Kerio WinRoute Firewall (часть 2)

Автор: TomAlex
Дата сообщения: 15.01.2007 08:57

kornvladimir
uTorrent надо настраивать, а не Керио.
программулька хоть не большая, а ресурсов жрет -- как свинья помои.

она все коннекты и съедает.

Ограничение такое в керии нужно. он тормозить начинает страшно, если много коннектов.
оно и понятно -- на каждый приходится запись маршрутизации хранить.

Автор: Arakcheev
Дата сообщения: 15.01.2007 10:15

VinDizel
Ну все верно. Теперь у клиента поставь в ПОПе клиента адрес керио#адрес ПОП-почты сервера

Автор: nii294
Дата сообщения: 15.01.2007 11:23

HELP!!!
такой трабл вылез после выходных...
пришел я в офис, открыл kwf консоль и чуть не умер.
все клиенты в сети когда загружаются вводят свои логин/пароль..
в конечном итоге в статусе Host/Users получается
каждый комп с своим именем/одна запись учетная, причем моя....
выглядит так
komp1/user@network.local
komp2/user@network.local
komp3/user@network.local
komp3/user@network.local
и тд..
вместо
komp1/komp1@network.local
komp2/komp2@network.local

ЧТО ЭТО ???
работало нормально, теперь вот так.
Понятно что перезагрузка не спасла

Добавлено:
Не знаю каким образом, но после очередного логаута всех пользователей, они начали регистрироваться под своими именами..
А все таки, если кто сталкивался с подобным, напишите что это может быть.

Автор: kornvladimir
Дата сообщения: 15.01.2007 16:33

TomAlex
Хорошо. Тогда какое ограничение оставить в настройках Керио? Исходя из чего?

Автор: TomAlex
Дата сообщения: 15.01.2007 17:29

kornvladimir

600, что по умолчанию, вполне хватает.
у меня за много лет только пару раз было превышение, и все случаи связаны с падением интерфейса у провайдера.
да и это лечится -- можно уменьшить время жизни подвисшего коннекта (через cfg-файл)

а от p2p клиентов, имхо, стоит отказаться вообще.

Автор: kornvladimir
Дата сообщения: 15.01.2007 17:38

а может сетевая "падать" - не отвечает серв на пинги - при частом привышении этого лимита? Сервак на 2003 СП1, Керио 6.2.3. Работает около 2х суток при активном пользовании трекеров а потом до него не достучаться. Причем в eventlog ничего нет

Автор: TomAlex
Дата сообщения: 15.01.2007 17:51

kornvladimir
угу, у меня так и происходит. при превышении лимита -- молчит, собака

только сообщение о лимите коннектов появляется в логах.
лечу перезагрузкой керия -- это легче, чем убивать коннекты поодиночке

Автор: kornvladimir
Дата сообщения: 15.01.2007 21:29

блин, тогда это как-то неправильно. система должна быть автономной, а так каждый раз перегружать.... Неужели нет решения данной проблемы. У меня на работе сервак на ISA ничего не падает, хотя функции выполняет теже (даже больше). Может это глюк версии Керио?

Автор: VinDizel
Дата сообщения: 16.01.2007 03:43

Arakcheev

Не помогло! Причем видно что вроде бы пытается долбиться на сервер почты а в ответ ошибка!

Автор: Arakcheev
Дата сообщения: 16.01.2007 06:51

VinDizel
Значит керио не работает с POP Forwarding.

Автор: TomAlex
Дата сообщения: 16.01.2007 10:11

kornvladimir
Это не глюк.Это настройки по умолчанию.
Я уже писал:
Цитата:

это лечится -- можно уменьшить время жизни подвисшего коннекта (через cfg-файл)

А система вполе автономна. То что я ее перегружал -- так это неизбежно при экспериментах, и делал я это только потому, что неохота было ждать когда Керий сам сбросит коннекты.

Да, конечно, не от хорошей жизни они ввели это ограничение -- это старая тарбла Керия (с 5-й версии) -- падение производительности на большом количестве коннектов.

Добавлено:
Arakcheev
POP Forwarding, действительно, умеют делать только почтовые сервера. Но здесь речь о другом. Port mapping вполне корректно работает в Керии.

VinDizel
Все настраивается.
Задачу еще раз можешь сформулировать?

Автор: VinDizel
Дата сообщения: 16.01.2007 11:16

TomAlex

Сделать мапинг по портам как в UserGate для почтовых клиентов!

Автор: TomAlex
Дата сообщения: 16.01.2007 13:38

VinDizel
Подробнее можно?
Типа:
Почтовый сервер подключен к такому-то интерфейсу, работает по такому-то порту и т.д...
Я хочу, чтобы клиенты, подключенные к такому-то интерфейсу, перенаправлялись на этот сервер, обращаясь к нему по такому-то ИП, по такому-то порту.
Дальше стоит указать какой почтовик стоит -- вдруг дело в его настройках?

