Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: noblekey
Дата сообщения: 14.09.2006 11:06
BlackApple
в диспетчере устройств в сетевых платах должен быть VPN адаптер и работать нормально
Автор: archimed7592
Дата сообщения: 14.09.2006 15:27
ситуация следующая - у меня в комнату заходит один шнур...через него есть доступ как к общажной локалке, так и к интернету...для доступа в интернет не нужны никакие авторизации\vpn-tunnels (идентификация происходит по связке ip+mac)...в самой же комнате стоит несколько компов...ну и все хотят и локалки и интренета также в комнате имеется неуправляемый свитч на 5 портов
раньше на моём компе был организован шлюз из связки 2NIC + w2k3 + RRAS и всё работало просто отлично, пока...я не заплатил за сетку приличную сумму...и естественно никто ничего не качал ...тогда встал вопрос подсчёта трафика и выбор пал на winroute.


вопрос №1. возможен ли полноценный доступ к сети с компьютера на котором установлен сам winroute? а то у человека, который сидит на другой машине работает всё, а у меня не открывается половина сайтов причём в логах об этом ни слова
вопрос №2. возможно ли полностью запретить доступ к интернету пока юзер не авторизуется? а то http - просит авторизацию, а аська работает и без авторизации
вопрос №3. возможно ли организовать при помощи winroute следующюю схему: доступ с наших компов к локалке (все ip локалки известны) без каких-либо напрягов типа авторизации и т. п. ну а для доступа в инет нужно было бы подключиться к vpn?
вопрос №4. возможно ли организовать подсчёт трафика проходящего через vpn шлюз?

Добавлено:
да, и ещё, посоветуйте, пожалуйста, какой-нибудь мануал, который разъяснял бы все ньюансы где проходит трафик в керио и как он изменяется всевозможными фильтрами...потому как непонятно что делают некоторые фильтры, особенно в которых присутствует firewall в поле source\destination
Автор: dvk54
Дата сообщения: 14.09.2006 16:38
1 и 2 - да
3 и 4 - с вероятностью 95% да (в впн слаб, поэтому не совсем уверен)
Автор: SergeyBon
Дата сообщения: 14.09.2006 17:33
Hrist

Цитата:
пробовал не пробовал - но два гетвея на двух сетевухах на компе с керио - это частая ошибка и 100% грабля - при такой настройке все остальные танцы - без пользы...

Адрес шлюза с внутренней сетевой убрал

Цитата:
днс на сетевухе что смотрит в лан с керио сервера то же стоило бы убрать

Убрал

Цитата:
а вот на пользоваельский машинах указывал гетвеем ип керио сервера?

Ну конечно указал

А заработало оно у меня после того, как я до всех пользовательских правил поставил разрешение с IP 192.168.0.1(т.е с моего внутреннего ДНС) сервису ДНС в Inet.

Ну да ладно, спасибо, все работает
Автор: archimed7592
Дата сообщения: 15.09.2006 02:47
dvk54, решил все проблемы кроме 1-ой (оказывается в фильтрах нужно указывать не ip юзеров, а учётки в самом winroute )
вопрос, как же решить проблему №1? а проблема хорошо себя проявляет на конкретных страницах...т. е. даже не в сайтах совсем дело...в страницах! не знаю что мешает винруту, но дальше определённого места сам html код не грузится, ну страница соответственно...есть ли где-нибудь в винруте место, где отключаются ф-ции инспектирования http? потому что ф-ции эти совсем не нужные (нам), а он там предлагает резать скрипты и прочие небезопасные навороты...настройки - разрешать всё...transprent/nontransparent proxy отключены...iss отключен...короче говоря всё перепробовал - нуль эффект...

систематически грузит одну страницу только вот до этого места:

Код: <TR><!-- NEWS -->
<TD ALIGN="center" VALIGN="middle" HEIGHT="27" WIDTH="100"><A HREF="?area=news" onMouseOver="change('journal', 'on')" onMouseOut="change('journal', 'off')" TARGET="_self"><IMG SRC="engine/img/nav-journal-off.gif" WIDTH="96" HEIGHT="27" BORDER="0" NAME="journal" ALT="Journal"></A></TD>
<TD ALIGN="center" VALIGN="middle" HEIGHT="27" WIDTH="24"><IMG SRC="engine/img/eye-
Автор: Mikes
Дата сообщения: 15.09.2006 09:10
archimed7592
отключение трафик инспектора как раз и отключает работу http rules для этого правила и конечно отключает авторизацию и отображение в логах кто куда и чего...
так что это не самый лучший выход.

