» Kerio WinRoute Firewall (часть 2)

vicpo
[09/12/2006 15:31:15] VPN driver opened, MAC = 44:45:53:54:10:60
[09/12/2006 15:31:15] VPN routing table monitor started
[09/12/2006 15:31:18] GUI: connecting to '195.151.226.129'
[09/12/2006 15:31:18] D[VPN client] VPNClient[0001] - connecting to 195.151.226.129:4090, username Terem
[09/12/2006 15:31:18] D[VPN client] VPNClient[0001] - server name resolved - 195.151.226.129
[09/12/2006 15:31:18] D[VPN client] VPNClient[0001] - route to server added, gw = 83.219.130.240 (adapter 0x20005)
[09/12/2006 15:31:18] D[VPN client] VPNClient[0001] - local TCP address = 83.219.130.240:3626
[09/12/2006 15:31:18] D[VPN client] VPNClient[0001] - SSL connection successfully established
[09/12/2006 15:31:18] D[VPN SSL] Certificate checked, result = 0x00000805, revocation checking disabled in Internet Options
[09/12/2006 15:31:19] D[VPN client] VPNClient[0001] - sending VERSION message, version = 2
[09/12/2006 15:31:19] D[VPN client] VPNClient[0001] - received VERSION message, version = 2
[09/12/2006 15:31:20] D[Cipher] BLF[0/0]: generating blowfish parameters
[09/12/2006 15:31:20] D[Cipher] BLF[0/0]: allocated memory for blowfish cipher configuration.
[09/12/2006 15:31:20] D[Cipher] BLF[0/0]: blowfish parameters randomized
[09/12/2006 15:31:20] D[Cipher] BLF[0/0]: blowfish parameters generated
[09/12/2006 15:31:20] D[Cipher] BLF[0/0]: generating config message
[09/12/2006 15:31:20] D[Cipher] BLF[0/0]: generating config message
[09/12/2006 15:31:21] D[VPN client] VPNClient[0001] - received R_IPCONFIG message, IP = 192.168.1.3/255.255.255.0, CEP = 3600 s.
[09/12/2006 15:31:21] D[VPN client] VPNClient[0001] - connection added in driver.
[09/12/2006 15:31:21] D[Cipher] BLF[0/0]: generating config message
[09/12/2006 15:31:21] D[Cipher] BLF[0/0]: generating config message
[09/12/2006 15:31:21] D[VPN client] VPNClient[0001]: primary cipher added in driver
[09/12/2006 15:31:21] D[VPN client] VPNClient[0001] - driver started sending secret to 195.151.226.129:4090.
[09/12/2006 15:31:21] D[VPN client] VPNClient[0001] - waiting for SECRET_RECEIVED from 195.151.226.129:4090
[09/12/2006 15:31:21] D[VPN client] VPNClient[0001] - SECRET_RECEIVED received
[09/12/2006 15:31:21] D[VPN client] VPNClient[0001] - driver stopped sending secret to 195.151.226.129:4090.
[09/12/2006 15:31:21] D[KRIPL] VPNClient[0001] - maintenance started
[09/12/2006 15:31:21] D[KRIPL] VPNClient[0001] - route 192.168.1.0/255.255.255.0 (loc/added) added into list
[09/12/2006 15:31:21] D[KRIPL] VPNClient[0001] - maintenance done
[09/12/2006 15:31:21] ОК (10): Соединение установлено успешно.
[09/12/2006 15:31:21] D[VPN client] VPNClient[0001] - received ROUTES message
[09/12/2006 15:31:21] D[KRIPL] VPNClient[0001] - maintenance started
[09/12/2006 15:31:21] D[KRIPL] VPNClient[0001] - system route 192.168.100.0/255.255.255.0 not added into list (already exists in system routing table)
[09/12/2006 15:31:21] D[KRIPL] VPNClient[0001] - maintenance done
[09/12/2006 15:32:21] D[VPN client] VPNClient[0001] - sending Q_KEEPALIVE message
[09/12/2006 15:32:22] D[VPN client] VPNClient[0001] - received R_KEEPALIVE message
[09/12/2006 15:33:21] D[VPN client] VPNClient[0001] - sending Q_KEEPALIVE message
[09/12/2006 15:33:21] D[VPN client] VPNClient[0001] - received R_KEEPALIVE message
[09/12/2006 15:34:21] D[VPN client] VPNClient[0001] - sending Q_KEEPALIVE message
[09/12/2006 15:34:21] D[VPN client] VPNClient[0001] - received R_KEEPALIVE message
[09/12/2006 15:35:21] D[VPN client] VPNClient[0001] - sending Q_KEEPALIVE message
[09/12/2006 15:35:21] D[VPN client] VPNClient[0001] - received R_KEEPALIVE message
[09/12/2006 15:36:16] GUI: disconnecting from '195.151.226.129'
[09/12/2006 15:36:16] Ошибка (142): Соединение закрыто.

