» Kerio WinRoute Firewall

mikas

Цитата:

Самая лучшая реализация, но не сакмая полная версия
Читай www.Cobion.ru
Аналог SurfControl.

пара вопросов:

Что значит реализация лучшая но версия не самая полная? т.е. на их алгоритме есть еще разработки? Cobion на их алгоритме? или вообще их продукт?
что лучше? SurfControl / Cobion или еще что?
вообще на сегодня есть явный лидер / группа лидеров из которых стоит выбирать?

впервые столкнулся с подобной задачей! посоветуйте.


Добавлено:
кстати когда читал рекламму контент фильтра на сайте KERIO хотел спросить - кого они поразумевают под термином "Ближайший конкурент" ? не SurfControl ли?

вот цитата:
"Web Filter анализирует 120 миллионов web-страниц ежемесячно и добавляет 100,000 новых и обновленных web-страниц каждый день. База Global Data Center содержит значительно больше web-сайтов, чем ближайший ее конкурент."

и вообще я запутался, хочется разобратся кто-что разработал... "Cobian" судя по сайту продукт некой IIS (Internet Security Systems) они к КЕРИО имеют какое либо отношение? или просто специализируются на контент фильтрах а КЕРИО тупо перепродаёт?

одно стало понятно что "Cobion’s OrangeBox Web" и "OrangeBox Mail" теперь завутся "Proventia™ Web Filter" и "Proventia™ Mail Filter" короче более понятно стало... Proventia™ и всё тут.. вот первоисточник:
"Cobion’s OrangeBox Web and OrangeBox Mail software products are now called Proventia™ Web Filter and Proventia Mail Filter."

INTERESANT
Раньше был Cobiin, потом его купили Internet Security Systems.

В керио втроен огрызок от "Proventia™ Web Filter" ("Cobion’s OrangeBox Web").
Вот и все ответы.

да благодарю.. сам почти разобрался уже.. увидел что ISS просто купила Cobion’s AG

еще вопрос - а кто то пользуется фильтрацией мыла от Proventa, не заточено ли оно под запад? в смысле каково качество фильтрации спама рунета? не хуже тогоже касперского?

так кто же ближайший конкурент Cobion/Proventa ?

благодарю.

All
Даже и не знаю как описать проблему. Кто-нибудь с активными группами IP адресов (адресными группами) в url правилах работает? Вот такая ситуация (просьба советы по другой реализации нижеследующего не давать, т.к. есть причины того, как сейчас сделано): предположим есть отдельные IP адреса локальной сети заканчивающиеся на .1 .3 .5 .7 и остальные адреса .8-.255 Для первой группы я интернет разрешаю, а для второй (остальные) запрещаю. Я создал 2 группы: Direct IP и Other. Теперь я создаю 2 Url правила, т.е. правило Direct IP для группы Direct IP и правило Other для группы Other. Одно правило разрешающее, другое запрещающее инет.
В каждом Url правиле в закладке Advanced указываю необходимую группу в поле Valid for ip adress group.
Вопрос: кто-нибудь знает смысл кнопки Edit рядом с именем выбранной группы в этой закладке Advanced?
Суть проблемы: если я выбираю (ставлю чекбоксы) в группе Direct IP в правиле Direct IP, то я почему-то виже отмеченными эти же чекбоксы в группе Direct IP, но уже радактируя (Edit) группу Other в правиле Other. Так и должно быть? Версия Kerio 6.1.1 build 479.

Добавлено:
Причем, если чекбоксов нет ни в одной группе, то компьюторы с ip адресами из группы Other имеют доступ в инет, если чекбокс выставлялся у группы Other при редактировании правила Other, то эти пользователи доступа в инет не имеют. Это еще не все Снятие или повторная установка чекбокса у группы не ведет в изменению конфигурации: кнопка Apply как была серой так и осталась серой. А вот это уже совсем плохо

Обратил внимание, что при закачке с и-нета файла с вирусом, винроут прверяет его, обнаруживает(отправляет мне оповещение по почте) и спокойно пропускает.Галка запрещать доступ установлена, кстати в оповещении пишет "The infected file was denied by Kerio WinRoute Firewall.", а по факту пропускает.Пару месяцев назад блокировал, а тут.. где могут быть грабли? Может в конфигах в ручную подправить нужно?

А adware и spyware встроенный антивирь отлавливает? оч. хоцца избавится от локальных антивирей на машинах в сети...

