Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: archimed7592
Дата сообщения: 21.09.2006 05:27
нет, пока только квоты.
ну или, в крайнем случае, плагины, хотя я таких не знаю, и вообще, нехорошее у меня чувство сложилось к плагинам для винрута...
Автор: BlackFox
Дата сообщения: 21.09.2006 09:20
(полгода все работало хорошо)стоит версия 6.1 две недели назад случилось непонятное. включен керио-инета у пользователей нет, выключаешь керио-инет появляется. инет-адсл 1 мб. начинаешь пинговать серваки например майл.ру..пинг то есть то нет. или пинг есть но страницы не открываются и почта не работает. утром до 9 утра инет есть и появляется толькопосле 7 вечера. в чем могут быть проблемы?
Автор: andycorp
Дата сообщения: 21.09.2006 12:05
Подскажите какое правило нужно создать, чтобы с машины, на которой установлен Kerio WinRoute можно было коннектится к серверам Novell Netware (сеть Netware работает только по IP). Пробовал открывать все порты для IP нетваревских серверов, но результат нулевой. Если остановить Керио, то все работает.
Автор: golkanavt
Дата сообщения: 21.09.2006 17:59
Народ, подскажите ответ на такой вопрос - на какую из последних версий стоит переходить (используется 5.1.9) и стоит ли вообще это делать? Возникла необходимость шейпить трафик по юзерам, желательно группами, научился ли WR этому? Заранее спасибо.
Автор: vidoq123
Дата сообщения: 22.09.2006 08:04
хм.... и опять проблема.
есть 2 сайта, хосты у этих сайтов заведены в ns у провайдера.
у меня же, 1й сайт лежит на машине с керио
2й лежит в сети.
нужно сделать доступ с инета на эти сайты!
вроде все сделано верно, но открывается или тот или другой.
правила такие:
первым стоит 2й сайт
доступ отовсюду -> mail.xxx.xxx.ru -> http -> map 192.168.44.206
вторым стоит 1й сайт (который на керио машине)
доступ отовсюду -> www.xxx.xxx.ru -> http

если правила оставить, то открывается сайт mail.xxx.xxx.ru на тот или иной запрос (не важно что набрали в строке адреса, или mail.xxx или www.xxx - откроется mail)
если их местами поменять, то все произойдет на оборот. откроется сайт www.xxx.xxx.ru
ип адреса у этих сайтов разные, но почему то он все равно думает что 2 этих ип адреса предназначены именно 1 сайту.
Автор: mormor
Дата сообщения: 22.09.2006 08:48

Цитата:
Народ, подскажите ответ на такой вопрос - на какую из последних версий стоит переходить (используется 5.1.9) и стоит ли вообще это делать? Возникла необходимость шейпить трафик по юзерам, желательно группами, научился ли WR этому? Заранее спасибо.

начиная с 6.1.0 винроут умеет шелпить трафик, но как-то криво, ставь 6.2.2


Добавлено:

Цитата:
хм.... и опять проблема.
есть 2 сайта, хосты у этих сайтов заведены в ns у провайдера.
у меня же, 1й сайт лежит на машине с керио
2й лежит в сети.
нужно сделать доступ с инета на эти сайты!
вроде все сделано верно, но открывается или тот или другой.
правила такие:
первым стоит 2й сайт
доступ отовсюду -> mail.xxx.xxx.ru -> http -> map 192.168.44.206
вторым стоит 1й сайт (который на керио машине)
доступ отовсюду -> www.xxx.xxx.ru -> http

если правила оставить, то открывается сайт mail.xxx.xxx.ru на тот или иной запрос (не важно что набрали в строке адреса, или mail.xxx или www.xxx - откроется mail)
если их местами поменять, то все произойдет на оборот. откроется сайт www.xxx.xxx.ru
ип адреса у этих сайтов разные, но почему то он все равно думает что 2 этих ип адреса предназначены именно 1 сайту.

попробуй доступ отовсюду -> www.xxx.xxx.ru -> http -> map 127.0.0.1
и вместо www.xxx.xxx.ru и mail.xxx.xxx.ru их IP
Автор: MaxTI
Дата сообщения: 22.09.2006 09:44
Народ, есть ли какая клиентская прога которая при запуске логинит юзера в винроуте, делает логаут при завершении сеанса и т.п., т.е. чтобы юзеру не надо было лазить через веб-интерфейс для регистрации? (VPN клиента не предлагать )
Автор: Nikitos7610
Дата сообщения: 22.09.2006 14:09
помогите кто чем может ни как немогу настроить керио под инет со спутника.
спутник + GPRS + GLOBAX все идет только через GPRS и никак иначе
Автор: AnLe
Дата сообщения: 22.09.2006 19:39
vidoq123
Эээ
Поправьте еси неверно понял вас.

Есть сетка, в сетке стоит машина с веб сервером (кстати каким?). Эту сетку в инет натит машина с керио, на которой тоже стоит веб сервер (какой)?
И того у вас снаружи (из инета) оба сайта получается имеют 1 ипадрес.

