» Настройка Kerio Winroute серии 5.x и 6.х

tolyn77
Я не проверял, но думаю, что да; трафик по-прежнему ведь будет идти через Рвоту, следовательно она должна будет его учитывать/считать/фильтровать (нужное подчеркнуть )
tolyn77

Цитата:

указывать имя сервера на котором стоит винрут?

да, совершенно верно, например в Internet Explorer вызываешь "Свойства обозревателя" там выбираешь закладку "Подключения", внизу будет кнопка "Настройка LAN"; вот там надо будет указать, что "Использовать прокси-сервер", в поле Адрес пишешь имя или IP своего компьютера, где работает Рвота, и порт 3128.

Accessor
1. как можно сделать сценарий?
"Internet Explorer"-"Подключения"-"Настройка LAN"-"Использовать сценарий автоматической настройки"?
2. у меня почему то один пользовательсвободно получает доступ к почте на yandex.ru, как азнать как какие логи смотреть?
3. не подскажешь какой анализатор логов лучше, возможно как нибудь анализировать логи что бы не скачивать на другой компьютер?
заранее благодарен

tolyn77

Цитата:

как можно сделать сценарий?

достаточно легко, с помощью, например Apache и файлика wpad.dat; дай поиск по слову wpad.dat в гогле и найдешь всё что нужно.

Цитата:

один пользовательсвободно получает доступ к почте на yandex.ru

через web или через pop3/smtp ???

Цитата:

какой анализатор логов лучше, возможно как нибудь анализировать логи что бы не скачивать на другой компьютер?

не понял вопрос, поясни

Цитата:

не подскажешь какой анализатор логов лучше

Разве у сабжа нет встроенной возможности анализа логов?

Accessor
1. не понял а при чем тут апаче?
2. pop3/smtp
3. ну на пример у Proxy Inspector нужно иметь под рукой папку с логами, а если я хочу удаленно посмотреть или такое не реально?
Markes
на сколько я заметил там нет развернутой статистики там только общая, а кто куда ходил не нашел

tolyn77

Цитата:

на сколько я заметил там нет развернутой статистики там только общая, а кто куда ходил не нашел

А кто, сколько и по каким протоколам есть? Цифры не врут?

tolyn77
1. при том, что IE поддерживает автонастройку по протоку WPAD, он делает запрос в сеть, это обращение непременно идет на хост http://wpad/wpad.dat, т.е. на своем хосте с KWF ставишь апач, подкладываешь ему wpad.dat в котором прописана конфигурация прокси, при этом этому-же хосту с KWF надо прикрутить псевдоним wpad (например через DNS) и всё, вуаля
2. на правилах, которые дают доступ в Инет поставь протоколирование соединений, а потом в логах посмотри те коннекты, в которых он ходил на яндекс-почту, при этом в строке лога будет имя правила, которое разрешило этот коннект, ну а тогда уже принимай меры
3. я, честно сказать не знаком с Proxy Inspector но кажется есть соответствующий топик, где это обсуждается

Markes
цифры есть по протоколам. но как проверить не знаю еще не пробывал
Accessor
1. примерно понятно, значит пока не поднима апач бесмысленно пытаться
2. в том то и дело стоит протоколирование, но я все равно не вижу его
3. мне бы нужно такой анализатор который из командной строки можно было бы запускать.

1. Подскажите, пожалуйста при NTLM аунтификации не считается трафик пользователей, кроме firewall, как обойти проблемму?
upd. В закладке General (Hosts/Users) отображается куда чел лезет, а вот в Connections пусто... Может проблемма в этом?
2. Как сделать автоматически NTLM аунтификацию в ICQ и firefox?

не подскажите можно как нибудь исправить что статистика начиналась не 11 00? допустим с 7 00?

Никто не сталкивался с неверным подсчетом траффа KWFкой? Причем у мну ентот гад насчитывает больше, чем пров иногда раза в 2...
Такое впечатление, что он часть трафа(все должно идти через НАТ) считает повторно для прокси(которая отключена)

Admin CSB
Задавали тут этот вопрос, но, кажется, вопрос так и остался открытым. Воспользуйся, лучше Tmeter.

Трафик не точно считает, DMZ вообще хрен настроишь, маппинг работает как хочет...
Зачем столько гемора? Я поставил MS ISA и все свои задачи решил за двадцать минут. Зачем тратить недели на однозначно слабый софт?

