора - три раза больше чем юзер реально скачал. Непрозрачные прокси отключены, весь трафик бегает прозрачно, включен кеш на прозрачном прокси. Настройки практически стандартные. Подскажите как лечить или как правильно настроить, без непрозрачного прокси. Очень надо - счас все бегает на безлиме, но ооочень скоро переедет на помегабайт и попасть на бабки не хочу. Поставил бы виндовый ИКС, но его функциональность не устраивает. Спасибо за помощь.

И еще вопрос: как добавить еще один айпишник для удаленного администрирования (вводился при установке)?

kwf 6.1.4 patch 2

не работает ftp. все faq по этому поводу прочитал. не работает как из lan в инет так и с firewall host в инет. протокол инспектор включён. вижу как дропаются пакеты при активном ftp.

самое интересное, что без смены конфигурации он заработал. потом перестал через некоторое время. TransparentProxyEnabled в конфиге ставил в 0.

приницпы работы ftp вроде понимаю...

в крайнем случае посоветуйте хоть одну стабильную версию winroute. пробывал 5.x. но он иногда сам выключаестся.

2 creeper
Написал же http, никакого pop3, imap4, smtp не используется, нужен доступ до вэб почтовки.

vikspb
Всё нормально работает. Вчера установил эту версию.. импортировал настройки с 6.0.10 кое чего поправил с интерфейсами и всё пашет. Фтп пашет как на вход так и на выход. Со всех машин.

Хм недавно нашол в логе странные вещщи (614п2+2к3сп1):
[05/Feb/2006 02:25:04] (7212:1460) VPN client: Client[хх.хх.хх.хх:2333](56): Unable to delete VPN client connection in driver
[05/Feb/2006 03:57:58] (6006) Unable to delete in mailFilterFree(): c:\program files\kerio\winroute firewall\tmp\wr-email-178222-3642.tmp\mail.in.tmp.
[05/Feb/2006 03:57:58] (6006) Unable to delete mfFree(): c:\program files\kerio\winroute firewall\tmp\wr-email-178222-3642.tmp.
[05/Feb/2006 05:12:05] (7204:996) VPN client: Unable to register VPN connection in driver
[05/Feb/2006 05:12:15] (7204:996) VPN client: Unable to register VPN connection in driver
[05/Feb/2006 11:09:18] (6006) Unable to delete in mailFilterFree(): c:\program files\kerio\winroute firewall\tmp\wr-email-1438-75.tmp\mail.in.tmp.
[05/Feb/2006 11:09:18] (6006) Unable to delete mfFree(): c:\program files\kerio\winroute firewall\tmp\wr-email-1438-75.tmp.


Ну вроде как проблема с впн клиентом вытекла с первого лога, так как не смог удалить и затем и не подключал, а вот что за фокус с тем что темп файло удалить не может(хотя зайти и сделать это руками вполне можно)?

И как лечить то?

2 Yuushi
хорошо. стёр всю конфигурацию и составил её визардом. не работает.
не работает даже telnet host 21 при включенном PI=ftp с хоста файрвола. при выключенном та же комапда работает.
что делать ?

2 Evgeny_Sorokin
__________________

А ты логинишся на машине с керио ?
______________

нет не логинюсь.....
и вторая машина в сети не проходит регу...просто по ай-пи смотрю.....
на другом роуте работало...версию не помню и все считал....но потом пришлось поставить другую версию и считать трафик на машине с керио перестал...
как вылечить не знаю.... (((

Никто не пользовал Winroute на машине, куда заведен спутниковый интернет (SkyStar 2)
и ADSL? Как и где разруливать входящий/исходящий траффик?