Если это так, то насколько мне извесно, то что вы там понаписали не поможет, керио не выступает в роли веб сервера и не смотрит заголовки.

Может конешно вам както могут помочь http rules, но я шибко в этом сомневаюсь.

На мой взгляд решение будет таково, что если например на машине с керио стоит апач, то покурить mod_proxy и сделать два виртуал хоста. Когда обращаются на тот что лежит на этой машине, отдавать его, а когда на второй что лежит на машине в сети просто проксировать на неё запросы туда.

Добавлено:
MaxTI
Есть вариант сделать логон\логофф скрипты:
Вот из одного форума:

В общем так: первый скрипт запускается на клиентском компе при logon'e юзера, второй - при logoff'e.

logon.js:

var oIE = WScript.CreateObject("InternetExplorer.Application");
oIE.navigate("http://gate:4080/fw/login");
while (oIE.Busy) WScript.Sleep(200);
while (oIE.ReadyState != 4) WScript.Sleep(200);

logoff.js:

var oIE = WScript.CreateObject("InternetExplorer.Application");
oIE.navigate("http://gate:4080/fw/logout");
while (oIE.Busy) WScript.Sleep(200);
while (oIE.ReadyState != 4) WScript.Sleep(200);
oIE.document.forms[0].ButtonLogout.click();

Работало это все на Windows XP и KWF 6.0.8 и 6.0.9 с включенной авторизацией по ntlm.
Единственное - если юзер по таймауту или еще по какой причине отвалился от винрута, то второй скрипт будет грязно ругаться... но это мелочи

Добавлено:
Nikitos7610
Найдёш инструкцию сообщи.

Дето встречал тока что точно надо вырубать антиспуфинг. А вот вообще конкретной настройки нема чота нигде
Автор: moltchan
Дата сообщения: 22.09.2006 22:14
Доброго времени суток...
Не знаю, что уж и случилось, но после очередной перезагрузки Керио.., теперь не могу войти с Адм консоли... Говорит, а аутентификация файлед((((
Может кто подкажет, как ручками Это перековырять??? А то сеть работает круглосуточно, и не очень хотелось бы заниматься переустановкой Kerio и ресетами сервера...
Автор: AnLe
Дата сообщения: 22.09.2006 22:45
moltchan
Неужто так трудно сделать поиск?
Тыщщу раз помоему обсуждалось наразличных форумах.
хттp://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=55
Автор: moltchan
Дата сообщения: 22.09.2006 22:49
AnLe
Неужто так трудно сделать поиск?

Пыталси.., правда все больше на русс... Пасиб и сорри...
Автор: ultima
Дата сообщения: 23.09.2006 10:14
Evgeny_Sorokin
Цитата:
PS2. Кто-нить борется с этим ещё?


проще на это забить

Andy_Urb
в DHCP сделай время аренды адресов побольше или неограниченно, тогда можно и по ip
Автор: vidoq123
Дата сообщения: 25.09.2006 06:28
AnLe
2 разных ип.
на 1 крутится другой сайт, который стоит на машине с керио - IIS 6.
на 2 крутится другой сайт, и сейчас мне захотелось расшарить этот сайт с другого компа в сети, стоит IIS 5.0 Exchange web.
Автор: moltchan
Дата сообщения: 25.09.2006 11:29
все перерыл...
не могу разобраться, настроил Роут, как //kerio-rus.ru/, и по разным советам...
получилось,
(name=(HTTP) src=(iface:"Sky Link") dst=(212.129.ХХХ.ХХХ) service=("HTTP" "HTTPS") snat=(any) dnat=(any) action=(permit), time_range=(always) inspector=(default)
Но, как только пытаюсь выйти на него по HTTP, это же правило его рубит(((
Где грабли млин??
Автор: relictus
Дата сообщения: 25.09.2006 13:19
Простейший вопрос, что и как надо настроить в KWF чтобы запретить доступ к определенному сайту по IP? Получается заблокировать только если ввести правило с названием сайта, типа www.abc.com. Однако, если зайти на этот же сайт через 123.123.123.123, то правило не срабатывает!
Читал и фак и в ветке искал ответ, но.... так и не нашел.....
Автор: ICY_fire
Дата сообщения: 25.09.2006 14:13
relictus, если запрет доступа по http при включенном прокси - то надо добавить пр-ло в HTTP Policy->URL rules, если иначе - то в трафик полясях. Ты куда добавлял, какое пр-ло?
Автор: Garik_Lugansk
Дата сообщения: 26.09.2006 11:13
Скажите пожалуйста, а как можно при помощи Kerio WinRoute Firewall запретить доступ к порно сайтам?
Автор: noblekey
Дата сообщения: 26.09.2006 11:16

Цитата:
Скажите пожалуйста, а как можно при помощи Kerio WinRoute Firewall запретить доступ к порно сайтам?

