Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: Gunslinger
Дата сообщения: 12.04.2006 13:35
finder
обнови винрут
Автор: WinTester
Дата сообщения: 12.04.2006 13:54
vetalM Ну так найди 10 различий с вышенаписанными правилами из 5 пунктов
Как KWF будет с динамической фильтрацией открывать порты при выключеннном протокол инспекторе по твоему ?
Автор: Gunslinger
Дата сообщения: 12.04.2006 14:05
vetalM

Definitions -> Services -> FTP -> Protocol inspector поставь FTP
Автор: finder
Дата сообщения: 12.04.2006 17:09

Цитата:
finder
обнови винрут


Обновил на 6.2.0.patch 1 build 1382 проблема осталась. Если на сервере залогинен пользователь, то все кто подключаются по RDP (Remote Desktop) используют его трафик.
Автор: Sergey_Sergeev
Дата сообщения: 12.04.2006 17:16
До версии 6.0.9 активно пользовался kerio vpn , при апгрейде на новые версии вылезла лажа, коннект на vpn идет( в консоле vpn подключения), а вот сама удаленная сеть не отвечает, ни сам winrote, ни компы за ним... кто решил эти грабли ?
Автор: dvk54
Дата сообщения: 13.04.2006 04:33
finder
Пожалуйста, подробнее:
1. Пользователи авторизуются по внутренней базе KWF или по AD?
2. Пользователь подключается автоматом, по IP, или логинится ручками?
3. скриншот TP опубликуй пожалуйста.
4. Опиши настройки немного подробнее
Автор: Gunslinger
Дата сообщения: 13.04.2006 06:20
Sergey_Sergeev
в трафик полиси может закрыто чего....
Автор: SergDobudko
Дата сообщения: 13.04.2006 09:21
Sergey_Sergeev
Или сертификаты сгенери по новой.

А у меня такой вопрос.
Использую каскад на родительский прокси (Globax). Стояла древняя 6,04 обновил до 6.2. После этого криво стали проксироваться нестандартные порты типа 8000 9090. Через Нат или без прокси - всё идет нормально.

И ещё. На той же тачке поднял Web сервер. Но не все пользователи имеют логины с паролями, и соответственно не имеют доступа к инету. Как им разрешить ходить на внутренний серрвак, не назначая логинов ?
Автор: finder
Дата сообщения: 13.04.2006 16:14

Цитата:
Пожалуйста, подробнее:
1. Пользователи авторизуются по внутренней базе KWF или по AD?
2. Пользователь подключается автоматом, по IP, или логинится ручками?
3. скриншот TP опубликуй пожалуйста.
4. Опиши настройки немного подробнее


1. Пользователи авторизуются по AD ((NTLM отключено).
2. Пользователи логинятся вручную.
3. Скриншот ТР http://rapidshare.de/files/17898315/Ex.rar.html
4. Два ethernet - один в локалку, другой в инет. NTLM авторизация отключена. Стоит автоматическое подключение пользователей из AD.
Автор: dvk54
Дата сообщения: 13.04.2006 20:36
finder
А чекбокс Advanced Options - Quota/Stat - Exlude Firewall fro Quota Actions включен?
И траффик смотришь по статистике самого KWF, или доп.софт стоит? Если доп.софт, то вполне очевидно, что он не может считать статистику корректно, т.к. для правила Local Traffic у тебя не включен log matching connections.

Пока идея такая - вынеси в TP обмен по RDP в отдельное(ые) правило и посмотри на результат. Лог соединений для этого правила, ессно вкл.



Добавлено:
finder
торможу однако. У вообще, по какому правилу RDP проходит?! Не по dial-in же?!
Автор: LInfo
Дата сообщения: 14.04.2006 08:20
искал везде решение моей проблемы, но нигде не нашел, поэтому задам вопрос.

