» Kerio WinRoute Firewall (часть 2)

Всё читать к сожалению возможности нет...

и так...

имеем
Athlon 64 x2
Windows Server 2003

можно ли как нить принудительно посадить сервис керио на одно определённое (допустим первое) ядро? в настройках такого точно нету, может в строку запуска что то надо прописать?

gMaX
В диспетчере задач, на вкладке процессы найди процесс сервиса kerio, на нём правой кнопкой мыши - Задать соответствие.

Добавлено:
gMaX
А вообще где-то видел такую штуку - балансировщик нагрузки процессоров, там достаточно много настроек по загрузке, помоему даже что-то типа квот пользователям есть.

Добавлено:
Vsevolod
Включи протокол инспектор для FTP, если он у тебя отключен.

Собрался переводить одноранговую сеть на 10+10+1 (две подсети + сервер на мультихомном W2003 как контроллер домена). В данный момент гейтом служит обычный XP (wingate + firewall).

Несколько моментов заинтересовали:
1. Будут ли конфликты сабжа с W2003 (SP1);
2. Будут ли конфликты сабж с ISA (и нужна ли ISA вообще, если собираюсь ставить сабж?);
3. Как сабж дружит с прокси (в моём случае - с wingate);

Сейчас NAT, открытый моим прокси, меня устраивает полностью (не нужно всяких настроек по портам, и прочих ньюансов. Просто слежу за общим состоянием сети, и наличием/отсутствием атак и фиша).
Канал: ADSL.

Ещё один момент: нужно будет сделать так, чтобы в обеих подсетях работал внутренний локальный чат (вместо коммутаторов), но ни файлы, ни принтеры доступны не были. Поддерживает ли сабж такой тюнинг?


Всем спасибо.

sarti
1. Не будут.
2. ISA не нужна, сабж делает практически то-же самое, что и ISA, да и конфликтовать поидее будут.
3. Сабж сам является прокси, каскадирование присутствует.

По поводу чата, я думаю такое реально сделать, если речь идёт об обмене файлами между подсетями.

По сути сабж - есть файервол+прокси+впн, так же там присутствует фильтрация контента, антивирусная проверка, DHCP сервер, возможность брать юзеров из Active Directory, DNS форвардер, логи и алерты.

Kokos06, благодарю


Убежал в варезник )))

Может кто сказать, поставил САБЖ, а у меня не стартует сервис и ручками тоже не пущается. В логе след. ошибка:

Цитата:

Event Type:    Error
Event Source:    Service Control Manager
Event Category:    None
Event ID:    7024
Date:        11/22/2006
Time:        10:02:42
User:        N/A
Computer:    TERMINAL
Description:
The Kerio WinRoute Firewall service terminated with service-specific error 1 (0x1).

Система Win2003 Server R2 64-bit
В мануале написано, что поддерживаются 64-битные системы, тока там правда за VPN Client описано тока.
Может кто-нить объяснить? Версия последняя 6.2.3.2027

Вопрос снят:
At this time we do not support KWF under Windows 64-bit edition. We do have a suggestion on file with our development team to see if this can be supported in a future release.

Kokos06
через ctrl+alt+del получишь "Отказанов доступе"

Если только через сторонние программы

_но_ хочется, чтобы автоматически было, т.е как загрузилось сразу назначилось определённому ядру.

Всем привет.

Вопрос:

Есть домен NT, есть proxy с Windows XP Pro для выхода в инет. На нем стоят два сетевых интерфейса Realtek 8139 и 3Com (внешний). Маршрутизирует WinRoute 4.2.1. Proxy введен в домен, вхожу на него с правами администратора домена. Но периодически не могу подключится администратором WinRoute - не проходит авторизация (было такое, что ни с прокси, ни на него пропадал доступ к сетевым ресурсам, но отключением клиента MicroSoft на внешнем адаптере этот вопрос вроде решился). Когда отключаю внешний интерфейс, все начинает работать. После того как включу его, какое-то время все работает, потом та же фигня. Такое впечатление, что комп пытается связаться с доменом через внешний интерфейс, а когда он выключен, то делает это через внутрений...

Раньше все было нормально и таких проблем не было. Потом поменял карточку которая стояла на внешнем интерфейсе (была тоже Realtek 8139) и в реестре переправил настройки WinRoute на новую карту.

В чем проблема? Как её решить?

gMaX

Цитата:

через ctrl+alt+del получишь "Отказанов доступе"

А если попробовать сервис стартовать под другой учётной записью - не system?

Добавлено:
gMaX
hттp://www.microsoft.com/downloads/details.aspx?FamilyID=848306ef-f57e-4b3f-984d-50e9bca44383&DisplayLang=ru
посмотри вот это

Mikes

Цитата:

Vsevolod
какая именно проблема с ftp ... подробнее можно?
для работы в пассивном режиме надо добавить порты 50000-65535 .... (ну или сузить круг...)

200 TYPE is now ASCII
451 Passive mode denied by firewall

Vsevolod
Что насчёт протокол инспектора, включен или нет?

