RemComm, проверь личку.
» Kerio WinRoute Firewall (часть 2)
Народ, кто использует Winroute Firewall + NOD32 - помогите ответом. Установил НОД32 а Керио закозлился, что IMON (Internet Monitor) он не поддерживает. Откючив IMON Керио подхватил НОДу и все заработало. Так вот вопрос, как НОДа сканирует весь инет траффик (странички, скрипты, файлы, архивы, почту и т.д.), если самая главная фишка IMON отключена, и сканирует ли он вообще хоть что-то, когда пользователи через фаервол лазают по интернету?
Koberok
Конечно. NOD уже трафик не проверяет. Для этого надо настраивать антивирусные модули в самом керио. Либо качаешь плагин к NOD32 с сайта керио (правда этот плагин не проверяет архивы но зато если у тебя уже стоит NOD? то он встанет без всяких доп. регистраций), либо использовать втроенную макаку, либо устанавливать какой-нить альтернативный плагин.
Конечно. NOD уже трафик не проверяет. Для этого надо настраивать антивирусные модули в самом керио. Либо качаешь плагин к NOD32 с сайта керио (правда этот плагин не проверяет архивы но зато если у тебя уже стоит NOD? то он встанет без всяких доп. регистраций), либо использовать втроенную макаку, либо устанавливать какой-нить альтернативный плагин.
Хм, обнаружил что в версии 621 перестало влиять наконец включение\отключение протокол инспектора на правилах например общения кериовпн пользователей с локалкой. Теперь внезависмости от наличия протокол инспектора траффик вешается на подконекченного юзера (хотя егои можно разлогофить тогда траф повесится на unregister 
).
Единственно что несовсем удобно щщитает он его относительно себя досихпор.
Тоесть пользователь например скачал чтото из локалки по впну, в статистике фаервола этот траф записывается пользователю в раздел out.
). Единственно что несовсем удобно щщитает он его относительно себя досихпор.
Тоесть пользователь например скачал чтото из локалки по впну, в статистике фаервола этот траф записывается пользователю в раздел out.
Проблема в 6.2.1 (build 1454) или во мне.
На KWF сделан VPN туннель (активная сторона) и к этой же машине (к Kerio VPN Server'у) подсоединяются несколько клиентов (с помощью KVC).
Я сделал правило:
Source: User1
Destination: VPN_Tunnel_to_USA
Service: Any
Action: Permit
Translation: No
Valid On: Always
Protocol Inspector: Default
На 2-ой машине сделан пассивный VPN туннель и правило:
Source: VPN_Tunnel_from_Ukraine
Destination: Interface connected to - указано соединение с инетом - внешний интерфейс
Service: Any
Action: Permit
Translation: Interface connected to - указано соединение с инетом - внешний интерфейс
Valid On: Always
Protocol Inspector: Default
Все работает - User1 коннектится с помощью KVC и получает доступ к Интернету через NAT на 2-ой машине.
Я вижу как увеличивается траффик на всех интерфейсах, через которые проходят его пакеты (в том числе и на интерфейсе VPN Server), но я нигде не вижу траффика этого пользователя...везде стоят нули...и скорость всегда 0.
В Configuration...Advanced Options...Quote/Statistics стоит галочка Enable per user statistics. Exkude IP Adresses - ничего нету. Excluse Firewal - тоже не стоит.
Проблема не критичная в моей ситуации, но все-таки, хотелось бы понять в чем проблема.
Спасибо.
На KWF сделан VPN туннель (активная сторона) и к этой же машине (к Kerio VPN Server'у) подсоединяются несколько клиентов (с помощью KVC).
