Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: Mikes
Дата сообщения: 16.06.2006 09:25
AnLe
дык так оно и есть.. там есть клиент и работать можно в двух режимах.. когда народ только с клиентами и просто так .. когда все кто хошь подключаются
Автор: WinTester
Дата сообщения: 16.06.2006 09:37
Germanus

Цитата:
файрволл ОБЯЗАН контролировать ВЕСЬ трафик: входящий, выходящий, по приложениям, по портам, по протоколам, по хостам.
Угу, обязан , вот только по 2 слова - "по приложениям" там лишние в предложении, убери их.

Цитата:
особенно если этот файрволл претендует на звание сетевого пакетного фильтра.

Ты хоть сам понял что сказал ??? Советую посетить хоть 2х недельные курсы по сетевым технологиям, там рассказывают что такое пакет, пакетный фильтр и почему к приложениям оно не имело, не имеет и не будет иметь никакого отношения.

P.S. ALL На моей памяти подобные вопросы, а как счас видим чуть ли не требования и наивные убеждения возникают уже хх раз. Может в шапку закинуть что это не персональный фаер и не будет тут никогда модуля "контроль приложений" ?
Автор: CuS
Дата сообщения: 16.06.2006 12:13
Maba


Цитата:
в текущее время отображается не пойми какое [-] в шкале X - вообще бред +8 часов...

как эту фигню привести в соответствие с действительностью ?


Посмотрел на 2 машинах, обе w2k3. На версии 6.1.3 - время правильно, на 6.2.1 - иркутское время... Так что это не фича, а баг. Или кем-то проплачено ))
Автор: formula951
Дата сообщения: 16.06.2006 17:18
Памагите, срочно, послезавтра сваливаю в отпуск, надо доделать вещ
Суть такая что бы на пару компов конектились напраямую все порты, типа сокс,
т.е. на на 192.168.0.1 и 192.168.0.2 все порты инета конектились, а остальные ходили по стандартным правилам. Может это в керио невозможно, форум перечитывать несколько дней некогда, еще надо затариться к отпуску.
Надо такие варианты:
а) возможно это или нет
б) какие правила рисовать в трафик полисе
Автор: Apropos
Дата сообщения: 16.06.2006 18:01
Кстати в аутпосте кажется появился корпоративный вариант работы, кто нить пробовал уже?
Автор: crapaud
Дата сообщения: 16.06.2006 22:49
Apropos
Этот вопрос задавай уже в соответствующий топик в программах. Могу только сказать, что у него совсем другие задачи и функционал и KWFу он не конкурент...
Автор: Germanus
Дата сообщения: 17.06.2006 02:22
WinTester
Не стоит идти на поводу у собственного снобизма. Поскольку в ответ можно получить предложение сходить хоть на школьные курсы Великого и Могучего, в частности, обратясь к разделам пунктуации в сложносочиненном предложении с общим членом, где с удивлением для себя обнаружить, что троеточие является не немой бессмысленной паузой, а вполне определенным разделением двусмысленности изречений, объединенных лишь предметом обсуждения. Так что я то как раз ПОНЯЛ что сказал, в отличие, так сказать... (опять же троеточие )
Приношу Извинения модераторам за детскую перепалку К теме.

