Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: Mafia80
Дата сообщения: 11.08.2006 17:11
Сенькс.
Проблема была в касперском и его проверке трафика.
Автор: Marzipan
Дата сообщения: 14.08.2006 03:34
Кто-нибудь обновлял движок McAfee на 5.1.00? При замене mcscan32.dll (4.4.00) на новую, пишет AvPlugin failed to initialize: Engine failed to initialize: 8
Автор: Yevgeniy
Дата сообщения: 14.08.2006 19:02
Могу ли я установить удалённое средство управления и контроля сервера с Kerio Winroute Firewll в локальной сети? Имеется в виду не Remote Administrator и подобное, а нечто из встроенных возможностей этого прокси-сервера...
Автор: ghost3k
Дата сообщения: 14.08.2006 20:14
При остановленном KWF все равно есть доступ в инет - чего это так?
Автор: crapaud
Дата сообщения: 14.08.2006 22:34
Yevgeniy
Конечно можешь. И в локальной сети и даже через интернет. Админ консоль керио на это расчитана.
ghost3k
))) значит ходят через какую-то другую дырку... телепатов тут нет
Автор: Yevgeniy
Дата сообщения: 14.08.2006 23:29
crapaud

Цитата:
Конечно можешь. И в локальной сети и даже через интернет. Админ консоль керио на это расчитана.

И как это организовать? Или посоветуешь читать мануалы?
Автор: ghost3k
Дата сообщения: 15.08.2006 00:03
crapaud

Цитата:
))) значит ходят через какую-то другую дырку... телепатов тут нет

Ах да, телепаты... всегда забываю что они крайне не любят форумы...
Ну да ладно... 6.2.2, инет есть на машине с KWF, когда он (KWF) отрублен. Речь не о юзерах, они лазят через проксю (KWF'кую).
Это фича такая - что при остановленном движке (KWF) на этой же машине интернет не блокируется? Вроде всегда блокировался...

Автор: 1nasty1
Дата сообщения: 15.08.2006 00:19
Извините, что встреваю в разговор серьёзных мужчин, но хотелось бы задать свой несерьёзный вопрос: пять компов подключены через свитч к DSL-модему (4-е по шнурку (Wi-Fi), 5-ый -- без). Как их подключить через NAT, если у меня адаптер локальной сети = адаптеру внешней сети? Я задавал уже этот вопрос в теме UserGate, но поюзав эту прогу, я понял, что Kerio WinRoute Firewall мне подходт больше. Больно уж нравятся монстры с большим потенциалом. Ты только подумал о чём-то, а это уже типа в типовой конфигурации есть Ну так вот, для того, чтобы первоначально настроить сабж (конкретно -- NAT), надо указать адаптер внешней сети. А у меня ТОЛЬКО локальный. Все компы к свичу, тот к DSL, а DSL смотрит а Нет . В сетевых соединениях -- Local Area Connection... как настроить, ума не приложу. Все, что читал, просто эту проблему не поднимает. Только через домены. Это единственный выход? У меня XP SP2, и сервер ставить не хотелось бы. Если есть выход попроще, подскажите, пожалуйста. Вообще необходимо немного почикать трафик, уж больно icq интенсивно используется.
Автор: Marzipan
Дата сообщения: 15.08.2006 01:20
Yevgeniy
http://www.kerio.com/kwf_download.html Называется Admin. Console - весит 12,4 Мб.
Вот прямой линк http://www.kerio.com/download.php?lang=us&product=kwf6-admin-win&server=eu
Поставишь её, укажешь адрес сервера с керио и всё.
Автор: AnLe
Дата сообщения: 15.08.2006 08:12
ghost3k
Эм. В смысле инет на тойже машине где и квф продолжает работать?
Это нормально.
Интереснее еси инет продолжает работать и в локалке для которой эта машина работала шлюзом. Тут могу рекомендовать проверить как поживает служба ics. Возможно она запущщена.

Добавлено:
1nasty1
ну... на мой взгляд, можно докупить адаптер простонапросто вай фай, модем переключить в бридж и тогда весь траф гнать через машину с керио.

