Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: modest3
Дата сообщения: 19.04.2006 10:46
1)Народ подскажите как правильно настроить SMTP Realey, а то у меня тест не проходит.
2)И как сделать так чтоб юзеру на комп сообщение посылалось о привышении его трафика перед его отключением?
Спасибо.
Автор: Evgeny_Sorokin
Дата сообщения: 19.04.2006 10:57
ICY_fire
Попробуй в траффик полиси разрешить доступ по протоколу POP3 не по интерфейсу а по пользователям...
Source(Users)-Dest(Inet)-Service(Pop3,SMTP)-Permit-NAT
Тогда не залогиненным юзерам почта ходить не будет.

Добавлено:
modest3

Цитата:
1)Народ подскажите как правильно настроить SMTP Realey, а то у меня тест не проходит.

Какой ты указываешь SMTP сервер ? На mail.ru допустим, нужна SMTP авторизация. И в поле от кого то же правильный адрес а то внешний релей может не пустить письма от KWF.

Цитата:
2)И как сделать так чтоб юзеру на комп сообщение посылалось о привышении его трафика перед его отключением?
Спасибо.

Вначале нужно сделать чтоб тест проходил по п.1, а потом в свойствах юзера пишешь его е-мейл и письма валятся, нужно только галочку там ещё поставить на вкладке
Quota -> Notify user by E-mail ... что-то там...
Автор: finder
Дата сообщения: 19.04.2006 14:47

Цитата:
finder
А чекбокс Advanced Options - Quota/Stat - Exlude Firewall fro Quota Actions включен?
И траффик смотришь по статистике самого KWF, или доп.софт стоит? Если доп.софт, то вполне очевидно, что он не может считать статистику корректно, т.к. для правила Local Traffic у тебя не включен log matching connections.

Пока идея такая - вынеси в TP обмен по RDP в отдельное(ые) правило и посмотри на результат. Лог соединений для этого правила, ессно вкл.


Чекбос Advanced Options - Quota/Stat - Exlude Firewall fro Quota Actions включил. Для правила Local Traffic включил log matching connections. Логи смотрю с помощью самого WinRoute и Internet Aссes Monitor from WinRoute v3.1. Но не в этом дело, получается, что нельзя с одного физического адресса ходить в интернет под разными логинами, т.е. при подключении по RDP пользователь логинется в Интернет. А уже следующий пользователь подключающийся по RDP к тому же серверу просто автоматически использует логин первого залогиневшегося пользователя. На вкладке свойств пользователя IP addresses все чекбоксы выключены (т.е. привязок к определённым ip нет). Проблема актуальна.
Автор: WinTester
Дата сообщения: 20.04.2006 11:17
finder

Цитата:
олучается, что нельзя с одного физического адресса ходить в интернет под разными логинами,
да, нельзя.
Автор: dvk54
Дата сообщения: 20.04.2006 14:36
finder

Цитата:
Получается, что нельзя с одного физического адресса ходить в интернет под разными логинами

Похоже, да. Но, зачем это делать через RDP? Сделай через прокси.
А трафик RDP должен считаться нормально.

Кстати, кто мешает навесить 5 IP адресов на внутренний интерфейс? И пусть себе каждому юзеру - свой IP.
Автор: modest3
Дата сообщения: 20.04.2006 16:15
Здраствуйте Евгений Сорокин, спасибо за помощь, но по первому вопросу нельзяли поподробнее, особенно про адрес SMTP сервака (у меня как раз mail.ru точнее list.ru)
потому-что я пробовал вписывать разные строки, но тест у меня он не проходил.
по второму вопросу хочу внести ясность - хотелось бы чтоб сообщение не на мыло приходило а непосредственно на комп юзвера (наверное это невозможно).
Автор: finder
Дата сообщения: 20.04.2006 17:03

Цитата:
Похоже, да. Но, зачем это делать через RDP? Сделай через прокси.
А трафик RDP должен считаться нормально.

Кстати, кто мешает навесить 5 IP адресов на внутренний интерфейс? И пусть себе каждому юзеру - свой IP.


