Народ кто прикруивал к керивским продуктам нод32 поделитесь опытом как это сделать?
» Kerio WinRoute Firewall (часть 2)
rudback
Метрики только дефолтные. А шлюз только один - сам керио.
Метрики только дефолтные. А шлюз только один - сам керио.
Arakcheev
Шлюз-сам керио. не очень понятно. интерфейсу самому себя шлюзом прописывать?
Простите за хамство, можно взглянуть на Routing table из керио?
Потому как результат прежний
Шлюз-сам керио. не очень понятно. интерфейсу самому себя шлюзом прописывать?
Простите за хамство, можно взглянуть на Routing table из керио?
Потому как результат прежний
rudback
Имею ввиду, для клиентов шлюз один. таблицу покажу, но завтра, как приду в офис.
Имею ввиду, для клиентов шлюз один. таблицу покажу, но завтра, как приду в офис.
установил керио 6.2.3 (2027) пропатчил патчем без McAfee заменил dll рестарт все работает и кобиан тоже на следуюший день смотрю в логах кобиан пишет ( License warning: ISS OrangeWeb filter expiration: 1 day) что не так сдеал или что нужно сделать
Boriya
В варезник с такими вопросами! (ссылка в шапке)
В варезник с такими вопросами! (ссылка в шапке)
Всем привет 
подскажите пожалуйста где копать ...
вчера вырубился сервер с инетом, а после включения вот такая картина:
на него инет проходит без проблем, а вот пользовательские компы видят только некоторые странички (майл, яндекс и иже с ними) а все остальное днс лукап файлед ... причем никакие настройки не менялись ... восстановила истему с образа за октябрь (с того времени до вчерашнего дня все как часы работало) ни малейшего изменения клиентам не передает восстановила образ чуть более старый (там еще винроут 4ка) - клиенты инет увидели ... но мне все же 6ку хочется ...
подскажите пожалуйста где копать ...
вчера вырубился сервер с инетом, а после включения вот такая картина:
на него инет проходит без проблем, а вот пользовательские компы видят только некоторые странички (майл, яндекс и иже с ними) а все остальное днс лукап файлед ... причем никакие настройки не менялись ... восстановила истему с образа за октябрь (с того времени до вчерашнего дня все как часы работало) ни малейшего изменения клиентам не передает
восстановила образ чуть более старый (там еще винроут 4ка) - клиенты инет увидели ... но мне все же 6ку хочется ...На серваке два интерфейса , классика : один в локалку , второй в инет
На интернет-интерфейсе firewall работает на ура , трафик блокирует.
Проблема с трафиком на локальном интерфейсе: firewall не блокирует трафик , хотя должен по правилу по умолчанию
Делаю скан по портам - пишет кучу открытых портов
Сначала подумал , что kerio по каким то причинам просто вообще не анализирует трафик на интерфейсе , смотрящем в локалку.
Но если делать порт скан - то kerio пишет в alert "внимание , сканирование портов по интерфейсу" , при этом если поставить логирование на правило блокировки - пусто , ничего не блокируется.
Ладно , идем дальше : делаю отдельное правило , запрещающее например доступ на dns на локальном интерфейсе, проверяю сканированием портов - действительно 53 порт исчез. Вроде все заблокировалось , правило работает.
Однако , если вместо DNS в это же правило вписать ну скажем 25 порт - никакого эффекта , порт скан показывает 25 порт - открыт.
То же самое соответсвенно и в случае если создать отдельное запрещающее правило на доступ из локалки на все порты шлюза и поместить его самым первым - все равно трафик не блокирует .
Пробовал переустановку - не помогло.
С порядком правил тоже ничего не мог намудрить : пробовал вообще удалять все правила кроме двух
1. firewall - firewall - any - permit
2. правило по умолчанию (any - any - any - drop)
т.е. открыть трафик только на интерфейсе localhost , все осталные запросы извне дропать - все равно трафик на интерфейсе в локалку не блокируется
Что это может быть ? Кто нибудь встречал такое?
PS. Около трех месяцев на этом серваке kerio работал отлично. Проблема появилась после того , как понадобилось снять образ винта на сервере. Образ снимал прогой Acronis и сливал по сети. Для слива в доверенную сеть использовал сетевуху , которая смотрит в инет.
