Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: ICY_fire
Дата сообщения: 04.10.2006 13:40
CuS, нет, BSOD не выбрасывает, перезагрузка произошла "запланированно", из-за того что служба KWF аварийно завершилась, а в настройках восстановления для неё я поставил ребут.
Т.е. правильный вопрос был бы таким: почему стопанулся сервис и каковы причины вышеуказанных ошибкок.
Автор: noblekey
Дата сообщения: 04.10.2006 14:04

Цитата:
правильный вопрос был бы таким: почему стопанулся сервис и каковы причины вышеуказанных ошибкок.

1. смотри в просмотре событий там должна указываться причина остановки
2. может быть проблема с лицензией?
Автор: ICY_fire
Дата сообщения: 04.10.2006 15:19
noblekey, ни 1 ни 2... узнать бы расшифровку кодов ошибок, и было бы все ясно.

Автор: noblekey
Дата сообщения: 04.10.2006 15:43
ICY_fire

Цитата:
узнать бы расшифровку кодов ошибок

www.eventid.net
Автор: LeftUser
Дата сообщения: 05.10.2006 10:01
Подскажите пожалуйста как или чем получать полный отчет, типа кто куда и сколько налазил в иннете по юзверям. Права раздаются через Adress Group, адреса хостам назначает DHCP.
Автор: archimed7592
Дата сообщения: 05.10.2006 10:08
LeftUser
у тебя в trafic policy стоит users? или addr groups?
Автор: Evgeny_Sorokin
Дата сообщения: 05.10.2006 10:14
LeftUser
Надо на каждого юзверя завести логин:пароль и пускать в инет только тех кто залогинился. Тогда отчет будет на каждого юзверя.
Автор: kliv1
Дата сообщения: 05.10.2006 10:31
LeftUser
а отчет получается через прогу анализотора логов, такую как Internet Access Monitor или WrSpy или ProxyInspector это как говорится на вкус и цвет... лично мне больше понравился Internet Access Monitor, очень приятные отчеты делает
Автор: Evgeny_Sorokin
Дата сообщения: 05.10.2006 13:42
LeftUser Угу, я наверное тоже бы посоветовал Internet Access Monitor.

PS. Но это уже другая тема.
Автор: LeftUser
Дата сообщения: 05.10.2006 14:55
Посмотрел я Internet Access Monitor, с пивом потянет.
Всплыла проблема другого плана: хосты с русскими именами отображаются квадратиками и иероглифами и в DHCP Server>Leases и в отчетах. Как можно разрешить.
Автор: kliv1
Дата сообщения: 05.10.2006 15:35
LeftUser
не знаю как DHCP(не пользуюсь), а в отчетах Internet Access Monitor все нормально вроде, или какие отчеты ты имел ввиду?
Автор: Monst
Дата сообщения: 05.10.2006 19:49
здравствуйте...
поставил вчера этот фаер (нужен был просто фаерволл - поэтому прокси и прочие обвесы, отключил). симпатично, админка понравилась. посканил на уязвимости, подосил сервер немножко - казалось все нормально.
но потом обратил внимаение что при скачке с фтп сервера (стоит на том же компьютере что и фаерволл) - со включенным протокол-инспектором - загрузка процессора 100% и скорость максимум достигает 1.9- 2мбайт/сек... с вручную открытыми портами на к-е настроен пассивн режим на фтп - загрузка процессора пилообразно смотрится, но не превышает 75% а скорость 2-2.4 =( ..... с tiny было 10-10.5 ... проц конечно слабый (п3 866) но мб с этим можно что-либо сделать кроме замены железа?...
Автор: archimed7592
Дата сообщения: 05.10.2006 19:55
Monst
если нужен просто фаер, то протокол-инспекторы можно спокойно отключить - все права доступа можно настроить на самом фтп-сервере, а если нужен лог доступа, то лучше включить лог connections...конечно не узнаешь что качали, но узнаешь кто.
Автор: vityah
Дата сообщения: 05.10.2006 20:26
есть в сабже возможность авторизировать юзерей по мак адресам?
Автор: archimed7592
Дата сообщения: 05.10.2006 20:32
да...ставишь в dhcp резервы на эти mac'и, а потом проставляешь эти резервы в поле "узнавать юзера по ip"
Автор: vityah
Дата сообщения: 05.10.2006 21:13
ну а если ДШСП поднят на другом сервере. И ай пи статические воруют когда машина с инетовским ай пи отключена. Не хотелось бы зависеть от ДШСП на инетовском серваке. И что-то я не нахожу поля узнавать юзера по ай пи, есть поле спесифик хост ай пи адрес. Это типа оно?
Автор: archimed7592
Дата сообщения: 05.10.2006 21:18
чёт я не пойму...у тебя неск. машин и они получают адреса от прова по dhcp?
или машина с керио получает адрес от прова по dchp, а твои машины получают адреса от одной из машин?
Автор: vityah
Дата сообщения: 05.10.2006 21:25
у меня штук 200 машин и они получают ай пи от нашего ДШСП сервака. Кроме того есть машины с статическими ай пи на которые керио и настроен пропускать в инет
Автор: archimed7592
Дата сообщения: 05.10.2006 21:28
насколько мне известно, в керио вообще нету способов контроля mac'ов...думаю даже вышеуказанная схема будет легко обходиться...
Автор: vityah
Дата сообщения: 05.10.2006 21:31
вот это то и плохо
Автор: AnLe
Дата сообщения: 05.10.2006 21:55
Разве что батник при старте винды подгружать с arp -s и соотвествиями.
Автор: Altus
Дата сообщения: 05.10.2006 22:41
не знаю, будет ли сабж полезен хоть кому то, но рекомендовали запостить здесь

Цитата:
что винроут, что клиент используют один и тот же впн драйвер, посему вместе работать тупо не могут.