IvanPL

Цитата:

Я поставил MS ISA и все свои задачи решил за двадцать минут.

Неужели настолько софт лучше. У меня всего 20 клиентов. Стоит ли ради такого кол-ва поднимать ISA?

Юзеры сабжа, прокомментируйте пож-та информацию о неверном подсчете трафика. Мне необходимы точные цифры (+/- 5%) по трафику каждого пользователя и главное чтобы общая цифра по каждому была верной, необязательна точность по всем протоколам.
Как с этим дела в KWF?

Напишите кто-нибудь НОРМАЛЬНЫЙ набор правил, которые обеспечивают должную безопасность и дают из локалки лезть в инет... У нас в комп. зале 20 компов для студентов и 2 админских (с NATом)... Проблема в том, что студенты сволочи пишут *любое* имя юзера и беспрепятственно заходят в сеть...
Заранее благодарен.

Добавлено:
tolyn77
Просто поройся в настройках Proxy Inspector'a, там можно указать путь к папке с логами... Впиши туда сетевой (ну там \\serv\c$\Kerio\logs) и все...

у меня КВФ тож показывает трафика больше, чем насижено - потому как трафик с фаера в локалку почему-то считает как нетовский, в логах фаер заходит в локалку не под локальным айпишником, а под айпишником карточки которая смотрит в нет...

ерунда какая-то получается...

Цитата:

Напишите кто-нибудь НОРМАЛЬНЫЙ набор правил, которые обеспечивают должную безопасность и дают из локалки лезть в инет... У нас в комп. зале 20 компов для студентов и 2 админских (с NATом)... Проблема в том, что студенты сволочи пишут *любое* имя юзера и беспрепятственно заходят в сеть...

вопрос весьма сумбурный, поэтому точно такой-же ответ - посмотри на kerio-rus.narod.ru - там всё есть, а вообще, если есть конкретные вопросы, то давай их сюда по одному, в противном случае разговор и останется вот таким вот, беспредметным.

хмм... в описании настройки Винрута в сети без домена есть правила. когда-то, когда я поднимал всю систему воспользовался именно ими... и только пару дней назад мы обнаружили дыру, к-рая позволяет *любому юзеру* сесть, набрать имя от балды и сидеть в инете на халяву... дыра эта в каком-то из правил. наше счастье, что до этого никто ранее не додумался...
вот список, посмотри сам:
==========================================================
- правило "пинг" разрешает пинговать любые хосты с "сервера"
- правило "я в локалку" разрешает любой трафик от сервера в локальную сеть
- правило "локалка ко мне" разрешает любой трафик из локалки к серверу
- правило "я в инет" разрешает любой трафик от сервера в интерфейс , подключенный к интернету, то есть в инет
- правило "локалка в инет" разрешает любой трафик из интерфейса подключенного к локальной сети в интерфейс интернета
- правило "HTTP ко мне" разрешает доступ ИЗ интернета к WEB серверу находящемуся на том же сервере где и установлен Kerio - правила "FTP" и "NNTP" - по аналогии с правилом "HTTP"
- последнее правило " дефолтное" , оно запрещает весь остальной трафик, неоговоренный правилами
==========================================================

Axmedka
В правиле

Цитата:

- правило "локалка в инет" разрешает любой трафик из интерфейса подключенного к локальной сети в интерфейс интернета

стоит трансляция адресов?
Прокси включен?
В юзерах / группах или группах адресов что-то есть?

Axmedka
знаешь, я никогда не делал авторизацию юзерам, поэтому не уверен, но я бы попробовал в правиле NAT в качестве source указать Authenticated users

Axmedka
не подскажешь а повторное импортирование данные из папки не приведет к суммированию траффика?

подскажите появилась такая проблема когда пользователь который находиться за проксей, заполняет форму в браузере и пытается отправить данные то у него появляется курсор с часами и больше ни каких изменений, что бы это могла быть?

ps не использовать прокси сервер то все нормально отправляет данные

Как через Kerio подключиться с помощью RDP к серверу?
Есть сервер Win2k3, на которым установлен Kerio Winroute 6.1.1
Надо подключиться к этому серверу по RDP из интернета.
Какое должно быть правило?

