» Настройка Kerio Winroute серии 5.x и 6.х

У меня вот какая проблема. Есть терминал сервер. В Керио настроена аутентификация пользователей. но работает с терминал сервером она криво.
Допустим на терминале больше чем 1 пользователеь.
первый залогинившийся пользователь будет аутентифицирован Керио фаерволом.
остальные пользователи из терминала получают тот же доступ.
Что за грабли? Как сделать в терминале чтоб все работали со своими правами доступа.

такая тема уже поднималась... ответ просто НИКАК, керио похоже авторизацию привязывает к айпишнику

Да я похоже так и понял.
Закрыл доступ из терминала наружу нафиг пусть пользуются с локалов.

Как посмотреть в winroute какие соединения по каким портам он блокирует.

bmans
в логах конечно
включи логи на самом последнем правиле и увидишь кто куда и зачем

люди, скажите, в чем проблема:
комп, на котором керио стоит очень тормозит, когда по локалке лазею (тормозит локалка а не сам комп - очень долго открывает все)

serascer
уж сколько раз твердили миру.... а что в логах? а каковы правила?

в правилах трафика для внутренней сети надо все разрешить

стоит керио 6...как настроить чтобы инет на опред чела был в сутки например по 30 мб? и как смотреть куда он лазил? и в каких настройках закрывать или открывать порты?

BlackFox
заводишь пользователя и там во вкладках указываешь квоты как дневные так и месячные и тп. и тд. потом ставишь что бы в случае превышения убивать коннекты от него... (это всё в настройках пользователя)

а смотреть куда лазил.. это можно в логах среди всего..(если включено конечно) просто включи подсветку по имени пользователя

а можно создать специальое правило
user -> internet -> any permit (Nat, log connections) и тогда все соединения этого пользователя будут в логах

Mikes
вопрос по теме BlackFox
это авторитизация каждого юзвера должна быть??! или я чегото не допру.

Mikes
а где настройки файервола? где открыть или закрыть порты?.

и еще..по умолчанию он перекрыл порты все...я открыл на те компы которые надо инет....можноли ему доверять что он ничего лишнего не открыл?

BlackFox

Цитата:

можноли ему доверять что он ничего лишнего не открыл?

Так в чем проблема зайди на сайт, скажем, _http://www.pcflank.com/ и проверь.

Добавлено:
И доки почитай, хотя бы вот эти для начала _http://www.kerio-rus.narod.ru/

По-умолчанию все порты закрыты, нужные открываешь сам или при помощи визарда, т.е. если ничего лишнего сам не открыл....

Всех с натупающими и наступившими! ПРоблема такая. Не удается настроить маршрутизацию между двумя подсетями надлежащим образом. Если машины и видят друг друга, то игры нет (в частности Battle for Middle Earth, да и другие). Какие правила всеж-таки надо добавить что бы сети 192.168.0.x и 192.168.1.x снюхались в игре? (На сервере два интерфейса, каждая из подсетей подключена к своему)

Marivanna
Если машины видят друг друга из разных сетей, значить маршрутизация настроена правильно. Хотя следует взглянуть на route print
В правилах Winroute следует указать след-ие:
источник:назначение:сервис: действие
LAN1 LAN1 TCP_нужный_порт разрешить
LAN2 LAN2
тогда нужные пакеты winroute будет пропускать из одной сети в другую и обратно

КАК сделать icq-прокси на керио?
при:
================
source - "Интернет"
destination - "Firewall"
service - icq (5190)
permit
MAP login.icq.com
================
ася дома не конектица

leomaks

ты сам то понял что наваял? МАР то зачем прилепил? как правило делается легко и просто открыванием порта 443 и настройкой клиента-icq на соответсвующий порт с указанием адреса керио-сервера как прокси...

______________

никому еще не мешало лишний раз почитать фак по керио... он в шапке треда...

>МАР то зачем прилепил?
переадресация на аськин сервак
>керио-сервера как прокси
если я сделаю керио проксей, то не будет пахать http сервак на соседнем компе. Иль можно сделать прокси тока по 5190 порту?

leomaks, тогда почему бы не использовать "соседний" HTTP(HTTPS)-сервер как прокси для аси?

как подскажи, дополнительное ПО ставить? Какое?
(хотелось бы на керио все повесить)

leomaks

огород городишь керио все сам делает в твоем случае даже с помощью мастера.

внимательно читаешь http://www.internetaccessmonitor.com/rus/support/docs/winroute/ch05s01.php - этоглава из мануала к керио, ее умные люди перевели... для тех кто на бронепоезде ))

ЗЫ: мой тебе совет почитай там все... в третьем чтении обязательно дойдет, сам через это прошел но между чтениями час-два на обдумывание

Вот скрин моего керио.
http://leomaks.narod.ru/1.jpg
1 строка - icq прокси
2. - наш http сервер
3 и 4 - то же, но из локалки
========
логи:
port:85.95.160.53:1483 -> 85.95.168.72:5190
port:85.95.160.53:1483 -> 64.12.161.153:5190

но ни одного 64.12.161.153 -> нам

leomaks

1. убери из 3-го правила МАР
2. подними правила ICMP и Localtraffic наверх (этим ты разгрузишь малость Керио)
3. первое правило удали

удалил MAP - ася пишет не могу соединиться с серваком
поставил MAP - ася пишет кончилось время для ождания ответа и это видно из логов что прислал ранее.(ответа не было)
Ответь: почему МАР не нужен? У меня же нет ICQ !СЕРВЕРА!, я пакеты не обрабатываю, у меня просто шлюз (прокси), т.е. я просто пересылаю пакеты на основной сайт.
3 и 4 - НЕ АКТИВНЫ

leomaks

Подожди...
не надо делать никакие прокси.
Как у тебя комп подключен к инету?
У меня для этого есть например отдельный интерфейс. а у тебя?

стоит шлюз с 2 сетевухами и с керио. Есть постоянный IP и доменое имя.
на соседнем в локольной сети компе стоит http и irc сервера.
надо из дома по асе заходить не напрямую, а через мой рабочий керио.

leomaks
если ты заходиш из дома, то правило должно быть типа:
source = Any (или внешний интерфейс)
Dest = Firewall
Map = login.icq.com

у меня так:
http://www.elga.kiev.ua/sample/sample.jpg

leomaks

ты из дома к керио как цепляешься? из внутренней сети или снаружи?

>ты из дома к керио как цепляешься?
из дома по модему настраиваю асю на IP офиса, где керио должен перенаправить на аськин сайт.
>source = Any (или внешний интерфейс)
>Dest = Firewall
>Map = login.icq.com
вот именно. Я так и делаю, а логи в ответ
=====================
, ip/port:85.95.161.102:1214 -> 85.95.168.72:5190,
ip/port:85.95.161.102:1214 -> 205.188.153.121:5190
ip/port:85.95.161.102:1214 -> 85.95.168.72:5190,
ip/port:85.95.161.102:1214 -> 205.188.153.121:5190,
ip/port:85.95.161.102:1214 -> 85.95.168.72:5190,
=====================
т.е. переадресация идет на 205.188.153.121:5190 (login.icq.com), а от него - тишина.
потому ася и пишет Кончилось время ожидания.

нужно и MAP и NAT включать
Если ната нету, то сервер ICQ отправляет ответы напрямую тебе. А ты их получить не можеш, потому что ждеш с другой стороны.
Еще вопрос - где территориально ты находишся?