или есть иной вариант, просто машину с 1 сетяхой и натом от керио ставим у других машин шлюзом, а уже она будет им раздавать инет через модем. описано тут:
_http://forum.ixbt.com/topic.cgi?id=7:12821-2#1918
Автор: crapaud
Дата сообщения: 15.08.2006 08:30
1nasty1
Попроще - поставить вторую сетевуху на комп с керио и подключить модем к ней. Это самый простой и класический способ. Все остальное гораздо сложнее, ибо черевато как минимум установкой на машину с керио 2003 сервера для разделения одного локального интерфейса на 2 отдельные подсети, прописывание вручную всех IP на клиентах (поскольку модем при таком подключении навеняка тоже является DNS и DHCP сервером) и т.д. и т.п. Так что отдать 5 баксов за карточку и 15 минут на остальное конфигурирование ИМХО проще. У меня так работают 3 точки более 1.5 лет без всяких проблем.
Автор: Yevgeniy
Дата сообщения: 15.08.2006 11:33
Marzipan

Цитата:
Поставишь её, укажешь адрес сервера с керио и всё.

Спасибо! Качал отсюда - http://www.kerio-server.ru/catalog/kwf_download.html
Автор: ghost3k
Дата сообщения: 15.08.2006 12:30
AnLe

Цитата:
Интереснее еси инет продолжает работать и в локалке для которой эта машина работала шлюзом. Тут могу рекомендовать проверить как поживает служба ics. Возможно она запущщена.

Нет, с этим без проблем.
А вот это

Цитата:
В смысле инет на тойже машине где и квф продолжает работать? Это нормально.

Это всегда так было? Просто кажется в прошлых версиях этого небыло...
Да и потом, если сервис остановлен, машина получается вообще голая оказывается!
Непонятно....
Автор: AnLe
Дата сообщения: 15.08.2006 12:40
ghost3k
эм. ну как бы а куда он денется то?
у меня у прова пппое, такчто винрут при остановке рвёт сессию, но ничто немешает её заного поднять и сидеть в инете без него,а тем уж у кого инет без юзания пппое и подавно
Автор: crapaud
Дата сообщения: 15.08.2006 12:54
ghost3k
Всегда было так, просто ты не обращал внимания. Я им пользуюсь с последней 5ки. На машине-шлюзе посли остановки всегда инет остается.
Автор: DmitriySDM
Дата сообщения: 15.08.2006 14:23
Кабан не запускаеться в журнале пишет
[10/Aug/2006 16:16:46] (7106:-601039) ISS OrangeWeb filter: Unable to activate Cobion service. Error Invalid errno: No text available!. Помогите?
Автор: Germanus
Дата сообщения: 15.08.2006 14:45
DmitriySDM
С этим тебе в смежную тему в варезник. Там эти проблемы решаются.
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=28826&start=1160#lt
Автор: 1234566
Дата сообщения: 17.08.2006 15:00
Настроена аутентификация пользователей в Winroute 6.2.1.
При попытке набрать URL выдается окно авторизации.
Но если пользователь набирает ftp://xxx.xxx.xxx.xxx то Winroute выпускает без авторизации.
Ничего не дает также правила FTP Policy, что выпускать по ftp только авторизаванных ползователей. Манипуляции с эти правилом свелись к тому что ftp либо всем разрешон либо всем запрешен.
Как быть???
Автор: AnLe
Дата сообщения: 17.08.2006 15:47
1234566
Ну, для простого случая - выпускать только авторизованых. И отсуствия внутри локалки каких либо фтп серваков, хватит двух правил в фтп полиси, пишу их в нужной последовательности:

1. If user accessing ftp is: пишем тут юзеров или группы еси они у вас есть.
And ftp server is: Any server
Action: allow

2. If user accessing ftp is: Any user
And ftp server is: Any server
Action: deny


И пока юзер через веб не авторизуется винрут выйти ему на фтп недаст
Автор: Mikes
Дата сообщения: 18.08.2006 10:07
1234566
вообще в winroute удобнее делать правила не вида local - inet - permit
а вида user - inet - permit
тогда и авторизация более действенна потому как нет прямых правил разрешающих доступ из локальной сети в инет
Автор: koltz
Дата сообщения: 18.08.2006 10:28
Добрый день!

