» Настройка Kerio Winroute серии 5.x и 6.х

в последнее время появились такие ошибки, подскажите что случилось?
[25/Nov/2005 13:49:25] (2004) Unable to resolve IP address of destination NAT, dropping packet by traffic rule "smtp.yandex.ru".
[26/Nov/2005 13:09:30] (1005) DNS Server system service detected. This service is in conflict with DNS forwarder in WinRoute.
[28/Nov/2005 18:15:45] (2004) Unable to resolve IP address of destination NAT, dropping packet by traffic rule "pop.mail.ru".
в правилах
smtp.yandex.ru
локалка - firewall - tcp порт - nat (default outgoing interface) map smtp.yandex.ru:25
pop.yandex.ru
локалка - firewall - tcp порт - nat (default outgoing interface) map pop.yandex.ru:110
smtp.mail.ru
локалка - firewall - tcp порт - nat (default outgoing interface) map smtp.mail.ru:25
pop.mail.ru
локалка - firewall - tcp порт - nat (default outgoing interface) map pop.mail.ru:110

[26/Nov/2005 13:42:25] (0) Failed to send DNS query to server 212.xxx.xxx.x: 10065
[26/Nov/2005 13:42:27] (4103:10048) Socket error: Unable to bind socket for service to port 53.
[26/Nov/2005 13:42:27] (5002) Failed to start service "DNS" bound to address 212.xxx.xxx.xx.
[26/Nov/2005 16:12:10] (8503:87) Active Directory/LDAP error: xxx.ru: Filter Error

заранее благодарен

tolyn77

Цитата:

[26/Nov/2005 13:09:30] (1005) DNS Server system service detected. This service is in conflict with DNS forwarder in WinRoute.

Эта строка многое объясняет. Все проблемы отсюда. Ты либо запустил виндовый DNS-сервер, либо установил DNS-сервер сторонних производителей, и он, как это отчетливо сказано в журнале, конфликтует с DNS forwarder in WinRoute.


Добавлено:
Andy_Urb
Попробуй (в качестве эксперимента) сделать address group не с именами компьютеров, а с IP-адресами. Есть подозрение, что Winroute некорректно отрабатывает имена компьютеров в правилах.

Admin CSB

никто не злоупотреблял - не было случая и необходимости проверять по мелочам - но общий трафик с прововским сходится...


Alex Koenig

у меня аналогичная ерунда - стандартными средствами в ЛАН не зайдешь :(
такое вчепятление, что оно сканит не только ЛАН но и нет тоже
я пользуюсь ЛАНсикером под ТС

а вот с пропаданием нета - у меня тож таое было - прошло непонятно от чего. мучился, насртавивал его, плюнул... через неделю нет пропадать перестал:) наверное, я службы в винде шерстил - ненужное отключал... разве что...


Еще вопрос...

в логах появилась следующая нездоровая ерунда:

[23/Nov/2005 14:37:12] [ID] 2468 [Rule] я в нет (Firewall Traffic) [Service] FTP [User] {МОЙ_ЛОГИН_В_КВФ!} [Connection] TCP 193.138.ххх.ххх:20 -> {МОЙ_АЙПИ}:3176 [Duration] 125 sec [Bytes] 1904/220/2124 [Packets] 6/4/10

как это понимать? помогите...
получается, из удаленного адреса кто-то под моим юзером, прописаным в КВФ, зашел ко мне по ФТП? ничего не понимаю...

Подскажите, ведётся ли в KWF подобие лога-журнала как это реалтзовано в Outpost, где можно смотреть кто, откуда и куда + факты атак (надеюсь отражённых )?

Цитата:

Andy_Urb
Попробуй (в качестве эксперимента) сделать address group не с именами компьютеров, а с IP-адресами. Есть подозрение, что Winroute некорректно отрабатывает имена компьютеров в правилах.

Я же в самом начале упомянул что сеть с DHCP - соответственно динамический IP

Присоединяюсь к вопросу Markes. А точнее, пример:

Захотел я прологировать rdp в локальной сети. Выделяю даже отдальное правило.
Локалка - > терминал сервер - rdp - все галки на логах.
Но керио не собирает.
Вернее сбор идет, если заход идет по rdp на терминал сервер с машины, где установлен керио.

Получаеться, что средствами Kwf нельзя собирать определенную статистику внутри локальной сети?

Oaxa
[25/Nov/2005 13:49:25] (2004) Unable to resolve IP address of destination NAT, dropping packet by traffic rule "smtp.yandex.ru".
а с этим как бороться?

fedich
прошу прощения но разве kerio снифер, т-ть он разве может собирать все пакеты по сети?

Tio Lan

Цитата:

получается, из удаленного адреса кто-то под моим юзером, прописаным в КВФ, зашел ко мне по ФТП?