Я сделал правило:
Source: User1
Destination: VPN_Tunnel_to_USA
Service: Any
Action: Permit
Translation: No
Valid On: Always
Protocol Inspector: Default
На 2-ой машине сделан пассивный VPN туннель и правило:
Source: VPN_Tunnel_from_Ukraine
Destination: Interface connected to - указано соединение с инетом - внешний интерфейс
Service: Any
Action: Permit
Translation: Interface connected to - указано соединение с инетом - внешний интерфейс
Valid On: Always
Protocol Inspector: Default
Все работает - User1 коннектится с помощью KVC и получает доступ к Интернету через NAT на 2-ой машине.
Я вижу как увеличивается траффик на всех интерфейсах, через которые проходят его пакеты (в том числе и на интерфейсе VPN Server), но я нигде не вижу траффика этого пользователя...везде стоят нули...и скорость всегда 0.
В Configuration...Advanced Options...Quote/Statistics стоит галочка Enable per user statistics. Exkude IP Adresses - ничего нету. Excluse Firewal - тоже не стоит.
Проблема не критичная в моей ситуации, но все-таки, хотелось бы понять в чем проблема.
Спасибо.
1. Пипл! помогите определиться всеже со 2-ым антивирусомм под Керио. Просто я что не повешу, - все как-то очень незаметно работает, как будто и не работает вовсе Меня это очень даже смущает. Даже в логах ничего не пишет, хотя плагины устанавливал и настраивал все как надо вроде. (Еще хотелось бы лицензию на avast! for kerio найти).
2. И еще вопрос наверняка миллион раз рассмотренный, но листать 100 страниц в топике, который был до переноса - сил нет. Подскажите как настроить Керио, чтобы траффик нормально считался. Есть локалка, в инет доступ осуществляется через ADSL модем, который врублен в свитч и имеет свой IP. На Керио поднят PROXY, аутентификация пользователей включена (кажд. раз при заходе на страницу инета). Я это описываю, бо не знаю что конкретно нужно, просто беда в том, что при всем этом в логах основная часть траффика попадает все равно на Unrecognized. ТОбишь получаецца когда открываю TOP20 пользователей по траффику, то показывается 4 пользоваткля к примеру с учтенным траффиком, а потом идут пользователи с мелочным, а потом Unrecognized где 70% остального траффа.
3. Ну и доп. вопрос, как прописать правила, чтобы локальный траффик не учитывался а считался только инетовский.
P.S. Очень рассчитываю на вашу помощь и понимание. Раньше Керио не использовал, - перешел на нее совсем недавно, как узнал, что в ней резалка траффика появилась.
Меня это очень даже смущает. Даже в логах ничего не пишет, хотя плагины устанавливал и настраивал все как надо вроде. (Еще хотелось бы лицензию на avast! for kerio найти). 2. И еще вопрос наверняка миллион раз рассмотренный, но листать 100 страниц в топике, который был до переноса - сил нет. Подскажите как настроить Керио, чтобы траффик нормально считался. Есть локалка, в инет доступ осуществляется через ADSL модем, который врублен в свитч и имеет свой IP. На Керио поднят PROXY, аутентификация пользователей включена (кажд. раз при заходе на страницу инета). Я это описываю, бо не знаю что конкретно нужно, просто беда в том, что при всем этом в логах основная часть траффика попадает все равно на Unrecognized. ТОбишь получаецца когда открываю TOP20 пользователей по траффику, то показывается 4 пользоваткля к примеру с учтенным траффиком, а потом идут пользователи с мелочным, а потом Unrecognized где 70% остального траффа.
3. Ну и доп. вопрос, как прописать правила, чтобы локальный траффик не учитывался а считался только инетовский.
P.S. Очень рассчитываю на вашу помощь и понимание. Раньше Керио не использовал, - перешел на нее совсем недавно, как узнал, что в ней резалка траффика появилась.
Koberok
Ну для того, чтобы проверить как работает антивирь достаточно послать себе вирус, или зайти на http://eicar.com/anti_virus_test_file.htm и покачать оттуда. Сразу будет все понятно. На счет аваста - тоже искал, нету
, но думаю связки VisNetic+Mcaffe хватит за глаза. А работают они и правда особо не нагружая процессор. Да, если ты в своем NOD32 не сделал исключения на проверку папок, используемых антивирусными модулями керио, работать ничего не будет.
