Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: ICY_fire
Дата сообщения: 28.09.2006 08:18
archimed7592

Цитата:
нужно, чтобы весь траффик извне (с обоих NIC, внутренней и внешней) проходил исключительно через керио, а вот траффик который уже направлен непостредственно мне (или исходит непосредственно от меня) должен проходить через аутпост...

Не получиться. А если решишь их поселить на одной машине, то поимеешь большой гиморой, напр. Аутпост будет резать все НАТовские пакеты, а забивать их в правила не особо приятно. Т.ч. следи за приложениями, которые ломяться в инет сам (рекламу резать Керио умеет), или же изыскивай материальные средства на отдельный комп ... ибо машина с Керио, не есть рабочая станция.
Автор: LeftUser
Дата сообщения: 28.09.2006 11:15
Ситуация такова:
У нас на предприятии организована одноранговая сеть из примерно 50-ти машин где присутствуют разные версии Windows. Есть win98 winXP Home(sp2) и winXP Pro(sp2). Ip-шники на всех машинах никто статически не назначал у всех стоит получить IP автоматически. Адреса IP на машинах в диапазоне 169.254.ххх.ххх похоже маска 255.255.0.0. Никаких DHCP и DNS серверов нет. Кроме того существует несколько рабочих групп (типа группа1, группа2, группа3), группы друг друга видят и машины из разных групп имеют связь друг с другом. Сеть организовывалась еще до моего появления на предприятии поэтому я менять ничего не стал.
KWF я поставил на машину с WinXP Pro(sp2) она подключена к интернет через Ethernet USB ADSL Modem соединение типа (RASPPPOE PPP over Ethernet Protocol) услуга "ОГО" от Укртелеком. ADSL Modem подключен через порт USB, при установке определился как сетевое устройство и получил IP 192.168.254.1 маска 255.255.255.0.
Сетевая карта, через которую подключена вся сеть имеет IP 169.254.242.229 маска 255.255.0.0. При установке связи Dial-Up получает IP от провайдера. Для меня не очень понятно как и куда пересылаются запросы в интернет, я думаю что запросы пришедшие из сети через сетевую карту (IP 169.254.242.229) пересылаются на ADSL Modem (IP 192.168.254.1), а затем ADSL Modem мапит на само соединение Dial-Up (IP от провайдера). Если я не прав поправьте меня пожалуйста.
Исходя из этого мне необходимо настроить KWF таким образом, чтобы только определенные машины из всей сети имели доступ в интернет прлюс работал батник и Lotus и не потерялась связи с остальными машинами в сети.
Как настроить DHCP server чтобы машины из всей сети, на которых стоит получить IP автоматически, при запуске получали IP через DHCP server из определенного диапазона. Стоит ли делать такую организацию?
Что Вы посоветуете в данной ситуации?
Буду ждать ответа, заранее благодарен.
ЗЫ: Я не системный администратор поэтому приношу извинения за неточности в описании или другие «глупости».
Автор: liberator
Дата сообщения: 28.09.2006 16:19
archimed7592
Зачем им дружить? совсем непонятно!
2all
Народ, подскажите, шейпер у керио пашет или нет? версия 6.2.2-1746
Ставлю ограничение для определённых сервисов,и всех айпи, использующихся при скачивании файлов с жеского диска сервака-нифига не урезает, скорость как была, так и осталась...в чем фишка, кто нить подскажет?
Автор: archimed7592
Дата сообщения: 28.09.2006 19:09
ICY_fire

Цитата:
следи за приложениями, которые ломяться в инет сам

как себе это представляешь? ну вот ломится Visual Studio 2005 посмотреть новости (rss на start page) и что мне с ней делать? уследить то я услежу, а вот как воспрепятствовать ума не приложу...ну в VS, если попариться с настройками, то можно отключить это, но есть же программы, которые совершенно без твоего ведому, неизвестно зачем ломятся в инет и столько трафа делают, что потом думаешь, гадаешь...