Стоит 2003СП1 + ВинРоуте 6.2.0-патч1

Проблема в том что на этом же компе стоит фтп, подключен по 100Мбит к сетке, но скачивать при этом возможно только при скорости 3Мбайт/с (~24 Мбит/с), если снести ВинРоут, то скорость возрастет до 10Мбайт/с, что есть физический предел для данной технологии. При достижении скорости 3Мбайт/с процессор загружается под 100%.

Характеристика компьютера Атлон1800ХР+/512Мб.

Пробывал ставить тоже самое на другом компе (П4 3,0 НТ/1Гб), скорость поднялась до 4Мбайт/с ну и 50% (за счет НТ)

так вот вопрос: что можно сделать чтобы такого не было, все что возможно я уже отключил (антивирус, создание логов)?

Добавлено:
пробывал другие программы вместо керио:
лан2нет и ТИ, они работают нормально (загрузка процессора 1-10% и скорость до 10Мбайт/с), но их невозможно настроить на использование комплекта: земля+спутник+раздача по сети
Автор: Sergey_Sergeev
Дата сообщения: 14.04.2006 08:52
Сертификат менять пробовал, авризация идет из локальной базы winrote. В логах пишется все ок, соединение установлено, авторизация прошла успешно, через консоль вижу появление vpn подключения. В Траффик полиси разрешено из вне на внешний интерфейс winrota и разрешено vpn для локальных соединений. До апгрейда 6.0.9 все работало, после - как обрубило....
Автор: SergDobudko
Дата сообщения: 14.04.2006 09:41
LInfo
Нормально с помощью ТИ можно раздавать и землю, и спутник, причём удобнее чем WR.
Автор: LInfo
Дата сообщения: 14.04.2006 09:59
SergDobudko
у меня не получилось, вернее получилось сделать так чтобы на сервере было через спутник, а вот на сеть через НАТ не получилось


Добавлено:
вернее, все что идет через НАТ идет не спутник, а на по земле
и как это побороть так и не понял, с lan2net смог все сделать, но настроить ее нереально
хуже способа создания и выполнения правил я не видел
Автор: infstroy
Дата сообщения: 14.04.2006 12:42
kliv1
Ну в принципе бох с ними с несколькими потоками, страничку то он одним потоком загружает. Вопрос в том почему скрипт пролазит через него при загрузке с клиентского компа... или я не въехал в ваши объяснения!(
Автор: kliv1
Дата сообщения: 14.04.2006 15:09
infstroy
На клиентском компе может стоять какая-нить банерорезалка или "ускорялка и-нета", которая и бьет страницу на несколько потоков. В этом случае винрут обнаружит вирус, но заблокировать не сможет. Сходи по ссылке, там эта тема поднималась http://kerio-rus.ru/forum/topic.php?forum=1&topic=30
Автор: LInfo
Дата сообщения: 14.04.2006 19:22
вообщем, проблему решил (загрузка компа под 100%):

В winroute.cfg изменил параметр на внутреннем интеррфейсе

Цитата :
<listitem>
<variable name="Id">\DEVICE\{741774E8-E324-43A6-829F-F89243CB7079}</variable>
<variable name="Name">Ethernet</variable> --- Внутренний интерфейс
<variable name="Medium">0</variable>
<variable name="Bandwidth">0</variable>
<variable name="Outside">0</variable>
<variable name="FirewallExclude">1</variable> -- Вместо 0 поставить 1
</listitem>