Не пугайся, ничего страшного. просто это ты коннектился по FTP в активном режиме. В этом режиме твой IP делает вызов удаленному FTP на 21 порт, а тот в ответ делает коннект на твой IP на 20 порт. Так и должно быть. Выставь в своем клиенте пассивный режим, и такие строки в логе ты не увидишь.
Markes
включи протоколирование в соответствующем правиле и смотри Ветку с логами (раздел Connections)

valdi77
Да нет конечно, не сниф.. Но ведь когда делаем в правиле не permit, а block - он походу логирует))

такая проблема: Есть такая игра Lineage2 (Линейка), она не пашет через NAT почему то, все остальные онлайн игры работают отлично, да и в линейке вводишь пололь выбираешь чара нажимаешь старт и кроме лоадинга ни чего не наблюдаешь, а через несколько мин сервак свет коннект, правила в рвоте написаны правельно веть например МУонлайн пашет а линейка не хочет, а когда без фаервола напрямую пробуешь то все нормально.................... помогите плиз а то уже зла не хватает

не подскажите почему может происходить, сначало пускает потом не пускает?
вот кусок из лога
[30/Nov/2005 18:33:44] PERMIT "smtp.mail.ru" packet from хх.хх, proto:TCP, len:64, ip/port:172.ххх.ххх.ххх:2113 -> 172.ххх.ххх.х:5001, flags: SYN , seq:2228650788 ack:0, win:65535, tcplen:0
[30/Nov/2005 18:36:47] DROP "smtp.mail.ru" packet from хх.хх, proto:TCP, len:64, ip/port:172.ххх.ххх.ххх:2114 -> 172.ххх.ххх.х:5001, flags: SYN , seq:1979666739 ack:0, win:65535, tcplen:0

tolyn77
Protocol Inspector выключен на правиле smtp.mail.ru ???

Accessor
включен, этот кусок лога как раз из "filters"

вот что OE пишет если отправлять большие письма (3,2 м)
"Соединение было неожиданно прервано сервером. Возможными причинами этого являются сбои на сервере, сбои сети или длительное отсутствие активности. Тема '', Учетная запись: 'pop.mail.ru', Сервер: '172.ххх.ххх.ххх', Протокол: SMTP, Порт: 5001, Защита (SSL): Нет, Ошибка сокета: 10053, Код ошибки: 0x800CCC0F"

еще не подскажите какой что нужно открыть что бы пинговать сервер по ип и хосту?

народ! помогите пжалуйста.........
нужно достаточно банальную весчь, открыть порт на Kerio Winroute 6.Х порт номер 4899 (для Р-Админа)
На сервере стоит 2003 винада, Kerio Winroute 6.Х, народ выходит в инетернет все замечательно....
чуть не забыл значит на серваке 2-е сетевухи, одна это интернет от провайдера с статическим айпишником, по второй бегает локальная сеть офиса, там тоже статика.

в traffic rule пробовал создавать следующие правила
Source Интернет
Destination Локальная сеть
Service порт 4899 (и еще создавал новый сервис под названием Р-админ с портом 4899 TCP/UDP)
Action - Permit


но при попытки даж просканировать сервак, он говорит что все порты на нем находятся в Stelth

Подскажите, как правильно прописывать портмаппинг в KWF 6.1.3, чтобы заработал банк-клиент. Он хочет попасть по адресу 195.234.ХХХ.ХХХ по TCP-порту 996 (адрес и порт можно указать другие, типа:192.168.100.100:27). Раньше он работал c UserGate (192.168.100.100) у которого был включен портмаппинг: тип: TCP; исх.IP: Любой; слушать: Any:27; cервер назнач.: 195.234.XXX.XXX:996; авторизация по IP.

ALL, для информации, мож кому поможет:
Была проблема:
не могу соединиться со 25 портом на smtp.mail.ru с машин в локалке. С сервера проблем нет, на остальные smtp-сервера типа BK,rambler,inbox - все у всех ОК, а на smtp.mail.ru - нет.
Решение:
Отключил anti-spoofing и вместо внутреннего интерфейса прописал группу ip-адресов в правиле почты и все заработало

а зачем нужен anti-spoofing?

tolyn77
защита от подделки IP адреса источника. см.также

Подскажите плиз, как можно DHCP сервер kerio ограничить несколькими интерфейсами? (По умолчанию он включает dhcp слушать на все интерфейсы...).

Цитата:

народ! помогите пжалуйста.........
нужно достаточно банальную весчь, открыть порт на Kerio Winroute 6.Х порт номер 4899 (для Р-Админа)
На сервере стоит 2003 винада, Kerio Winroute 6.Х, народ выходит в инетернет все замечательно....
чуть не забыл значит на серваке 2-е сетевухи, одна это интернет от провайдера с статическим айпишником, по второй бегает локальная сеть офиса, там тоже статика.

в traffic rule пробовал создавать следующие правила
Source Интернет
Destination Локальная сеть
Service порт 4899 (и еще создавал новый сервис под названием Р-админ с портом 4899 TCP/UDP)
Action - Permit

Так вот для этого создаеш сервис Называеш как хочеш потом протокол TCP протакол инспектор пусто сурс порт любой порт назначения 4899 сохраняеш после чего просто добавляеш его в правило смотря от куда ты хочеш на этот радмин ходить.... из сети на сервер или же из инета на сервер или же с сервера в сеть, интернет. Будет работать проверенно.