ты лучше раскажи, как их поселить, а там уж посмотрим...
Автор: renee
Дата сообщения: 28.09.2006 23:02
archimed7592
Согласен. Проблема та же, что и у тебя:
Kerio WinRoute Firewall v6.2.2.1746 + Outpost Firewall Pro v4.0.964.6926 (582) = BSOD

noblekey

Цитата:
так керио все это может делать

Аутпост явно превосходит Керио по удобству и возможностям фильтрации _приложений_. Хотя бы за счет того, что он автоматически создает им правила, определив, что это за прога: лезет в Сеть Миранда, он ей и предложит набор правил соответствующий. А мне лично Керио нужен для того, чтобы построить таблицу роутинга, чем контролировать, по какому соединению (ЭйДиЭсЭл или Дайлап) пойдет трафик Инета и в какое время. Btw, вот по этой проблеме мой топик. Кто подскажет что-то, буду благодарен.

зы: а в конфликте прог виноват Керио, ибо после его удаления бсода нэт
Автор: AnLe
Дата сообщения: 28.09.2006 23:23
renee

Угу. Довайте ещё два антивируса поставим намашину.
А также если удалить сам аутпост наверное тоже бсод пропадёт когда керио останется на машине единолично )
Может просто выделить под керио отдельную машину для такого случая?

И кстати, я может чтото не понимаю, но на кой вам пушка типа керио для построения таблицы роутинга? Или route add уже отменили?
Автор: renee
Дата сообщения: 28.09.2006 23:48
AnLe

Цитата:
два антивируса

ну это уже изврат

Цитата:
выделить под керио отдельную машину

еще больший изврат в домашних условиях

Цитата:
route add

а вот за это пасиб. пошел копать.
Автор: archimed7592
Дата сообщения: 29.09.2006 01:31
LeftUser

Цитата:
Адреса IP на машинах в диапазоне 169.254.ххх.ххх похоже маска 255.255.0.0.

эти адреса не соответствуют RFC...нужно сделать так, чтобы ip были из следующих групп

10.x.x.x
172.16-31.x.x
192.168.x.x

Цитата:
Сеть организовывалась еще до моего появления на предприятии поэтому я менять ничего не стал.

менять прийдётся

Цитата:
KWF я поставил на машину с WinXP Pro(sp2) она подключена к интернет... Исходя из этого мне необходимо настроить KWF таким образом, чтобы только определенные машины из всей сети имели доступ в интернет

создаёшь в KWF юзеров и настраиваешь авторизацию. можно сделать так, чтобы они (если это определённые люди) могли авторизироваться с любого компа и сидеть в инете, либо так, чтобы авторизация не происходила, а керио узнавал их по IP, но в этом случае возможны, во-первых, подмена IP разбирающимися в этом людьми, а, во-вторых, придётся делать привязку (в DHCP) для mac'ов их компьютеров (подмена mac'а тоже возможна )...так что лучше всего сделать просто авторизацию (через https, разумеется)

Цитата:
прлюс работал батник и Lotus и не потерялась связи с остальными машинами в сети.

настроишь правила.

Цитата:
Как настроить DHCP server чтобы машины из всей сети, на которых стоит получить IP автоматически, при запуске получали IP через DHCP server из определенного диапазона. Стоит ли делать такую организацию?

стоит...см. выше про RFC...делается это очень просто...главное

определиться с выбором одного из диапазонов RFC...к примеру 10.0.0.0/8
назначить статичный ip из этого диапазона для шлюза (машина на которой стоит керио)...ручками разумеется...к примеру 10.0.0.1, mask 255.0.0.0, gate=blank...делается это в настройках windows, а не керио
добавить в DHCP керио "scope", и в настройках по умолчанию поставить gate=статический ip шлюза, dns=статический ip шлюза
включить dns-forwarder
чтобы всё работало (поначалу), попробуй разрешить всё (any, any, any, permit) - так локалка работать должна...а потом пробуй постепенно сдвигать вниз это правило, пока не осознаешь как оно всё работает...к примеру, если явно не разрешить DHCP, то компам так и будут присваиваться левые ip...если явно не разрешить авторизацию, то чел (при соответствующих полномочиях) не сможет залогиниться (было ужо, ох и долго меня пинали )
Автор: ICY_fire
Дата сообщения: 29.09.2006 08:20
renee, archimed7592, господа, Керио и Аутпост - программы совершенно разного класса, пытаться поселить их на одной машине, считаю садизмом. В целях эксперимента пробовал сам такое , был Аутпост 3.5, жил с Керио 6.1.2 нормально.