Ну для того, чтобы проверить как работает антивирь достаточно послать себе вирус, или зайти на http://eicar.com/anti_virus_test_file.htm и покачать оттуда. Сразу будет все понятно. На счет аваста - тоже искал, нету
, но думаю связки VisNetic+Mcaffe хватит за глаза. А работают они и правда особо не нагружая процессор. Да, если ты в своем NOD32 не сделал исключения на проверку папок, используемых антивирусными модулями керио, работать ничего не будет.crapaud
Огромное спасибо. Благодаря твоему посту остановился на Visnetic'e. Пожалуй действительно наилучшее решение.
Теперь осталось разобраться с траффиком.
Огромное спасибо. Благодаря твоему посту остановился на Visnetic'e. Пожалуй действительно наилучшее решение.
Теперь осталось разобраться с траффиком.
Koberok
для всех правил включи логи соединений и потом по этим самым логам можно будет найти, какие хосты у тебя не отождествляются с пользователями, но получают доступ в сеть согласно каким-то правилам. такое бывает в разных случаях, но в основном когда есть правила, разрешающие хождение наружу с условием SIP=x.x.x.x и когда этот ип не удается ассоцировать с конкретным пользователем.
для всех правил включи логи соединений и потом по этим самым логам можно будет найти, какие хосты у тебя не отождествляются с пользователями, но получают доступ в сеть согласно каким-то правилам. такое бывает в разных случаях, но в основном когда есть правила, разрешающие хождение наружу с условием SIP=x.x.x.x и когда этот ип не удается ассоцировать с конкретным пользователем.
Удалено. Вопрос снят. Все заработало
FTP кто нить проверял? А то глюкавость c winroute тут стала проявлятся..
Ставлю по локалке закачку маленьких файлов (меньше 1 мб) тысяч под 10000. То что обычно копировалось меньше чем за час, скопировалось часа за 3-3.5. Причем успеваешь даже имя файла прочитать.
Вырубаю Winroute, ставлю копироваться заново, все просто пролетает минут за 40-50.
Бегунок копирования бежит с такой скоростью, что прочитать не успеваешь ничего.
Антивирус вырублен, DNS forwarder - тоже
Версия Winroute 6.2.0.1383.patch1.
Поставил версию 6.2.1b1454 - тормоза остались.
Из портов открыты Netbios-SSN/FTP/HTTP/HTTPS/DNS
Добавлено:
добавил правило - всем все разрешено. Включил. При включенном Winroute тормоза остались.
Стоит его вырубить через systray. Файлы летают. Может у кого будут идеи?
Ставлю по локалке закачку маленьких файлов (меньше 1 мб) тысяч под 10000. То что обычно копировалось меньше чем за час, скопировалось часа за 3-3.5. Причем успеваешь даже имя файла прочитать.
Вырубаю Winroute, ставлю копироваться заново, все просто пролетает минут за 40-50.
Бегунок копирования бежит с такой скоростью, что прочитать не успеваешь ничего.
Антивирус вырублен, DNS forwarder - тоже
Версия Winroute 6.2.0.1383.patch1.
Поставил версию 6.2.1b1454 - тормоза остались.
Из портов открыты Netbios-SSN/FTP/HTTP/HTTPS/DNS
Добавлено:
добавил правило - всем все разрешено. Включил. При включенном Winroute тормоза остались.
Стоит его вырубить через systray. Файлы летают. Может у кого будут идеи?
flayx
Выключить скан антивирусом или PI вообще. Думаю это скорость повысит.
Добавлено:
Точнее выключить его на правиле по которому будет фтп ходить.
Выключить скан антивирусом или PI вообще. Думаю это скорость повысит.
Добавлено:
Точнее выключить его на правиле по которому будет фтп ходить.
flayx
Поставь правило "Local traffic" самым первым...