Последовательность действий была такая: поменял IP на сетевом интерфейсе смотрящим в инет , переключил его в другой свич в доверенную локалку, отключил kerio , слил образ, поменял IP на первоначальный , включил kerio , подключил комп в Инет. Все . После этого перестал блокироватся трафик.
На интернет-интерфейсе firewall работает на ура , трафик блокирует.
Проблема с трафиком на локальном интерфейсе: firewall не блокирует трафик , хотя должен по правилу по умолчанию
Делаю скан по портам - пишет кучу открытых портов
Сначала подумал , что kerio по каким то причинам просто вообще не анализирует трафик на интерфейсе , смотрящем в локалку.
Но если делать порт скан - то kerio пишет в alert "внимание , сканирование портов по интерфейсу" , при этом если поставить логирование на правило блокировки - пусто , ничего не блокируется.
Ладно , идем дальше : делаю отдельное правило , запрещающее например доступ на dns на локальном интерфейсе, проверяю сканированием портов - действительно 53 порт исчез. Вроде все заблокировалось , правило работает.
Однако , если вместо DNS в это же правило вписать ну скажем 25 порт - никакого эффекта , порт скан показывает 25 порт - открыт.
То же самое соответсвенно и в случае если создать отдельное запрещающее правило на доступ из локалки на все порты шлюза и поместить его самым первым - все равно трафик не блокирует .
Пробовал переустановку - не помогло.
С порядком правил тоже ничего не мог намудрить : пробовал вообще удалять все правила кроме двух
1. firewall - firewall - any - permit
2. правило по умолчанию (any - any - any - drop)
т.е. открыть трафик только на интерфейсе localhost , все осталные запросы извне дропать - все равно трафик на интерфейсе в локалку не блокируется
Что это может быть ? Кто нибудь встречал такое?
PS. Около трех месяцев на этом серваке kerio работал отлично. Проблема появилась после того , как понадобилось снять образ винта на сервере. Образ снимал прогой Acronis и сливал по сети. Для слива в доверенную сеть использовал сетевуху , которая смотрит в инет.
Последовательность действий была такая: поменял IP на сетевом интерфейсе смотрящим в инет , переключил его в другой свич в доверенную локалку, отключил kerio , слил образ, поменял IP на первоначальный , включил kerio , подключил комп в Инет. Все . После этого перестал блокироватся трафик.
Подскажите, можно ли в керио ограничить объём скачиваемого файла по http?
Добавлено:
alww
А Acronis у тебя до этого стоял?
Добавлено:
alww
А Acronis у тебя до этого стоял?
Подскажите... На WinRoute можно сделать Мапинг как на UserGate для почты!
VinDizel
Можно.
Можно.
Arakcheev
Будь добр подскажи как это будет выглядеть? Или ссылку дай почитать об этом!
Будь добр подскажи как это будет выглядеть? Или ссылку дай почитать об этом!
VinDizel
иди на сайт "керио-рус точка ру" там инструкций по настройке продуктов Керио завались
иди на сайт "керио-рус точка ру" там инструкций по настройке продуктов Керио завались
Подскажите про авторизацию пользователей по NTLM
Internet Explorer - авторизуется запросто, а вот любимая Opera выбрасывает окно с вводом Логин-Пароль
Что-то там помниться Kerio встраивала перенаправление для Opera, когда она не поддерживала NTLM... Или мне это кажется?
Добавлено:
Установил FireFox 2.0.0.1 ru - та же песня что и с Opera... - выкидывает окошко Логин-Пароль
Internet Explorer - авторизуется запросто, а вот любимая Opera выбрасывает окно с вводом Логин-Пароль
Что-то там помниться Kerio встраивала перенаправление для Opera, когда она не поддерживала NTLM... Или мне это кажется?
Добавлено:
Установил FireFox 2.0.0.1 ru - та же песня что и с Opera... - выкидывает окошко Логин-Пароль
VinDizel
Если ты делал это для UG, то для керио надо делать тоже самое. один в один.
Если ты делал это для UG, то для керио надо делать тоже самое. один в один.
люди подскажите как снять админский пароль в Керио??
