Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: CuS
Дата сообщения: 17.10.2006 14:56
VovikK
Подобное обсуждалось. Вероятнее всего, глюк ДНС-форвардинга. Попробуй отключить и на клиентах ДНС провайдера прописать напрямую.
b2ron

Цитата:
насчет 1 сетевой: Что мешает назначить 2 ИП на сетевую,

Ничего. Уменя 28 IP на внешнем интерфейсе (вся подсеть)

Цитата:
2 ИП на сетевую, а винроутом уже управлять как хошь?

Если IP из разных подсетей - может заработает. Но речь выше шла похоже о том, как войти с 1 IP, и выйти через VPN внутри того же IP - IMHO минимум странно. Но я могу ошибаться - вон AnLe примерчик привёл, может кто ещё конкретнам опытом работы на одном интерфейсе поделится - мне тоже интересно.


Автор: ITProf
Дата сообщения: 19.10.2006 15:14
Глянул данный топик и не нашел ответа - как экспортровать правила и пользователей на другую машину с винроутом. Неужели до сих пор это невозможно?
Автор: noblekey
Дата сообщения: 19.10.2006 15:16
ITProf
все настройки хранятся в cfg файлах в каталоге винроута
для переноса достаточно их скопировать
Автор: Venchik
Дата сообщения: 19.10.2006 16:20
ITProf
noblekey
Не совсем так. Например, если используется KerioVPN, то есть ключи, которые хранятся в папке ssl, кажется. Проверить не могу сейчас.
И еще мне было не совсем понятно как переносить настройки когда я делал это.
По-моему, так.
Установить KWF, зайти в админ консоль, закрыть мастера, закрыть админ консоль, остановить сервер, взять из нового winroute.cfg SID'ы для подключений, скопировать их в старый winroute.cfg, заменив те SID'ы, которые там были. Потом заменить этим файлом тот, который является вновь созданным.
Но вообще это идиотизм, на мой взгляд.
В нормальной программе должен быть мастер переноса настроек и т. п. Или подробная дока, а существовании которой мне не известно.
Автор: noblekey
Дата сообщения: 20.10.2006 07:39
Venchik
и зачем так изголятся
в sslcert хранится сертификат для впн но его можно сгенерировать заново
Автор: zorrg
Дата сообщения: 20.10.2006 09:34
Привет!

НЕ уходят письма с аттачами. Точнее с маленькими аттачами уходят, а с аттачами более ~400 кило - уже никак. Что может быть?
The Bat! в свой лог пишет "Соединение с сервером прервано (последние переданные команды: "DATA", "RSET")
и все 8-(
Автор: noblekey
Дата сообщения: 20.10.2006 10:10
zorrg
тебе сюда
http://forum.ru-board.com/topic.cgi?forum=5&topic=18911&start=1060#lt
Автор: nii294
Дата сообщения: 20.10.2006 15:04
Здарова..
Фаер присылает мне последнее время письма с такой штукой
Portscan detected
Event description
Host:    IP из внутренней сетки
Details:    protocol: UDP(TCP), source: такой то, destination: много разных,
ports: 53, 137, 10377, 54977, 54978, 54979, 54980, 54981, 54982, 54983, ... всегда меняются

Я так понял что на локальных компах нечто, что постоянно сканит порты..
Можно ли чем то определить что конкретно сидит в них??
стоит SAV регулярно обновляется + WinDefender так же обновляется..
они оба молчат, типа все чисто..
Помогите кто чем может!!!
Автор: noblekey
Дата сообщения: 20.10.2006 15:13
nii294
ну тебе в поле хост указано кто сканит порты
ну и разбирайся с этим компом
Автор: nii294
Дата сообщения: 20.10.2006 15:17
noblekey
да это понятно, просто компов разных штук десять..
и все вроде чистые!!! все проверял ничего..
может есть какие довески к фаеру, чтоб посмотреть какими процессами сканируется??
Автор: noblekey
Дата сообщения: 20.10.2006 15:22
nii294

Цитата:
может есть какие довески к фаеру, чтоб посмотреть какими процессами сканируется??

я про такие незнаю
Автор: sibcol
Дата сообщения: 20.10.2006 19:07
All, а также все гуру данного топика, обращаюсь за помощью! Ветку читал, вроде и подтверждения есть, а всё же у меня не работает! Ситуация: KMS и KWF подняты на одном сервере (W2K3S EE SP1+ WU october 2006). При отключенном KWF письма ходят (_домен_ третьего уровня mycompany.provider.ru поднят провайдером для Internet-интерфейса моего сервера, mail-сервер вида mail.mycompany.provider.ru расположен на почтовом сервере провайдера, имеющем другой IP-адрес) relay'ем на эти почтовые сервер и далее по назначению без проблем. Как только запускаю KWF, получаю в логах KMS такую запись

Цитата:
[20/Oct/2006 20:47:14] Cannot connect to POP3 server mail.mycompany.provider.ru:110


