» Kerio WinRoute Firewall (часть 2)

Вопрос такого характера:
Есть домен, есть KWF 6.2.2.
Есть машины в сети, но не в домене (IP раздаются DHCP), есть машины домена. У всех IP в одной подсети.
Вопрос:
Как сделать так, чтобы машины, которые вошли в домен, имели доступ в инет (фильтр по IP не прелоагать), которые не вошли - не имели. Причем, чтоб физически на машинах пароль не хранился (без NTLM аутентификации) и без ввода имени/пароля. Может ли керио распознать, что данный юзверь залогинился в домене, следовательно имеет право на доступ в инет.

AndyMax
ну там имортируй пользователей из AD и ставь обязательную авторизацию или доступ в инет от пользователей а не от локальной сети...

Всем спасибо сегодня решил эту проблему, купил новую сетевуху переключил на неё всю Локалку и офигеть НАТ теперь работает!
Правда ещё в локальном соединение поставил метрику 1, дописывать суфикс DNS (своего домена), в WINS поставил Netbios через TCP\IP
firn
Конечно
AnLe
Полностью с Вами согласен, но выхода нет машина одна и покупать новую не собираются, моя б воля я вообще всё роли по расскидывал на разные компы!!!
SHRIKE74
На контролере домена не какую пересылку включать не надо , а тем более включать форвардинг в Керио.

Есть машина на которой установлено 2 сетевухи и 1 DVB карта.
Одна сетевуха смотрит в локалку, по второй через VPN идут запрсы и возвращаются на DVB интерфейс (коче - спутниковый нет).
ОС - Win Server 2003+Kerio WRF 6.2.2

ВОПРОС

1. Как правильно раздать Инет в локалку (какими должны быть настройки в Traffic Policy)
2. Какие настройки должны быть в Routing Table

UA_koder
на керио-рус.ру есть инструкции в картинках, сначало туда

Спаибо Б-а-а-льшое...

Такой вопрос:
На машине установлен FTP с внешним ip.
Не видят клиенты из инета наш FTP и все тут.
настройки керио: инет - firewall - FTP.
В чем может еще быть причина?
отключаю Kerio - все нормально.....

Bear39
мне кажется, что map на тот ip надо добавить в правиле

добавлял... да чо только не добавлял, не катит, хотя вчера до того как установлен был KIS 6 работало..... но если сейчас отключить керио, то на фтп заходят из инета.
зы. все это стоит на одной машине

спустя 1 час:
ну не хзнаю я что с ними делать, башка кругом идет уже....

спустя 2 часа:
Убил KIS только после этого сново все заработало, а как жаль....

Помогите настроить винроут для хождение через двух провайдеров.
Схема.
_http://john.nakhodka.su/images/task.jpg
Нужно, что бы почта ходила через одного (провайдер 2), а весь остальной трафик через другого (провайдер 1).
При этом нужен доступ к почтовому серверу из удалённого офиса и от мобильных клиентов.
Попытка настроить через мастер и некоторые правки ручками не помогли. Видимо ручки кривые
Что делал:
Включал NAT для обоих внешних интерфесов.
И изгалялся с мапингом на внутренний почтовик.
Но видимо где-то, что-то не до крутил.
Нужен обратный мапинг от почтовика на провайдера 2???

JonJonson
а скриншот с правилами сделать можешь?
и не совсем понятно, куда у тебя подключается провод от провайдера №2?

ilyt, скриншот сейчас сделать не могу. Все это не у меня, а у знакомого и все пока возвращено, что бы работать через провайдера 2.

На шлюзе три сетевых. По одной на каждого прова и одна внутренний интерфейс.

Если я правильно вижу твою ситуацию, то нужны следующие правила.
1.Если Source=интерфейс провайдера2, протокол =(pop, smtp и тд), Destination=route, то транслировать на mail server.
2. Если Source=mail server, протокол =(pop, smtp и тд), Destination=здесь бы я для начала поставил any, то транслировать на интерфейс провайдера2.
3. Можно еще по отключать возможность ходить почте через интерфейс провайдера1.

В общем похоже. Так понимаю пункт 2 - это обратный мапинг?..
Пункт 3 я так понимаю только для безопасности?

пункт 2 - это nat на тот интерфейс, на который нужно.
а пункт 3 именно для этого.
кстати можно в первое правило добавить в Source еще и ip вашего mail server.

ilyt, nat я и так включаю на обоих интерфейсах провайдеров. Но мне нужно отправить пакеты от почтового сервера для внешних клиентов через интерфейс провайдера 2. А остальной трафик через интерфейс провайдера 1 (без nat в обоих случаях не обойтись).

Все таки без скриншота нам не обойтись...

Попытаюсь, но позже.

Может ли керио, препятствовать доступу к сетевым папкам, на компе на котором он установлен?

Bear39
Смотря как настроить... =)

Короче:
После установке на машину (server 2003, ФТП, KERIO) KISа, пропадает доступ на ФТП извне, и доступ к расшаренным папкам на этой машине.

Может ли быть причина в настройках КЕРИО?????????

Bear39
Может ли быть причина в настройках КЕРИО?????????
Может

noblekey

А где какие настройки смотреть?

Bear39

Цитата:

А где какие настройки смотреть?

в трафик полиси,
Нттр полиси и фтр полиси

noblekey


Цитата:

в трафик полиси,
Нттр полиси и фтр полиси

БЕЗ KISа (или KAV) ЖЕ ВСЕ РАБОТАЕТ, значит нормально все?
Ну как тут разобраться то?
Есть конкретный пример работы в данной связке????

Bear39

Цитата:

БЕЗ KISа (или KAV) ЖЕ ВСЕ РАБОТАЕТ, значит нормально все?

Значит проблема в касперском, но это уже другая тема

KIS это же их фаервол, на одной машине не должно быть двух фаеров(да и зачем из два?), тут уже эта тема не раз всплывала.

мда, придется наверно отказаться от керио

У меня наболевшая проблема по FTP. Были советы отрубить встроенную проверку антивируса и чего-то ещё там, но у меня работало только одно, если зайти в сервис и у FTP поставить порты Any и снять, что это протокол FTP. Но тогда и не только по FTP народ стал ходить через это соединение. Может всё же есть что-то лучше этого? ПРавда вот не порпобывал, завтра рискну, в политике отрубить сделанный мастером NAT и добавить свой, где будут разрешённые протоколы Any. Правда чем это закончиться в рамках безопастности и будет и работать всё же FTP, как то боязно.

Bear39

Цитата:

БЕЗ KISа (или KAV) ЖЕ ВСЕ РАБОТАЕТ, значит нормально все?
Ну как тут разобраться то?
Есть конкретный пример работы в данной связке????

с KAV работает .. только надо внести папку с kerio в исключения
у меня всё ок.. стоит касперский для файловых серверов

Vsevolod
какая именно проблема с ftp ... подробнее можно?
для работы в пассивном режиме надо добавить порты 50000-65535 .... (ну или сузить круг...)