» Kerio WinRoute Firewall

Venchik
нефига себе новость... а я тоже планировал посадить на 100мб/c сервак. (
и что сказали? будут решать?

Andy_Urb
серверов таких несколько. они внутри сетки но у них должны быть внешние ip. и хочется чтобы все ходили через керио чтобы можно было следить за трафиком. Как такое сделать?

anyone?

Я без понятия...они вроде как уверены, что 8150 достаточно всем.
Думаю, они поправят быстро если им дружно написать.

как в сабже закрыть прокси релей?
а то нектороые почтовики, опираясь на данные других сайтов отказываются принимать почту от прокси релеев...
Сабж 6.0.11. все правила в файрволе вроде нормально настроил, но всё одно некоторые считают сервер релеем.
и еще - после проблем у ICQ, даже после замены всех dll у Миранды и QIP на новые не отправляют письма некоторым... ставил и полностью новые релизы 4.03 и 7820 соответственно - без толку.
думаю, дело в прокси, но раньше ведь работало.

knackita

Цитата:

можно ли реализовать такую схему:
подлючённый к локальньный сети ПК с внешним ip ходил в и-нет через Керио. при этом чтобы его ip был виден из и-нета соответственно.

Может так.

Source(inet)-dest(вн.ip)-service(какие надо)-map to Local comp IP
Source(local comp IP)-dest(inet)-service(какие надо)-NAT(вн.ip)

И наверное в таблице маршрутизации на серваке прописать что-то типа
route add (вн.ip) mask 255.255.255.255 (тут адрес смотрящий в локалку)

Возвращаюсь к своей проблеме. Стоит уже последняя версия Керио. Но в определенное время Керио отрубает и слетает весь роутинг. Сейчас не могу сказать работает ли служба, но после перезагрузки сервака все становиться нормально.. то есть все анчинает работать...и так до вечера. Затем снова картина повторяется. Возможно ли то, что если при первой установке апдейт прошел и крякнутый керио нагнулся, и теперь патчь-не патчь его - все равно ты в пролете.... Известно ли айпишники где он проверяет себя на лицензии и если да, то как это запретить. ?Больно не хочется переустанавливать машину...

Что нужно настроить, чтобы Kerio не считал локальный трафик? Стоит Kerio (без NAT) и смотрит на cisco. >pths заведены, по ним он нормально считает трафик, но мне не нужен локальный трафик, который генерит этот комп в локалке, а он считается.. я уже удалял ip в настройке Quota\Statistics, все рвно считате....
Можно как-нибудь вообще фаервол вырубить? Мне нужен тока прокси (без NAT) с ISS OrangeWeb фильтром.

Добавлено:
...и еще, на компе с Цшткщгеу стоит SAV 10 CE server. В фаере есть только одно правило: все куда угодно можно. Но вот SAV не хочет получать обновления. Не может установить соединение и все тут. Кто сталкивался, как решается?

Evgeny_Sorokin
понимаешь, тогда из инета не видно ipшников

я сделал немного по другому, но есть одно но
вставил в комп ещё одну сетевуху, ей прописал адрес из подсети на 8 реальных адресов ( подсеть выдана провайдером.)
К сетевухе подрубил свич и от него на хосты. Хостам прописал ip из этой подсетки.
В керио всё просто прописывается
Source(inet)-dest(сетевуха)-service(какие надо)

нат прописывать не стал, и вот я всё вижу из и-нета а меня по этим Ip не видят. А мне это и нужно сделать, это вот задача.
Обычно такие задачи решаются роутером, но его нет и как вобще програмно реализовать такиу маршрутизацию я незнаю. Т.е. получается что мне нужно чтобы из инета через одну сетевуху видили подсеть.

Кто-то может помочь?

knackita, то есть NAT не нужен? Если так, то возникает вопрос: провайдер пропусти в МИР адреса компов Вашей сети? Если Вы купили несколько реальных адресов, то это одно, а если у Вас в сети что-то типа 192.168.х.х или 10.х.х.х или 172.16.х.х, то выпустить их в инет под этими айпи не получится.

У меня вопрос вдогонку... ДШСП свойства есть пункт Оффер Деклайнд IP спустя 1 день. Может это как-то сказываться. Проблема все выше описана. Кстати, перевел часы ближе к 22-10 и сразу в трее возник значок обновления айпиадреса Виндовзом... что лично странно.