Цитата:
[20/Oct/2006 20:47:14] Cannot connect to POP3 server mail.provider.ru:110
. В Rule прописывал доступ для локального интерфейса по POP3и SMTP непосредственно на адреса почтовых серверов провайдера (некоторые адреса зарегистрированы в их почтовой системе) и обратно с адресов почтовых серверов на внутренний интерфейс через NAT. Менял приоритет выполнения условия - ничего не помогает. Где рыть?!!
Автор: Luser1
Дата сообщения: 20.10.2006 19:25
Помогите !!!! Очень нужна помощь

Есть сеть:

Lan1(192.168.0.x)
|
| 100М/с
|
KWF (192.168.1.25)(сервер lan1)
|
| 10М/с
|
SDSL ----- INTERNET 64k/c
|
| 10М/с
|
SDSL 2----- INTERNET 64k/c
|
| 10М/с
|
KWF (192.168.1.30)(сервер lan2)
|
| 100М/с
|
Lan2(192.168.2.Y) (Пока нет, но планируется)

Есть правила :
1
Firewall Internet
Internet Firewall

2
Firewall LAN
LAN Firewall

3
LAN Internet



Помогите настроить: доступ в Интернет из Lan1(192.168.0.x) через сервер KWF (192.168.1.30)(сервер lan2) .

Пробовали настроить у сервера lan1(192.168.1.25) с (192.168.1.30)(сервер lan2) VPN-туннель, в результате 192.168.1.30 видит всю Lan1(192.168.0.x), а его только сервер lan1(192.168.1.25).

На сервере lan1(192.168.1.25) настроили правило (192.168.0.x) -> (192.168.1.30)(сервер lan2)

стал виден (192.168.1.30)(сервер lan2) из Lan1(192.168.0.x).
можно даже удаленно запустить соединение с инетом,но на этом все.
Автор: Maxim Maximov
Дата сообщения: 20.10.2006 22:58
Есть домашний сервер с винроутом. На нем висит DC++ и ftp. Помимо сервера есть ноут, выходящий через сервер в инет.

Если загрузка DС++ и FTP превышает 4 мб/с, то winroute очень сильно загружает систему. Если винроут отключить - все работает, но ноут, как и ожидалось, без сети.

Если в винроуте в конфиге

<list name="Interfaces">
<listitem>
<variable name="Id">\DEVICE\{78DB105E-69EC-4251-BD9D-E6726B69F320}</variable>
<variable name="Name">inet</variable>
<variable name="Medium">0</variable>
<variable name="Bandwidth">0</variable>
<variable name="Outside">0</variable>
<variable name="FirewallExclude">0</variable>
</listitem>

отключить обработку интерфейса "FirewallExclude" = 1, то загрузка падает до состояния выключенного винроута, почта, фтп и сайты с ноута доступны, а вот ICQ и MSN не работают.

Как можно настроить винроут для работы ICQ и MSN при сохранении низкой загрузки процессора?
Автор: Mikes
Дата сообщения: 23.10.2006 10:46
Maxim Maximov
интересно а почему у тя
Цитата:
<variable name="Outside">0</variable>
если
Цитата:
<variable name="Name">inet</variable>


Luser1
конечно письма в ПМ о помощи если в топике не ответили что то новое

ты попробуй доступнее и понятнее объяснить чего хочется и что имеется
Автор: Logrim
Дата сообщения: 23.10.2006 10:53
господа, такой вопрос.
если в сети предполагается автоматическая авторизация по IP, то в правилах (Source) лучше указать диапазон IP или группу юзеров?
Автор: noblekey
Дата сообщения: 23.10.2006 12:28
Logrim

Цитата:
в сети предполагается автоматическая авторизация по IP

то

Цитата:
лучше указать диапазон IP

если укажишь группу юзеров то смогут ходить только юзеры включенные в эту группу и к айпи они привязаны не будут
Автор: dreamen
Дата сообщения: 23.10.2006 13:30
Привет.
Есть вопрос может кто подскажет.
Имеем IP внешний inet и внутренний local
Есть правила в winroute следующии

PERMIT FireWall--->Any--->Any
PERMIT local--->FireWall--->DNS
PERMIT local--->Any--->Any (NAT(inet))

Все ходят через нат.

Вопрос. При сканирование IP inet из вне все порты закрыты, а при сканирование
IP local из внутренний сети порты открыты. Как закрыть порты внутренний
сети чтоб сохранить хождение через NAT всех пользователей.
Вопрос Почему при сканирование IP inet открыт порт 21.
Автор: CuS
Дата сообщения: 23.10.2006 13:32
Maxim Maximov
Загрузка проца с KWF еще зависит и от версии! Реально я получал разные результаты по скорости (и загрузке) на 6.1.4 и на 6.2.1 Во втором случае скорость ftp внутри LAN от включения/выключения на внутреннем интерфейсе не зависела. Однако, суммарно при KWF + ServU внутри 4 mB бывает отнюдь не всегда (P!!!800\256 mB). Причем, похоже, усиление проца мало что дает. Это раз.
Два. Отключение фаера со стороны локалки никак не влияет на ICQ, наверно и на MSN - правила-то обычно касаются внешнего интерфейса! Ты, похоже, не там фаер отрубил, как заметил Mikes.
Три. Разные FTP тоже систему по разному грузят.
Итого: для максимальной скорости - вместо Керио поставь аппаратный NAT. Например, D-Link DL604. Цена вопроса - 25$.