Добавлено:
Не поленился, настроил у себя:
Почтовик у меня "в песочнице" -- отдельная сеть и от локалки и от и-нета.
Для локальных адресов настроил маппинг:
источник: интерфейс локальной сети
приемник: внешний ИП почтовика (соответствует МХ записи)
сервис: ТСР8110
разрешить
трансляция: внутренний ИП почтовика: порт 110

Клиент -- Бат, транспорт: сервер -- внешний ИП почтовика, порт 8110
Сервер -- М-Демон, привязан только к внутреннему ИП

Добавлено:
Если не понятно, то вот с конкретными адресами:
почтовик: 192.168.254.2
у Керия три интерфейса: ххх.ххх.ххх.ххх(и-нет), 192.168.254.1, 192.168.0.1
правило:
источник: интерфейс локальной сети (192.168.0.ххх)
приемник: ххх.ххх.ххх.ххх (или 192.168.0.1 -- работают оба варианта)
сервис: ТСР8110
разрешить
трансляция: 192.168.254.2:110

Клиент -- Бат, транспорт: сервер -- ххх.ххх.ххх.ххх:8110 (или 192.168.0.1:8110)
Сервер -- М-Демон, 192.168.254.2:110

Автор: Stan Lee
Дата сообщения: 16.01.2007 17:02

Вопрос по настройке керио (сам наверно я чтото пропустил в развитии...):
1. есть локалка в сторону провайдера- 192.168.235.*/24, шлюз и DNS 192.168.235.1
2. есть моя локалка- 192.168.0.*/24
3. есть выход в инет с запуском программы Traffic Inspector (нафик это провайдер так сделал не знаю, нормальные люди авторизацию через VPN делают обычно)
итак, сижу на сервере с настроенным MS ICS (общий доступ на карточке 235.* для внутренней сети), сервер провайдера 235.1 пингуется, все классно, к инету подключается после запуска траф-инспектора этого, и с других компов тоже выход в инет появляется при запуске на тех компах трафик-инспектора
все ок! и менять ниче не хотелось бы...
ставлю KWF 6.2.3-2027 и сразу пропадает провайдер
1. не пингуется сервер провайдера 235.1 (правила через визард с настройкой NAT на интерфейс по умолчанию, т.е. фактически все по умолчанию

), хотя в тех же правилах по умолчанию стоит разрешение на пинг, керио не первый раз ставлю, все должно пинговаться

2. не коннектится к серваку провайдера traffic inspector с настройками по умолчанию, разрешил выход через порт TCP/9000 его она использует стандартно- все равно не коннектится (хотя если нет пинга с чего коннект появится...)
3. перед этим по приколу поставил аутпост 4 с виндовым НАТ и с теми же настройками для этого traffic inspector и все работало с одного компа (кроме НАТ его аутпост не хочет пропускать)
4. хочу керио, не хочу аутпост, как настроить, где грабли?

Автор: MALDERA
Дата сообщения: 16.01.2007 18:03

Привет.
Подскажите, пожалуйста, где натупил?
При проверке работы ограничения трафика по любому пользователю, виден примерно такой бред:
муproxy=40Мб
site.ru =20Мб
Соотношение всегда 2 к 1.
(Пример: Ставлю себе ограничение в 10 мб,
качаю 6 мб и буквально сразу после этого прокся меня рубит, с сообщением, что мои 10мб исчерпаны...! )

Установлен WinRoute-6.2.3-2027, настроен как непрозрачный прокси,
аутентификация через AD, ограничения трафика по пользователям.
Правила уже сократил до 2 штук:
1) Local Trafic: Lan->Firewall Any Permit
Firewall->Lan Any Permit

2) Firewall Trafic: Firewall->Internet Http,Https,3128 Permit

Логирование включено на всех правилах.

Автор: e0ne
Дата сообщения: 17.01.2007 00:00

Может уже и затрагивалась подобная тема, но ничего не нашел.
Есть ли версия Winroute для Windows 2003 Srv x64?

Автор: crapaud
Дата сообщения: 17.01.2007 01:16

e0ne
Пока нет. В Бетте 6.3.0 вроде как появилась поддержка 64x.

Автор: VinDizel
Дата сообщения: 17.01.2007 01:36

TomAlex

Спасибо!

Но у меня два интерфейса!

Да и выход я уже нашел, заодно поставил почтовый сервер!

Автор: LeftUser
Дата сообщения: 17.01.2007 08:47

Возможно ли использование Kerio Winroute Firewall 6.2.3 build 2027 с персональным фаером.
Если да, то посоветуйте с каким.