Цитата:
Аутпост явно превосходит Керио по удобству и возможностям фильтрации _приложений_

Керио вообще не может производить фильтрацию на уровне приложений, если быть точнее.



Автор: noblekey
Дата сообщения: 29.09.2006 08:27
renee

Цитата:
чем контролировать, по какому соединению (ЭйДиЭсЭл или Дайлап) пойдет трафик Инета и в какое время

для этих целей лучше использовать Tmeter
Автор: Nikitos7610
Дата сообщения: 29.09.2006 08:50
люди! помогите написать правила для разных каналов(вход и выход) для раздачи инета по локалке с ip 192.168.0.* много что перепробовал, но траф лезет только через один канал, а мне надо чтоб исходящий по земле, а входящий со спутника.
Автор: Nemo56
Дата сообщения: 29.09.2006 09:10
Имеется сетка внутренняя 192.168.0.0/24 в этой сетке шлюз для IP телефонии имеет адрес 192.168.0.253, Internet шлюз на Winrout-е 6.0 имеет внутренний интерфейс с адресом 192.168.0.254 и внешним с 212.0.0.2.
Задача осуществить проброс с адреса 212.0.0.3 (ip поставщика IP телефонии) на 192.168.0.254, 212.0.0.3 знает только о существовании адресса 212.0.0.2.

Возможно ли это осуществить эту задачу при помощи WinRout, если да то как?
Автор: archimed7592
Дата сообщения: 29.09.2006 17:53
ICY_fire, а что ставил в первую очередь?
Автор: CuS
Дата сообщения: 29.09.2006 18:29
Nemo56
Если я тебя правильно понял, то это простой маппинг. Примерно так:
Sorce: 212.0.0.3
Dest: 212.0.0.2
Service: (порты приложения, хорошо бы один, но что-то сомневаюсь...)
Transl: MAP 192.168.0.253, (порты приложения)
Протокол инспектор - сначала по умолчанию, а не поможет - отключить.
И второе правило -
Sorce: 192.168.0.253
Dest: 212.0.0.3
Service: (порты приложения)
ransl: NAT 212.0.0.2
Это если трафик инициируется изнутри.
Предполагается, что по локалке всё разрешено, и на 192.168.0.253 шлюзом стоит 192.168.0.254.

Добавлено:
LeftUser

Цитата:
Что Вы посоветуете в данной ситуации?

Я не садист, поэтому лучше всего договорись с каким-нито админом в своём городе, за выходные спокойно перекрутит твою сетку. К сожалению, через вопросы-ответы может получиться очень долго, юзвери съедят.
Работы здесь немного - профессионалу.
Не в обиду, ладно? Если захочешь сам рискнуть - можно еще через телефон или Radmin. Я настраивал удалённые сетки через инет - в т. ч. и с Керио, так что в принципе это возможно.
А вот когда тебе сетку перестроят - и Керио настроят - милости просим в форум - ньюансики подкручивать.
Offtop, да? Но мужика жалко!

Добавлено:
archimed7592
Да не пытайся ты Керио с Аутпостом стравить. ICY_fire - или волшебник, или счастливчик. Я некоторое время назад несколько дней потратил, подбирая версии и порядок установки на виртуальной машине - ни фига не вышло, кроме BSOD.
Автор: liberator
Дата сообщения: 29.09.2006 21:53
Вы прочитайте названия файерволов, Аутпост это ПЕРСОНАЛЬНЫЙ файервол. В нём для сервера много лишнего. А если ты не знаешь по какому порту лазиет миранда, я думаю это проблемы не керио а администратора. По поводу синих экранов, стоял раньше на серваке у меня аутпост, постоянно когда много клиентов конектило синий экран вылетал.Так что керио тут не при чем, т.к. сейчас при любом кол-ве юзверей всё пашет прекрастно.
Автор: archimed7592
Дата сообщения: 30.09.2006 07:35
liberator
в том то и проблема, что у керио нету режима обучения+ф-ции контроля программ, да они ему и не нужны - это не персональный фаер. и не сервер у нас, а так, шлюз маленький. потом здесь не идёт речь о замене аутпостом керио...от аутпоста нужны всего две вышеуказанные ф-ции.

