» Kerio WinRoute Firewall (часть 2)

Djedaev
Конечно. У меня так и работает.

Arakcheev
Спасайте дорогой друг
не понимаю..
сделал по мануалам - в них насколько я понял подразумевается аутентификация именно таким способом (автоматически ) на 3х виртуальных машинах сетка из:

-2003керио(политики Керио: локальныйтраффик без ограничений)

-2003домен контроллер (Днс)

-рабочая станцая ХР с пользователем прописанным в домене

Итог: автоаутентификации по пользователю винды не происходит.

Что я делаю не так? что нужно сделать дополнительно?
Возможно какие то неявные тонкости связанные с конфигурацией контроллера домена ?

Тут люди до меня тоже мучались с загрузкой процессора и вот что писали.... см цитату
а у меня почему то не поборолось.... на каком то форуме видел мнение. что нужно Вместо 1 поставить 0 - ни так ни сяк у меня не получилось разгрузить процессор.
помогите советом. (стоит Version 6.2.3(build 2027)
в службах ничего лишнего нету.

начало цитаты

вообщем, проблему решил (загрузка компа под 100%):
В winroute.cfg изменил параметр на внутреннем интеррфейсе

Цитата :
<listitem>
<variable name="Id">\DEVICE\{741774E8-E324-43A6-829F-F89243CB7079}</variable>
<variable name="Name">Ethernet</variable> --- Внутренний интерфейс
<variable name="Medium">0</variable>
<variable name="Bandwidth">0</variable>
<variable name="Outside">0</variable>
<variable name="FirewallExclude">1</variable> -- Вместо 0 поставить 1
</listitem>

Тобишь исключил из обработки внутренний интерфейс. Эта проблема решилась, проц не нагружает
конец цитаты

Как правильно создать правило разрешающее доступ, предположим, к гуглу. Создаю группу с хостом www.google.ru Гугл откроется если ввести www.google.ru Если вести google.ru уже не откроется Если ввести Ip гугла тоже не откроется либо вводить два - который на пинг отвечает и на который гугл перебрасывает через пару секунд (увидел по монитору керио) Как быть в таких ситуациях

armanim
1. В разделе "HTTP Policy" на закладке "URL Groups" создай новую группу с адресами:
http://www.google.*
http://google.*
2. Теперь на закладке "URL Rules" создаешь правило:
If user accessing the URL is any user
And URL matches criteria is in URL group: (здесь выбираешь свою созданную группу адресов)
Action Allow access to the Web site

И будет тебе счастье...

ЗЫ. Не понятно зачем тебе:
Цитата:

который на пинг отвечает

Artur2316
Хм, там вроде какойто косяк жеж всплывает после этого, толи с публикацией портов машин что за кмс толи ещё как?
Или я чото путаю?

Опять про Авторизацию ...

Что произойдет если два пользователя авторизуются по одному логину/паролю ?

А произойдет то, что оба будут работать....

Вопрос... Как это запретить...

Djedaev
Давай в личку свою почту.

ilkulibin

Цитата:

Что произойдет если два пользователя авторизуются по одному логину/паролю ?

А произойдет то, что оба будут работать....

Конечно, оба авторизируються и будут работать... и трафик пойдёт на один логин с 2-х ip адресов... А зачем запрещать, по моему это специально сделано, что бы пользовотель мог работать на несколких машинах офиса под своим логин/паролем... А что б пользователя не было на двух машинах, так на то он и пароль чтоб его не знали остальные... и комуже и трафик пойдёт на его имя... и потом думай трафик ушёл..=)

Цитата:

А произойдет то, что оба будут работать....

Вопрос... Как это запретить.

Можно разрешить пользователю заходить только с одного IP-шника

Ну вообщем полечил я ситуацию с 100% загрузкой процессора у себя! Дело было не в бобине.....
а вот в чем...
вообщем пытаясь добиться докачки на ftp я переусердствовал с настройками DNS Forwarder

сделал по другому все встало на свои места. (как надо см картинку)
http://ifolder.ru/1192348

Правильно ли я понимаю то что аунтификация пользователей в керио нужна лишь для того что бы получить доступ к NAT далее учетные записи уже не используются, т.е. с ними нельзя оперировать при составлении правил. Например нельзя по учетной записи - одному пользователю разрешить ICQ а другому HTTP (можно рулить лишь с помощью разрешений на IP адрес).

