» Kerio WinRoute Firewall

Что-то недовкуриваю, в файле HOSTS уже указал новый айпишник макафи, но в логах пишет ошибку и указывает старый айпишник. Куда он ещё прописался.
Antivirus plug-in error: Cannot get file /products/datfiles/4.x/nai/update.ini from 67.97.80.95

Сервак перегружал....

scatchi
спасиб. вот ты разжевал так разжевал))
респект;)

pink
Странно, на сколько я помню, поддержку Нетвари тоже можно там же по адаптерно вырубать... Кроме того принтер должен работать именно по протоколу MS... непонятки...

mikas

Цитата:

Цитата:если в конфиге прописать для локальных интерфейсов <variable name="FirewallExclude">1</variable>
Вообще перестает считать трафик для всех юзеров. Интерфейс то один....

если б бвл один была бы локальная сеть и все... а второй интерфейс как мимниум есть - через него вы в интернет смотрите... под локальным понимаеться тот что в локалку смотрит...

эта схема уже как не один год у всех работает


Добавлено:
MihaMalin

Цитата:

у меня вот какой вопрос: установил KWF 6.1.0 все настроил с соединениями и доступом проблем нет, кроме:
1) не получается настроить соединение eDonkey (Kerio не пропускает его в мир)
2) не могу заливать на FTP файлы, скачивать могу (на сами сервера захожу без проблем, могу там создать папку с нужным именем, а вот закачать файл не могу, приходится с прокси отключать KWF и уже тогда напрямую заливаю файлы)
3) не получается считать FTP траффик (пробовал качать ProxyInspector'ом, но он считает только HTTP нормально, а прочий траффик увы...)

1) нужно знать какой порт использует едонкей и разрежить ему ходить в инет. плюс есть кой какие галки в Advanced Options - P2P Eliminator
2) через НАТ льете или через прокси? через НАТ все чудесно должно работать - если разрешили фтп...
3)фтп траф можно считать если сделать отдельное правило на фтп и включить логи на коннекты - тогда в логах connection будут логи - их последние прокси инспектор считает боле менее

(и кстати вместо того что бы гадать что да как у тебя - было бы хорошо видеть скриншот трафик полисей - но... как ни проси... все думают что здесь телепаты)

Добавлено:
pink

Цитата:

Не подскажет ли кто, как можно решить проблему:
локальная сеть, в ней разномастные Windows-компьютеры, на одном из них, с Win98 стоит принтер, расшаренный, все с него печатают. А вот у шлюза с KWF 6 под WinXP печать оказывается практически невозможна - такое ощущение, что компьютер ищет принтер через сетевой интерфейс, ведущий в интернет. Да, интерфейс этот - вторая сетевуха, подключенная в ADSL-модем.

опять повторюсь... неплохо бы видеть скриншот трафик полисей...
правила на локальную сетку нужно в самый верх
и в конфиге для сетевухи смотрящей в локалку нужно прописать
<variable name="FirewallExclude">1</variable>
естесно предварительно остановив керио...

У меня такая ситуация. Ставлю Керио, вроде все гут, работает, кроме SSH.

Убираю TrafficInspector'ы во всех рулзах, вроде SSH начинает работать но при потоках данных (например ls или редактировагние файла vim-ом) конект "подвисает".

Может ктото знает как лечить?

подскажите пожалуйста, можно ли как-нибудь научить керио авторизировать клиентов по MAC-адресу сетевухи ?

Что то у меня крыша уже едет. Может кто поможет?
Все просто, комп с двумя сетевухами, одна локалка 192,168,1,0 и т.д., другая выход в инет через ADSL. На нем же стоит KWF последней версии. Сегодня с утра (да и пол года до этого) все работало, после обеда (хотя я не трогал настройки не перезагружался) все перестало работать. Даже пинг. Отключаю KWF все работает шлюз АДСЛ пингуется.
Смотрел настройки, все как было. Где мне еще покопать?
Нашел подозрительную вещь в логах:
[06/Mar/2006 12:47:08] (1005) Application layer gateway service system service detected. The service has been stopped.
[06/Mar/2006 12:47:10] (1002) Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) system service detected. The service has been stopped.
Может в этом дело? Хотя я уже перезагружался 20 раз и в логах больше этого сообщения не было...
Заранее спасибо!