Дело в том, что всё и происходит через прокси, только авториузется один пользователь, а остальные получаются используют его трафик автоматически. Получается, что пользователь заходит на сервер RDP, авторизуется, затем заходит другой пользователь и без авторизации получает доступ к интернету. Пользователи в сети ходят в интернет через прокси каждый со своего компьютера - трафик нормально считается. Проблема только в RDP сервере. Как её решить?
Автор: Avi007
Дата сообщения: 21.04.2006 09:39
Всем привет, у меня такой вопрос:
поставил на браузерах клиентских машин загрузку сценария с KWF, после чего перестали загружаться некоторые сайты, керио писал: DNS lookup failed.
Наверное надо еще сказать, что наднях настроил KWF на работу с 2я выделенками: одну настроил на городской трафик, а 2ю на внеху...
В чем тут косяк? подскажите плизз)
Автор: dvk54
Дата сообщения: 21.04.2006 14:25
finder
Я понял так, что пользователи авторизуются в KWF, уже из сессии RDP.
Так вот этот момент и надо обломать. Пусть используют для инета ТОЛЬКО ПРОКСИ ИЗ IE СВОЕЙ СОБСТВЕННОЙ МАШИНЫ. А не IE из сессии RDP.
А может, я просто никак не могу вьехать, что именно ты хочешь считать? Трафик по какому протоколу тебе нужен раздельно? По HTTP, RDP ?
Автор: Serg0FFan
Дата сообщения: 21.04.2006 14:30
В последнее время керио 6.2.0 р1 стал ругаться на сертификаты..что данному сертификату доверять нельзя типа и т.д.. у народа в сети который работает через прокси а не на прямую. А в логах пишет следующее..

Цитата:
[21/Apr/2006 15:24:04] (7003) SSL private key file error: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
[21/Apr/2006 15:24:04] (5003) Unable to initialize SSL. Please check server certificate and private key.

В чём может быть проблема и как с ней бороться подскажите плиз.
Автор: finder
Дата сообщения: 21.04.2006 15:39

Цитата:
finder
Я понял так, что пользователи авторизуются в KWF, уже из сессии RDP.
Так вот этот момент и надо обломать. Пусть используют для инета ТОЛЬКО ПРОКСИ ИЗ IE СВОЕЙ СОБСТВЕННОЙ МАШИНЫ. А не IE из сессии RDP.

Совершенно верно. Каким образом?


Цитата:
А может, я просто никак не могу вьехать, что именно ты хочешь считать? Трафик по какому протоколу тебе нужен раздельно? По HTTP, RDP ?

В принципе мне было бы достаточно отключить доступ к интернету если пользователь использует RDP сеанс на сервере.




Цитата:
В последнее время керио 6.2.0 р1 стал ругаться на сертификаты..что данному сертификату доверять нельзя типа и т.д.. у народа в сети который работает через прокси а не на прямую. А в логах пишет следующее..

Цитата:
[21/Apr/2006 15:24:04] (7003) SSL private key file error: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
[21/Apr/2006 15:24:04] (5003) Unable to initialize SSL. Please check server certificate and private key.     

В чём может быть проблема и как с ней бороться подскажите плиз.


\Advanced Option\Web Interface\advanced (https) сформировать новый сертификат, желательно в качестве сервера указать dns прокси (тогда не будет IE выдавать предупреждений).
Автор: Serg0FFan
Дата сообщения: 21.04.2006 15:43
finder
IP адрес dns сервера который используется на проксе для ретрансляции запросов на днс провайдера што ли? Т.е. по сути днс провайдера так? или же айпи прокси сервера?
Автор: Avi007
Дата сообщения: 23.04.2006 08:40

Цитата:
Всем привет, у меня такой вопрос:
поставил на браузерах клиентских машин загрузку сценария с KWF, после чего перестали загружаться некоторые сайты, керио писал: DNS lookup failed.
Наверное надо еще сказать, что наднях настроил KWF на работу с 2я выделенками: одну настроил на городской трафик, а 2ю на внеху...
В чем тут косяк? подскажите плизз)


люди, неужто никто не знает как мне помочь?
можно конечно и без сценариев работать, но тут уж дело принципа, разобраться-то надо....
Автор: Mikes
Дата сообщения: 23.04.2006 21:06
Avi007
без сценария всё нормально?

у тя на каждой выделенке свой DNS да? может быть имеет смысл поставить один?
Автор: Naraina
Дата сообщения: 24.04.2006 07:41
у меня вопрос,незнаю сюда ли писать..
--------------------
Отваливается прокси раз в сутки
Что за странность проявилась буквально 6-7 дней назад. До этого работало как часы.
ситуайия следующаяя:
есть керя 6.1.4 птч2,работает уже 43 дня
на него,через прокси повешен BSB Balanser для динамического деления канала
балансер орет раз в сутки что подключение невозможно к Парент прокси(вышестоящему, тоесть винруту)
самое интересное что при перезагрузки кери ничего не меняется, а вот при перезагрузки компа все становится ок,в логах ничего нет. Ни в винде ни в Кери.
Кто чем может поможет, буду благодарен, сам не догоняю.
зы: на 6.1.2 такого за ~180 дней не наблюдалось

2зы:
Аська работает,сайты пингуются, но HTTP не пашет.
Как выяснилось минуя проксарь, тоже не пашет.
где грабли?
Автор: Evgeny_Sorokin
Дата сообщения: 24.04.2006 09:20
Naraina
Ставь 6.2.0, там есть ограниечение по скорости.