Автор: GOODmen
Дата сообщения: 02.10.2006 08:05
Проблема с FTP! Соединяюсь с сервером нормально, а вот переименовать файл, создать каталог не получается. Соединяюсь напрямую без прокси - все работает как надо. В логах ошибок нет. FTP рулесы такие - запретить download всем avi mpg mp3, потом разрешить все всем. Протокол инспектор выключал\включал, команды явно ставил галки, ставил ANY (в Content - Type). Трафик полиси - разрешить всем FTP. Что не так?
Автор: LeftUser
Дата сообщения: 02.10.2006 09:21
archimed7592
CuS


Похоже в нашем городе все админы ушли в иннет и возвращаться не собираются. Я обращался к некоторым из ни, но им трудно даже задницу оторвать от стула (или "взападло")
поэтому прийдется все осваивать сомому.
Если нетрудно знающим людям проконсультировать, то буду очень признателен!

Как я понял начать нужно именно с конфигурации самой ЛВС.
Подскажите где нийти инфу по правильному выбору диапазона IP и малой кравью навести порядок в ситуации о которой я писал на предидущей станице.

Машина с установленным KWF 6.2.2-1746 очень долго открывает сетевое окружение, кто знает в чем проблема?
Автор: Nemo56
Дата сообщения: 02.10.2006 10:33
CuS спасибо.
Автор: kliv1
Дата сообщения: 02.10.2006 10:45
LeftUser
Поставь DHCP сервер, и раздавай автоматом адреса 192.168.0.1-254, адрес 192.168.0.1 обычно ставят на шлюзе, причем статический. в KWF 6.2.2-1746 есть встроенный DHCP, правда я не пользовался им (у меня виндовый на вин2003), у пользователей сети шлюзом и ДНС(если нет локального) должна стоять машина с керио(раздается сервером DHCP). Можно все это (IP, DNS, шлюз) прописать вручную(обойтись без DHCP сервера), но на большом количестве компов это геморно.
Автор: artem123
Дата сообщения: 02.10.2006 12:39
Сори если уже задавали вопрос.

Скажите плиз почему ProxyInspector for WinRoute показывает не точный результат по статистике пользователей на основании лог файлов керио, пробовал аналогичную программу для построения отчетов, показывает результат такой же что и ProxyInspector for WinRoute. Т.е. получается в керио у пользователя 140мб, в прогах анализаторов логов показывает 20 мб. Вроде все делал правильно перед создание отчета импортиовал лог файлы. Такое мнение что керио не всю информацию хранит в лог файлах.
Автор: kliv1
Дата сообщения: 02.10.2006 13:51
artem123
Эт смотря какие логи ты ведешь. В трафик полиси ставил делать логи на правило? один фиг не точно будет, но разница примерно 10-15%, не больше
Автор: archimed7592
Дата сообщения: 02.10.2006 20:27
LeftUser
хороший сайт hub.ru...там много как информации о процессе разводки сети (как кабели обжимать, пробрасывать и т. п.), так и о её настройке...правда есть и немного "древней" информации, типа правила 3-4-5 и расказы про 10Base5 на коаксиле...не знаю, я сетевиком не работаю, но если б работал, то я выбил бы из начальства лишних 100р на свитч...хотя, возможно, что я глубоко заблуждаюсь и хаб сейчас не такая уж и редкость...а может быть там рассказывают о хабах в тех же целях, что и преподавание машины тьюринга на первых лекциях по программированию во всех универах...классика понимаешь ли
зы. ну на крайняк стучи в асю (смотри профиль), помогу советом...
Автор: CuS
Дата сообщения: 02.10.2006 23:16
LeftUser

Цитата:
Подскажите где нийти инфу по правильному выбору диапазона IP и малой кравью навести порядок в ситуации о которой я писал на предидущей станице.