с помощью http policy и url group
Автор: relictus
Дата сообщения: 26.09.2006 12:09
ICY_fireСпасибо, первое пробовал и ранее, но не работало до тех пор, пока не поднял это правило выше всех остальных
Автор: Garik_Lugansk
Дата сообщения: 27.09.2006 12:43
noblekey
А поподробнее. Я понимая что через урл, но где мне названия сайтов брать, что в ручную набирать? И ещё, провайдер расширил канал, нужно ограничить скорость интернета клиентам. Но только каждому по отдельности. Я пробовал ставил лимит, но он делился на всех, в итоге очень медленно. Ткните носом, где я проплужил. Может на инструкцию ссылку дадите. Пожалуйста, помогите.
Автор: noblekey
Дата сообщения: 27.09.2006 13:12
используй маски
типа
*porno*
*xxx*
*sex*
можно еще запретить просмотр jpg, *.jpg и гифов, *.gif
А полный список можешь получить в поисковике набрав порно
посмотри его сгруппируй по маскам и вперед.
у меня не так уж и большой список получился
а после можно поставить запрет на поиск порно
*%EF%EE%F0%ED%EE*
Автор: Garik_Lugansk
Дата сообщения: 27.09.2006 13:25
noblekey
А поделиться списком можно, или нет?
Автор: noblekey
Дата сообщения: 27.09.2006 14:28
Garik_Lugansk
можно

*% EF % EE % F 0% ED % EE * поиск порно
*.avi
*.gif
*.jpg
*aaa *
*angel *
*bomb *
*bwd *
*cock *
*crack *
*dastish -fantastish *
*d -consult *
*devki *
*dosug *
*ero *
*film*
*free *
*fuck *
*gay *
*girl*
*hardcore *
*horoscope *
*intim *
*king *
*kino *
*klubnichka *
*lady *
*love *
*nishtyak *
*noch *
*nozhka *
*open *
*orgazm *
*penis *
*photo *
*porn *
*prazdni *
*private *
*razvrat *
*redlips *
*relax *
*sex *
*shop *
*super *
*video *
*virtua *
*x *x *x *
*xxx *
*zagruzi *
вот примерно так
Автор: Garik_Lugansk
Дата сообщения: 27.09.2006 14:46
noblekey
*% EF % EE % F 0% ED % EE * поиск порно
а где это запретить, я так и не нашёл, сайты запрещяет, а это нет.
И я про скорость спрашивал, как урезать каждому клиенту, например по 20 кб.с и что бы эти 20 кб.с не делились на всех, а каждому были по 20 кб.с.
Автор: noblekey
Дата сообщения: 27.09.2006 15:26
а где это запретить, я так и не нашёл, сайты запрещяет, а это нет.
там же где и сайты, это уникод слова порно выводится в адресе после нажатия кнопки найти в поисковике

Цитата:
как урезать каждому клиенту

я точно не знаю, так как у меня нету ограничения, но посмотри в юзерсах на вкладке квота
Автор: LunJin
Дата сообщения: 27.09.2006 16:49
Парни, помогите с такой бедой:

Только что отстроил WinRoute 6.2.2-1746 и не могу в админскую консоль попасть. Kerio стоит на windows 2003 Server sp1 rus и берет БД юзверей с поднятого здесь же домена. Я единственный админ домена. Ходил-ходил в консоль а потом бац - вторая смена. В интернет меня пускает. Тему про обнуление пароля применял и с пустым паролем в интернет под собой ходил. А вот в консоль не пущает, как-то грутсно теперь...

Соответственно что происходит : лезу я с сервака на лежащий здесь же Kerio а он мне заявляет. что "Невозможно установить соединение с Kerio WinRote Firewall на 'localhost. Не удалось пройти процедуру аутентифиации."

Я уже и локальные ip прописывал и под другим пользователем пытался проникнуть - все одно !

Помогите, так не хочется заново ставить

Спасибо !
Автор: Garik_Lugansk
Дата сообщения: 27.09.2006 18:51
Люди так что никто незнает как скорость инета уменьшить пользователям?
Я ставил ограничение по IP каждому 20кб.с. Но керио распределил эти 20 на всех, это не правильно. Что мне зделать. Пожалуйста подскажите!
Автор: archimed7592
Дата сообщения: 28.09.2006 02:31
кто-нибудь знает как подружить Outpost и KWF? при установке аутпоста (керио уже стоит давно). при загрузке, система вылетает в BSOD и даже не говорит в каком модуле произошёл сбой...
надобность такого решения объясняется следующим: мой комп используется как шлюз для доступа в инет др. компами и отлично с этой ф-цией справляется. в то же время за компом сижу я (я такой же смертный юзер как и те, что ломятся в инет через меня, т. е. мой траффик тоже в учёте) и мне необходимо блокировать некоторые программы, резать рекламу и т. д...
нужно, чтобы весь траффик извне (с обоих NIC, внутренней и внешней) проходил исключительно через керио, а вот траффик который уже направлен непостредственно мне (или исходит непосредственно от меня) должен проходить через аутпост...
но всё это лирика, т. к. дальше синего экрана я не пробился...
Автор: noblekey
Дата сообщения: 28.09.2006 07:39

Цитата:
и мне необходимо блокировать некоторые программы, резать рекламу и т. д...

так керио все это может делать. поставь еще адваре для надежности

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.