Добавлено:
modest3

Цитата:
Здраствуйте Евгений Сорокин, спасибо за помощь, но по первому вопросу нельзяли поподробнее, особенно про адрес SMTP сервака (у меня как раз mail.ru точнее list.ru)
потому-что я пробовал вписывать разные строки, но тест у меня он не проходил.

Смотри допусти у меня адрес pupkin@mail.ru
логин: pupkin
пароль: 12345 (допустим)
тогда картина должна выглядеть вот так.
см.ссылку
http://adm.konstanta.ru/forum/viewtopic.php?t=234


Добавлено:

Цитата:
по второму вопросу хочу внести ясность - хотелось бы чтоб сообщение не на мыло приходило а непосредственно на комп юзвера (наверное это невозможно).

А вот это невозможно..
Автор: netvoron
Дата сообщения: 24.04.2006 11:00
При обновлении на новую версию перестал подходить пароль в консоли, как убрать\сменить пароль на консоли?
Автор: ICY_fire
Дата сообщения: 24.04.2006 11:14
Стоит: KWF 6.1.4+VisNetic, NOD32. Проблема: Nod вылавливет тестовый вирь при инициализации антивиря, в результате антивирь не работает. Пути исключения для Nod'а ставил и по файлу и по папкам - не помогает. Как разрулить, не убирая защиты Nod, что то не соображу... (((
Автор: crapaud
Дата сообщения: 24.04.2006 11:18
ICY_fire
В исключениях AMON надо ставить как длинный путь так и короткий (в дос формате). Тогда заработает.
Вот как стоит у меня:

C:\PROGRAM FILES\KERIO\WINROUTE FIREWALL\QUARANTINE\
C:\PROGRAM FILES\KERIO\WINROUTE FIREWALL\TMP\
C:\PROGRA~1\KERIO\WINROU~1\TMP\
C:\PROGRA~1\KERIO\WINROU~1\QUARAN~1\
Автор: Evgeny_Sorokin
Дата сообщения: 25.04.2006 11:58
А у меня с переходом на 6.2.0 patch 1 стали появляться странные глюки..
Иногда перестает сопостовлять юзеру установленный IP адрес и требует от него логин и пароль. В свойствах всё нормально. IP стоит...
Помогает либо перезагрузка клиента либо ipconfig /release & /renew.
DCHP сервер работает исправно. Адреса там зарезервированы для клиентов..
Автор: scatchi
Дата сообщения: 25.04.2006 14:25
Уважаемые форумчане!
Поделитесь, пожалуйста, опытом. Может, кто-нибудь сталкивался с проьлемой настройки сабжа для работы вместе с VPN сервером, поднятым стандартными средствами Windows Server 2003. В мануале Керио есть инструкции, как это реализовать - следовал им неуклонно, всё равно не пашет. Причем при создании VPN-подключения на том же сервере, где установлен сабж, всё работает. А также, если вырубить сабж, то клиенты подрубаются и через локалку и через инет. В чём может быть проблема и как её решить?
Заранее огромная благодарность просто за внимание 8)
Автор: Evgeny_Sorokin
Дата сообщения: 28.04.2006 08:12
scatchi
Traffic Policy в студию плиз...

А так вроде всё просто. в TP должны быть правила такого содержания (для доступа из инета)

Source Destination Service Action NAT Protocol inscpector
INET FireWall PPTP,GRE permit default
Firewall Inet Any permit default



Автор: iknow
Дата сообщения: 28.04.2006 21:14
товарищи - извините если уже вопрос был... решилась ли проблема от чего возникала ошибка "Winroute driver: IpSendExplorationPacketReceived....." при использовании прог типа BWMerer CuteFTP и прочее в версии 6.1.4 path2???
Автор: Sanserif
Дата сообщения: 29.04.2006 11:28
Как можно экспортировать базу юзеров? Или хотя бы где она храниться, что бы после полоной переустановки вернуть ее?
Автор: scatchi
Дата сообщения: 29.04.2006 11:41
Evgeny_Sorokin
Огромная благодарность за ответ! Но к счастью, сам справился с этой проблемой 8) Правило создал следующее:

Source Destination Service Action NAT Protocol inscpector

Internet Firewall PPTP,GRE Permit PPTP (для установления vpn-соединения)
Dial-In LAN Any Permit Default (разрешение vpn-клиентом ходить в локалку, без этого правила клиенты смогут ходить только на шлюз)

Причём, если в первом правиле выставлять protocol inspector в default, то лично у меня клиенты не подключались. Ситуация сразу же исправилась после выставления значения "PPTP".