JBN
Цитата:
http://ifolder.ru/856598 кинь в папку kerio
Цитата:
Народ кто прикруивал к керивским продуктам нод32 поделитесь опытом как это сделать?
http://ifolder.ru/856598 кинь в папку kerio
tigranmuradyan
Сносил пароль так:
1. Сохраняешь папку с установленным керио (для возвращения всех users и settings)
2. Удаляешь kerio.
3. Устанавливаешь заново с пустым админиским паролем.
4. Находишь файл users.cfg он xml формата, берешь из него настройки связанные с пользователем Admin
5. Вставляешь в users.cfg который ты сохранил вместе с папкой от предыдущей установки.
6. Возвращаешь все в зад путем прямого копирования сохраненной папки, естественно при отключенных сервисах.
По п.2-3: вроде как при генерации хэша для пользователя Admin привязка идет к сетевым интерфейсам, а может можно и на другом компе установить и взять настройки Admin с него. (не пробовал), тогда ничего удалять не надо просто останавливай керио и копируй новые настройки (тоже не пробовал)
У меня задача была не только пароль сбросить, но и перенести имеющиеся настройки. Было это с kerio 6.0.8. Получилось, но кое-какой мусор остался... Все таки описание нужных, но редко применяемых правил теперь держу отдельно в зап. книжке
Сносил пароль так:
1. Сохраняешь папку с установленным керио (для возвращения всех users и settings)
2. Удаляешь kerio.
3. Устанавливаешь заново с пустым админиским паролем.
4. Находишь файл users.cfg он xml формата, берешь из него настройки связанные с пользователем Admin
5. Вставляешь в users.cfg который ты сохранил вместе с папкой от предыдущей установки.
6. Возвращаешь все в зад путем прямого копирования сохраненной папки, естественно при отключенных сервисах.
По п.2-3: вроде как при генерации хэша для пользователя Admin привязка идет к сетевым интерфейсам, а может можно и на другом компе установить и взять настройки Admin с него. (не пробовал), тогда ничего удалять не надо просто останавливай керио и копируй новые настройки (тоже не пробовал)
У меня задача была не только пароль сбросить, но и перенести имеющиеся настройки. Было это с kerio 6.0.8. Получилось, но кое-какой мусор остался... Все таки описание нужных, но редко применяемых правил теперь держу отдельно в зап. книжке
Проблемы с почтой.
Ситуация следующая: есть сервак-шлюз с KWF 6.2.3 и несколько компов в локалке, все работает "на ура", кроме почты. Причем проблемы только с отправкой и только с локальных компов. С сервера все отправляется отлично, а вот с клиетов не получается, причем не получается ни с SMTP провайдера, ни mail.ru/yandex.
В правиле для SMTP Protocol inspector отключен, NAT установлен на Default outgoing interface.
Друзья, подскажте, в чем фишка?
А вот еще новый вопроск - стало появляться предупреждение: Multiple default gateway detected (Обнаружено нескольно осн. шлюзов), в справке, к сожалению, ничего путного не написано. Как быть?
Спасибо.
Ситуация следующая: есть сервак-шлюз с KWF 6.2.3 и несколько компов в локалке, все работает "на ура", кроме почты. Причем проблемы только с отправкой и только с локальных компов. С сервера все отправляется отлично, а вот с клиетов не получается, причем не получается ни с SMTP провайдера, ни mail.ru/yandex.
В правиле для SMTP Protocol inspector отключен, NAT установлен на Default outgoing interface.
Друзья, подскажте, в чем фишка?
А вот еще новый вопроск - стало появляться предупреждение: Multiple default gateway detected (Обнаружено нескольно осн. шлюзов), в справке, к сожалению, ничего путного не написано. Как быть?
Спасибо.
Corvus Corone
SMTP в правилах разрешен?
Давай их сюда. Будем делать посмотреть.
SMTP в правилах разрешен?
Давай их сюда. Будем делать посмотреть.