Давай в личку, бо уже совсем offtop. Курса лекций не обещаю, но раз в день на письмо ответить не западло
А понял ты с чего начинать правильно. Кстати, DHCP на Керио пользуюсь - пашет ничего себе.

Цитата:
Машина с установленным KWF 6.2.2-1746 очень долго открывает сетевое окружение, кто знает в чем проблема?

В двух словах - сеть не сконфигурирована правильно. Master brouser запускается на чём попало. Не смертельно, вместо сетев. окр можно прямо к компу обращаться - \\[namecomp] или \\[ipadress]. Чтоб быстро работало сет.окр - нужен контроллер домена (это при 50 компах - mast have!)
Автор: konik
Дата сообщения: 04.10.2006 03:57

Цитата:
*.avi
*.gif
*.jpg


Цитата:
*film*
*free *
вообще-то не только к порно относятся. Это получается отруб абсолютного большинства графики инета (в пнг и бмп почти никто не рисует), возможности слить фильмы, или зайти, напр, на http://www.freesoft.ru/ и подобные.


Цитата:
Ip-шники на всех машинах никто статически не назначал у всех стоит получить IP автоматически. Адреса IP на машинах в диапазоне 169.254.ххх.ххх похоже маска 255.255.0.0. Никаких DHCP и DNS серверов нет.
- Явно кто-то играет роль дчсп серва. Бо адреса именно такого формата, да и "получить автоматически" - это именно на дчсп посыл.


Автор: archimed7592
Дата сообщения: 04.10.2006 05:05

Цитата:
- Явно кто-то играет роль дчсп серва. Бо адреса именно такого формата, да и "получить автоматически" - это именно на дчсп посыл.

ну только если считать любую версию винды DHCP сервером ...попробуйте соединить два компа с winXP и у них назначатся такие ip...проверенно электроникой (и, думаю, даже где-то задокументированно)...
Автор: konik
Дата сообщения: 04.10.2006 05:49

Цитата:
ну только если считать любую версию винды DHCP сервером
- Ну назовите мастер броузером, если угодно. Всё равно, речь о том, что некий комп играет роль распределителя адресов и траф данного общения идет как раз по дчсп протоколу.

Цитата:
и, думаю, даже где-то задокументированно
И даже куча статей есть насчет глюков, когда появляется более низкая версия выни в сети, и на машине не указано явно, что она НЕ мастер, чтоб не лезла отнимать эту "должность" у штатного...
Автор: archimed7592
Дата сообщения: 04.10.2006 05:55
konik
не знаю как оно устроенно, но сомневаюсь, что есть там раздатчик адресов. берём две чистеньких винды (только установили, никаких настроек, никаких мастеров) и получаем тот же эффект...думаю, что винда делает парочку броадкастов, чтобы узнать есть ли нормальный dhcp и, если нету, то начинает искать айпи (из какого-то диапазона, не понятно, почему он не соответствует определённым в rfc частным адресам), который ещё не занят такой же виндой...т. е. каждый комп сам себе распределитель
Автор: ICY_fire
Дата сообщения: 04.10.2006 08:56
Никто не сталкивался с подобным: происходит ребут, а KWF в логах error при этом пишет:
[04/Oct/2006 09:48:54] (1019) Internal error: Failed to accept packet.
[04/Oct/2006 09:48:54] (1005) Internal error: Failed to retrieve packet from driver.
Автор: CuS
Дата сообщения: 04.10.2006 13:00
konik

Цитата:
- Ну назовите мастер броузером, если угодно.

Нет, мастер броузер - это существенно другое. Как я понимаю, это сборщик имен доступных в сети, и при обращении к сетевому окружению ты обращаешься именно к нему и от него получаешь список компов.
а 169.254 - archimed7592 прав.
Цитата:
т. е. каждый комп сам себе распределитель

- но только в этом диапазоне. Возьми просто комп с сетевухой и никуда не подключая посмотри какой IP будет.
ICY_fire Так а может не KWF ребутит, а драйвер сетевухи глюканул? А то порой KWF говорит - мол, не вижу адаптера - это точно проблема сетевухи\драйвера. Вот интересно: при ребуте что на BSOD написано, и как по времени с логом KWF стыкуется?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.