Указанное тобой правило:
Firewall Inet Any permit default
совершенно неприемлено с точки зрения безопасности. Лично разрешаю на Outbound только те порты, которые нужны!

Ещё раз благодарю за ответ!!!
Автор: Mikes
Дата сообщения: 29.04.2006 11:48
Sanserif
users.cfg тебе не подходит???
Автор: Sanserif
Дата сообщения: 29.04.2006 12:16

Цитата:
Sanserif
users.cfg тебе не подходит???


спасибо! попробую...
Автор: scatchi
Дата сообщения: 30.04.2006 13:16
В рабочей директории Винроут в файле UserDB.cfg (начиная с версии 6.1.4). По умолчанию: C:\Program Files\Kerio\Winroute\UserDB.cfg. Это обычный текстовый файл, как и все остальные конфигурационные файлы.

А вообще вся конфигурация Винроут хранится в следующих файлах:

winroute.cfg
Главный конфигурационный файл

users.cfg
Информация о пользователях и группах.

logs.cfg
Настройки журналов

host.cfg
Настройки для резервного копирования конфигурации, (настроек пользователей, баз данных сервера DHCP и т.д.)

UserDB.cfg
Что в нём хранится, описано выше 8)

Т.е. для резервного копирования необходимо скопировать эти файлы в директорию свежеустановленного Винроута.

[!] Но после этого необходимо сделать выполнить следующее:

1) Установите WinRoute на нужной машине (смотрите главу Установка).
2)Остановите WinRoute Firewall Engine.
3) Скопируйте резервные копии конфигурационных файлов host.cfg, logs.cfg, users.cfg и winroute.cfg в директорию установки WinRoute (обычно C:\Program Files\Kerio\WinRoute Firewall).
4) Запустите WinRoute Firewall Engine.

WinRoute сам обнаружит нужные файлы. В данном процессе ,в системе будут обнаружены неизвестные сетевые интерфейсы (которые не определены в файле winroute.cfg ) .Каждый сетевой интерфейс включает в себя уникальный идентификатор (случайно сгенерированный) в операционной системе. Практически не возможно чтобы два идентификатора совпадали.

Для избежания настройки новых интерфейсов и изменений правил траффика (traffic rules), вы можете присвоить идентификатор нового интерфейса, старому интерфейсу в файле winroute.cfg.

4) Остановите WinRoute Firewall Engine.

Используйте простой текстовый редактор (например Notepad ) чтобы открыть winroute.cfg. Найдите кусок текста:

<list name="Interfaces">

Посмотрите содержимое этой секции (между открывающим и закрывающими тэгами), и найдите секции старого и нового интерфейсов, замените идентификатор старого интерфейса идентификатором нового.Удалите секцию нового нового интерфейса.

Пример: Название интерфейса локальной сети LAN. Это сетевое соединение обозначается как Local area connection в новой операционной системе. присутствуют оба интерфейса, задача подменить идентификатор старого интерфйса новым, чтобы использовались настройки старого:

<listitem>
<variable name="Id">\DEVICE\
{7AC918EE-3B85-5A0E-8819-CBA57D4E11C7}</variable>
<variable name="Name">LAN</variable>
...
</listitem>
<listitem>
<variable name="Id">\DEVICE\
{6BF377FB-3B85-4180-95E1-EAD57D5A60A1}</variable>
<variable name="Name">Local Area Connection</variable>
...
</listitem>

Скопируйте идентификатор интерфейса Local Area Connection в интерфейс LAN . Удалите информацию о интерфейс Local Area Connection (соответствующий элемент listitem).

Когда все изменения будут совершены, файл конфигурации будет выглядеть вот так:

<listitem>
<variable name="Id">\DEVICE\
{6BF377FB-3B85-4180-95E1-EAD57D5A60A1}</variable>
<variable name="Name">LAN</variable>
...
</listitem>
Сохраните winroute.cfg и запустите WinRoute Firewall Engine.
После такой процедуры настройки WinRoute идентичны настройкам исходного сервера WinRoute, в предыдущей операционной системе.
Автор: Sanserif
Дата сообщения: 01.05.2006 01:41
ОК, понял. Спасибо за такое подробное разжовование!=)

Такой вопрос, если требуется сохранить только
настройки правил для нета(трафик)
база юзеров
база логов

то можно пропустить настройки подключений?
Автор: Mikes
Дата сообщения: 01.05.2006 15:36
Sanserif
только в том случае если имена подключений будут совпадать..

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.