yurkovsky
А вот не надо про блокинг.
Только недавно гонял на тестах свой почтовик который сидит на машине с квф и ещё один тестовый на другой машине в сети, Прекрасно на тлс переключались и работали. При этом PI на квф включен.

dimchik2002
Имхо, лехче ип адреса их банить.

igorkor1
Таже проблема, чем больше качаеш тем больше идёт завышение, заметил ещё до 6.2 линейки

Garreth
Если в его папке есть файлики с раширением bak рекомендую грохнуть. Эта зараза может из них инфу восстаналивать. Встретил такие грабли както давно.

Pub
Помоему вот ответ на ваш вопрос какраз:
http://forum.ixbt.com/topic.cgi?id=7:12821#1091

Bear39
а логи из filter можешь выложить?

Здравствуйте, простите, наверное за примитивный вопрос,
может ли кто из участников форума выслать мне или сообщить ссылку на реально работающий комплекс основных настроек KWF и KMS при условии, что они подняты на одном сервере? То есть, чтоб не конфликтовали на одном компе (Traffic Policies и пр.).
Спасибо огромное!

vicpo

вот логи фильтра, но тут имхо ничего нет:

6 13:54:17] PERMIT "FTP" packet from Эквант, proto:TCP, len:48, ip/port:83.219.130.240:3954 -> 195.151.226.129:21, flags: SYN , seq:2696648828 ack:0, win:65535, tcplen:0
[09/Dec/2006 13:54:17] PERMIT "FTP" packet to Эквант, proto:TCP, len:48, ip/port:195.151.226.129:21 -> 83.219.130.240:3954, flags: SYN ACK , seq:1881157261 ack:2696648829, win:16384, tcplen:0
[09/Dec/2006 13:54:17] PERMIT "FTP" packet from Эквант, proto:TCP, len:40, ip/port:83.219.130.240:3954 -> 195.151.226.129:21, flags: ACK , seq:2696648829 ack:1881157262, win:65535, tcplen:0
[09/Dec/2006 13:54:17] PERMIT "FTP" packet to Эквант, proto:TCP, len:89, ip/port:195.151.226.129:21 -> 83.219.130.240:3954, flags: ACK PSH , seq:1881157262 ack:2696648829, win:65535, tcplen:49
[09/Dec/2006 13:54:17] PERMIT "FTP" packet from Эквант, proto:TCP, len:40, ip/port:83.219.130.240:3954 -> 195.151.226.129:21, flags: ACK , seq:2696648829 ack:1881157311, win:65486, tcplen:0
[09/Dec/2006 13:54:18] PERMIT "FTP" packet from Эквант, proto:TCP, len:46, ip/port:83.219.130.240:3954 -> 195.151.226.129:21, flags: ACK PSH , seq:2696648829 ack:1881157311, win:65486, tcplen:6
[09/Dec/2006 13:54:18] PERMIT "FTP" packet to Эквант, proto:TCP, len:54, ip/port:195.151.226.129:21 -> 83.219.130.240:3954, flags: ACK PSH , seq:1881157311 ack:2696648835, win:65529, tcplen:14
[09/Dec/2006 13:54:18] PERMIT "FTP" packet from Эквант, proto:TCP, len:40, ip/port:83.219.130.240:3954 -> 195.151.226.129:21, flags: RST ACK , seq:2696648835 ack:1881157311, win:0, tcplen:0
[09/Dec/2006 13:54:18] PERMIT "FTP" packet from Эквант, proto:TCP, len:40, ip/port:83.219.130.240:3954 -> 195.151.226.129:21, flags: RST , seq:2696648835 ack:2696648835, win:0, tcplen:0
[10/Dec/2006 07:08:46] PERMIT "FTP" packet from Эквант, proto:TCP, len:44, ip/port:88.210.52.26:54235 -> 195.151.226.129:21, flags: SYN , seq:3401978774 ack:0, win:1024, tcplen:0
[10/Dec/2006 07:08:46] PERMIT "FTP" packet to Эквант, proto:TCP, len:44, ip/port:195.151.226.129:21 -> 88.210.52.26:54235, flags: SYN ACK , seq:3862620523 ack:3401978775, win:16384, tcplen:0
[10/Dec/2006 07:08:52] PERMIT "FTP" packet to Эквант, proto:TCP, len:44, ip/port:195.151.226.129:21 -> 88.210.52.26:54235, flags: SYN ACK , seq:3862620523 ack:3401978775, win:16384, tcplen:0
[10/Dec/2006 07:08:58] PERMIT "FTP" packet to Эквант, proto:TCP, len:44, ip/port:195.151.226.129:21 -> 88.210.52.26:54235, flags: SYN ACK , seq:3862620523 ack:3401978775, win:16384, tcplen:0
[10/Dec/2006 07:09:44] PERMIT "FTP" packet from Эквант, proto:TCP, len:64, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: SYN , seq:3270487101 ack:0, win:65535, tcplen:0