Тобишь исключил из обработки внутренний интерфейс. Эта проблема решилась, проц не нагружает
Автор: infstroy
Дата сообщения: 17.04.2006 13:11
kliv1
сори, первый раз не въехал, щас перечитал - дошло что к чему)
но проблема остается открытой.
прог никаких не стоит ни на закачку файлов, ни банерорезалок, юзается стандартные експлорер).
вот сижу и думаю... может Kerio просто как то упаковывает данные перед отправкой клиенту, либо может как то хитро его отправляет и не просматривает - мол не с меня просматривают и бог с ними...
не думаю что это большая проблема (только если просто забыть об этом), но мысль о том что есть реальная дырка в защите и то что ты о ней знаешь-как то не греет душу))
Автор: tdmitriy
Дата сообщения: 17.04.2006 15:05
Есть вопрос!
В версии 6.0.8 все работало нормально. Установил 6.1.4, при загрузке страниц исчезли картинки, которые надо сохранить. Установил 6.2.0 - таже фигня. Картинка грузится, но не отображается и естественно я не могу ее сохранить. Откатился на 6.0.8 - картинка появилась. Чтобы ЕТО значило???
Автор: ICY_fire
Дата сообщения: 18.04.2006 15:22
Уважаемые, позвольте поднять уже избитый, наверное, вопрос о предпочтительности антивиря. Понимаю, что нельзя сказать конкретно, мол, отно, лучшее. Но все же, кто имел конкретный опыт, что посоветуете, что надежнее? В наст. мом. юзаю Макаку, есть ли смысл напр. переходить на VisNetic?
Автор: crapaud
Дата сообщения: 18.04.2006 15:47
ICY_fire
В последней версии я использую сразу оба . Плюс VisNetiс в том, что обновляется каждый час и обновления базы кусочные (От касперского).
Автор: Arakcheev
Дата сообщения: 18.04.2006 15:53
ICY_fire
Ставь оба.
Автор: ICY_fire
Дата сообщения: 18.04.2006 16:41
Arakcheev & crapaud
А были ли случаи когда один из них лажал и пропускал вирей?
Если да, то кто именно, как часто и какого рода вири были?
P.S.: поставил бы оба, но проблема в том что у меня 6.1.4 версия, а качать, с траффиком-проблемы.
Автор: crapaud
Дата сообщения: 18.04.2006 16:55
ICY_fire
Все бывают лажаются. У меня лажалась макака. Кто-то тут жаловался, что виснетик какую-то адавару пропустил... Но если проблемы с трафиком - однозначно ставь виснетик. Макака каждый день тянет новую базу в несколько метров!
Автор: ICY_fire
Дата сообщения: 18.04.2006 17:09
crapaud,
понял... Макака отпадает.
Благодарю за инфу!
Автор: Evgeny_Sorokin
Дата сообщения: 19.04.2006 08:03
Что-то то случилось с Визнетиком и все письма стали хериться а юзерам приходить вот такие отчеты Отключил сканирование в керио, после перезагрузки сервака работоспособность восстановилась...

Kerio WinRoute Firewall email scanner was unable to check the following file
(i.e. corrupted/encrypted zip archive):
Name: Unknown name
Content type: text/plain
The file was removed.


И это на любое письмо и из инета и с локального почтового сервака KMS и даже если письмо без вложения..
Автор: AnLe
Дата сообщения: 19.04.2006 08:19
Гм, знакомая фраза.
У меня когда виснетик в качестве теста на маилсервере висел, то иногда обнаруживал очередь писем с причиной задержки что не возможно проверить. Пытался покопаться, было ощущение что плагин незнает как реагировать в случае подозрения на вирус (или ииза, того что атач заражонный отрезался макафи в винруте просто).
Автор: Arakcheev
Дата сообщения: 19.04.2006 08:30
ICY_fire
Я недавно поднимал оффтоп, где было сказано, виснетик пропустил то, что остановила макака...
бывает у всех.
Автор: Evgeny_Sorokin
Дата сообщения: 19.04.2006 08:46
AnLe

Цитата:
было ощущение что плагин незнает как реагировать в случае подозрения на вирус

Такое предупреждение вываливалось даже когда отправляешь тестовое письмо c KWF, там же тупо текст...

Цитата:
или из-за, того что атач заражонный отрезался макафи в винруте просто).

Макафа выключена была...

Автор: ICY_fire
Дата сообщения: 19.04.2006 10:22
Вопрос наверняка поднимался уже, большая просьба не материть...
Есть ли возможность привязывать трафик к юзерам при работе через POP3, когда лимит авторизации истёк? Когда смотришь в статистику там типа:
unricognized user l not logged in l и т.п.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.