да и ИМХО с сервера не надо в инет лазить.. сервер он для того что бы другим раздавать.. это не рабочая станция
Автор: 2var
Дата сообщения: 15.09.2006 09:35
Здоров люди ... Помогите пожалста .. Я поставил Керио Винроут 6.0 но он почемуто из инета не пускает почту, Почтовик тож Керио 6 ... Всё работанет , но почта из инета и в инет неидет, уже всё перепробовал... Подскажите пожалста в чем проблема быть может ?
Автор: dvk54
Дата сообщения: 15.09.2006 10:09
2var

1. Descr: incoming mail SRC: any DST: Firewall SRV: POP3, SMTP ACTION:premit
2. Descr: Outgoing mail SRC: Firewall DST: any SRV:POP3, SMTP ACTION:permit

или одной строкой

SRC: any DST: any SRV: pop3, smtp
Автор: 2var
Дата сообщения: 15.09.2006 10:39
Спасибо ... Сёдня попробую ....

Добавлено:
Млин чёт сразу не допер с буквенными обозначениями SRC, DST .Создал отдельно правило для СМТП и ПОП3 , от инет карты до локал карты ( в смысле сетевой) ... Но он их не пускает всё равно ... В 2000 сервере всё работает, В 2003 вот такая проблема...
Автор: Rasa
Дата сообщения: 15.09.2006 11:04
Перегнал всю анти-рекламную базу (т. н. "Outpost AGNIS"), баннеры (сайты) Outpost Firewall в winroute.cfg ("URL Groups"). Winroute.cfg "распух" до 5 мб. Запускаю winroute, а он сбросил трафик полиси! Создаю его заново (мастером) - хоп! файл winroute.cfg стал 299 кб.
Как же порезать-то баннеры? Хм..
Winrout, что, не может работать с 5 мб конфигурационным файлом, не может "схватить" его хэндл? Или же, может при нахождении ошибки внутри себя (в winroute.cfg) просто ресетит правила (ведь "Users" и проч. остается на месте).

Перегонялка в формат winroute.cfg здесь:
http://rapidshare.de/files/33177869/bannerorezka_from_outpost_for_wr622.rar.html
[171 650 байт]
(запустите run.bat)

Выключаю движок WinRoute, после выполнения батника - файлы на выходе wrcfg_adult.txt и wrcfg_ag-ads.txt вручную вставляю в "секцию" URL Groups в winroute.cfg
Запускаю движок. Дальше что происходит я уже описывал. Помогите разобраться, PLS
Автор: Mikes
Дата сообщения: 15.09.2006 11:44
2var
сделай internet - firewall permit (pop3 smtp pop3s и тди и тп.. ) NAT MAP IP компа с почтовиком ...

ну и из локал в инет тоже разрешить pop3 и smtp
незабудь авторизацию и всё такое
Автор: dvk54
Дата сообщения: 15.09.2006 18:45
Rasa
Ок, попробую - отпишусь...

Поторопился я... Что-то тут странное.
Непонятно.
1. Если вводить адрес с амперсандом вручную - KWF меняет & на &amp;
2. неожиданно оказалось, что если удалить winroute.cfg.bak и добавить в конфиг хотя б один урл - KWF не запускается и кричит об ошибке. Зародилось в голове дикое подозрение, что он пишет где-то контрольные суммы - типа, чтоб товарисчи из варезника не отключали в нем что не положено...

Кто найдет больше?
Rasa - молодец, кажется всплывает проблема...
Автор: archimed7592
Дата сообщения: 15.09.2006 19:12

Цитата:
archimed7592
отключение трафик инспектора как раз и отключает работу http rules для этого правила и конечно отключает авторизацию и отображение в логах кто куда и чего...
так что это не самый лучший выход.