[10/Dec/2006 07:09:44] PERMIT "FTP" packet to Эквант, proto:TCP, len:64, ip/port:195.151.226.129:21 -> 88.210.52.26:64235, flags: SYN ACK , seq:1487425947 ack:3270487102, win:16384, tcplen:0
[10/Dec/2006 07:09:44] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK , seq:3270487102 ack:1487425948, win:65535, tcplen:0
[10/Dec/2006 07:09:44] PERMIT "FTP" packet to Эквант, proto:TCP, len:101, ip/port:195.151.226.129:21 -> 88.210.52.26:64235, flags: ACK PSH , seq:1487425948 ack:3270487102, win:65535, tcplen:49
[10/Dec/2006 07:09:44] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK , seq:3270487102 ack:1487425997, win:65535, tcplen:0
[10/Dec/2006 07:09:44] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK , seq:3270487102 ack:1487425997, win:65535, tcplen:0
[10/Dec/2006 07:09:44] PERMIT "FTP" packet from Эквант, proto:TCP, len:68, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK PSH , seq:3270487102 ack:1487425997, win:65535, tcplen:16
[10/Dec/2006 07:09:45] PERMIT "FTP" packet to Эквант, proto:TCP, len:90, ip/port:195.151.226.129:21 -> 88.210.52.26:64235, flags: ACK PSH , seq:1487425997 ack:3270487118, win:65519, tcplen:38
[10/Dec/2006 07:09:45] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK , seq:3270487118 ack:1487426035, win:65535, tcplen:0
[10/Dec/2006 07:09:45] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK , seq:3270487118 ack:1487426035, win:65535, tcplen:0
[10/Dec/2006 07:09:45] PERMIT "FTP" packet from Эквант, proto:TCP, len:68, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK PSH , seq:3270487118 ack:1487426035, win:65535, tcplen:16
[10/Dec/2006 07:09:45] PERMIT "FTP" packet to Эквант, proto:TCP, len:52, ip/port:195.151.226.129:21 -> 88.210.52.26:64235, flags: ACK , seq:1487426035 ack:3270487134, win:65503, tcplen:0
[10/Dec/2006 07:09:45] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK , seq:3270487134 ack:1487426035, win:65535, tcplen:0
[10/Dec/2006 07:09:48] PERMIT "FTP" packet to Эквант, proto:TCP, len:86, ip/port:195.151.226.129:21 -> 88.210.52.26:64235, flags: ACK PSH , seq:1487426035 ack:3270487134, win:65503, tcplen:34
[10/Dec/2006 07:09:48] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK , seq:3270487134 ack:1487426069, win:65535, tcplen:0
[10/Dec/2006 07:09:48] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK , seq:3270487134 ack:1487426069, win:65535, tcplen:0
[10/Dec/2006 07:09:48] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: FIN ACK , seq:3270487134 ack:1487426069, win:65535, tcplen:0
[10/Dec/2006 07:09:48] PERMIT "FTP" packet to Эквант, proto:TCP, len:52, ip/port:195.151.226.129:21 -> 88.210.52.26:64235, flags: ACK , seq:1487426069 ack:3270487135, win:65503, tcplen:0
[10/Dec/2006 07:09:48] PERMIT "FTP" packet to Эквант, proto:TCP, len:52, ip/port:195.151.226.129:21 -> 88.210.52.26:64235, flags: FIN ACK , seq:1487426069 ack:3270487135, win:65503, tcplen:0
[10/Dec/2006 07:09:48] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: FIN ACK , seq:3270487134 ack:1487426069, win:65535, tcplen:0
[10/Dec/2006 07:09:48] PERMIT "FTP" packet to Эквант, proto:TCP, len:52, ip/port:195.151.226.129:21 -> 88.210.52.26:64235, flags: ACK , seq:1487426070 ack:3270487135, win:65503, tcplen:0
[10/Dec/2006 07:09:48] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK , seq:3270487135 ack:1487426069, win:65535, tcplen:0
[10/Dec/2006 07:09:48] PERMIT "FTP" packet from Эквант, proto:TCP, len:52, ip/port:88.210.52.26:64235 -> 195.151.226.129:21, flags: ACK , seq:3270487135 ack:1487426070, win:950, tcplen:0