INTERESANT
Не советую избавляться от локальных антивирей. Во первых, движок явно настроен на быстродействие, а не на глубокое сканирование, поэтому ловится все равно не все и не всегда, а во вторых лучше, ИМХО, иметь и на каждой машине доп. антивирь другой какой-нить фирмы, так оно по надежней будет...

INTERESANT
да и от вирусов на дискетах, сидюках, флэшках и т.д. на локальных компах он не спасет

Полностью согласен с kliv1.
Хотя если организовать загрузку виндов по LAN и все данные юзеров хранить на серваке, где стоит серверный антивирь, то тогда можно от локальных отказаться.
Если все CD, FDD, USB и прочие порты оключить, то все равно возможно заражение компа в силу причин, о которых писал crapaud.

dimchik2002
ну ну...уроды есть такие что из дома гавно тащят...а к директору их тащить жалко

Нужна помощь знатоков. У меня 2 подключения к 2 провайдерам. Как в винроуте сделать так, чтоб почьа ходила на одного (один интерфейс), а все остальное- на другой? или еще слоней - почта провайдера ! - на провайдера 1, почта провайдера 2 - на провайдера2. В винруте нашел примари/сенкондари подключения, но они ратают если связь на оном теряется.. А мне надо 2 сразу. сенкс,

Все просто:
Через Traffic Policy.
Создаешь входящее правилo по протоколу POP3, для домена или IP первого почтового сервака и привязываешь его к одному интерфейсу. Создаешь исходящее правилo по протоколу SMTP для этого же интерфейса (если IP или DNS имя у почтового сервера для POP3 и SMTP разные, это нужно учесть). Правила ставишь в PERMIT. Для другого интерфейса эти же правила нужно продублировать и поставить им DENY. Аналогично делаешь правила для второго сервака, только учти, что разрешающие сначала делаешь для второго интерфейса, а потом ставишь в запрет на первом.
Примари/секондари тут не причем, т.к. у тебя два интерфейса активны.
P.S. Если используются другие почтовые протоколы, то подкорректируй правила под них.

Думаю товарищу придётся ещё прописать роут, просто по правилам у керио только 1 ифейс должен иметь дефолт гейтвей. А значит на второй ифейс придётся прописать роутинг, что на почту провайдера2 ходить через ифейс 2.

crapaud
ок идею удалить локальные антивири пока отложу, просто думал оно там настраеваемо (в смысле глубина и качество сканирования) ну типа есть многопроцессорный ксеон/кластер - выставил "паранойю" и вперед.

kliv1 локально всё закрыто ибо НЕХ. (кстати - как же это прекрасно) но от "качков" это ессно не спасает - осваеваем квотирование , а пока только клизмование народа по результатам отчёта "кто что куда и сколько" по концу недели (но это уже не моя задача).

dimchik2002 что значит "загрузка виндов по лан" - терминал? а перемещяемые профиля практикую но по ним есть нюансы и вопросы... но это уже оффтоп.

BlackFox жалко у пчёлки..., а на работе надо работать (ИМХО) - а чтоб не кого не куда не таскать, -меняйте политику. ну например юзеру самому чтоб что то поиметь на ПК прийдется идти к босу и обосновывать доп. ПО в список утвержденного для его должности - удобно. везде порядок.

Кто знает, помогите! Стоит сервак квф и кмс на одной машине, стоит нод32 клиенский, плагин к керио, не работает . как включить нод32 в керио? ставить сервер нодовский на машину? кто сталкивался отзавитесь. через 2 недели одарю подарком.

MADDIVER
Устал я уже про плагин нода рассказывать... В последний раз!

Кароч, сначала подумай, нужен ли тебе плагин, который не проверяет архивы (в отличие от родого Макофе или Виснетика, другие не юзал, не знаю). Если все же не вмоготу:
1 - устанавливаешь NOD32 стандарт или админ версию - пофиг.
2 - качаешь с сайта Керио доп. бесплатный плагин к NOD (там где про AV плагины найдешь) и ставишь его.
3 - в AMON NOD 32 прописываешь исключения из сканирования папки TMP и QARANTINE в папке с установленным Винрутом (при чем исключения должны быть написаны 2мя способами - длинным и коротким 8.3 вариантом - иначе не прокатит. Для KMS, соответственно, наверняка еще свои исключения надо добавить, какие - не знаю, у меня оно пока не стоит)
4 - после этого заходим в винрут и активируем плагин NOD. Если никто не заругался и в логе DEBUG появилась соответствующая запись - УРА! Вы сделали это!