Если я правильно понимаю данный вопрос - то это очень и очень печально

ThinkerZZ

Цитата:

Правильно ли я понимаю то что аунтификация пользователей в керио нужна лишь для того что бы получить доступ к NAT далее учетные записи уже не используются, т.е. с ними нельзя оперировать при составлении правил. Например нельзя по учетной записи - одному пользователю разрешить ICQ а другому HTTP (можно рулить лишь с помощью разрешений на IP адрес).

Если я правильно понимаю данный вопрос - то это очень и очень печально

Нет не правильно... аунтификация нужна для того чтобы пользователь мог воспользоваться теми сервисами которые прописаны в правилах. Далее, с учётными записями можно оперировать и добавлять их в правила и по учётной записи можно одному пользователю разрешить ICQ а другому HTTP (даже если ip динамические)

Р.S. У меня вопрос ко всем кто знает... если в правилах Sourse назначена локальная честь, а Servise - Any то Аська работает без авторизаии... не пойму почему??!)
Хотя выходов есть несколько...но оних потом

Цитата:

Нет не правильно... аунтификация нужна для того чтобы пользователь мог воспользоваться теми сервисами которые прописаны в правилах. Далее, с учётными записями можно оперировать и добавлять их в правила и по учётной записи можно одному пользователю разрешить ICQ а другому HTTP (даже если ip динамические)

Интересно, но почему же тогда у меня складывается ситуация при которой если я открываю доступ одному пользователю в ICQ - доступ получают все пользователи и почему не имея ни одного правила где присутствует учетная запись юзера - этот самый юзер получает доступ в инет через прокси на том основании что он заведен в базе юзеров керио.


P.S. сетка у меня имеет такую специфику при которой шлюзом на машинах прописанна совсем не машинка с керио а циска (через которую получает инет машинка с керио и раздает его другим в сети, т.е. все работает через прокси).

ThinkerZZ

Цитата:

но почему же тогда у меня складывается ситуация при которой если я открываю доступ одному пользователю в ICQ - доступ получают все пользователи и почему не имея ни одного правила где присутствует учетная запись юзера - этот самый юзер получает доступ в инет через прокси на том основании что он заведен в базе юзеров керио.

А может в правиле записано "Any user" или "Do not require authorization" или включена автоматическая авторизации на основе IP адреса? А может у этого самого пользователя ася вообще не через прокси подключается?
Неплохо было бы привести описание:
этого самого разрешающего правила;
пользователя, которому разрешено по этому правилу работать;
пользователя, который "подмазывается" к предыдущему.

KWF 6.2.3 2027
Маппинг портов

Надо маппить удалрабстол RDP, при подключении без маппа попадаю на сервак с винрутом. Включаю маппинг - глухо. Маппил по http://kerio.kiev.ua/winroute_exemple5.htm
Подскажите плиз, в чем может быть причина отказа от маппа.

Добавлено:
как ваще проверить работает NAT или нет?

Цитата:

А может в правиле записано "Any user" или "Do not require authorization" или включена автоматическая авторизации на основе IP адреса? А может у этого самого пользователя ася вообще не через прокси подключается?

Помоему я разобрался - отключив галку в поле Allow tunelled connections to all TCP ports все заработало как надо

В понедельник проверю - отпишу.

помогите плз.
имею 1 локалку, 2 интерфейса на firewall'e.
NAT - выключил, я галку снял с этого правила(этого ведь хватает, чтобы оно не работало?)
мне нужно чтобы:
1. все пользователи ходили только на 1 сайт, и больше ни куда;
2. избранные(adress group) визде, чтобы шлялись;
в url rules пробовал:
1. только 1 сайт можно всем;
2. для созданной adress group ставил - любой сайт можно;
3. всем на любой сайт нельзя.
по идее должно работать, но не пашет - adress group пускает только на один сайт, который для всех разрешен.

