Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: Hrist
Дата сообщения: 05.07.2006 15:33
ICY_fire

Цитата:
Господа, а как поведет себя WF если с одной клиентской машины с активным акаунтом залогиниться второй, с другими возможностями политики траффика? Первый автоматически отключется?

вы сами пробовали? если не будет отключен первый - то второй открыв браузер или другую прогу для доступа в Инет - просто пойдет туда под первым логином... прежде чем залогиниться второму придеться разлогинить первого...
Автор: ICY_fire
Дата сообщения: 05.07.2006 16:25
Hrist, да, это понятно. Но дело в том что у этих 2 юзеров д.б. взаимоисключающие правила, и ни в коем случае не должна получиться ситуации при которой оба этих правила будут работать одновременно. Попробовал сам, получается бред какой то. Очень хотелось бы услышать совет тех, кто сталкивался с подобной задачей.
Автор: Yevgeniy
Дата сообщения: 05.07.2006 21:09
Каким образом можно открыть несколько портов (сделать форвардинг от рабочей станции на сервер)? Прописывал в Services консоли администрирования KWF 6.2.1 (build 1454), но всё равно в eDonkey - Low ID и в BitTorrent - NAT-проблема. В мануалах по этому поводу больше ничего не заметил...
Автор: GOODmen
Дата сообщения: 06.07.2006 06:45
Как пустить миранду в jabber через керио? аська заработала через порт 443, жаббер ни в какую. Внутри локалки ходит без проблем, наружу никак. Авторизация АД. В логи пишет пишет локальные соединения, про наружу даже никакого намека
Автор: Arakcheev
Дата сообщения: 06.07.2006 07:41
GOODmen
Какой порт использует жаббер? Вот его и открой в НАТе
Автор: GOODmen
Дата сообщения: 06.07.2006 07:52
Гым, на этом же прокси стоит сервер локального jabbera, если натом не уйдут ли все наружу?
Автор: vidoq123
Дата сообщения: 06.07.2006 09:02
собственно 2 проблемы:
1. сервак падает! пинги до него идут но коннекты ни какие не проходят, а он у меня шлюзом работает - критично!
посмотрел в логах винды, получается что керио пишет:
------
Application popup: Kerio WinRoute Firewall6.2.0 build 1323 : A problem with your license has been detected: when the program tried
to download an update from Kerio's server, the server detected that
your license is either: invalid, stolen or your software has been modified
in an unauthorized way.
The server logged your IP address. Please contact Kerio's customer support
immediately to report this incident. The contact information is available
at Kerio's web site at http://www.kerio.com
-------
получается что после того как он пытается обновится, сам кери все начинает блочить(
достало уже, раз в неделю или в 2 такое происходит, что делать?
обновление везде выключено!!!
2. как сделать 2 канала связи?
собираемся для почты ставить тарелку (сейчас пока почта по выделенке), сервак почтовый всегда в инете, т.е. мы почту по поп3 или еще как - не качаем.
вопрос такой, если связь по тарелке падает - все должно переключиться сразу на выделенку (по выделенке связь прямая не по vpn pppoe итд...) - как это сделать?
и еще проблема, на днс сервере у провайдера будет 2 запись про наш маил сервак, получается что и по выделенке и по тарелке он нам будет отдавать почту, но мне по выделенке то не надо, только по тарелке!!!
ну а если связь с тарелкой пропадет, то отдавать по выделенке - как это сделать, все представить не могу(((
Автор: AnLe
Дата сообщения: 06.07.2006 10:20
vidoq123
1. Кыш в варезник за последними версиями и таблетками.

2. У вас обратный канал так понимаю хочется пустить через выделенку?
Если да, то тут надо ещё у прова тарелкового узнавать возможно ли вообще при таком варианте держать сервер.