Но повторяю - проверку архивов от этого плагина не ждите. Тут со мной в ветке NOD кто-то спорил... получил для пробы пару червей, и понял свою ошибку

crapaud
вопрос по поводу виснетика,он понимает любые обновления, или только кумулятивные? cumul.zip установился, обновился с локальной папки, остальные обновления делаю, такие как викли и дейли-в логах пишет ошибку что типа ошибка прочтения такого то файла, и имя файла такое, которым в архивах и не пахло) у кого нибудь такое было?

liberator
Ниче толком сказать не могу, т.к. обновляюсь прямо через инет. Стоит ежечасное обновление непосредственно с сайтов касперского. Но какие точно обновы он берет и как, не изучал. На компах конечных пользователей стоит NOD32, так что смысла не было колдовать с базами...

Друзья, подскажите пожалуйста, как настроить KWF. Есть сервак с KWF 6.1.4 (выход в интернет через локалку провайдера) и 5 клиентов во "внутренней сети". Проблема в следующем:
а) С сервака нельзя отправить почту с помощью The Bat!, причем ни через SMPT провайдера, ни через SMTP яндекса и т.п. (а принять можнжо);
б) С клиентов нельзя ни принять, ни отправить почту, плюс, не работают ни менеджеры закачек, ни FTP-браузеры, а интерент работает нормально.

Собственно вопрос: как надо настроить правила, чтобы это было возможно? Если у кого-то подобная конфигурация, не могли бы Вы прислать скриншотик раздела Traffic Policy на trentr@яндекс.ру? Буду очень признателен!

Цитата:

dimchik2002 что значит "загрузка виндов по лан" - терминал? а перемещяемые профиля практикую но по ним есть нюансы и вопросы... но это уже оффтоп.

например вот тут подробненько разжевано как это реализовать: http://www.winsov.ru/varius0063.php

Eld999
Скриншоты траффик полиси в студию, а то телепаты в отпуске! А вааще, если ставишь правила с помошью встроенного визарда (и разрешаешь из локалки все, и настраиваешь NAT), то как правило проблем с доступом до всех этих сервисов не возникает...

crapaud
Спасибо, но вышеописанная проблема с почтой решена! Появились другие
Несмотря на то, что из локалки разрешены только сервисы DNS, HTTP, HTTPS, FTP и POP3, аська все-равно работает , кроме того, работает и автоматическое обновление некоторых программ (Acrobat, например), а мне надо этно все заблокировать. Это как-то можно провернуть?

Цитата:

crapaud
Спасибо, но вышеописанная проблема с почтой решена! Появились другие
Несмотря на то, что из локалки разрешены только сервисы DNS, HTTP, HTTPS, FTP и POP3, аська все-равно работает , кроме того, работает и автоматическое обновление некоторых программ (Acrobat, например), а мне надо этно все заблокировать. Это как-то можно провернуть?

Это настраивается в HTTP Policy. Либо забей соответствующие сайты (например icq.com и adobe.com) в закладку URL Groups в блокирование рекламы, Либо создай правило на закладке URL Rules с запретом на эти сайты.

Eld999
Traffic Policy в студию.

Вопрос пустяковый, но не могу сообразить Я хочу запретить посещение некоторых сайтов. чтобы при этом открывалась созданная мною html страница, находящаяся локально на проксе-сервере. Я знаю, что есть такая опция redirect to url. Но куда кинуть мою созданную страничку и как правильно прописать к ней путь? http://server:4080/denied.html не работает

закидываем /kerio/winroute firewall/weblang/gfx/denied.html
и ссылку даем на http://server:4080/gfx/denied.html

Eld999
icq не обязательно на своём порту работает.. может и на обычном http(80) нужно прикрывать всю сеть мираблис.. и по имени и по IP адресам.. где то на форуме проскакивали темы по этому поводу

Evgeny_Sorokin
вобщем правильно

но если положить документик в папку с админским web то наверное можно прописать и http://server:4080/denied.html

но web сервер будет правильнее ИМХО

Evgeny_Sorokin
Мне тоже так кажется. Такое ощущение, что это опция отвечает только переадресацию в интернете.

получилось. см. выше.

Добавлено:
Mikes

Цитата:

но если положить документик в папку с админским web то наверное можно прописать и http://server:4080/denied.html

А вот в корень положить если, то не хочет страничка открываться.

Mikes
Цитата:

но если положить документик в папку с админским web

А что это за папка такая?

Добавлено:
Поднял Apache и все заработало. Спасибо.