Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: INTERESANT
Дата сообщения: 06.09.2006 21:33
Уважаемые подскажите как у керио с шейпером под виндами? тестил я тестил TrafficInspector - вроде всё ничего, но вот шейпер там млятский... они сейчас с ним разбираются но ждать результата совсем не хочется. Ну и еще там есть несколько нюансов, возможно потому как проект молодой, но задумка хорошая, еще и сертифицировались, сил бы им побольше. это лирика...

в реалиях думаю мигрировать на керио. главный и основной приоритет - ШЕЙПЕР... чтобы прям вот всяко разно умел и работал именно так как заявлено! будут отзывы?

Автор: Mushroomer
Дата сообщения: 07.09.2006 08:24
bredonosec
Цитата:
может это картинки/скрипты/ифреймы/флешки/апплеты/.... с других сайтов, интегрированные в страницы, по которым ходишь
Нет, это четко. Я точно знаю, что это другие пользователи. Что особенно смущает, что это происходит под учеткой Administrator (судя по отчетам Proxy Inspector). Под ней даже я не хожу. Сейчас я удалил эту учетку с прокси-сервера. Посмотрим.
Автор: Andy_Urb
Дата сообщения: 07.09.2006 09:11
Как сделать чтоб winroute дез вопросов пускал из нета на локальный http сервер?
Автор: martch
Дата сообщения: 07.09.2006 09:30
INTERESANT

Цитата:
ШЕЙПЕР... чтобы прям вот всяко разно умел и работал именно так как заявлено! будут отзывы?

Bandwidth Controller v1.07 пробовал? очень неплох, только лекарства я не нашел сижу на 30 дн. триале и trashreg-ом обнуляю триал
Автор: apolenary
Дата сообщения: 07.09.2006 10:16
Добрый день.
У меня стоит KWF 6.1.2 на Win2k3 Serv. на компе стояла одна сетевая карта WAN с внешним ip, комп в интернет выходит нормально. Потом стала необходимость для еще двух устройст, которые будут видны снаружи, провайдер на мою точку подключения WAN смаршрутизировал подсеть с нужным мне кол-вом ip адресов. Я в сервак вставил новую сетувуху и прописал первый ip из выделенных LAN. Кам мне на KWF сморшрутизировать сети, чтобы новая подсеть была видна снаружи?
Автор: frodo10
Дата сообщения: 07.09.2006 12:33
привет!
такой вопрос.
Есть KWF 6.2.1 и сетевое подключение Zyxel ADSL LINK (модем USB). Адрес провайдер дал статический. Когда ставлю в керио в интерйефсах подключаться постоянно, он не подключаеться. Вручную же все прекрасно работает. В чем может быть проблема? Может проблема в самом модеме?
Автор: INTERESANT
Дата сообщения: 07.09.2006 15:21
martch пару слов в ПМ об этой штуке можно?

Добавлено:
твои отзывы имею ввиду, с чем сравнивал, под чем работает
Автор: noblekey
Дата сообщения: 07.09.2006 15:39
Andy_Urb

Цитата:
Как сделать чтоб winroute дез вопросов пускал из нета на локальный http сервер?

в свойствах обозревателя не использовать прокси для локальных адресов и указываешь адрес
Автор: martch
Дата сообщения: 07.09.2006 18:33
frodo10
подключаешься по vpn? у меня так все работает, модем zyxel omni adsl (usb)? ip - постоянный присваивет dhcp прова
Автор: AnLe
Дата сообщения: 07.09.2006 19:44
apolenary
Зачем сетевуху то вторую, просто надо было провод в свич, и сервак и эти два устройства, всем дать реальные ип адреса.

Либо раз уж вставили карту, можно попробовать серваку нужные ипшники алиасами повесить, и если керио даст сделать, то сделать так называемый static nat
Автор: SergeyBon
Дата сообщения: 07.09.2006 19:56
Ребятушки, пожалуйста, подскажите.

Мне нужно следующее:
некоторые пользователи должны только ползать по сайтам, а качать им нужно запретить.
Возможно ли это реализовать? Я считаю, что нет, но все же решил спросить

Вариант с запретом: *.mp3, *.zip, *.rar и т.д. мне не очень интересен.
Автор: apolenary
Дата сообщения: 08.09.2006 01:06
Вторая сетевуха нужна, так провайдер смаршрутизировал. т.е. доп ip адреса являются подсетью сети, в которой находится первый ip, даже когда делаешь tracert ip адреса из выданной подсети, то пинг доходит до моего первого ip (WAN) и так как подсеть не видна снаружи, то обламывается. Так вот надо чтобы подсеть была видна снаружи, как это можно сделать?
Автор: dvk54
Дата сообщения: 08.09.2006 15:04
SergeyBon
1.Разрешить .htm?, .css .gif etc
2.Запретить *.*


Цитата:
Вариант с запретом: *.mp3, *.zip, *.rar и т.д. мне не очень интересен.

