» Настройка Kerio Winroute серии 5.x и 6.х

ZAleVic
винроут на контроллере домена установлен?
Если да то достаточно сделать правила разрешаюшие локальный трафик
локалка ко мне - local firewall any permint
я в локалку - firewall local any permint
и их на самый верх

noblekey
Это-то, да, помогает, спасибо, но что если не хочется открывать все порты в локалку? Как тогда?

ZAleVic
тогда открыть все порты .. поставить лог соединений и посмотреть что подключено и что используется.. потом оставить только эти порты

need help по порт-маппингу в Kerio 6.0.1!
Имеем:
x.x.x.x -> firewall -> tcp 49 -> permit (авторизация NTTac+)
local -> firewall -> any -> permit
firewall -> local -> any -> permit
local -> internet -> any -> permit -> NAT
firewall -> internet -> any -> permit
internet -> firewall -> smtp ->permit -> protocol insp. NONE
Pent@NET -> firewall -> smtp -> permit ->protocol insp. NONE

в первом правиле, авторизация дозвонщиков через NTTac+ (с Cisco2600)
также поднят не прозрачный прокси по tcp3128 с форвардиногом на родительский.
весь прием идет по прокси через интерфейс Pent@NET(DVB карта).

Какие правила надо создать, чтобы вынести почтовик(Демон 9.04) с firewall на другую машину внутри локалки предположим на 192.168.1.x ? если можно детально.

Может кто скинет краткую настройку Демона 9.04 для данного случая или ссылку, а то я щас юзаю VOPMail Server, но он меня совсем не устраивает.

stigmatic
internet -> firewall ->smtp -> permit ->MAP 192.168.1.x
internet -> firewall ->pop3 -> permit ->MAP 192.168.1.x
И по идее неважно, на чем сделана почта, если порты стандартные. И я бы еще антивирусную проверку почты на firewall отключил бы, а проверял бы на 192.168.1.х

Я это все уже проделывал, при этих вот правилах почта на почтовик с "внешки" приходит по счету раз, но при попытке ее забрать или отправить чтонибудь куданибудь невозможно. Может еще что-то должно быть в правилах? К примеру с интерфейсом "Local", а то получается, что мы осуществляем прием только со внешки, не так-ли?

92 страницы этого форума вычитать не реально!
Могогите советом.
Сорри если повторяюсь.
Есть ли способ автоматически отключать usera в kerio при выходе его из Винды?
А то двоякая ситуация получается. При достаточно быстрой смене пользователя за компом пользователь в kerio остается прежний и трафик он считает предидущему. Даже супер маленький тайм аут на отключение не помогает.
Может, есть варианты?

stigmatic
правило для почты должно быть такое
почта инет - локал - smtp - перминт
локал - инет pop3
ну и мапинг если тебе нужно на другую машину

Vetalminsk
поставь винроут версии 4.2.5 там IE закрыл--сразу отключился, при каждом новом открытии IE требует авторизвцию
а для версии 6.2.2 самому интересно, было бы хорошо если бы работало так же как в 4.2.5

noblekey
а как это будет выглядеть с маппиногом на 192.168.1.* так сказать в комплексе если не трудно конечно.

stigmatic
в поле транслейет ставишь MAP 192.168.1.*

noblekey
ок. значит мои правила выглядели так:
x.x.x.x -> firewall -> tcp 49 -> permit (авторизация NTTac+)
local -> firewall -> any -> permit
firewall -> local -> any -> permit
local -> internet -> any -> permit -> NAT
firewall -> internet -> any -> permit
internet -> firewall -> smtp ->permit -> protocol insp. NONE
Pent@NET -> firewall -> smtp -> permit ->protocol insp. NONE
это с почтовиком на машине с керио.

а теперь будут выглядеть так:
x.x.x.x -> firewall -> tcp 49 -> permit (авторизация NTTac+)
local -> firewall -> any -> permit
firewall -> local -> any -> permit
local -> internet -> any -> permit -> NAT
firewall -> internet -> any -> permit
инет - локал - smtp -
}перминт mapping 192.168.1.*
локал - инет - pop3 -

я все правильно понял?

stigmatic

Цитата:

я все правильно понял?

ну в общем то да

noblekey
ок. буду пробовать!
а как на счет настройки Демона? случайно не силен?
и еще в планах создать web server, там (в керио) я так думаю надо будет сервис http за-маппить таким же макаром?

stigmatic
в демоне не силен у меня связка стоит Файревал + kerio mail server
если в демоне не разберешься попробуй поставить майл сервер от керио по нему могу помочь

Есть сервер 2003, 2 сетевых интерфейса: Internet(192,168,0,100)локальный и InterDa(10,2,24,3) - внешний
Керио выпускает только сервер, все остальные режутся, пинг с клиентов проходит только до 10,2,24,3.
Приведите пожалуйста пример фильтра, чтобы клиент 192,168,0,137 мог открывать странички, не было почты, и велась статистика именно его машины.
Зараннее благодарю
p.s При остановленном керио машины из локалки по прежнему не выходят в Интернет.

noblekey
а у тебя маил сервер от Керио на отдельной машине стоит и какой версии?
давай попробуем поставить, где его можно качнуть вместе со всеми лекарствами, чтоб безлимтным сделать, как по срокам использования так и по ящикам.