crapaud
спасибо за наводку. Нужно пробовать. Вообще сейчас в поиске. Реструктурируется сеть. Довольно большая, фактически, состоящая из трех подсетей, где одна сидит за железом, вторую прикрывать не обязательно, а насчет третьей у меня как раз и поиск. Чтобы ещё не дробить. Поскольку есть несколько коммерческих заказных приложений, которым выход в сеть в любом виде, поставлена задача руководством, оградить. Выделена некоторая сумма, от которой можно откусить (святое дело) если сэкономить. Думаю как. В одном из размышлений и вопрос появился. Керио для меня пока всего лишь один из рассматриваемых продуктов, глубоко не зная его, дома в свободное время рассматриваю вкупе с остальным. Думал, может, если есть подпапка плагинов, то есть и некие дополнительные плагины с подобным расширением функционала.
Спасибо.
Автор: Starry
Дата сообщения: 17.06.2006 17:23
Товарищи спецы! Помогите разрулить такую проблему. Есть выход в Инет. Поставил на xp-станцию kwf6. Сделал его прозрачным прокси (transparent). Поднял NAT. Включил аутентификацию. Включил DNS-forward на внешние DNS. С компа, где установлен kwf, все имена ресолвятся нормально. В инет все выходит отлично. Но на станциях в лок. сети не все имена росолвятся. Т.е., например, на раб. станции ping www.ya.ru срабатывает, а ping www.polit.ru нет. А на сервере все работает ок. Что это может быть и как побороть эту проблему? Заранее большое спасибо за ответы.
Автор: Starry
Дата сообщения: 18.06.2006 21:23
Проблему разрулил. Отключил DNS forwarder в kwf6. Поставил маленький DNS сервер (haneWIN DNS) на комп с kwf. Первичным DNS является dns в локалке, если запрос не обработан, происходит forward на 3 внешних DNS - и все работает (процентов 95). Некоторые сайт все равно пингуются только с сервера, но их стало значительно меньше!
Вывод: днс-фавордер в керио - г**но.
Автор: lipser
Дата сообщения: 19.06.2006 08:25
Уважаемые, а не подскажите как корректно настроить сервер в следующей ситуации.
Есть машинка с установленным WinRoute (Server1), она раздает инет в локалку. В локалке есть сервер (Server2) к которому подведен резервный канал. Задача сделать так, чтобы при наличии первого канала все пакеты с сервера Server2 в инет обрабатывались через Server1, и только если первый канал недоступен, перенаправлялись на резервный каналю Оба подклюяения обычный Ethernet. Проблема в том, чтобы при наличии обоих каналов все кореектно работало необходимо прописать шлюзы в обоих подключениях, что соответственно очень не нравится WinRoute на Server2
Автор: CuS
Дата сообщения: 19.06.2006 09:36
To All.
Уважаемые господа, столкнулся со следующей проблемой. На машине с KWF 621 стоит FTP-сервер ServU 6.2.0.1 Всё прекрасно работает, однако при давно уже отсоединившемся клиенте ftp - соединение висит в списке соединений KWF. Похоже, пока не убьёшь. Вроде ничему не мешает, но неаккуратненько как-то. Вопросы: может, это глюк субверсии? У кого-нибудь в подобной ситуации пустые соединения сбрасываются? Или тогда где копать посоветуете.
Автор: helagar1
Дата сообщения: 19.06.2006 09:40
Судя по всему, глюк субверсии. Раньше такого небыло точно.
Автор: AnLe
Дата сообщения: 19.06.2006 09:44
Хм, у меня фтп сервер на отдельной машине за керио имеется, ярко выраженой проблемы не замечал на этой версии.
Может дело в наличии протокол инспектора на этом правиле а также времени таймаута которое ждёт фтп серв между командами?
Автор: CuS
Дата сообщения: 19.06.2006 11:12
Господа, кто-нибудь подробно разобрался в работе KWF? Что он слушает (и устанавливает соединения - без моей просьбы на 13266 порту TCP? В правилах я его об этом не просил!
Автор: AnLe
Дата сообщения: 19.06.2006 13:32
CuS
1. в поиск ио обсуждалось
2. поиск по этой цыфре в тексте файла winroute.cfg вам многое раскажет
Автор: stskr
Дата сообщения: 19.06.2006 14:09
Есть компьютер с Windows XP SP2 .
Выхожу в инет через GPRS. Локальной сети нет.
Возникла необходимость поставить firewall, т. к. идет какой-то паразитный трафик, который не могу отследить.
После установки Kerio 6.0 перестала работать почта.
Причем, если я отключаю его, работает только почта на Yandex.ru, на Mail.ru не работает.
Подскажите, плиз, какие должны быть минимальные настройки для firewall, чтобы я мог работать с почтой (POP3, SMTP) и аськой и при этом не шел левый трафик (весь, кроме HTTP).
Возможно, стоит поставить что-то попроще?
(Встроенный в ХР не подходит, т. к. он не отслеживает левый трафик)
Автор: crapaud
Дата сообщения: 19.06.2006 14:20
stskr
А ты что поставил-то? Winrout или Kerio Personal Firewall? В первом случае ты совсем не прав, надо было ставить персональный фаер, т.к. именно на нем видно какое приложение куда ходит (см. шапку!). Во втором случае, ищи соответствующую ветку на форуме.
Автор: CuS
Дата сообщения: 19.06.2006 15:24
AnLe