Почему?
Автор: Hrist
Дата сообщения: 08.09.2006 16:25
кто нить SIP телефонию юзал за фаером? я уже и так и сяк - открыл компу с которого пробуют СИП все порты
правило - комп-интернет-ани-НАТ
а он ругаеться

Ошибка DNS запроса stun.sipnet.ru
Рекомендация: Пропишите в настройках TCP/IP вашей системы нормальный DNS сервер, например 212.53.35.219
Определение типа NAT:
Blocked or could not reach STUN server

или вот так вот
Проверка DNS Ошибка
Проверка сети VoIP будет работать
Должна быть включена опция
"Send internal IP Always"

SergeyBon
ползать по сайтам - это то же что и качать... при просмотре сайта ты закачиваешь к себе хтм и прочую начинку... так что можно запретить получать фалы с определенным расширением...

а можно поставить квоты размер полученного трафика - если они начнут качать и кончиться трафик - это будут уэже их проблемы - разбор логов - докладная начальству - втык за использование трафика не по делу..
Автор: AnLe
Дата сообщения: 08.09.2006 17:00
Hrist
У меня стоит вонаговская приставка. Насколько я знаю она по сипу работает.
Обошолся правилом: ипприставки - инет - эни - пермит - нат.
Вроде как сип должен ок с натом дружить.
Автор: johny22
Дата сообщения: 08.09.2006 20:43
Юзаю 6,1,4 версию, НАТ пользователю устанвлена квота на даунлоад - убивать все коннекты при превышении, в свойстве пользователя ему предназначен ип для автологина, так почемуто квота не работает, а алертах написано что юзер такойто 100% израсходовал а действие стоит пустое!! чемто можно вылечить ?
Автор: SergeyBon
Дата сообщения: 08.09.2006 21:39
dvk54 и Hrist Спасибо!

Мысли такие у меня были, но все же хотельсь убедиться.
Автор: apolenary
Дата сообщения: 09.09.2006 08:01
Так, никто не знает, как смаршрутизировать KWF 6.1.2 так, чтобы сетка, находящаяся за ним, была видна из интернета?????
Автор: SergeyBon
Дата сообщения: 09.09.2006 21:55
Мужики (а может и Дамы), ситуёвина такая.

DC на Win2003Server, DNS, WINS, AD, DHCP, Terminal – IP 192.168.0.1

На другой машине стоит Kerio:

DSL-модем: IP – 192.168.1.1

В модем смотрит сетевая
IP – 192.168.1.2
Mask – 255.255.255.0
Gateway – 192.168.1.1
Ну и плюс прописаны дэнэeсы (уже не помню адреса)

В LAN стоит сетевая
IP – 192.168.0.6
Mask – 255.255.255.0
Gateway – 192.168.0.6
DNS – 192.168.0.1

Настройки Kerio
Traffic Policy
----------------------------------------------------------------------------------------------------------
Source | Destination    | Service    | Action    | Translation
----------------------------------------------------------------------------------------------------------
LAN | Firawall         | Any         | Permit    |
Firewall | LAN             |
---------------------------------------------------------------------------------------------------------
MailUser(группа)  | ADSL         | POP3     | Permit    | NAT(Default)
|             | SMTP     | |
---------------------------------------------------------------------------------------------------------
HTMLUser(группа) | ADSL         | DNS         | Permit    | NAT(Default)
             |             | HTTP     |         |
             |             | HTTPS     |         |
---------------------------------------------------------------------------------------------------------
FTPUser(группа)    | ADSL         | FTP         | Permit     | NAT(Default)
---------------------------------------------------------------------------------------------------------
Firewall         |ADSL         | DNS         | Permit    |
             |             | HTTP     |         |
             |             | HTTPS     |         |
             |             | POP3     |         |
             |             | SMTP     |         |
             |             | FTP         |         |
-----------------------------------------------------------------------------------------------------------

Извините, скриншоты не смог снять (пишу из дома).

В Kerio включен DNS-форвардинг, на DC включена пересылка запросов DNS на машину с Kerio

Аутентификация стоит NTLM, пользователей автоматом отправляем на страницу авторизации.
Толь вот какая веешь: с хоста на котором установлен Kerio Инет пашет, а с клиентских машин – нет (авторизация проходит успешно, в Kerio видно, что данный пльзователь законектиля с такого-то хоста, а эффекта ноль).