клиент матерится, мол вырубите винроут - тогда буду работать, винроут соответственно говорит что драйвер занят, и я запускаться нифига не хачю.

значит клиент как то вычисляет присутствие винроута, а как он это может делать? самый простой вариант - просканировать окна и искать в них заголовок "Winroute". хотя я бы ещё в реестре посмотрел. но всё оказалось очень просто - в теле экзэшника клиента надо найти все записи "Winroute" (ну есесенна окромя относящихся к тексту в окнах) и на что нить заменить.

ну и есесенна ставить винроут без поддержки впн

если кому то нужны подробности - говорите, мой домашний сервак пока работает именно в такой конфигурации. и будет это до тех пор, пока провайдер у себя радиус не подымет.
Автор: vityah
Дата сообщения: 06.10.2006 00:17

Цитата:
Разве что батник при старте винды подгружать с arp -s и соотвествиями.

Можно поподробнее? Не хочется в синтаксис вникать особо. Да и законных пользователей штук 30 . Многовато будет ручками их прописывать. Если привязать таким образом ай пи к мак адресу, керио не будет видеть машины которая украла ай пишник?
Автор: Monst
Дата сообщения: 07.10.2006 22:04
archimed7592
вы меня не поняли.. проблема в том что после утсановки винроута скорость скачки пользователями с фтп (установленного на том же компьтере) упала в 4-5 раз...
при включенном протокол-инспекторе на фтп-протокол - загрузка процессора 100% и можно понять почему фтп лагает. но при выключенном - загрузка не выше 60% и почему скорость столь мала (не выше 25 мбит в сек) _совсем_не_понятно_ ... =(
Автор: Mikes
Дата сообщения: 09.10.2006 08:39
Monst
если ftp для внутренней сети то отключи firewall на внутреннем интерфейсе

вообще прооблема падения скорости ftp уж давно известна и побороть пока что никак
Автор: GaDiNa
Дата сообщения: 09.10.2006 11:08
Доброго времени суток.
В DMZ на веб сервере юзаю KWF 6.2.2(build 1746)
При копировании большого количества файлов небольшого размера (примерно до 50 Кб), происходят странные тормоза - один файл копируется примерно за одну секунду.

Останавливаю KWF - файлы льются на порядок быстрее.


Mikes писал:

Цитата:
если ftp для внутренней сети то отключи firewall на внутреннем интерфейсе


что врядли подойдет для моего случая - WEB сервер в DMZ - сеть другая...
Неужели нету никакой другой возможности заставить KWF быстрее "мониторить" FTP протокол. Или как-то по другому ускорить его работу..
Автор: 1234566
Дата сообщения: 09.10.2006 18:15
Добрый день!
Внешний сетевой интерфейс (провайдер) подключен через vpn. Создано RAS соединение. В Winroute прописаны пользователь и пароль и выставлена настройка connection Persistent.
После достаточно продолжительного отсутсвия связи со стороны провайдера и дальнейшего появления связи файервол пытается поднять соединение, но возникает ошибка error RAS (800).
При этом сам сервер, и внутренняя сеть функционирует нормально.
После перезагрузки соединение поднялось и отработало все как надо.
С чем связана эта проблема???
Автор: vidoq123
Дата сообщения: 10.10.2006 13:14
как правильно настроить RRAS VPN (Windows 2003) и открыть ему порты на керио?
какие порты открывать???
Автор: VovikK
Дата сообщения: 10.10.2006 15:21
Сервер с установленным KWF 6.2.2 и KMS 6.2
Установлены 3 сетевые платы. Две - для подключения интернета по АДСЛ, третья - в локалку. Внешние IP выделенные (статические). Сначала был подсоединен только один внешний интерфейс. Все настроено и работает отлично (и юзеры инет получают, и почта ходит). Понадобилось подключить второй внешний интернет-интерфейс. Керио успешно определил его. Добавил это соединение в Traffic Policy параллельно первому. Но вот только толку никакого. Смотрю статистику по второму инету - количество отправленных и принятых пакетов практически равно нулю. Мало того - этот IP даже не пингуется снаружи! В Connection failover прописаны обе сетевушки, конфликтов никаких нет. Подскажите, где настраивается второе подключение?
Автор: GaDiNa
Дата сообщения: 10.10.2006 15:46
....короче с утра снес KWF и поставил Tiny_Personal_Firewall_Pro_6[1].5.126.
полет нормальный..

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.