Автор: noblekey
Дата сообщения: 23.10.2006 13:43
dreamen

Цитата:
Как закрыть порты внутренний
сети чтоб сохранить хождение через NAT всех пользователей

Какие порты ты хочешь закрыть и зачем? опиши ситуацию более внятно

Цитата:
Почему при сканирование IP inet открыт порт 21

21 торт ипользует сервис FTP. А почему ты его открыл это ты разбирайся у себя телепатов здесь нету
Автор: CuS
Дата сообщения: 23.10.2006 14:02
dreamen
Я бы правила переформулировал - уж очень либеральные
Firewall -> Lokal - Any - Permit
Firewall -> Inet - (нужные сервисы, включая DNS) - permit
; как раз и не будет неопознанных сервисов
Lokal -> Firewall - (нужные сервисы, включая DNS и HTTP Proxy) - permit
; Это правило как раз и оставит из локалки на Firewall только разрешенные порты)
Lokal -> Inet - (нужные сервисы, включая DNS, но без HTTP Proxy) - NAT(Inet) - Permit

21 порт. FTP, либо может и троян. Проверь, что за процесс, каким-либо монитором, либо netstat -b из консоли.

Автор: dreamen
Дата сообщения: 23.10.2006 14:23
Сканирование из локалки видны след. порты
TCP 21,25,53,80,110,135,139,443,554,1027,1031......
Автор: noblekey
Дата сообщения: 23.10.2006 14:29
dreamen
чтобы были закрыты все порты кроме нужных тебе в сервисах вместо ани надо указать как сказал CuS
Цитата:
нужные сервисы, включая DNS и HTTP Proxy

Автор: Logrim
Дата сообщения: 23.10.2006 14:58
noblekey
т.е. если привязать пользователей к ип-адресу и в Source указать диапазон ип юзеров, то юзеры будут автоматически авторизироваться и весь подсчет траффика и квоты будут идти по ип-адресам? я правильно понял?
Автор: noblekey
Дата сообщения: 23.10.2006 15:08
Logrim

Цитата:
квоты будут идти по ип-адресам

Квоты раздаются на юзеров а не на айпи

Цитата:
если привязать пользователей к ип-адресу

ну в принципе да
а статистика в вироуте хромает это его слабое место, так что для подсчета трафика лучше использовать другое ПО
Автор: Logrim
Дата сообщения: 23.10.2006 15:29
noblekey
а как конкретно хромает?
насколько большая погрешность (в процентах)?
т.е. ошибка при подсчете или может пропустить неавторизированное соединение?
если +- n% то не страшно, а вот если квота не сработает, то мне кирдык придет.

можно чуть подробнее о "другом ПО", а то в шапке ни слова нет
Автор: noblekey
Дата сообщения: 23.10.2006 15:43

Цитата:
а вот если квота не сработает, то мне кирдык придет

квоты работают без проблем
а вот расхождения с провайдерскими логами бывают большими, точно сказать не могу но пробегали цифры до 30%

Цитата:
можно чуть подробнее о "другом ПО", а то в шапке ни слова нет

tMeter, Internet Access Monitor, ну и можно еще поискать по ключевым словам билинговые системы
Автор: kubik
Дата сообщения: 23.10.2006 21:55
Вот у меня проблемка наклюнулась. Как сделать доступ к интернету через NAT без всяких аутентификаций ? Ставлю в правилах, эни эни пермит, ставлю что б не аутентифицировались, http полиси тоже откручиваю на всю и все равно не работает. Может хитрость какая есть ?
Автор: Logrim
Дата сообщения: 24.10.2006 06:36
kubik
а если указать в правилах Source внутренний интерфейс?
Автор: Maxim Maximov
Дата сообщения: 24.10.2006 07:41
CuS
Mikes
<variable name="Outside">0</variable> создает винроут сам для обоих интерфейсов, внутреннего и внешнего. Этот параметр я не трогал.

Сам фтп систему почти не грузит (gene6), загрузка идет от анализа трафика винроутом.
При включенном анализе скорость 4-5 мб/с означает наблюдение за пошаговой стратегией при отключенном анализе скорость до 9-10 мб/с

Версии - от 5 до 6,2,3 - загрузка при большом потоке на всех.

Фаер отрубался на обоих интерфейсах и внутреннем и внешнем. Аська и МСН работают только при включенном фаере, остальное работает и при включенном и при выключенном (обычный нат)

Как альтернатива железная был Asus RX 3141

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.