Arakcheev
Вот
http://photofile.ru/users/mtsb750/2385075/42874839/full_image/
TT01 - внутрення сетка
Internet - интренет (по впн)
Local area connection - локалка провайдера
Вот
http://photofile.ru/users/mtsb750/2385075/42874839/full_image/
TT01 - внутрення сетка
Internet - интренет (по впн)
Local area connection - локалка провайдера
Corvus Corone
в правиле "mail" в Source элемент Firewall совсем не к чему(т.к. натить пакеты с самого шлюза ни к чему), чтобы с самого компа с винрутом можно было гонять SMTP надо в правило "Firewall traffic" в раздел Service добавить SMTP.
Также в правиле "Mail" в разделе Translation можно попробовать в явном виде указать, что натить надо на интерфейс Internet, а не default outgoing
в правиле "mail" в Source элемент Firewall совсем не к чему(т.к. натить пакеты с самого шлюза ни к чему), чтобы с самого компа с винрутом можно было гонять SMTP надо в правило "Firewall traffic" в раздел Service добавить SMTP.
Также в правиле "Mail" в разделе Translation можно попробовать в явном виде указать, что натить надо на интерфейс Internet, а не default outgoing
aljd
Если в правило "Firewall traffic" в раздел Service добавить SMTP, то надо будет отключать Protocol Inspector для всего остального (что не есть хорошо), иначе не работает.
Явное указание интерфейса Интернет тоже не помогло.
Если в правило "Firewall traffic" в раздел Service добавить SMTP, то надо будет отключать Protocol Inspector для всего остального (что не есть хорошо), иначе не работает.
Явное указание интерфейса Интернет тоже не помогло.
Corvus Corone
у меня все работает и с Protocol Inspector = default - ни на одном из правил не выключал его. Правда схема у меня на серваке классическая - два сетевых интерфейса: локалка и инет. А если все же удалить в правиле "mail" в Source элемент Firewall и добавить SMTP в Firewall traffic и попробовать с компа с винрутом telnet-ом зацепиться за любой почтовик из инета на 25й порт по айпишнику и по dns-имени. Ну и из локалки с компа, у которого стоит шлюзом комп с тем же винрутом тоже телнетом на 25й порт
Добавлено:
стоп.. а правило "NAT"... почему SMTP не добавить туда? из-за Protocol Inspector?
у меня все работает и с Protocol Inspector = default - ни на одном из правил не выключал его. Правда схема у меня на серваке классическая - два сетевых интерфейса: локалка и инет. А если все же удалить в правиле "mail" в Source элемент Firewall и добавить SMTP в Firewall traffic и попробовать с компа с винрутом telnet-ом зацепиться за любой почтовик из инета на 25й порт по айпишнику и по dns-имени. Ну и из локалки с компа, у которого стоит шлюзом комп с тем же винрутом тоже телнетом на 25й порт
Добавлено:
стоп.. а правило "NAT"... почему SMTP не добавить туда? из-за Protocol Inspector?
aljd
Попробовал. Из предложенного выше, не помогло ничего.
Причем я пробовал WinRoute сносить; стандартными средтсвами Винды 2003 все работает прекрасно. Проблема именно в WinRoute
Попробовал. Из предложенного выше, не помогло ничего.
Причем я пробовал WinRoute сносить; стандартными средтсвами Винды 2003 все работает прекрасно. Проблема именно в WinRoute
Объясните неучу, поставил лимит на подключение к серваку - 800 (дефолт 600). Он у меня в логах минут через 5 уже превышен!!! Вообще нужно ли это ограничение? На серваке стоит uTorrent на постоянной закачке
Arakcheev
В UG как то более понятно было! А на WinRoute на получается! Причем мне надо сделать быстро был бы благодарен за помощь!
В UG как то более понятно было! А на WinRoute на получается! Причем мне надо сделать быстро был бы благодарен за помощь!
VinDizel
Давай покажи как ты это делал в UG и как ты это делаешь в керио.
Давай покажи как ты это делал в UG и как ты это делаешь в керио.
Arakcheev
в UG запрос с любого IP на порт 8110 перенаправлять по 110 на такой то IP.
а на винроуте получается запрос на фаервол по 8110 Map на ip по 110 порту!
в UG запрос с любого IP на порт 8110 перенаправлять по 110 на такой то IP.
а на винроуте получается запрос на фаервол по 8110 Map на ip по 110 порту!
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869
Предыдущая тема: Microsoft Exchange Server
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.