заранее спб.

snayper7
Попробуй поставить правило для "Address group" перед правилом "одного сайта" для всех остальных.

snayper7
все правила в керио обрабатываются сверху вниз

Artur2316 и ALL
Добрый день, так я что то не понял, что именно ты исправил!?
У меня тоже стоит
Цитата:

<listitem>
<variable name="Id">\DEVICE\{741774E8-E324-43A6-829F-F89243CB7079}</variable>
<variable name="Name">Ethernet</variable> --- Внутренний интерфейс
<variable name="Medium">0</variable>
<variable name="Bandwidth">0</variable>
<variable name="Outside">0</variable>
<variable name="FirewallExclude">1</variable> -- Вместо 0 поставить 1
</listitem

Настройки DNS Forwarder тоже автоматом берёт, и всё равно процесс winroute.exe загибается (90% CPU), когда с меня качают по FTP с внешнего интерфейса и когда качают внутрение пользователи по HTTP (допустим фильм)!!!
Кто поможет кто подскажет????
Заранее благодарен!
WinXPSP2 ----KWF6.2.3(build 2027)

ne0_2002 & noblekey
спб., но... почему-то так и заработало, как писал
сначала: 1 сайт, потом избранные хоть куда, потом всем стоп.

кто подскажет:
кабанчика как включить - где взять эту dll (kwf стоит 2027)

snayper7
В шапке! http://forum.ru-board.com/topic.cgi?forum=35&topic=28826&start=960

Проинформируйте пожалуйста по ситуевине:

В статистике KWF 6 сидит незарегистрированный и незалогенный юзер, как я понял это хост с самим KWF.

Этот "незалогиненный юзер" взял да и накачал 6 гигабайт за месяц в добавок к обычным 100 пользовательским, а в логах не указано чем именно он это накачал. Просто стоит цифра: 6,000.000... на незалогиненного

Так вот, может ли сам KWF сгенерировать такой трафик одними запросами за один месяц? Если нет, то как же выяснить откуда такой трафик, ведь указано же итоговое его количество...

Знающие люди, подскажите.
Ситуация такова:
Имеется локальная сеть, и простая рабочая станция в этой сети. IP и DNS назначается автоматически DHCP сервером. На данной машине есть доступ в интерент посредством ADSL модема, который подключен через вторую сетевую.
Можна настроить NAT при такой ситуации?

Привет всем. Накопилось неколько вопросов по керио 6.2.3/2027, может, кто-нибудь подскажет?

1) пользуем ли мы VPN, или просто proxy - как сделать так, чтобы 1 пользователь мог подключиться только ОДИН раз? не в смысле количества нитей при загрузке, например, страничек - а в смысле, 1 авторизованное по логину и паролю соединение на пользователя в случае VPN или PROXY. А то находятся такие, которые раздают свои пароли и логины - и потом они всей кучей сидят с разных IP адресов...

2) Необходимо закрыть возможность работы с http/ftp для VPN-щиков по NATу, оставив возможность работать ТОЛЬКО через proxy. При этом, должны быть исключения: навроде того, что вот на эти сайты - можно попасть без proxy, а на все остальные - только через proxy. Какие правила заводить в таком случае? Пробовал тупо прикрыть 80й порт и завести правилом выше исключения для сайтов-исключений (по хосту, или диапазону хостов). Не получилось. Стоит только прикрыть 80й порт - срубает сразу все http, хоть ты тресни - и никакие исключения не действуют. Тоже самое было и в случае одних исключений (без прикрытия 80ого глобально) - почему-то, пропадало http по nat'у через vpn напрочь. Как быть?

3) Иногда в системных логах появляется такое:
[26/Feb/2007 22:31:26] (3003) Connection limit of 600 connections reached for firewall host.
[26/Feb/2007 22:31:31] Last message repeated 49 times
я так понимаю, что это превышаетяс количество клиентских нитей-соединений. А где настраивается это количество?

Всем огромное спасибо!

Maddy101
3) Configuration->Advanced Options, Connection Limit.

дружат свежие версии kerio с kasperskim (kfs, kws)?

народ кто нибудь сталкивался с лицензированием керио?
ситуация такая после оплаты керио мне пришло письмо с ссылками но регистрацию
после всех шагов на сайте керио был скачен лисенс.кей с предложением поместить его в папку лисенс каталога винроута. Сопировал, рестартанул винроут в результате винроут предложил зарегестрировать на ихнем сайте триальную версию, ну да бог с ним регистрирую, после приходит письма о окончании регистрации. Но самое интересное, после всего этого при рестарте керио мне выдается ошибка
License error: Your license has expired, Routing is disabled and traffic is limited to 4 KB/s.
License error: Product license expired.

Saftor


ну я тогда не знаю. попробую сэмулировать при укачивании по ftp! посмотрю на загрузку...
о резалте сообщу.