а он случаем в не научился работать с терминальными сервисами и правильно авторизовывать пользователей?

Присоединяюсь к nuller
У меня та-же фигня при использовании T-Mail (через TCP/IP)
Причем отправка идет нормально, а при получении файлов больше 512 Кб - обрыв связи. Если решили это проблему - делитесь.

Помогите, пожалуйста, с решением следующей проблемы, уважаемые:

Вся локалка организации ходит в Инет через шлюз с Kerio Winroute Firewall. При установке Ad Muncher на сам шлюз, реклама режется прекрасно, но только ежели ходить со шлюза. А на машинах в локалке ничего не режеться. Возможно ли как-то подружить сабж с Kerio Winroute Firewall, и если можно, то как?

Заранее благодарен!!!

sirrich

Цитата:

[06/Mar/2006 12:47:08] (1005) Application layer gateway service system service detected. The service has been stopped.
[06/Mar/2006 12:47:10] (1002) Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) system service detected. The service has been stopped.

эти службы нужно отрубить....
и фаервол если есть еще какой тоже...
nuller

Цитата:

кроме SSH.

ээээ.. что то я забыл что это такое? хттпс? оно?

Добавлено:
scatchi
гы... нет конечно....
кстати через хттп рулесы и группы баннеров - отчасти можно резать и в самом керио... а так - нет - адмюнчер заточен на работу с браузером а не с керио...
LostWarrior

Цитата:

Причем отправка идет нормально, а при получении файлов больше 512 Кб - обрыв связи

возможно тут проблема в том что керио ограничен в протоколе на размер пакета... обещали исправить в след версиях... просто обычно пакеты все разбиваються на более мелкие... но есть оказываеться исключения....

Hrist
Есть вариант использовать Proxomitron. В этом случае проблема такова:

Локалка организации ходит в Инет через шлюз с установленным Kerio Winroute Firewall. Устанавливаю на этот шлюз Proxomitron, прописываю в настройках kerio перенапрявлять запросы на прокси: 127.0.0.1: 10329 (такой же порт выставлен в настройках Proxomitron). После этого ни одна страничка не открывается. Сабж пишет Active connections: 00, т.е. пакеты на сабж не поступают. Как исправить?

Заранее благодарен!!!

scatchi
К сожалению нет. И проблема просто в разных методах фильтрации.
керио делает это на уровне протокола, а АДМ просто как текстовый фильтр

Sovka
При любом виде авторизации в конечноим итоге он делает привязку пользователь = соотв. IP. Исходя из этой матчасти ...

WinTester
значит так и не научился в новых версиях...

scatchi

Цитата:

Вся локалка организации ходит в Инет через шлюз с Kerio Winroute Firewall. При установке Ad Muncher на сам шлюз, реклама режется прекрасно, но только ежели ходить со шлюза. А на машинах в локалке ничего не режеться. Возможно ли как-то подружить сабж с Kerio Winroute Firewall, и если можно, то как?

А может проще резать рекламу самим KWF, а не устраивать геморой ?

Hrist

нет, SSH это другой протокол на 22 порту, который дает возможность рулить серваком удаленно через "тексовую консоль" по закриптованному соединению.

Добрый день
Есть вот такая проблема:
стоит Kerio 6
Нужен VPN но не VPN Керио, а обычный Windows
в политиках прописано что
с внешнего интерфейса MAP на IP внутреннего сервера VPN
порты 1723 и 47
но подключения не происходит, из локолки все нармально.