Автор: crapaud
Дата сообщения: 17.01.2007 09:02

LeftUser
Лучше не надо. Попытки такие были, у некоторых даже более-менее успешные. Но это всегда сопряжено с танцами с бубном и снижением стабильности системы. На оф. сайте также не рекомендуется ставить какие-либо персональные фаеры вместе с керио.
Если нужен корпоративный фаер с контролем приложений, то такой я знаю тока один - ViPNet Office Firewall 3 . Может, тебе хватит его функционала?

Автор: LeftUser
Дата сообщения: 17.01.2007 09:15

KWF 6.2.3 build 2027 у меня купленный и стоит он на Win XP, а контроль проложений необходим как воздух!
И персональный фаер нужен из безплатных, проверки офиса уже достали.

Автор: e0ne
Дата сообщения: 17.01.2007 11:29

MALDERA
Было такое пока иснользовал прозрчный прокси. При его отключении и указании у клиентов в настройках прокси проблема решилась.

Автор: Vladimir312
Дата сообщения: 17.01.2007 13:37

Автор: TomAlex
Дата сообщения: 17.01.2007 16:30

Vladimir312
Остановить сервис винрута.
Отредактировать файл winroute.cfg -- от из себя представляет XML-файл, а именно список UrlGroups.
Стартовать сервис.

Добавлено:
Офф: За список -- спасибо, но, думаю, модераторы тебе шею намылят.

Автор: webshabel
Дата сообщения: 17.01.2007 16:55

Возникла необходимость резать количество одновременных подключений с одного IP-адреса... Не смог я сам найти такой функции в Керио и подозреваю что ее ведь там и нет.

Может так уж попутно, на ИИСе ведь тоже нет ограничений подобного рода?..

А сторонние программы какие-либо? Или менять веб-сервер на Апач?..

Задолбали ДоС-атаками, а Керио рубит скажем на 500 подключениях всех сразу, и входящий и исходящий, что не есть гуд для моего серванта... Банить ДоСеров не выход я боюсь, потому что тока за сеня забанил около 15 айпишников...

А так, ограничил бы кол-во подключений до 10 с одно айпи, и все руль.

Наверно...

Автор: Mistique
Дата сообщения: 18.01.2007 08:11

Кстати версия 6.3.0 в формате бэты уже появилась...

Supported OS:
- WinRoute Firewall, VPN Client (32-bit): Windows 2000, XP (32-bit edition), 2003 (32-bit edition)
- WinRoute Firewall, VPN Client (64-bit): Windows XP (64-bit edition), 2003 (64-bit edition)

Major changes and new features:
- Enhanced statistics and reporting
- Improved overall performance
- Support for 64 bit systems
- Improved peer-to-peer eliminator

зело интересно про статистику, так как это до сих пор слабое место керика несмотря на множество плюсов.

Там еще кого то интересовала поддержка 64-бит... там же... Нет желающих откатать и поделиться соображениями?

Автор: KudisovArkan
Дата сообщения: 18.01.2007 08:44

Vladimir312

Ручками вводить придется.

либо содержимое в файлике следующее:
<list name="UrlGroups">
<listitem>
<variable name="Enabled">0</variable>
<variable name="Description"></variable>
<variable name="Name">Ads/banners</variable>
<variable name="Url">*.ads.*</variable>
</listitem>

Автор: ddlf
Дата сообщения: 18.01.2007 10:02

Доброго времени суток, форумчане. Не поможете с сабжем, а именно:

имеется компьютер, подсоединенный к локальной сети. Один его сетевой интерфейс смотрит в локальную сеть, второй сетевой интерфейс смотрит на adsl-модем, а третий сетевой интерфейс смотрит на радиомодем.

Раньше вся сеть ходила в интернет через первый сетевой интерфейс (adsl).

Сейчас же провели второй канал и требуется, чтобы часть сети ходила в интернет через один интернет-канал, а часть - через другой. на сервере NAT реализован при помощи Kerio Winroute Firewall 6x. Если я делаю 2 правила с NAT-ом для разных локальных адресов, то работают они все равно по adsl. Как сие можно реализовать?

Заранее спасибо!

Автор: coder666
Дата сообщения: 19.01.2007 13:10

Добавте в шапочку сайтец
ввв.xerio.kiev.ua - куча доков, проги, форум и лекартво к 6.3.0 бэтке

Автор: str1k3r
Дата сообщения: 19.01.2007 14:18

Народ, у меня после нового года перестали мапиться порты.... даже обычным мапингом
(80->80), не говоря уже про кросс. Причем болезнь проявляеться как на 6.2.2 так и на 6.2.3, для 6.2.2 помогла простая перезагрузка, а вот для 6.2.3 не пашет

В логах все чисто.

» Kerio WinRoute Firewall (часть 2)