Добавлено:
vicpo

А вообще я так понимаю:

У меня две подсетки, как бы. Одна реальная, другая виртуальная. Чтоб клиент и локалка видели друг друга нужно чтоб пакеты одной форвардились в другую, и наоборот. Чтоб такое происходило, на маршрутизаторе (все тот же винрут) нужно это настроить. Но вообщем-то смысл заключается в установке винрута-фаервола основным шлюзом для каждой из подсетей и настройке на нем форвардинга. Я правильно понимаю?
Как это сделать?

Bear39

Раз ты пишешь, что пинги проходят с удаленной машины на фаервол, то коннект есть.
Сделай на той машине к которой хочешь подключать удаленного клиента шлюзом по умолчанию winroute.
Настрой правило с vpn соединения - ip сервера к которому будешь подключаться и нужные сервисы(что будешь использовать).
Для начала попробуй с пингами.

Garreth, думаю что вопрос уже решил, но на будущее, такие фишки не прокатывают, чтоб не мусолить проблему, посмотри мануал, там описано как надо переносить настройки и почему. Тут точно это описано.

AnLe

Цитата:

Pub
Помоему вот ответ на ваш вопрос какраз:
http://forum.ixbt.com/topic.cgi?id=7:12821#1091

Да я тоже так думал, уже пробовал но не работает, не хочет Керио кидать пакеты на интерфейс который у него не назаначен как шлюз по умолчанию. И маршруты прописывал в сетку второго прова ничего. Вот если прописать маршрут к конкретной подсети или хосту, то конечно работает, а вот чтоб на все так не получается. Может обсудим вместе почему не работает? Ведь тема периодически всплывает. IMHO - тут трабла не самом Керио, а в Винде, точнее её механизмах работы с несколькими шлюзами по умолчанию. Тут vicpo сказал что так настроить как я хочу невозможно, опираясь на горький опыт трах*нья с данной проблемой я тоже склоняюсь к такой мысли, но все же хотелось бы чтобы и другие люди высказали свои мысли на этот счет.