Я лично когда интересовался, для себя видел такой выход:
Сетка, основная машина с винрутом и например почтарём так и сидит на выделенке с нормальным ип и т.д.
В тойже сети стоит вторая машина, в которой оборудование с тарелкой, прокся (глобакс, или ещё там чо вставляется) и обратка валит через первую машину через выделенку. На первой машине поднимаем проксю, которой указываем парентом проксю на машину с тарелковым оборудованием, вуаля, в принципе минимум телодвижений, кроме как настроки прокси потмо прописать. Если что отвалилось, прокся удаляется и ездим через выделенку через нат первой машины например.
Автор: vidoq123
Дата сообщения: 06.07.2006 11:06
1. спасибо, сейчас посмотрю
2. хм... тоже вариант
сейчас звонил прову, они сказали что можно просто сделать еще одну запись у них на днс сервере с другим приоритетом, т.е. пока отдает на тарелку (т.к. у нее приоритет больше) потом будет отдавать на выделенку если тарелка упадет!
я просто думал возможно ли это как то разрулить у них, видно возможно
Автор: ICY_fire
Дата сообщения: 06.07.2006 12:16
Ребяты, просвятите: есть правило: по к-му юзерам разрешено выходить в инет(DNS,HTTP(S)). А есть юзера, к-ые не включены в список этого правила, но тем не менее они спокойно ходят по инету именно по этому правилу. Что за фишка такая???
Автор: crapaud
Дата сообщения: 06.07.2006 15:31
ICY_fire
для того, чтобы ответить на твой вопрос нужен скрин всего траффик полиси
Автор: CuS
Дата сообщения: 06.07.2006 16:13
ICY_fire
Сделай правила не по юзерам, а по IP. Счастье наступит.
Автор: ICY_fire
Дата сообщения: 06.07.2006 17:37
CuS по IP не покатит.
crapaud,     http://rapidshare.de/files/25104782/__________.JPG.html, это единственное правило, разрешающее хождение по http, поэтому решил весь скрин не делать. Причем когда коннектиться юзер, которого нет в списке этого правила, то почта не проходит, а вот http, dns работает спокойно, и именно по этому правилу(видно в KWF в host/users->connections, что именно это правило разрешает доступ в инет по http)




Автор: motor2hg
Дата сообщения: 07.07.2006 21:29
Cуществует сервер с тремя интерфейсами.

1 Сетевая смотрит на провайдера имеет интернет IP постоянный

2 Сетевая- смотрит в локалку имеет адрес 192.168.0.71

3 Модем который принимает звонки от домашних машин и соединяет их с интернет. Для модема определён диапазон ip 192.168.0.80-192.168.0.100 в настройках виндовз XP

Вопрос:
Почему Win XP на машине с адресом 192.168.0.72 не может обновляться??? ([Код ошибки: 0x80072EE2] На веб-узле произошла ошибка, поэтому страница не может быть отображена.)
А если эта-же машина подсоединится к интернету посредством модемного соединения с адресом 192.168.0.88 или 89 или т.д. обновление происходит? Операционка сервера тоже обновляется.

Локальная машина, 192.168.0.72 имеет доступ в инет работают все протоколы, локалка работает идеально.

Этот же вопрос но в другом представлении:

Локальная машина ->Модем-> Серверная Машина(с Керио)->Интернет->WinUpdate - работает!!

Таже локальная машина ->Сетевой кабель-> Серверная Машина(с Керио)->Интернет->WinUpdate - не работает!!

([Код ошибки: 0x80072EE2] На веб-узле произошла ошибка, поэтому страница не может быть отображена.)

С локальной сетью проблем нет, с выходом в инет HTTP WEB Skype ICQ c Локальной машины всё чётко.
Вчём порылась собака? И рылась ли?