Поставь правило "Local traffic" самым первым...
AnLe
Цитата:
Антивирус не включался изначально в .cfg, впридачу - снята галочка после.
На счет PI вообще интересная ситуация - при "default" скорость медленная, при "none" - если в каталоге большое кол-во файлов, фтп-клиент просто висит.
В "other=ftp", то же самое, что при "default".
Arakcheev
Цитата:
Смотря что назвать "Local Traffic". На машине два сетевых интерфейса, при этом она входит в несколько подсетей. В каждой из подсетей есть несколько серверов с которых эта машина перекачивает кучу-другую файлов на другие сервера как по FTP, так и через NETBIOS.
Ну и чтобы юзеры "случайно" не получили доступ к этой машине, на ней поставили Winroute.
После чего скорость перекачки по ФТП очень заметно упала.
Цитата:
Выключить скан антивирусом или PI вообще. Думаю это скорость повысит.
Антивирус не включался изначально в .cfg, впридачу - снята галочка после.
На счет PI вообще интересная ситуация - при "default" скорость медленная, при "none" - если в каталоге большое кол-во файлов, фтп-клиент просто висит.
В "other=ftp", то же самое, что при "default".
Arakcheev
Цитата:
Поставь правило "Local traffic" самым первым...
Смотря что назвать "Local Traffic". На машине два сетевых интерфейса, при этом она входит в несколько подсетей. В каждой из подсетей есть несколько серверов с которых эта машина перекачивает кучу-другую файлов на другие сервера как по FTP, так и через NETBIOS.
Ну и чтобы юзеры "случайно" не получили доступ к этой машине, на ней поставили Winroute.
После чего скорость перекачки по ФТП очень заметно упала.
А зачем в настройке пользовательской квоты есть чекбокс "Уведомлять пользователя по E-mail". Ну прописал я у пользователя почтовый адрес. А толку - ноль У меня же внутренней почты нет А настроек для POP3 и SMTP в Kerio похоже нет С другой стороны, как пользователь получит почту, если у него квота уже использована? Как-то нелогично сделано. Или все завязано на внутреннюю почту?
У меня же внутренней почты нет А настроек для POP3 и SMTP в Kerio похоже нет С другой стороны, как пользователь получит почту, если у него квота уже использована? Как-то нелогично сделано. Или все завязано на внутреннюю почту?Вопрос: Возможно ли трафик полиси настроить таким образом чтобы например прослушивался 80 порт с определенного айпишника извне и вс что идёт на 80тый порт перенаправлялось на login.icq.com на порт 5190? Т.е. типа тунеля организовать.. потому как у друга открыт только 80 порт и аську никак не могет запустить..вот хочу ему помочь =) Если это вообще возможно.. всякие халявные веб-сервисы работают оч. медленно...их можете не предлагать.
А мне надо чтобы запросы, отправляемые на 64.12.0.0/255.255.0.0 и 208.188.0.0/255.255.0.0 на порт 5190 - шли через шлюз 10.0.5.1, а если другой порт, то и шлюз дефолтовый системный. Можно как-то оргранизовать?
Serg0FFan
А просто посадить проксик винрута на 80 порт и пускать аську через него?
И такой вопрос, вы в одной сети (локальной например и только твой машина выход в инет имеет) или это вы в разных частях инета таксказать.
А просто посадить проксик винрута на 80 порт и пускать аську через него?
И такой вопрос, вы в одной сети (локальной например и только твой машина выход в инет имеет) или это вы в разных частях инета таксказать.
А такой вопрос.
KWF 6.2.1 - Стоит Kerio Прокси + NAT
у всех пользователей прописан прокси..
Дык вот когда они ломяцца в инет, то в статистике на каждого пользователя
траффик отображается только на Сервисе Proxy..
1. А как сделать, чтобы они продолжая ходить по проксе всетаки разделялись в статистике на Web, Mail, FTP и т.д. ?