Приведу что у меня получается:
На шлюзе (WinServ2003+Kerio 6.2.3 2027) есть три сетевых подключения:
LAN - 192.168.101.0
Inet1(VPN) - 217.117.x.x
Inet2(ADSL) - 82.207.x.x

dest mask gate iface metric
0.0.0.0 0.0.0.0 82.207.x.x 82.207.x.x 1
82.207.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50
82.255.255.255 255.255.255.255 82.207.x.x 82.207.x.x 50
217.117.x.0 255.255.255.0 217.117.x.x 217.117.x.x 3
217.117.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50
217.117.x.255 255.255.255.255 217.117.x.x 217.117.x.x 50
Основной шлюз: 82.207.x.x
===========================================================================
Постоянные маршруты:
Отсутствует

Итог - пакеты идут только через 82.207.x.x, независимо от того что указано в ТрафикПолиси. Более полная конфигурация вместе с политиками трафика описана в моем посте на предыдущей странце.

Доброго времени суток.
У меня стоит Win Xp sp2,
AVP Kas.5/0/227,
KWF 6.0.8. Соединение по Диал_АП.
КАК настоить правильно своими ручкам?
Соединяюсь по Диалу инет работает. Запускаю Керио инет перестает работать, и не могу никому его дать, юзеры введины. Что и где нужно подправить?
Адресс внутреней сетки 192,168,*,*. ДНС не настраивал, все компы под рабочей группой WORK.
Подскажите с чего начать, крыша едит.

DrSem

Удали каспер и попробуй. У меня керио с каспером после продолжительного боя так и не заработал...=)
А вообще начни с правил.

Pub,
======
VIP 101.2 Any Any Permit NAT 82.207.x.x - должно работать
======
Proxy 101.1, 101.3-101.253 Any TCP8080 Permit NAT 217.117.x.x
- есественно что не работает: во-1-х: прокси-соединения не относятся как НАТу никаким боком, а представляют собой 2-хступенчатое TCP-соединение: клиент внутренней сети->фаер, фаер->Инет, при этом эти соединения разруливаются согласно трафик полисям
отсюда следует что правило вообще не работает, так как оно было задумано;
2-ое: даже если бы ты что то и НАТил на 217.117.x.x то согласно записи в таб-це марш-ции 217.117.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50 пакет перебросится на 127.0.0.1
и при этом будет иметь инетовский адрес сети назначения(и ХЗ какой, если б знали, то можно было бы
Цитата:

...прописать маршрут к конкретной подсети или хосту.

) и соотв-но пойдет уже на дефолт гейтвей
======
IT (ipшники отдела айти) Any Any Permit NAT 82.207.x.x -тоже вроде должно работать
======
У тебя что получилось: прокся инициализируется на 217.117.x.x, цепается клиент,
пакет проходит от клиента к 217.117.x.x, а от 217.117.x.x смотрит таблицу мар-ции
но не находя таковую использует 0.0.0.0 0.0.0.0 82.207.x.x 82.207.x.x 1
--------------------------------------------------------------------------
Итого: ХЗ что можно сделать... =)

ЗЫ: все вышеизложенное носит ИМХО-харакер, естесно могу ошибаться, рад буду, если поправите и объясните, пытался помочь в рамках
Цитата:

Может обсудим вместе почему не работает? Ведь тема периодически всплывает.

ребят вот такой вопрос, дали мне задание настроить Kerio Winroute Firewall. Все настройки поставлены необходимо только в Traffic Policy настроить HTTPS для того чтобы юзеры в сети могли заходить на secure-сайты, например на GMAIL. Так вот я воспольовался Wizard-ом, он все сконфигуировал по умолчанию, кроме этого правила, не врубаюсь как быть дальше.. может подскажите какое-нибудь универсальное решение данной задачи??