Hrist
В том то и дело, что все остальное отключено..
Решил поэксперементировать:
1. убрал все правила, сделал одно новое any-any-any-permit. ping шлюза идет в инет броузером выйти не можем.
2. Ставим firewall-any-any-permit уже и ping не проходит.
Реально не знаю что и делать....
Заранее спасибо!

Таааак кажись разобрался! Во всем виноват долбаный Касперский. Он что то не то скачал с обновлений...
Пришлось поставить его заново.
Похоже есть какая то не совместимость защиты от атак в касперском и винроута, хотя до этого уже пол года они тихо-мирно сосуществовали....

Сталкнулся с проблемой KFW 6.1.4-1086. На двух машинах (ОС Win ХР Pro SP2 и Win 2000 Pro). На XP вылечилось лекарством из шапки.
Проблема заключается в том, что после установки KWF, не ходят никакие пинги и вообще ничего не работает. Помогает только удалению KWF. Как я уже сказал, лечится лекарством
Не знаю почему так...исследовать вопрос времени и возможности сейчас нет.


Добавлено:
Забыл сказать, что на Win 2000 Pro еще не пробовали лечить.

sirrich

Цитата:

Во всем виноват долбаный Касперский. Он что то не то скачал с обновлений...
Пришлось поставить его заново.
Похоже есть какая то не совместимость защиты от атак в касперском и винроута, хотя до этого уже пол года они тихо-мирно сосуществовали....

В Касперский антивирус !персонал! встроен минифаервол, любой из видов коих как известно не должен быть при установленном на компе KWF. Так что приставку "долбанный" я б не писал или адресовал бы совсем не в его адрес.

lloyd
Протокол GRE не забыли?

WinTester
Да это я с горяча /-) Странно, но уживались ведь они в двоем спокойно до вчерашнего дня!

AnLe
Он и написал про 47 протокол. Это ведь и есть GRE вроде.

Evgeny_Sorokin
Ну малоличто, может он именно порты просто пробросил 1723 и 47...

2All
Гм, незнаю куда написать в ветку сюда или по кмс, но начну отсюда:
Есть на машине квф и кмс, пытаемся посылать письмо человеку на рамблер (как извесно там работают грей листы) Самое интересное, что с точки зрения маилсервера письмо номано ушло,а вот затем приходит письмо от керио фаервола со словами что мол 402 попробуйте пожже.

Верноя понимаю что письмо возвращщает именно kwf таккак он его ещё антивирусом проверяет?

Проблема. Пользователи не могут зайти на https://
А машина с керио может!
в правилах везде стоит HTTPS.

Что посоветуете?

Проблема с дозвоном. Стоит ADSL-модем на USB, соединение через дозвон, как dial-up. Прописал дозвон по требованию, указал логин-пароль брать из настроек соединения - пишет "неверный логин-пароль", ввел их вручную - то же самое. Короче говоря при помощи KWF дозвониться мне не удается, только вручную. Версия 6.1.4.

routewin
Без скриншота политик не обойтись...
vers2
а зачем, извиняюсь, такой изврат? почему постоянное подключение не прокатывает?

А еще вопросик. Необходимо попасть на удаленную машину на ней стоит керио.
попасть хочу РАДМИНОМ. Расскажите подробнее как это сдлеать, а то совсем змучился с этими правилами и порты вроде открыл. все равно не находит радмина на той машине.
Пинги доходят.

routewin
Создай правило в политиках sourse - any (или, если у вас реальный IP? с которого вы коннектитесть - то его), Destination - Fierwall host, Service - либо указываешь порт, через который у тя настроен Radmin (по умолчанию 4899), либо в Services создаешь новый сервис Radmin и притягиваешь уже его; Action - Permit, Log - Connections
Вот собснно и все
Есснно должен быть апущен на этой машине сервер Radmin, желательно еще пароль на нем по заковыристей.