Такое правило не работает:
Source: реальный IP с которого надо надо подключиться
Destination: Firewall
Service: RDP
Action: Permit
Map: реальный IP машины с Kerio порт 3389

Хотя в логах Kerio пишется:
"PERMIT "RDP to windows 2k3" packet to Internet Connection, proto:TCP, len:40, ip/port:KERIO_REAL_IP:3389 -> CLIENT_REAL_IP:3550, flags: RST ACK , seq:0 ack:4070258270, win:0, tcplen:0"

При попытке подключиться к машине с Kerio на порт 3389 Telnet говорит:
"Не удается подключиться к узлу на порт 3389 : Сбой подключения"

Многоуважаемый ALL. Стоит Керио 6,0,9. win2003serv. Проблема: не могу соединиться со 110 портом на smtp.mail.ru с машин в локалке. С сервера проблем нет, на остальные smtp-сервера типа BK,rambler,inbox - все у всех ОК, а на smtp.mail.ru - нет. Что делать??????

Tio Lan

Цитата:

у меня КВФ тож показывает трафика больше, чем насижено - потому как трафик с фаера в локалку почему-то считает как нетовский, в логах фаер заходит в локалку не под локальным айпишником, а под айпишником карточки которая смотрит в нет...

ерунда какая-то получается...

Бороться не пробовал? Есть идеи?

Добавлено:
Rewind
Со всех компов за серваком не цепляется? Попробуй пингануть из локали - что скажет?

Я телнетом не могу достучаться до майла со всех компов за серваком, а до остальных все нормально, причем на pop.mail.ru проблем нет, а на smtp.mail.ru облом.

Добавлено:
порт не 110, а 25

Admin CSB:

разве что трафик из логов вручную отфильтровывать...

еще, гад, время от времени в логи пишет машины в сети то по айпи, то по ДНС имени. а у фаера соответственно, то по имени, то по одноу айпишнику, то по другому))

вот и фильтрую Интернет Акксесс Монитором эту всю чехарду.

кто бы подсказал ПОЧЕМУ оно логит все так по-разному....

Onym
подвешен непрозрачный прокси на 3128 порту. вместо того правила я создал другое, к-рое разрешает лазить в инет только пользователям 2 групп (в данном случае "Деканат" и "Студенты"). Остальным - запрет стандартным правилом.
НАТ разрешен только для одного пользовател (меня , т.к. я сижу не за сервером). Остальные сидят через прокси.
А Authenticated users получается любой, кто приписал какое-либо имя, так по-моему...

Пипл, а есть способ автоматом в группу баннерс добавить море адресов, чтобы ручками не вбивать!!?? а то пальчики ужо потрескивают!

Axmedka

Цитата:

Authenticated users

Это (по крайней мере для WIN2K и аналогов) - пользователи, имена которых есть в списке пользователей на сервере. Использовал эту возможность при предоставлении общего доступа к папкам - пользователь, который был в списке на локальной машине, но которого не было в списке на сервере (или у которого на сервере был другой пароль) доступа к файлам получить не мог, пока серверный пароль не введет. В WinRout-e не пользовался, честно говоря не знал о такой возможности. Какой список будет использоваться (WinRout или Windows) сказать не могу. Скорее всего WinRout, но не уверен.
Если я правильно понял, для доступа на прокси нужна авторизация. В этом случае надо ковырять настройки прокси (включить аутентификацию, добавить правила для доступа и т. п.). В этом случае уместно пользоваться группами пользователей. Если надо предоставить доступ только с определенных машин, то можно пользоваться группами адресов, т. к. помощью этой возможности можно разрешить доступ только с определенной группы IP на порт 3128 сервера, что, если я правильно понял, и было сделано.

Итого:
Для доступа с определеных машин используем группы адресов.
Для доступа со ВСЕХ машин, но НЕ ВЕЗДЕ используем группы пользователей с авторизацией на прокси.

По-моему, так .

Rewind
Порты
110 - POP3
25 - SMTP
23 - Telnet

У Mail.ru SMTP также должен откликаться с порта 2525 См. настройки здесь.
А про пинг Admin CSB правильно советует.

У меня вот такая проблема тож стоит

Цитата:

Пипл, а есть способ автоматом в группу баннерс добавить море адресов, чтобы ручками не вбивать!!?? а то пальчики ужо потрескивают!

я подумал может ктонить кинет свой cfg файл, где реклама прописана, а мы просто подсунем его своему винруту (подредактировав конечна в свою сторону). Или такое не катит?