AnLeТы, видать, о принципах работы TLS ничего не знаешь. Скорее всего у тебя для локалки и для входящего смтп на внешнем интерфейсе инспектор протоколов отключен.
Не может инспектор проверять трафик, который зашифрован, никак, т.к. приватный ключ у почтовика, и врядли он его фаерволу отдаст

tigranmuradyan
В раздел SERVICE внести сервис HTTPS

Здравствуйте, простите, наверное за примитивный вопрос,
может ли кто из участников форума выслать мне или сообщить ссылку на реально работающий комплекс основных настроек KWF и KMS при условии, что они подняты на одном сервере? То есть, чтоб не конфликтовали на одном компе (Traffic Policies и пр.).
Спасибо огромное!

Как-то не охота каспера сносить.
С правилами разобрался все гуд. Но не работает. А подружить каспера с керио можно, если да то как?

дубль два разбирательств с proxomitron. вроде настроил его как хотелось, прописал его как parent proxy в kwf, все работает, но! после этого перестаеться считаться трафик по отдельным пользователям... эксперимент показал что если parent proxy находиться во внутренней сети, то трафик не считается, если в интернете, то все считается как надо.. в лог же всегда пишеться правильно и внешний анализатор считает хорошо, но при этом не работают квоты...
и еще вопрос по квотам, при их привышении у меня отрубаеться все, даже нат, который разрешен всем и всегда (аська, почта)... как бы отрубать только доступ к прокси?

yurkovsky
Нет. Серваки в инете сидят а не в локалке, вот пример заголовка при посылке письма с одного на другой:
Received: from evil.domain.ru ([1.2.3.4])
    by diabolo.domain.com
    (using TLSv1/SSLv3 with cipher AES256-SHA (256 bits))
    for me@diabolo.domain.com;
    Tue, 12 Dec 2006 09:30:07 +0300

Показать дебаг керио об успешном переходе на тлс?

А для особо упёртых:
Открываем консоль квф, configuration - antivirus - email scaning - allow client to use tls connections
И ниже сразу напоминание что это зашифрено и не будет посканено.

Счастье есть, тока надо быть внимательнее к настройкам

ICY_fire

Цитата:

2-ое: даже если бы ты что то и НАТил на 217.117.x.x то согласно записи в таб-це марш-ции 217.117.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50 пакет перебросится на 127.0.0.1

Ты не заметил также что в таблице марш-ции присутствует запись:
217.117.x.0 255.255.255.0 217.117.x.x 217.117.x.x 3
И у неё метрика 3, а это меньше чем у маршрута
217.117.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50
значит пакет как раз должен бросаться на 217.117.x.x. Но можно забить пока на прокси, она нужна была лишь для того, чтобы Я мог переключаться с одного провайдера на другого не изменяя правил, т.е. захотел поставил в настройках флешгета прокси, а в настройках браузера не поставил, и получается что качаю через одного прова, а серфлюсь через другого.
Я пытался просто с помощью ната одни апишники заставить ходить через один внешний интерфейс, а других через другой. Как это описано на Хоботе http://forum.ixbt.com/topic.cgi?id=7:12821#1091. Но нифига не получается. Пакеты идут только через ифейс кот. прописан как шлюз по умолчанию:
0.0.0.0 0.0.0.0 82.207.x.x 82.207.x.x 1
Две таких записи с одинаковой метрикой только на разные айпишники как известно не может быть, поэтому пока один ифейс пропускает через себя все пакеты, второй курит в сторонке. И только в случае отключения первого, второй занимает его место, но мне так не надо, мне нужно два соединения одновременно.
В любом случае спасиб что попытался разобраться.