да и ИМХО с сервера не надо в инет лазить.. сервер он для того что бы другим раздавать.. это не рабочая станция

Mikes, были б у меня деньги на отдельный сервак, не было б никаких проблем...
насчёт авторизации ситуация такая - в локалку винрут должен пускать только на основе ip (выданного dhcp), а вот в инет должно пускать только после авторизации...долго парился, но так и не смог ничё с этим сделать - при установке чекбокса
Цитата:
Users->Auth options->Always require users to be authenticated when accessing web pages
он просит авторизацию даже при попытке зайти на локальные сайты, а при убирании чекбокса всё точно так же, как и при отключенном протоколоинспекторе - авторизироваться нужно самому, ручками. поэтому выбор пал на отключение протоколоинспектора.
насчёт "кто и куда", дык мне это ни к чему, мне нужно кто и сколько в интернете, а с этой задачей, имхо очень хорошо справляется лог connections в который поступают только данные из фильтров для инета и для авторизации.

непонятной осталась одна ф-ция винрута - deny...в мануале написано, что deny делает так, что юзер узнаёт, что его не пускает фаер, и что это не неполадка сети. сколько не пытался увидеть сию злобную страницу ничего не вышло

Добавлено:
кстати, как понимать опцию
Цитата:
Users->Auth options->Automatically logout users when they are incative N minutes
? точнее что подразумевается под активностью? http активность? или любая фильтровая активность?

ещё вопросы: возможно ли как-либо работать с mac'ами в фильтрах (разрешать\запрещать\привязывать)? есть ли такая группа ip в которую входили бы только адреса выданные dhcp?
Автор: 2var
Дата сообщения: 16.09.2006 07:23
Кароч он нифига не работает, что за хрень такая понять не могу ... В 2000 сервере нормально всё работает а в 2003 проблема ...
Автор: archimed7592
Дата сообщения: 16.09.2006 17:04
2var, когда появляется желание разобраться почему что-то не работает, как правило, это что-то начинает работать...лично у меня на w2k3 r2 всё прекрасно работает...
Автор: maxttor
Дата сообщения: 17.09.2006 11:11
Поставил себе KWF 6.2.2.1746 и у меня пропал интернет и сеть. Отключил kwf, все заработало. Подумал, что встроеный фаервол запрещает все, создал правило (Any,Any,Any). Ну т.е все разрешить, но нет, все равно никуда не пускает. Кто с таким сталкивался? что делать? можно ли вобще отключить его фаервол?
Автор: archimed7592
Дата сообщения: 17.09.2006 13:10
maxttor
отключить фаер невозможно...а зачем вообще ставить керио, если тебе не нужен фаер?
а ты не забыл указать принимаемое решение для этого правила (permit/deny/drop)?
если не забыл, то посмотри каким по счёту идёт правило (должно стоять в верху)
если всё равно не работает то включи лог пакетов для default правила (и для всех правил у которых политика deny/drop).
если после этого в логе filters ничего нету (т. е. ни одно запрещающее правило на твоём компе не срабатывает), то отключи протоколоинспектор - у меня то же самое - на машине, на которой стоит керио интернета нету, а у людей которые выходят в сеть через машину с керио всё отлично, а без протоколоинспектора работает у всех (см предыдущую страницу).
Автор: maxttor
Дата сообщения: 17.09.2006 14:28
а как и где отключается протоколинспектор? и для чего он нужен?
Автор: archimed7592
Дата сообщения: 17.09.2006 16:46
maxttor
отключается он следующим образом: traffic policy->right_click->modify columns->check protocol inspector->ok
и справа появится соответствующий столбик, туда тычешь дважды и выбираешь None->ok->apply и всё должно быть круто...для чего он нужен читай на http://www.internetaccessmonitor.com/rus/support/docs/winroute, а также на предыдущей странице...он распознаёт некоторые протоколы (http, ftp, etc.) и пишет в логи (http\web) не только информацию об ip:port, но и какой url и ещё немного интересностей...также, если ты видел настройки allow java script и подобные, то работают они как раз благодаря протоколоинспекторам, правда не вижу большого смысла в этих инспекторах...как правило для выяснения "кто виноват" достаточно ip'шника, а если не достаточно, то керио всё равно в этом не поможет...
Автор: 2var
Дата сообщения: 18.09.2006 08:59
Наверо что упустил, какойто момент ... Нада еще подумать что там можна сделать !! Всем спасибо ...
Автор: vidoq123
Дата сообщения: 18.09.2006 11:49
столкнулся с проблемой.
есть два соединения с инетом - sat (спутник) и inet (наземный канал)
есть маил сервак, к нему есть днс имя (из инета вида - mail.comp.ru)
все вроде у прова настроено правильно, а проблема не исчезает!
нужно сделать так, чтобы почта сначало шла на sat, а если не доступен, то шла на inet.
правила сделал так:
для спутника
вход - sat (интерфейс) -> адрес 83.хх.хх.хх (ип адрес спутника) -> разрешить -> мап на внутрений ип 192.168.хх.хх порт 25
для наземного канала
вход - inet (интерфейс) -> адрес 217.хх.хх.хх (ип адрес канала) -> разрешить -> мап на внутрений ип 192.168.хх.хх порт 25