товарищи у меня есть вопрос по кешированию трафика HTTP , как вообще в нем это происходит и куда смотреть и как настрайвать? Что то я его работы не замечаю никоим образом... =(

Парни, подскажите, как же настроить SSL-VPN на сервере ? Чтобы с любой точки планеты можна лазить в сетку ?

Подскажите пожалуйста.
У меня стоит 6.2.0 beta 2
Там появилась новая функция Bandwidth Limiter
Как мне сделать так чтобы можно было ограничивать скорость для каждой отдельно взятой группе и пользователям.
Искал но не как не могу найти.
Зарание спасибо.

SVR

Цитата:

товарищи у меня есть вопрос по кешированию трафика HTTP , как вообще в нем это происходит и куда смотреть и как настрайвать? Что то я его работы не замечаю никоим образом... =(

HTTP Policy - Cache
вот там и настраивай... а вообще мануал почитать не мешало бы _http://kerio-rus.ru/KWF6.chm

MaximuS
это ж бетта - нам этот лимитер еще не доделан

Добавлено:
Andreyua
доки читал? пробовал делать?

Добавлено:
obtim

Цитата:

Сейчас стоит связка 4-ка+аутпост файрволл. Есть мысль перейти на 6-ку. Но беспокоит тот факт, что в ней свой файрволл. Отказыватьсь от аутпоста не собираемся. Вопрос: можно ли в 6-ке заблокировать встроенный файрволл?

нет низя заблокировать... но говрят что кто то смог деражть у себя отутпост... ИМХО гемор это...
PPA

Цитата:

как в сабже закрыть прокси релей?

нету в нем такого... это на почтовике нужно закрывать открытый релей... но если ваш ип публичный или просто попал уже в базу открытых релеев - то нужно закрывать на почтовике открытый релей и уламывать держателей списков открытых релеев что бы они исключили ваш ип из списков (трудно это ох трудно)
AlkofF

Цитата:

Известно ли айпишники где он проверяет себя на лицензии и если да, то как это запретить. ?Больно не хочется переустанавливать машину...

это вопрос уже для варезника

Sergey039
mikas
очень много предположений в последнее время в топике - потому что никто не желает давать скриншотов трафик полисей - а гадать можно долго...
и кстати вы в курсе что локальные интерфесы нужно вообще исклюсать из обработки керио что бы машина не тормозила (тогда и трафик локальный не будет считаться)

если в конфиге прописать для локальных интерфейсов
<variable name="FirewallExclude">1</variable>

Цитата:

доки читал? пробовал делать?

Пробовал.
Но я так так понял, если компьютер в домене, только тогда можна эти сервисом воспользоваться ?

Andreyua
корифеи советуют использовать OpenVPN как самый простой и безглючный
почитай форум на http://forum.windowsfaq.ru/showthread.php?p=358592#po
st358592 там это мноного раз упоминалось

людиииии
у кого какие базы маккофе показывает?
у меня какаято байда началась
использую редиректы - все типа молча обновляеться в логах база 4703
а в кмс-е старый номер показываеться и базы старые... только update.ver меняеться

Только обновил версия 4704.

... У когото был ворос по поводу не получения почты с локальных машин, не знаю был ли ответ....
Сам сталкнулся с такой траблой.
1е - прописать на лок машинах в DNS IP машины где стоит керио.
2й момент если в мастере настроек при ADSL соединении выбрать подключение .... не помню DSL - то трафик раздаеться, а почта нет. Т.е. надо выбрать Dl-up... Знающие люди ето знают, а я не знал)))

Добавлено:
... У когото был ворос по поводу не получения почты с локальных машин, не знаю был ли ответ....
Сам сталкнулся с такой траблой.
1е - прописать на лок машинах в DNS IP машины где стоит керио.
2й момент если в мастере настроек при ADSL соединении выбрать подключение .... не помню DSL - то трафик раздаеться, а почта нет. Т.е. надо выбрать Dl-up... Знающие люди ето знают, а я не знал)))

NezarRa

Цитата:

1е - прописать на лок машинах в DNS IP машины где стоит керио.

скажем так - это нужно не столько для почты - сколько для работы по НАТ

Цитата:

2й момент если в мастере настроек при ADSL соединении выбрать подключение .... не помню DSL - то трафик раздаеться, а почта нет. Т.е. надо выбрать Dl-up... Знающие люди ето знают, а я не знал)))

это шаманство - просто то что содает мастер - не конечный результат - а приблизительные общие настройки... потом их нужно доводить до ума и под свои потребности - иначе траблов будет еще много...
Jozz

Цитата:

Только обновил версия 4704.

как обновление делали - через редиректы? или правку длл?