Pub

Цитата:

2-ое: даже если бы ты что то и НАТил на 217.117.x.x то согласно записи в таб-це марш-ции 217.117.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50 пакет перебросится на 127.0.0.1

да, глупость сморозил... он сразу на дефолт гейтвей попадет //исправлено.
Смысл твоей задачи я понял... но не понял как возможно это реализовать, не зная конкретного адреса или подсети для маршрутизации для второго инетовского интерф-са.
Может тебе простой железячный роутер поставить между локалкой и INET2, или модем с ф-ей роутера и пустить тех что должны ходить через НАТ сабжа напрямую через него? Я себе домой ADSL-модем-роутер брал, стоит недорог, можно и в целях экскеремента купить... =)

AnLe
Блин, а на правиле для входящих смтп соединений у тебя стоит протокол инспектор для смтп?
Если его убирать, что и пришлось сделать, то все действительно работает.
А с вкюченнон инспектором на команду STARTTLS фаер отдает 454 TLS Denied by Firewall

Возможно у тебя для серваков есть отдельное правило, которое и срабатывает.

ps: а антивирус на почтовике вообще отключен.

Не могу раздать доступ юзерам. Керио 6.0.8. Сеть без домена.
Сетка ЛОКАЛ 192,168,*,2 маска 255.255.255.0.
Какие настройки в трафике поставить? И на задкладке ПРОКСИ СЕРВЕР?

yurkovsky
Да стоит отдельным правилом. Но на нём включен в дефолт ПИ.
Фаер так будет ругаться на команду если не стоит галочки:
configuration - antivirus - email scaning - allow client to use tls connections

Я специально убрал и после этого на старттлс к машине с квф и кms получил такую ругань. Поставил обратно, всё зарулило опять.

Такчто остаётся курить по какой причине у вас там такие косяки...

Прошу прощения за простой вопрос - только еще начинаю разбираться к KWF - в чем особая разница - скачивать с McAfee или без?

Я лично не очень хорошо отношусь к зарубежным антивирусам - больше доверяю отчественным

Можно потом будет интегрировать что то из наших и какой лучше?

tl2002
ну вот сам и ответил... если не нравятся McAfee юзай любой другой плагин.. VisNetic например с базами от касперского

Цитата:

AnLe

Ну так говорю же, что глюк там...
1) Не работает ТЛС
2) Включаю антивирус, ставлю галку "allow client to use tls" - работает
3) Выключаю антивирус - работает
4) Снова включаю антивирус, убираю галку, выключаю антивирус - НЕ работает.

А вот без включенного антивируса эта галка недоступна.

Глюк видать... Можешь проверить?

Цитата:

В раздел SERVICE внести сервис HTTPS

Все дело в том что, такой сервис уже там присутствует

//ОТРЕДАКТИРОВАНО
извиняйте Шеф весь мозг измутузил уже не думал тогда.
опешу сейчас .
Стоит KWF 6.2.2 (1746).Поставили и настроили локально KMS 6.2.2(1801).
Всё работало замечательно и все интернет приложения запускалися, но когда прописали KMS 6.2.2(1801) во внешнюю зону пересталось запускатца LineAge2.
В настройках Фаирвола не менял нечего. Вот в чём и заключался вопрос.

Drobic блин, ты бы еще по 10 разделителей строк вставлял после каждого предложения... =( И с такой формулировкой проблемы тебе никто скорее всего не поможет. Сделай скриншот трафик полисей, посмотри логи сабжа, как у тя QIP в инет выходит? НТТР(S) НАТом или проксёй разруливется? Lineage2 какой порт вообще использует???

Цитата:

но тут мы поставили КМС и открыли доступ в Инет

т.е. до этого у вас не было доступа в инет, а сабж стоял??? -не понимаю...

tigranmuradyan

Цитата:

ребят вот такой вопрос, дали мне задание настроить Kerio Winroute Firewall. Все настройки поставлены необходимо только в Traffic Policy настроить HTTPS для того чтобы юзеры в сети могли заходить на secure-сайты, например на GMAIL. Так вот я воспольовался Wizard-ом, он все сконфигуировал по умолчанию, кроме этого правила, не врубаюсь как быть дальше.. может подскажите какое-нибудь универсальное решение данной задачи??

если используешь NAT то добавь в правило которое NAT сервис https
если прокси .. то разреши от имени firewall сервис https в интернет