Я уже обращался со своей проблемой, но ответы, полученные мной, так и не привели к решению задачи.

Опишу свою ситуацию:

Сеть: локалка из 20 компов, один внешний IP, интернет транслируется через Kerio Nat.

Проблема: не возможность подключения двух и более vpn- клиентов (используется стандартный vpn-клиент от microsoft, входящий в XP) к внешним сетям (vpn-серверам)

Вот правила, которые сейчас в керио: http://hi.all.at.tut.by/kerio--setting--rules.JPG

С этими правилами локальный клиент вообще не подключается к vpn-серверу:
пакеты серверу от клиента идуд по GRE , а вот от сервера пакеты клиенту не идут, а прямо на adsl модем, тоесть какбы трансляция потерялась.

Если в этих правилах поставить map на компьютер в локалке то только он один сможет подключиться к vpn-серверу.

Заранее благодарен.


Автор: Yevgeniy
Дата сообщения: 18.08.2006 20:35
Что можно предпринять если консоль администрирования локально пускает к настройкам, а вот удалённо не пускает?

Автор: 1234566
Дата сообщения: 20.08.2006 13:36
Спасибо Mikes и AnLe за рабочие советы!
Возник ещё любопытный вопрос - как настроить Winroute таким образом, чтобы он принимал соединения с группы Ip адресов (например 192.168.1.1 - 192.168.1.10) при этом он ещё и просил авторизацию пользователей Winroute с этих адресов???
А другие адреса например 192.168.1.15 он не принимал???


Добавлено:
Yevgeniy
Создать разрешаюшее правило в Traffic Policy соединения к WinRoute
Автор: Arakcheev
Дата сообщения: 21.08.2006 08:07
1234566
Advanced Options -> Web Inteface -> Allow access only from these IP
Автор: Yevgeniy
Дата сообщения: 21.08.2006 16:45
1234566

Цитата:
Создать разрешаюшее правило в Traffic Policy соединения к WinRoute

Создал разрешение в обе стороны для Dial-In, Ethernet, Firewall Host по порту TCP/UDP 44333, но результат подключения остался тем же... =(
Автор: crapaud
Дата сообщения: 21.08.2006 17:12
Yevgeniy
Ты по подробнее напиши, как именно ты подключаешься удаленно. Если просто выходишь в инет скажем из дома и коннектишься к хосту с керио (имеющему реальный IP в интернете), то вроде все должно идти, если в политиках сервис KWF Admin разрешил из внешней сети к fierwall host и обратно. Тут уже ищи проблемы так скть "по пути". Откуда коннектишься, у провайдера и т.п.
Автор: Yevgeniy
Дата сообщения: 21.08.2006 18:03
crapaud

Цитата:
Ты по подробнее напиши, как именно ты подключаешься удаленно.

KWF стоит на сервере с внутренним IP 192.168.0.1, а мой компьютер среди прочих получающих доступ в Интернет с внутренним IP 192.168.0.2, так что проще не бывает. Если пытаюсь настроить административную консоль на другой IP - ругается что там KWF нет, на тот где есть но с други паролем - не подключает из-за ошибки авторизации. С необходимым паролем на необходимый сервер - подключает и тут же обламывает...
Автор: SPeller
Дата сообщения: 22.08.2006 06:36
Всем доброго времени суток!

У меня такая проблема: не работают статические маршруты:



После отметки чекбокса и нажания на Apply маршруты всё-равно остаются неактивными. Переустановка фаервола и перезагрузка не помогли. Кто-нить знает, где собака может быть зарыта?
Автор: Chpok
Дата сообщения: 22.08.2006 08:20
Братья помогите кто может.
Стоит KWF 6.1.4 patch 2 build 1086. Цель - дать доступ к сети для 1 компа по RDP. Создал в правилах трафика правило для подключения по RDP все работает, юзер подключается, я его вижу в конектах но через несколько секунд рвется соединение. В чем может быть причина? Подскажите пожайлуста.
Автор: crapaud
Дата сообщения: 22.08.2006 09:15
Yevgeniy
ну прям даж и не знаю... ))) давай все трафик полиси в студию. Никаких персональных фаеров по пути не стоит?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.