З.Ы. Подобный вопрос задавал уважаемый Venchik, но ответа небыло
Автор: Venchik
Дата сообщения: 08.07.2006 10:16
motor2hg, я так и не решил проблему с Windows Update
Автор: rafikifan
Дата сообщения: 08.07.2006 12:35
с керио работаю уже пол года наткнулся на две проблемы.
1) не могу завести utorrent порт его разрешил в полиси в оба конца не качает, выключаю фаервол, всё работает
2) при создании сервера CS1.6 в сети машины начинают жутко тормозить, и в браузере серверов локально игры не видны доступ только по ip что не совсем удобно для рядового пользователя
Автор: ICY_fire
Дата сообщения: 10.07.2006 08:18
motor2hg, я в личку сбросил месагу, а то людей задолбаю в корень. Может поможешь... =)
Автор: dim0k
Дата сообщения: 10.07.2006 11:43
Можно ли заставить KWF считать только тот траффик, который идет через прокси?
Автор: Hrist
Дата сообщения: 10.07.2006 19:23
ICY_fire

Цитата:
Hrist, да, это понятно. Но дело в том что у этих 2 юзеров д.б. взаимоисключающие правила, и ни в коем случае не должна получиться ситуации при которой оба этих правила будут работать одновременно. Попробовал сам, получается бред какой то. Очень хотелось бы услышать совет тех, кто сталкивался с подобной задачей
дык я о том и толкую - не будут они одновременно работать... или вас интересует конкретно - автоматическое разлогинивание первого? тогда вам в Users - Authentication Options - Automatically logout users when they are inactive




Добавлено:
motor2hg

Цитата:
Почему Win XP на машине с адресом 192.168.0.72 не может обновляться??? ([Код ошибки: 0x80072EE2] На веб-узле произошла ошибка, поэтому страница не может быть отображена.)
А если эта-же машина подсоединится к интернету посредством модемного соединения с адресом 192.168.0.88 или 89 или т.д. обновление происходит? Операционка сервера тоже обновляется.

трафик полиси скриншот бы посмотреть... вдруг осенит...

dim0k

Цитата:
Можно ли заставить KWF считать только тот траффик, который идет через прокси?
есть вариант на нат правилах отключить протокол инспектор - тогда и считать наверное не будет и просить авторизации... а то и вообще пустить по нату только машины которых считать не надо и в правилах разрешить им ходить без авторизации... а вообще - какова задача то? что именно на каких задачах и почему не нужно считать трафик? может можно решить задачу другим способом?


Добавлено:
ICY_fire

Цитата:
http://rapidshare.de/files/25104782/__________.JPG.html, это единственное правило, разрешающее хождение по http, поэтому решил весь скрин не делать.
1. не открываеться скриншот... 2. все же лучше сделать полный скриншот - т.к. кто его знает...

Добавлено:
rafikifan

Цитата:
с керио работаю уже пол года наткнулся на две проблемы.
1) не могу завести utorrent порт его разрешил в полиси в оба конца не качает, выключаю фаервол, всё работает
2) при создании сервера CS1.6 в сети машины начинают жутко тормозить, и в браузере серверов локально игры не видны доступ только по ip что не совсем удобно для рядового пользователя

1. п2п элиминатор не включен? протокол инспектор пробовали отключать на правиле п2п?
2) выводили из анализа файрвола - локальный интерфейс?

в конфиге прописать для локальных интерфейсов
<variable name="FirewallExclude">1</variable>
исчезают тормоза и загрузка процессора при интенсивной работе локальной сети
Автор: radmin111
Дата сообщения: 11.07.2006 09:32
ребят хелп!
перешел я с оутпоста на керио. на оутпосте был глюк с работой активного фтп.
на керио не поднять мультикаст
Стоит программа вещающая мультикастом видео (ckycast). Все работает отлично.
Ставлю керио винроут, перегружаю машину, результат - трансляция не работает.
Вещание происходит на 239.0.0.5, 7777 порт.
Создание различных правил не помогает.
Беру выключаю винроут, выгружаю из памяти, останавливаю сервис-не работает.
Удаляем керио с машины-все прекрасно работает.
система 2003 сервер. эххх
Автор: Mikes
Дата сообщения: 11.07.2006 09:55
radmin111
Создание различных правил не помогает.