Amerique
трафик полиси покажи
stigmatic

Цитата:

а у тебя маил сервер от Керио на отдельной машине стоит и какой версии?

нет на одной версия 6.2

Цитата:

где его можно качнуть вместе со всеми лекарствами, чтоб безлимтным сделать, как по срокам использования так и по ящикам.

За этим в ПМ

noblekey

192.168.0.137 ---> Any--->Ping--->Permit (icmp traffic)
Firewall---> Any--->Ping--->Permit (icmp traffic)

192.168.0.137 ---> Any--->HTTPS--->Permit (iss orangeweb filter)
Firewall---> Any--->TCP 6000--->Permit (iss orangeweb filter)

192.168.0.137--->InterDa-->DNS,FTP,HTTP.HTTPS,IMAP,POP3,SMTPTELNET--->pERMIT (connection tracking)
Intenet--->InterDa-->DNS,FTP,HTTP.HTTPS,IMAP,POP3,SMTPTELNET--->pERMIT (connection tracking)

192.168.0.137--->Internet-->ANY--->pERMIT (local traffic)
Intenet--->Internet-->ANY--->pERMIT (local traffic)
Firewall--->Internet-->ANY--->pERMIT (local traffic)

192.168.0.137--->InterDA-->DNS,FTP,HTTP.HTTPS,IMAP,POP3,SMTPTELNET--->pERMIT (firewall traffic)
Firewall--->InterDA-->DNS,FTP,HTTP.HTTPS,IMAP,POP3,SMTPTELNET--->pERMIT (firewall traffic)

192.168.0.137 ---> Firewall--->Ident--->Deny (Ident)
InterDA---> Firewall--->Ident--->Deny(Ident)

Default rule any-any-any-drop

вот и все
интерфейс Internet это локалка, InterDa - выделенка
благодарю за понимание и соучастие

noblekey


Цитата:

нет на одной версия 6.2

а как он будет вести себя на отдельной машине?

Цитата:

За этим в ПМ

где это?

stigmatic
пм - личный ящик
сверху ника есть вкладка сообщение, туда пиши, это для приватности

Amerique
спасибо!

stigmatic

Цитата:

а как он будет вести себя на отдельной машине?

я думаю нормально при условии что другая машина будет иметь выход в инет
а что на одну машину нельзя поставить?
Amerique
правило для локального трафика на самый верх
добавь правило internet - firewall -any -перминт
вот примерно так
Firewall---> Any--->Ping--->Permit (icmp traffic)
Firewall---> Any--->TCP 6000--->Permit (iss orangeweb filter)
Firewall--->Internet-->ANY--->pERMIT (local traffic)
internet - firewall -any -перминт локалка к тебе
Intenet--->InterDa-->DNS,FTP,HTTP.HTTPS,IMAP,POP3,SMTPTELNET--->pERMIT (connection tracking) -NAT -добавлен нат
Firewall--->InterDA-->DNS,FTP,HTTP.HTTPS,IMAP,POP3,SMTPTELNET--->pERMIT (firewall traffic)
InterDA---> Firewall--->Ident--->Deny(Ident)

noblekey
я попробую, большое спасибо
а что значит добавлен НАТ? у меня нет его
сделал все, кроме ната в том правиле
результат - не работает

Цитата:

я думаю нормально при условии что другая машина будет иметь выход в инет

будет если опять же через порт маппинг сделать или как?

Amerique
В поле траслетион поставь нат
от клиентов пинг идет?
и в настройках браузера у клиентов стоит использовать прокси айпи машины с керио порт 3128?
stigmatic
да через порт мапинг

noblekey
пинг идет до адреса карты которая смотрит в мир, а дальше все, тишина
в транслэтионе много полей, какое поставить?
а в браузере клиента ничего не настраивал, только шлюз и все


Все, спасибо, прописал в настройках их ослика прокс и порт, заработало
Еще вопрос: в статистике я буду видеть их локальный и посещенные сайты или адрес внешнего интерфейса сервака (ну то есть типа все ходят с 10.х.хх.хх)?
и как исключить себя из статистики?

Amerique

Цитата:

в транслэтионе много полей, какое поставить

вторая галка сверху тупикал сетингс

Добавлено:

Цитата:

в статистике я буду видеть их локальный и посещенные сайты

это будет отображаться в web логе

Добавлено:

Цитата:

и как исключить себя из статистики?

никак статистика в керио ведется по каждому пользователю, по интерфейсам, и по первым 20 юзерам.

noblekey
Большое спасибо, еще раз.
Дальше буду экпериментировать на клиентских машинах

stigmatic
По отдельной машине для почтовика.
Смотри: у меня KWF, канал 1 mb, около сотни юзеров. Тут же KMS, примерно столько же почтовых ящиков. Машинка P4 2800, 512 RAM. Хватает. На внешнем интерфейсе 30 IP, и правила сильно кучерявые, ящики часть внешняя.
Но, конечно, если твоя задача в 1,5-2 раза помощнее - то надо разделять. Много зависит от толщины канала.
И ещё: в другом месте на машинке послабее KWF+ FTP. При внешнем канале до 1 - терпимо, если больше - опять-таки лучше разделить.
www сервер - однозначно надо на отдельную машину, но не за Керио в локалке, а наоборот - параллельно с кериовским внешним интерфейсом (безопасности ради).