Цитата:
2. поиск по этой цыфре в тексте файла winroute.cfg вам многое раскажет

Это конечно спасибо. То, что это порт прозрачного прокси, я выяснил. Беда в том, что работает он дюже странно - напоминаю, что на одной машине и KWF, и FTP, и я вижу соединения с 13266 _из внешней сети_, с клиентами, котрые грузили чего-то с FTP и уже давно отвалились. Соединения установлены не с FTP- сервером, а именно с WinRoute, т.е они как бы подключены к прокси. И висят эти соединения... Я немножко по другому представлял себе работу прозрачного прокси, никто снаружи к нему доступ не открывал. Вот такие глюки.
Снаружи открыты FTP, FTPS, TELNET. То ли я неправ, то ли KWF.
Автор: stskr
Дата сообщения: 19.06.2006 23:25

Цитата:
stskr
А ты что поставил-то? Winrout или Kerio Personal Firewall? В первом случае ты совсем не прав, надо было ставить персональный фаер, т.к. именно на нем видно какое приложение куда ходит (см. шапку!). Во втором случае, ищи соответствующую ветку на форуме.

Спасибо за совет. Снес, поставил Agnitum Outpost.
Теперь работает.
Автор: Andrey_Lopatnev
Дата сообщения: 20.06.2006 13:57
При установке KWF 6.2.1 (build 1454) поверх версии 6.2 в Interface Statistics почему-то неправильно стало отображаться время.
Время событий в логах - правильное, а в Interface Statistics +3 часа почему-то.
OS: Win2000Serv.
Часовой пояс на сервере: GMT+2(+1 час летнего времени) = GMT+3.
С предыдущими версиями KWF такого клюка не наблюдалось.
Может быть кто-нибудь сталкивался с этой проблемой и может поделиться опытом?
Автор: flek
Дата сообщения: 20.06.2006 21:43
Народ, объясните плиз где грабли ...
XP SP2, KWF 6.1.4
2 сетевухи: 1 в лан, 2 в нет
Пытался визардом настроить NAT , не заработал
Стал убивать правила, оставил 2:
1. Any - Any - Permit
2. Default
И в этой ситуации на локальной машине ping google.com работает
а http (опера) нет ...
Интересно почему ?
Где можно информацию найти как правильно настроить NAT ?
Автор: CuS
Дата сообщения: 21.06.2006 09:44
flek

Цитата:
Интересно почему ?

1. Выключи керио
2. Настрой внимательно сетевухи, проверь что инет работает на этом компе. DNS - повнимательнее!
3. Включи керио и снова запусти визард. Скажи ему, что из локалки можно всё.
4. Сними галку непрозрачной прокси.
5. Заработало? RTFM для тонкой настройки.

Добавлено:
Andrey_Lopatnev
Цитата:
Время событий в логах - правильное, а в Interface Statistics +3 часа почему-то.

Именно глюк. Сдвиг во времени на 621 до 8 часов.

Автор: EFIMOFFS
Дата сообщения: 22.06.2006 09:46
а никто не подскажет, какой формат имеет база users.stat?
Автор: Evgeny_Sorokin
Дата сообщения: 22.06.2006 14:48
Вопрос. Вот, то что обнаружено сканирование портов с такого то адреса он определяет, а возможно ли чтоб он тут же блокировал эти IP. KWF вроде как не может такого сделать, может подскажите в связке с чем он так будет работать ?

Пока cоздал группу по IP адресам. Куда вручную добавляю IP которые сканят мой сервак
И первым правилом добавил Drop с этих адресов на мой сервак и все службы.

PS. Неча сканить мой сервак.
PS2. Кто-нить борется с этим ещё?
Автор: Corvus Corone
Дата сообщения: 22.06.2006 17:17
Товарищи, подскажите пожалуйста, как сохранить конфигурацию. Спасибо.
Автор: Evgeny_Sorokin
Дата сообщения: 23.06.2006 08:17
Corvus Corone
Неужели тяжело полистать топик...


Цитата:
В рабочей директории Винроут в файле UserDB.cfg (начиная с версии 6.1.4). По умолчанию: C:\Program Files\Kerio\Winroute\UserDB.cfg. Это обычный текстовый файл, как и все остальные конфигурационные файлы.

А вообще вся конфигурация Винроут хранится в следующих файлах:

winroute.cfg
Главный конфигурационный файл

users.cfg
Информация о пользователях и группах.

logs.cfg
Настройки журналов

host.cfg
Настройки для резервного копирования конфигурации, (настроек пользователей, баз данных сервера DHCP и т.д.)