Люди плз помогите уже всю документацию прочел тут топик прогнал взад и вперед ничего пусто.
Проблемма осталась прежняя сервер на нем КВФ сервер смотрит в сеть. В инет сервер соеденяется по этой же сети через ВПН соединение после чего раздает инет моим компам расположеным в разных частях сети.
Правило для входа в инет через сервер таково АВТОРИЗИРОВАННЫЕ ПОЛЬЗОВАТЕЛИ ИНТЕРНЕТ соеденение КАК КУДА УГОДНО Разрешить Логировать пакеты, поджключения.
Включить НАТ ( по умолчанию )
Все хорошо вообщем то пользователей пускает либо я прописываю их по айпи либо же через авторизацию. Пробовал и так и так..... Статистику какой пользователь сколько информации принимает отправляет за ними не ведется =(((

Какие будут соображенияЯ?

Crusayder


Так вот для этого создаеш сервис Называеш как хочеш потом протокол TCP протакол инспектор пусто сурс порт любой порт назначения 4899 сохраняеш после чего просто добавляеш его в правило смотря от куда ты хочеш на этот радмин ходить.... из сети на сервер или же из инета на сервер или же с сервера в сеть, интернет. Будет работать проверенно.

сервис уже создовал.....(это не сложно)... помоги мне разобраться какое нужно создать правило, чтоб залазить на сервер ИЗ ИНТЕРНЕТА



Source
Destination
Service порт 4899 (могу создать сервис, это особой роли не играет)
Action

ps. могу оправить полные настройка в traffic rule (т.е. все правила, которые там созданы)

просто ситуация такая, что я даже из интернета не могу пинговать свой сервак, а при сканированнние сервера, он говорит что все порты находятся в Stealth....

А скажите, знатоки KWF, квоты там как должны работать? Я сказала своему KWF 6 - при превышении квоты разрывать соединение - сама попробовала, мне не понравилось. Браузер висит, ... что-то тянет.... потом говорит "сервер недоступен".
Так и должно быть? Лучше не сделать? Или можно, чтобы сразу говорил, что у вас превышена квота?

[q][/q]
Feanorus
ps. могу оправить полные настройка в traffic rule (т.е. все правила, которые там созданы)

просто ситуация такая, что я даже из интернета не могу пинговать свой сервак, а при сканированнние сервера, он говорит что все порты находятся в Stealth....

Так вот ты при сканирование и будеш постоянно видеть Stealth т.е. никакие кроме открытых портов не увидиш.

Не пользуйся мастером пропиши настрой полиси руками. если ты сделаеш полизи допустим ИЗ СЕТИ ХОСТ КВФ службы порты АНИ Разрешить тогда у тебя будут все открытые порты сканироватся.
Если ты создаш правило ИЗ СЕТИ ХОСТ КВФ службы порты ТОЛЬКО ТЕ ЧТО НАДО ТЕБЕ Разрешить тогда и видить ты будеш только те порты что разрешены и не более.
Тоже самое и из нета. Домой вообщем то по радмину ходить не надо поэтому просто попробовал сделать создал полиси ИЗ ИНЕТА на ХОСТ КВФ службы порты 4899, 80, 4000, 6112-6115 РАЗРЕШИТЬ. в итоге с работы я свободно сканирую все эти порты и пользуюсь всеми службами которые на них весят.
Вообще настройки просты, а правила еще проще.
Я В СЕТЬ
СЕТЬ КО МНЕ
Я В ИНЕТ
СЕТЬ В ИНЕТ
ИНЕТ КО МНЕ
Соотвественно и разрешения заданы от правила я в сеть смотрю куда мне хочется, сеть ко мне смотрит куда разрешил я в инет смотрю куда мне хочется инет куда я разрешил сеть ходит в инет после авторизации. Вот только проблемма с хождением сети после авторизации.... она замечательно ходит... только трафик не считается хотя могу в логах посмотреть кто куда как и сколько а вот отоброжение дабы включить квотирование не работает =(
Вот так.

БЛИН народ не ужели ни кто не сталкивался с проблемой LineAge2 через КЕРИО!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Не понял, у winroute нет порт мэппинга?

STEEL
Навалом! включи отображение невидимых колонок в Traffic Policy

LEXX3001
в чём проблема то? у меня в клубе 20 чел одновременно рубятся в lineage и всё такое .. и всё через Керио..
пиши в приват ежели чего

Здравствуйте.
Подскажите, пожалуйста, почему в Traffic Policy, если я хочу запретить доступ с одного из компьютеров в локальной сети, то по IP-адресу понимает, а по HostName - не хочет. Я имею ввиду доступ по HostName не запрещается!
Если бы можно было запретить по MAC-адресу или еще как-то оригинально, чтоб юзеры не меняли IP адрес на своем компе.
Подскажите, очень нужно.
Спасибо.

Gane
по МАКу привязать, имхо, нельзя