» Настройка Kerio Winroute серии 5.x и 6.х

Проблема. Есть комп с адсл 512\512 + раальный внешний ип + прямой и обратный днс на этот ип прописанный (спасибо друзьям из провайдерской конторы)
Так вот.
Есть правило в керио прописанное типа "Source "INET" Destination: "Firewall" Service: "Port TCP:80" "ALLOW", т.е. чтоб был доступ к маленькому хттпсерверу установленному на этой машинке.
сервер в свою очередь забинден на внешний ип и порт 80
при попытке зайти на сервер снаружи как путем http://xxx.xxx.xxx.xxx, http://xxx.xxx.xxx.xxx:80 или http://url.spb.ru получаем облом "Connection to server xxx.xxx.xxx.xxx failed (The server is not responding.)"
Если же биндим хттпсервер на любой другой порт типа 888 и создаем ТАКОЕ же правило в керио только на 888 порт - все ок и работает.
Вопрос, ну почему не работает 80ый порт?????????     

Соответственно никаких правил в керио, блокирующих доступ по 80му порту нет.
Кроме того, естественно при установке керио он отключает виндовый файрволл, так что он (финдовый файрволл) тоже точно ни при чем.

Добавлено:
блин. сорри. это оказывается гадский пров лочил.

Может кто знает как у Kerio DHCP работает ???
Я тут пытаюсь бездисковых клиентов изобразить, фигня получается ...... Гружусь со спец. загрузочной дискетки, она запускается и виснинет на поиске DHCP ...... а в это время гляжу в кабанчике, он там рисует что МАК определил, адрес присвоил, ну типа все пучком !! Пробовал разные загрузчики и разные сетевухи, эффект тотже..... Винда тем временем настройки ловит !!!! Кто нить укажет светлый путь ??

Помогите с проблемой, Miranda не принимает сообщения, на маршрутизаторе стоит Kerio Winroute 6, не понимаю в чем может быть проблема! Все остальные клиенты нормально работают, а вот с Мирандой какая-то хрень происходит непонятная..... Она сообщения отсылает, но до Миранды ничего не доходит!

IceFusion, обнови миранду... (точнее ICQ.dll) уже исправили...
на днях были изменения у ICQюников, и из-за этого и глюки

Добрый День Люди, есть вопрос, если есть ответ в этой ветке прошу скинуть ссылку, а ели не, прошу подсказать.
Kerio 6.1.4 1086, не считает статистику для пользователей, рядом стоит сервак с такими же настройками так на нем считает, вот задача? Буд те любезными!

В Топ 20: по всем пользователям 0, хотя только что скчал 29 м обновления, под авторизованным пользоватлям!

Люди добрые, помогите с проблемой! Очень часто пропадает доступ в интернет, хотя написано, что всё работает. Перезагружаешь компьютер, всё снова работает. И так несколько раз за день! Почитав сообщения, сходил на сайт h++p://kerio-rus.narod.ru/, но он не работает. Помогите плиз. Извините, если вопрос уже задавался, но я так и не нашёл ответа...

FunkyRusher

Цитата:

сходил на сайт h++p://kerio-rus.narod.ru/, но он не работает.

а ты сходи на h++p://kerio-rus.ru

FunkyRusher

Конкретнее обясни проблему: как организован доступ, какие правила...

люди,
Подскажите как быть.
На тачке стоит KWF и KMS
Пользователи в сети выходят в инет нормально, а так же смотрят почту через веб на KMS
Когда отключаешь пользователя от инета (т.е. запрещаю аккаунт) то он же не может смотреть почту через веб на KMS
Как можно запретить выходить в инет но смореть локальный сайт и все такое.