2. Как отключить запись в статистику локального траффика, который попадает в сервис "Other"?
3. Как добавить в статистике, в сервисах чтобы еще ICQ сервис отображался?
Спасибо за внимание.
P.S. может у кого таблетка на kwf 6.2.1 b1454 появилась с поддержкой Макаки?
KWF 6.2.1 - Стоит Kerio Прокси + NAT
у всех пользователей прописан прокси..
Дык вот когда они ломяцца в инет, то в статистике на каждого пользователя
траффик отображается только на Сервисе Proxy..
1. А как сделать, чтобы они продолжая ходить по проксе всетаки разделялись в статистике на Web, Mail, FTP и т.д. ?
2. Как отключить запись в статистику локального траффика, который попадает в сервис "Other"?
3. Как добавить в статистике, в сервисах чтобы еще ICQ сервис отображался?
Спасибо за внимание.
P.S. может у кого таблетка на kwf 6.2.1 b1454 появилась с поддержкой Макаки?
Mushroomer
в сабже же вроде есть smtp-relay
в сабже же вроде есть smtp-relay
Koberok
Таблэтка в варезнике давно уже есть.
У меня все ходят тока через NAT(включен прозрачный прокси). И все прекрасно отображается...
Таблэтка в варезнике давно уже есть.
У меня все ходят тока через NAT(включен прозрачный прокси). И все прекрасно отображается...
Crapaud
а дай мне плиз свою аську)
я тебя в ней подостаю немножко
а дай мне плиз свою аську
) я тебя в ней подостаю немножко
AnLe
Именно в разных частях инета.. т.е. я здесь а он в другом городе даже =) Если бы были в локалке то нафик бы я ему чвота резал бы? в смысле доступа..
Добавлено:
ТАк что ни у кого нету мыслей как сделать туннель? Чтобы человек из другого города мог законектица ко мне на винроут и тот его перенаправил куда надо дальше..
Именно в разных частях инета..
т.е. я здесь а он в другом городе даже =) Если бы были в локалке то нафик бы я ему чвота резал бы? в смысле доступа.. Добавлено:
ТАк что ни у кого нету мыслей как сделать туннель? Чтобы человек из другого города мог законектица ко мне на винроут и тот его перенаправил куда надо дальше..
Цитата:
Вопрос: Возможно ли трафик полиси настроить таким образом чтобы например прослушивался 80 порт с определенного айпишника извне и вс что идёт на 80тый порт перенаправлялось на login.icq.com на порт 5190? Т.е. типа тунеля организовать.. потому как у друга открыт только 80 порт и аську никак не могет запустить..вот хочу ему помочь =) Если это вообще возможно.. всякие халявные веб-сервисы работают оч. медленно...их можете не предлагать
у меня построена так:
ICQ-x.x.x.x- Firewall - DNS, HTTP Proxy, HTTPS, ICQ - permit
INET (интерфейс который смотрит в инет)
где x.x.x.x - IP в инете
При таком раскладе все работает. единственное у меня на том IP полность закрыт доступ в инет, разрешен только доступ до моего IP (по всем портам). и что бы работала ICQ приходится так извращаться.
Добавлено:
Да и тебе в твоем случае придется прокси повесить на порт 80 скорее всего.
Или попробовать сделать так: ICQ - x.x.x.x - Firewall - ICQ - premit - translate to IP address of intefce
обидно, однако.
Появился трабл с установкой 6.2.1.
Опять скорость копирования по локальной сети с компьютера на котором установлен Керио.
В файле winroute.cfg на внутрешнем интерфейсе установлено <variable name="FirewallExclude">1</variable>
Скорость 150-300 Кб/с,... что еще нужно исправить ?
Заранее благодарен !
Опять скорость копирования по локальной сети с компьютера на котором установлен Керио.
В файле winroute.cfg на внутрешнем интерфейсе установлено <variable name="FirewallExclude">1</variable>
Скорость 150-300 Кб/с,... что еще нужно исправить ?