В чем я не прав? Подскажите, пожалуйста!
Где я напортачил?
Автор: AnLe
Дата сообщения: 09.09.2006 22:04
SergeyBon
На первый взгляд:
1. Из настроек сетяшки смотрящщей в lan поле gatуway очистить.
2. На кой у вас модем роутером при этом?
В идеале модем бриджом поставить надо чтоб ип был на сетевой карте. Просто от двойного ната (сначала на керио, а потом на модеме) вы можете огрести грабли.
3. скриншот както лучше для понимания -)
Автор: SergeyBon
Дата сообщения: 09.09.2006 22:11

Цитата:
1. Из настроек сетяшки смотрящщей в lan поле gatуway очистить.

Пробовал уже, эффекта нет.


Цитата:
Просто от двойного ната (сначала на керио, а потом на модеме) вы можете огрести грабли.

Вот это наверное оно и есь, поглядим.

Спасибо, погляжу.
Автор: apolenary
Дата сообщения: 11.09.2006 04:49
Если никто не знает как смаршрутизировать на KWF 6.1.2, подсеть за фаерволом так, чтобы она была видна из интернета (ip-шники у подсети внешние и у провайдера эта подсеть смаршрутизирована так рис. ниже ), может подскажете где посмотреть

KWF
________________________________________________________
WAN-----| ip внеш с маской 255.255.255.240 |
| |
|1-й из 4 ip подсети кот надо смаршрутиз. маска 255.255.255.248 | -- подсеть
|_______________________________________________________|


так вот, когда делаешь tracert то шаги доходят до моего ip внеш.
Как сделать, чтобы подсеть была видна из интернета (без НАТа)?
Автор: smiclek
Дата сообщения: 11.09.2006 08:57
прошу совета.
система такая.
стоит 2к3 без домена ip x.x.x.79. на ней wkf. выход во внешнюю сеть через роутер с этой стороны интерфейс x.x.x.2. с той стороны x.x.y.1
вопрос в следующем. какие нужны правила что бы во внешнюю сеть на часть серверов(корпоративные) у всемх окончание скажем corporate.net. был выход всем, а в инет только некоторым пользователям. и на фтп этих серверов тожехотелось что-бы был достпу всем.
заранее спасибо огромное откликнувшимся.
Автор: gruff
Дата сообщения: 11.09.2006 12:33
Народ, может кто-нибудь сказать - этот керио умеет канал между пользователями "резать" и сложно ли это настраивается?
Автор: Mushroomer
Дата сообщения: 11.09.2006 17:40
Hrist
Цитата:
кто нить SIP телефонию юзал за фаером
Какая-то из двух программ для SIP (кажется та, что вышла позже) не умела вообще работать через проксю. Пришлось откатываться на предыдущую.
Автор: archimed7592
Дата сообщения: 11.09.2006 23:01
попытался установить winroute версий 6.1.1-6.2.2 (latest) - хотим в комнате минилокалку организавать...дык вот - при установке все версии ругаются, что не хватает места на диске , в то время как на том самом диске >8Gb, да и пишет он Space Required on g: 59264K, Space Available on g: 9218752K...ось w2k3 r2.
может быть кто-нибудь сталкивался с подобным? как решили проблему?

заранее благодарен!
Автор: dvk54
Дата сообщения: 12.09.2006 06:09
Устанавливали, надеюсь, под административной учетной записью?
И в журналы - ничего подозрительного не пишется?
Автор: BlackApple
Дата сообщения: 12.09.2006 13:53
Читал не нашел, извините, ответ на такой вопрос!
Перестал загружаться драйвер VPN.
В interfaces VPN Server VPN Driver is not loaded.
где искать?
Автор: dvk54
Дата сообщения: 12.09.2006 20:16
BlackApple
Если я не ошибаюсь - загрузиться в сейф-режиме и включить впн в сетевом окружении.. Или что-то такое же элементарное. когда то натыкался.
Автор: Hrist
Дата сообщения: 14.09.2006 09:56
SergeyBon

Цитата:
1. Из настроек сетяшки смотрящщей в lan поле gatуway очистить.

Пробовал уже, эффекта нет.
пробовал не пробовал - но два гетвея на двух сетевухах на компе с керио - это частая ошибка и 100% грабля - при такой настройке все остальные танцы - без пользы...

днс на сетевухе что смотрит в лан с керио сервера то же стоило бы убрать и вообще я заметил что если комп керио - двумя сетевухами сморящими в разные сети ввести в домен - будут тормоза и глюки... у меня он как рабочая станция в рабочей группе сидит...

а вот на пользоваельский машинах указывал гетвеем ип керио сервера?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.