Посмотрел сайт h++p://kerio-rus.ru. Сделал всё как написано в настройке авторизации, однако проблема осталась.
Вот что у меня в Traffic Policy:
ICMP Traffic - Firewall - Any - Ping - Permit
Nat - Dial In, LAN - ADSL - Any - Permit - NAT (default outgoing)
Local Traffic - Dial In, LAN, Firewall, VPN clients - Dial In, LAN, Firewall, VPN clients - Any - Permit
FirewallTraffic - Firewall - ADSL - Any - Permit
Services HTTPS - ADSL - Firewall - https - Permit
Service Kerio VPN - ADSL - Firewall - Kerio VPN - Permit
Ident - ADSL - Firewall - Ident - Deny
Default rule

И ещё - какой пароль в архиве к лекарству на KWF?

Doctor_Livsi
а ты не отключай аккаунт а просто сделай правило
(banned_account) -> inet -> (http https ftp) - drop
и опусти его вниз по правилам.. что бы сначала он по правилам получал доступ к POP3 и т.п.

а потом отрезалось то чего тебе надобно

Неужели никто не занет в чём проблема???

P.S. И какой всё-таки пароль на архив на том сайте?

докачку керио не поддерживает чтоли, давеча качал 3 метровый файл, а оказалось что керио качнул его раза в два больше(а трафик то не халявный), вот блин думаю отключение хттп инспектора поможет исправить ситуацию?

AlexBay
Чем качал? На днях тож похожая картина случилась - токо всместо 170мег скачалось 850, а траф тож небесплатный.
В топе были намеки, что это прозрачный прокси сабжа глючит.

вопрос такой по версии 6.1.3
никак не пойму, как утанавливать фильтрафию по
источник:порт назначение:порт протокол
где источник и назначение может быть или адрес, или подсеть или так далее
порт - или один порт, диапазон или перечисление
протокол - понятно


то, что есть Source, Destanation, Service - мало!

как например разрешить обращаться к удалённому dns серверу и при этом закрыть у себя все udp порты? - никак не могу решить..

HighTower
ну скажем если у тебя есть правило
firewall - inet - DNS (permit)
а потом идёт
any - any - any (drop)
то из инета у тебя всё закрыто

вообще по правилам.. всё что не разрешено то запрещено
то есть если ты разрешил http ftp и DNS то всё.. больше ничего ни от тебя ни к тебе

если надо чё на udp закрыть так создай сервис и UDP и потом его запрещай в политиках


источник - ну это есть Source
порт - создай соотв сервис (Service) и разрешай его в этом правиле
назначение - это Destination
порт - создай соотв сервис (Service) и разрешай его в этом правиле

или тебе надо сревисы на нестандартных портах?
не очень понятно вобще чего требуется

мне требуется:
- локальную сеть пустить в инет через нат (кериовский) и прокси.
- внутренние коннекты разрешить все
- исходящие соединения разрешить все
- разрешить коннектиться на внешний ип на порты 25,110,80 - для всех
- разрешить коннектиться на внешний ип на порты 21,4899 - для некоторых
- портфорвард 3389 (RDC) на внутренню машину и разрешение на соединение только с определённых ип
- разрешить пинги
- ВСЕ ОСТАЛЬНЫЕ ВХОДЯЩИЕ - запретить (как tcp, так и udp, gre и прочее)

local - internet - (сервисы для локалки) - permit (NAT)

local - firewall -
firewall - local - any (permit)

firewall - internet - any (permit)

internet - firewall - (сервисы на портах 25,110,80) permit

(IP с которых хочешь разрешить коннекты) - firewall - ( сервисы на портах 21,4899) permit

(IP с которых хочешь разрешить коннекты) - firewall - (сервис на 3389) - permit (NAT MAP IP внутренней машины:порт)

разрешить пинги - от кого к кому?
в общих чертах они будет разрешены от firewall везде
а елси добавишь в первое правило то и из локалки в инет тоже
из инета на firewall нет не будут


ВСЕ ОСТАЛЬНЫЕ ВХОДЯЩИЕ - запретить (как tcp, так и udp, gre и прочее)

дальше идёт any - any - any - drop и соотв всё остальное запрещается

хм.
вроде всё сделал и работает, кроме порт форварда...