Заранее благодарен !
Serg0FFan, пусть твой друг пропишет у себя в качестве сервера ICQ твой IP. Порт, конечно же 80, раз он только его может использовать. Ты у себя сделай правило:
Source: IP друга
Destination: Firewall Host
Service: Local Port - TCP:80 (это кажись просто HTTP)
Action: Permit
Translation:
Source NAT: Translate to IP address of interface: выбираешь свой коннект к инету
Destination NAT:
Translate to: login.icq.com
Translate port to: 5190
Вот такая схема должна быть, я думаю.
На правильность не претендую, так как: 1-сам не проверял, 2-не великий АСС в сетях
Добавлено:
Второй способ - это сделать через прокси, но тут я тебе сразу не скажу прям так настройки....надо посмотреть сначала....а в 3 часа ночи...ой, утра, наверное, - не особо голова варит
Source: IP друга
Destination: Firewall Host
Service: Local Port - TCP:80 (это кажись просто HTTP)
Action: Permit
Translation:
Source NAT: Translate to IP address of interface: выбираешь свой коннект к инету
Destination NAT:
Translate to: login.icq.com
Translate port to: 5190
Вот такая схема должна быть, я думаю.
На правильность не претендую, так как: 1-сам не проверял, 2-не великий АСС в сетях
Добавлено:
Второй способ - это сделать через прокси, но тут я тебе сразу не скажу прям так настройки....надо посмотреть сначала....а в 3 часа ночи...ой, утра, наверное, - не особо голова варит
Вопрос такой. Есть KWF 6.2.1 , авторизация через домен.
Галочки "Требовать авторизации" и "Автоматическая авторизация через браузер" включены, так же пришлось включить HTTPS сервер керио.
При попытки открыть страницу что через IE что через Firefox (он тоже умеет NTLM), происходит перенаправление, предлагает принять сертификат , далее выбрасывается обычное окно Логин-Пароль - и только после этого пользователь логиниться в керио.
То есть авторизация через домен превращается в аторизацию через логин-пароль
Как исправить?
Галочки "Требовать авторизации" и "Автоматическая авторизация через браузер" включены, так же пришлось включить HTTPS сервер керио.
При попытки открыть страницу что через IE что через Firefox (он тоже умеет NTLM), происходит перенаправление, предлагает принять сертификат , далее выбрасывается обычное окно Логин-Пароль - и только после этого пользователь логиниться в керио.
То есть авторизация через домен превращается в аторизацию через логин-пароль
Как исправить?
Правила то все соблюдены?
хттп://www.kerio.com/manual/kwf/en/ch22s03.html
хттп://www.kerio.com/manual/kwf/en/ch22s03.html
Здравствуйте.
Стоит у меня на выделенке уже давно winroute 5.х с касперским и все отлично, никаких проблем. Да вот надумали брать более скоростное подключение и назрел вопрос:
Как можно в новых версиях керио ограничивать скорость подключения юзеров к интернет, т.е. чтобы на любой ip была скорость не больше 56к, или какую стороннюю программу возможно прикрутить к керио, чтобы ограничить скорость подключения. Изучал winrout 6.0.8 и такой функции не нашел, может в последних версиях есть?
Подскажите пожалуйста.
Стоит у меня на выделенке уже давно winroute 5.х с касперским и все отлично, никаких проблем. Да вот надумали брать более скоростное подключение и назрел вопрос:
Как можно в новых версиях керио ограничивать скорость подключения юзеров к интернет, т.е. чтобы на любой ip была скорость не больше 56к, или какую стороннюю программу возможно прикрутить к керио, чтобы ограничить скорость подключения. Изучал winrout 6.0.8 и такой функции не нашел, может в последних версиях есть?
Подскажите пожалуйста.
Страницы: 123456789101112131415161718192021222324252627
Предыдущая тема: Мануалы по Zend
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.