каких именно???
Автор: radmin111
Дата сообщения: 11.07.2006 10:36
создавал такие правила -
source-239.0.0.5
dest - firewall
service - tcp/udp 7777
action - permit

source-сетевая инет
dest - firewall
service - tcp/udp 7777
action - permit

source-any
dest - any
service - tcp/udp 7777
action - permit
Автор: motor2hg
Дата сообщения: 11.07.2006 12:26
Hrist -это мои правила. Я всё перепробовал, но почему-то у меня такая увереность, что дело не KWF, а в настройках Windows XP. Этот вопрос скорее всего помогут решить те люди, которые столкнулись с ним непосредственно. Решение 100% есть, но у кого?



ICY_fire - пиши вместо 192.168.0.71 IP карты смотрящей в локальную сеть. Это правило Web Avtorizacia даёт возможность всем членам локальной сети запуская браузер попадать автоматом на страницу Аутентификации, NAT локалки не даёт им разгуливать по сети, это могут делать пользователи из правила NAT, но не пользователи из правила Web Avtorizacia.
Автор: AnLe
Дата сообщения: 11.07.2006 12:45
radmin111
Эм, а в логе видно что и по какому поводу дропается?
Автор: radmin111
Дата сообщения: 11.07.2006 12:50
неа..в логах чисто
Автор: ICY_fire
Дата сообщения: 11.07.2006 14:11
Господа, подождите
>Вещание происходит на 239.0.0.5, 7777 порт.
Это не мультикаст.
Думаю стоит определиться, с тем, что куда идет, а только потом создавать соответ-щее правило.

Автор: radmin111
Дата сообщения: 11.07.2006 15:49
а что же ента ?)))
Автор: Venchik
Дата сообщения: 11.07.2006 23:26
KWF 6.2.1.1454
Два интерфейса.
Один - локальная сеть - 10.0.5.210/255.255.255.0
Второй - VPN (виндовый). В качестве VPN сервера выступает 10.0.0.1 - провайдерский сервер VPN.

Локалка имеет адреса 10.0.0.0/255.0.0.0, поэтому я сдела в KWF маршрут: 10.0.0.0/255.0.0.0 10.0.5.1
10.0.5.1 - это адрес провайдерского шлюза для моей подсети.

VPN интерфейс получает не реальный динамический айпи типа 192.168.х.х и дает мне доступ в инет.

Задача: пустить ICQ через локалку.

Примечание: если VPN отключен, то ася подключается без проблем.
У провайдера прописано правило, которое разрешает коннектится на любой айпи сетей 64.12.0.0/255.255.0.0 и 205.188.0.0/255.255.0.0 на порт 5190.

А вот если включить VPN, то АСЯ коннектится через него, а меня это не устраивает!

Можно сделать два маршрута:
64.12.0.0/255.255.0.0 10.0.5.1
205.188.0.0/255.255.0.0 10.0.5.1
и тогда все работает как надо...

но вот один неприятный нюанс меня гложит уже который месяц: маршрут указывает на любые действия...а меня интересует только дестинейшн порт 5190. При таких двух маршрутах я не могу ничего скачать с серверов ICQ и не могу открыть веб-страницу ICQ.
Это из-за того, что запрос идет через 10.0.5.1 - как указано в маршруте, а 10.0.5.1 не пускает 80-й порт через себя на эти две сетки - он пускает только на порт 5190, как я уже говорил.

Пробовал делать в траффик полиси различные правила - эффект - ноль
Даже не знаю что пробовать теперь...
Автор: XDefender
Дата сообщения: 12.07.2006 10:12
Венчик,
В правилах KWF можно указать, чтобы с локальной сети при доступе к определенным IP через порт ICQ перенаправлять на нужный интерфейс...

не обязательно это делать командой route.
Автор: Venchik
Дата сообщения: 12.07.2006 10:23
XDefender, речь не идет о сети. Пока что, я хочу чтоб ICQ коннектилась как мне надо на машине с KWF. О сети речь пойдет потом.
Если знаешь каким правилом это можно реализовать - скажи пожалуйста.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.