Добавлено:
NezarRa
кстати есть примерная инструкция как сделать рабочийц вариант
_http://kerio-rus.ru/workgroup.html
_http://kerio-rus.ru/domain.html

Hrist
Что то ты мне не то написал

керио связывается с доменом, берёт все аккаунты а аутентифицировать через вэб интерфейс не хочет!

В чём может быть проблема?

подскажите плиз как считать траффик пользователей при терминальном сервере? проблема случаем не решилась? через web интерфейс нельзя...

knackita
Users - Authentication Options - Web Authentication обе галки стоят?

2all
Раздаю инет через сабж. Все юзеры импортированы из домена. Аутентификация соответсвенно NT/Kerberos. Если у юзера кончились деньги на счету, я его дизаблю. При этом, если он открывает локальную страницу постояно идёт запрос на аутентификацию. Это конечно надоедает. Если в опциях снять галку "Always require users to be authenticated when accessing web pages", то запрос на имя и пароль не появляется, но тогда юзер может спокойно получить доступ к инету. А трафик его повесится на неизвестного юезра. Кто-нибудь знает, как это обойти? Спасибо.

MoRoZ

Цитата:

При этом, если он открывает локальную страницу постояно идёт запрос на аутентификацию

А что это за локальная страница ?

Evgeny_Sorokin
ну просто страница с винта.

Иначе говоря мне нужно предоставить доступ к проксику только аутентифицированным пользователям, а задизабленным доступ запретить. Правда тогда юзерам придёться вручную логиниться через веб-морду. Насколько я понял иначе никак. Нужно убирать галки автоматической аутентификации, иначе у задизабленных юзеров будут постоянные запросы, типа "да как же тебя зовут, зверь?!"

Добавлено:
Хотя нет вроде. вот в факах нашёл:
7Q. Как некоторым существующим пользователям запретить доступ в Интернет? Получается, если, он авторизацию прошел, то велкам что-ли?

A. Через "Traffic Policy" разрешить доступ по протоколу TCP к 80 порту, только группе пользователей. Просто создай правило:

В "HTTP Policy --> URL Rules", в "selected users" добавь нужного пользователя.
Ставь в "URL begins with" ставь "*".
Ставь "Deny access to the Web site".

То есть даже пусть они проходят аутентификацию (не ну кто блин придумал такое длинное слово), но доступа им не будет. Остаётся создать группу забаненных пользователей и менеджерить её.

Стоит KWF 6.1.4 Patch 2
В правилах открыты все порты.
Все интернет программы работают нормально.
Только есть 1 проблема с игрой Lineage 2 С4.
При запуске игры ввожу логин, успешно вхожу в игру, выбираю персонаж и жму старт. И все, на этом у меня игра висит.
При отключенно KWF все работает.
Подскажите пожалуйста что это может быть

andrevk, посмотри исходящий 7777 порт. Ничего там на нём у тебя не висит кроме игры.

Yuushi, а что там может висеть? Вроде никакое приложение с ним не работает.
Когда отключаешь KFW нормально все работает.

Hrist

Цитата:

если в конфиге прописать для локальных интерфейсов   <variable name="FirewallExclude">1</variable>

Вообще перестает считать трафик для всех юзеров. Интерфейс то один....

Доброго Всем!

заранее прошу простить за то , что не смог прочесть все 84 страницы переписки, честно пытался, но...

у меня вот какой вопрос: установил KWF 6.1.0 все настроил с соединениями и доступом проблем нет, кроме:
1) не получается настроить соединение eDonkey (Kerio не пропускает его в мир)
2) не могу заливать на FTP файлы, скачивать могу (на сами сервера захожу без проблем, могу там создать папку с нужным именем, а вот закачать файл не могу, приходится с прокси отключать KWF и уже тогда напрямую заливаю файлы)
3) не получается считать FTP траффик (пробовал качать ProxyInspector'ом, но он считает только HTTP нормально, а прочий траффик увы...)

ну, если с первыми двумя вопросами я худо- бедно могу смириться, то с третьим беда ;(

Хэлп, ибо срочно

заранее спасибо за ответы

MihaMalin
1. Поставьте логирование пакетов на правиле дропа например и смарите в фильтр логе что дропается при попытках доступа на какие порты. И на правиле натинга локалки в инет добавляете (если там не any конешно+ надо вероятно порты пробросить до требуемой машины)
2. Content filtering - FTP Policy галки на forbid upload нету?
3. Сам смотрю по встроеной смарелке кто сколько примерно...