Kokos06
как FTP

хотя, вот попробывал, если изменить на none, то работает :/

Vsevolod
Поидее должно работать со включенным инспектором по FTP, у меня по крайней мере были подобного рода проблеммы, когда я его отключил.

Кто подскажет какой программой порезать скрость интернета для юзеров???

Kokos06
а у меня как раз наоборот

И ещё маленький вопрос. Открыто из инета, как и положено (даже мастером сделал в трафик политике, чтобы навернека) http и ftp (ftp с переадресацией MAP...)? но не заходит на них и всё.

Vsevolod

Цитата:

И ещё маленький вопрос.

Cамо правило посмотреть бы.

Service HTTP
интернет
firewall
HTTP
разрешить (галочка)

и второе
Service FTP
интернет
firewall
FTP
разрешить (галочка)
MAP 192.168.0.2

итак, вроде бы на http я разрешил в http policy создал правила, что можно любому, даже не авторезированому на *10.0.1.2* (это адрес моей внешней сети) и на http вроде заходит, а вот чтобы работало ftp я пока не понял.

Vsevolod
для ftp надо давать разрешения в ftp policy
Saftor

Цитата:

Кто подскажет какой программой порезать скрость интернета для юзеров???

а чем тебя встроенный Bandwidth Limiter не устраивает

noblekey
Так я понял что он может резать только соединение интернета сразу всем пользователям, а я хочу одному такое, другому такое!

Vsevolod
Помимо галочки "разрешить", слева от названия правила должна стоять ещё галочка, что правило включено в обрабоку. Вообще сделай так - в траффик полиси, в последнем правиле, то что по умолчанию блокирует всё, включи лог и смотри в логах в разделе filter, что откуда блокируется при попытке зайти на ftp. Я так понял, что сам сервис FTP у тебя находится на машине в локалке с адресом 192.168.0.2. Не стоит ли других файерволов на пути траффика? Включи всётаки протокол инспектор для FTP и убери лишние правила, разрешающие входящие подключения (вроде в предыдущих сообщениях тебе советывали открыть диапазоны портов - это дыра в безопасности, у меня всё наглухо закрыто извне и всё работает и сервер и клиенты). На стандартных ли портах прослушивает FTP сервер входящие подключения? Нет ли каких запрещающих правил выше по списку в траффик полиси? Работает ли этот FTP в локалке, в том смылсе, что получается ли к нему подключиться с компьютеров в локальной сети?

Saftor
он будет резать тех пользователей у которых выставлено использовать ограничения Bandwidth Limiter

Vsevolod
У клиентов прописан прокси в настройках браузера?
noblekey

Цитата:

для ftp надо давать разрешения в ftp policy

достаточно просто не запрещать, но похоже это не тот случай. ftp policy - это контентная фильтрация для пользователей прокси.

Kokos06

Цитата:

ftp policy - это контентная фильтрация для пользователей прокси

не только, по умолчанию в фтп полиси запрещено даже передача команд rest и stor на любые фтр сервера, а на владке адвансенд настраивается запрет на любые команды

noblekey
Да, но работает это на уровне приложения, где и работает прокси сервер винроута. Здесь речь идёт о фильтрации траффика, а это сетевой и транспортные уровни, до фильтрации на уровне прприложения дело не доходит.

Добавлено:
единственное, ещё может всё тот-же протокол инспектор, если он включен, обрабатывать ftp, http и прочие заголовки для своих протоколов и применять правила согласно всё той-же контентной фильтрации.

Может кто сталкивался с такой проблемой:
на терминальный севрер установлен последний winroute (6.2.3-2027), разрешены все правила.
Если с терминалки запускать приложение, которое подключается к БД с Oracle, то после 40 минут простоя (неактивности в сеансе), winroute рвет соединение с базой. Причем терминальная сессия не отрубается и все другие запущенные апликации работают. Соединение проходит по порту 1521. Все настройки на тайм ауты в винроуте выключены. Специально поставил ISA, там соединение не обрубается. Если есть гуру, подскажите плз.

PS: Winroute использую года три, подобных проблем не было. Очень не хояется отказываться от любимого фаера в пользу мелкомягких.

Цитата:

Vsevolod
для ftp надо давать разрешения в ftp policy

пытался, не вышло


Цитата:

Vsevolod
Помимо галочки "разрешить", слева от названия правила должна стоять ещё галочка, что правило включено в обрабоку.

стоит, я же написал "разрешено"


Цитата:

Не стоит ли других файерволов на пути траффика?

нет


Цитата:

Vsevolod
У клиентов прописан прокси в настройках браузера?

нет

насчёт лога завтра гляну.

Подскажите плиз неопытному:
Без кери Интернет конектиться, а как только её врубишь – не хочет.
Какие правила и настойки в винроуте необходимо сделать. И если можно поподробней.
Заранее спасибо

Цитата:

Vsevolod
У клиентов прописан прокси в настройках браузера?


нет

попробуй прописать и включить протокол инспектор

я не буду включать прокси, только НАТ. Прокси у меня для другого.

Господа, а задача с раздачей Инета в связке спутник+земля так и не решена?
Может кто какие другие решения нашел, отпишите в ПМ, если не затруднит =)