UserDB.cfg
Что в нём хранится, описано выше 8)

Т.е. для резервного копирования необходимо скопировать эти файлы в директорию свежеустановленного Винроута.

[!] Но после этого необходимо сделать выполнить следующее:

1) Установите WinRoute на нужной машине (смотрите главу Установка).
2)Остановите WinRoute Firewall Engine.
3) Скопируйте резервные копии конфигурационных файлов host.cfg, logs.cfg, users.cfg и winroute.cfg в директорию установки WinRoute (обычно C:\Program Files\Kerio\WinRoute Firewall).
4) Запустите WinRoute Firewall Engine.

WinRoute сам обнаружит нужные файлы. В данном процессе ,в системе будут обнаружены неизвестные сетевые интерфейсы (которые не определены в файле winroute.cfg ) .Каждый сетевой интерфейс включает в себя уникальный идентификатор (случайно сгенерированный) в операционной системе. Практически не возможно чтобы два идентификатора совпадали.

Для избежания настройки новых интерфейсов и изменений правил траффика (traffic rules), вы можете присвоить идентификатор нового интерфейса, старому интерфейсу в файле winroute.cfg.

4) Остановите WinRoute Firewall Engine.

Используйте простой текстовый редактор (например Notepad ) чтобы открыть winroute.cfg. Найдите кусок текста:

<list name="Interfaces">

Посмотрите содержимое этой секции (между открывающим и закрывающими тэгами), и найдите секции старого и нового интерфейсов, замените идентификатор старого интерфейса идентификатором нового.Удалите секцию нового нового интерфейса.

Пример: Название интерфейса локальной сети LAN. Это сетевое соединение обозначается как Local area connection в новой операционной системе. присутствуют оба интерфейса, задача подменить идентификатор старого интерфйса новым, чтобы использовались настройки старого:

<listitem>
<variable name="Id">\DEVICE\
{7AC918EE-3B85-5A0E-8819-CBA57D4E11C7}</variable>
<variable name="Name">LAN</variable>
...
</listitem>
<listitem>
<variable name="Id">\DEVICE\
{6BF377FB-3B85-4180-95E1-EAD57D5A60A1}</variable>
<variable name="Name">Local Area Connection</variable>
...
</listitem>

Скопируйте идентификатор интерфейса Local Area Connection в интерфейс LAN . Удалите информацию о интерфейс Local Area Connection (соответствующий элемент listitem).

Когда все изменения будут совершены, файл конфигурации будет выглядеть вот так:

<listitem>
<variable name="Id">\DEVICE\
{6BF377FB-3B85-4180-95E1-EAD57D5A60A1}</variable>
<variable name="Name">LAN</variable>
...
</listitem>
Сохраните winroute.cfg и запустите WinRoute Firewall Engine.
После такой процедуры настройки WinRoute идентичны настройкам исходного сервера WinRoute, в предыдущей операционной системе.


PS. Это уже надо в список самых часто задаваемых вопросов занести.

Автор: PSazanoff
Дата сообщения: 23.06.2006 18:05
Здравствуйте. Подскажите пожалуйста как сделать так чтобы у меня в The Bat на клиентской машине стояла настройка смтп smtp.mail.ru, а кидался на smtp.xxxxxx.ru
(мне ноутбук приходится таскать то на работу то домой, а провайдер на работе пускает только через свой смтп)
Спасибо.
Автор: liberator
Дата сообщения: 23.06.2006 18:41
Ребят, у кого нибудь проблемы с VisNetic были? захожу за закладку "AV Engine "
там есть три ..как их назвать, вобщем там Engine version
database count и last update,напротив всех трёх написано ERROR, переустанавливал- не помогает, и не обновляет базы...в чем делом может быть?
Да и еще, у кого нибудь шейпер работает вообще? ставлю на три службы,да и на весь трафик вообще ставил, как была скорость так и осталась прежней-непонятно
Автор: Mikes
Дата сообщения: 24.06.2006 10:01
PSazanoff
(твой ноут) - smtp.mail.ru (smtp) NAT (MAP smtp.xxxxxx.ru или его IP)

liberator
тоже хотелось бы узнать )))
Автор: Andy_Urb
Дата сообщения: 24.06.2006 11:18
Нигде не могу найти как заставить авторизоваться при любом запросе на любой внешний порт.
В сети dhcp - значит привязка по ip не катит.
Создал группу по именам компьютеров - нифига не обрабатыает.
Как заставить авторизоваться?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.