добавил правило ДО НАТ

Source = <adress groupe>
Destanation = Firewall
Service = DRP
Action = Allow
Translation = MAP <internal ip>

коннекчьсь снаружи, из <adress groupe> на внешний ип на фаере из XP через Remote Desctop Connection
байты бегают туда сюда (клиент получает 1753 Bytes, отсылает 2359 Bytes)
после этого выдаёт ошибку The connection was ended because of a network error. Please try connecting to the remote computer again.

если внутри локалки зайти прямо по внутренеему ип - работает...

вчера ещё стоял WinRoute 4.1, там стоял порт форвард - работало без проблем...

Кто знает как сделать фильтрацию по URL для определенной машины ?? Задача такая есть сервер Symantec Antivirus, нада чтоб он никуда несмог залесть кроме сайта symantec. Как такое провернуть ????

HighTower
а если без порт маппинга просто инет - firewall - RDP permit а?

а зачем мапить на внутренний IP попробуй на внешний

Artur2005
занеси некоторые url в "чёрный список" и потом правило
(определённая машина) -> инет -> (чёрный список) (Deny)

а если по приложениям хочешь то это увы.. ставь локальный фаер

всё ребята, отбой!
всё ок.

Помогите пожалуйста, не могу настроить Керио, чтоб он нормально пропускал ФТП сервер, порт открываю - народ коннектится в эктив режиме, но виснет на получении содержимого каталога, а потом совсем вылетает(после таймаута)

Что нужно за правило сделать в Керио, чтоб всё работало нормально?

для активного режима, кроме 21 (ftp), нужет ещё 20 (ftp-data) порт
для пассивного режима придётся на сервере сказать чтобы он использовал конкретный диапазон и открывать его в фаере.

Здравствуйте!
поставил керио 5, вроде все работает. единствееное что пишет, ..в ваших текущих настройках забит актив х.. и соответственно сайты некоторые не грузит. вот хотел узнать как бы и где это настроить. прога отличная, очень нравится вот единственная проблема пока.

Invictum
ты народ через проки наверное пускаешь?

да через керио винраут файервол. все работает но вот, почему Актив Х обекты забивает никак не могу разобраться. как то настраивал, работало. переустановил все))) забыл как настраивал в прошлый раз) кто знает, подскажите плиз.

Invictum
смотри HTTP Policy -> Content Rules -> Allow HTML ActiveX objects

Привет всем!
Имею след проблемму. Есть Winroute 6.1.3 стоит на машине к которой подключен инет. далее есть локальная сеть с ip адресами 192.168.0.1... так вот, с машины на которой установлен winRoute все робит, почта инет и т.д. С машин в локальной сети, работает только Инет, в настройках которого указал прокси сервер машины с Winroute.

В настройках TCp/IP локальных машин прописал шлюз машины на которой установлен Winroute.

Трабл!! С машин в локальной сети не проходят пинги на внешние ip адреса.Команда tracert показывает только первый скачек до winroute и все (( Почта тоже не работает.
В мониторе winRoute в закладочке connection отображается соединение, например ping 192.168.0.2 на 217.105..... С

Может кто сталкивался с данным трабл.

PashaR

Цитата:

Привет всем!
Имею след проблемму. Есть Winroute 6.1.3 стоит на машине к которой подключен инет. далее есть локальная сеть с ip адресами 192.168.0.1... так вот, с машины на которой установлен winRoute все робит, почта инет и т.д. С машин в локальной сети, работает только Инет, в настройках которого указал прокси сервер машины с Winroute.

В настройках TCp/IP локальных машин прописал шлюз машины на которой установлен Winroute.

Трабл!! С машин в локальной сети не проходят пинги на внешние ip адреса.Команда tracert показывает только первый скачек до winroute и все (( Почта тоже не работает.
В мониторе winRoute в закладочке connection отображается соединение, например ping 192.168.0.2 на 217.105..... С

Может кто сталкивался с данным трабл.

Если ты думаешь что телепатов очень много и каждый знает какие у тебя правила стоят в керио, то ошибаешься.

Давай правила в студию.
А без них могу только сказать что у тебя не открыты соответствующие порты.