но получается сейчас так (я по логам смотрю), что используется и наземный канал и спутниковый канал, и почта то через тот идет, то через другой... что делать? может я правило не правильно настроил? в чем проблема?

Автор: ICY_fire
Дата сообщения: 18.09.2006 12:32
vidoq123
в разделе Connecton failover не ковырялся? Вроде как твой случай. Сам не настраивал подобное, но судя из мануала =) , эти 2 пр-ла нужно также в одно объединить.
Add: Посмотри РМ пожалуйста.
Автор: vidoq123
Дата сообщения: 18.09.2006 12:57
не connection failover не подходит. т.к. соединение должно быть постоянно по наземному каналу, именно только чтобы почта зависила от двух соединений - спутник и земля.
Автор: maxttor
Дата сообщения: 18.09.2006 14:47
Отключил я Протокол инспектор. Все равно никуда он меня не пускает, не в сеть войти не могу, ни в интернет.
Автор: alan1
Дата сообщения: 19.09.2006 09:01
Подскажите какую переменную добавить в файле конфигурации чтоб опция <использовать антивирус mcafee> стала активной, а то обновил до последней версии и опция не активна, а хочетца 2 антивируса.
Автор: noblekey
Дата сообщения: 19.09.2006 11:17

Цитата:
а хочетца 2 антивируса

Зачем?
работа 2 антивирей одновременно вызовет конфликт работы одного из них.
так что выбирай либо mcafee, либо внешний.
Автор: alan1
Дата сообщения: 19.09.2006 11:36
noblekey, глубоко ошибаешься, в последних версиях имеется возможность сканить трафик 2 антивирусами одновременно, один у меня виснетик, 2-ой хочу mcafee. так кто подскажет какую переменную дописать в конфиг квф чтоб опция стала активной?
Автор: archimed7592
Дата сообщения: 19.09.2006 14:06
alan1
у меня после установки сразу активной была.
vidoq123
есть у керио такая особенность (указанная в документации, между прочем) - в течении времени пока он обрабатывает какой-нибудь пакет одним правилом, это правило не работает...вот цитата:
Цитата:
Host (хост) — имя или IP-адрес машины (например 192.168.1.1 or www.company.com)

Внимание: Если компьютер-источник или компьютер-получатель заданы посредством DNS-имени, WinRoute будет пытаться определить их IP-адреса при обработке соответствующего правила.

Если не будет найдено ни одной записи в кэше, DNS forwarder перенаправит запрос в Интернет. Если окажется, что соединение временно “зависло”, запрос будет послан заново после того, как соединение восстановится. Соответствующее правило перестаёт работать до тех пор, пока не будет получен IP-адрес, соответствующий DNS-имени. При определённых обстоятельствах, запрещённый трафик может проходить пока соответствующее запрещающее правило выключено (такие соединения будут немедленно закрыты, когда правло снова включится).

По выше описанной причине мы рекомендуем задавать компьютер-источник и компьютер-получатель посредством IP-адреса в случае, если вы выходите в Интернет через телефонное соединение!

это указано там на тот случай, если ты захочешь указать вместо ip'шников dns имена хостов, но я думаю, что это распространяется на все случай, когда правило долго думают (в случае sat время отклика, наверное, приличное)
Автор: ICY_fire
Дата сообщения: 19.09.2006 15:57
alan1, где то в варезнике кстати проскакивал такой вопрос, если не ошибаюсь, то нужно чтобы <variable name="Av1Enabled">1</variable> была именно 1
Автор: Molt
Дата сообщения: 20.09.2006 21:15
Вопрос - а есть ли возможность в WinRoute ограничивать скорость инета конкретных пользователей или же еще не реализовали ?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.