Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: Venchik
Дата сообщения: 06.05.2006 22:28
RemComm, проверь личку.
Автор: Koberok
Дата сообщения: 07.05.2006 04:03
Народ, кто использует Winroute Firewall + NOD32 - помогите ответом. Установил НОД32 а Керио закозлился, что IMON (Internet Monitor) он не поддерживает. Откючив IMON Керио подхватил НОДу и все заработало. Так вот вопрос, как НОДа сканирует весь инет траффик (странички, скрипты, файлы, архивы, почту и т.д.), если самая главная фишка IMON отключена, и сканирует ли он вообще хоть что-то, когда пользователи через фаервол лазают по интернету?
Автор: crapaud
Дата сообщения: 07.05.2006 10:28
Koberok
Конечно. NOD уже трафик не проверяет. Для этого надо настраивать антивирусные модули в самом керио. Либо качаешь плагин к NOD32 с сайта керио (правда этот плагин не проверяет архивы но зато если у тебя уже стоит NOD? то он встанет без всяких доп. регистраций), либо использовать втроенную макаку, либо устанавливать какой-нить альтернативный плагин.
Автор: AnLe
Дата сообщения: 08.05.2006 01:14
Хм, обнаружил что в версии 621 перестало влиять наконец включение\отключение протокол инспектора на правилах например общения кериовпн пользователей с локалкой. Теперь внезависмости от наличия протокол инспектора траффик вешается на подконекченного юзера (хотя егои можно разлогофить тогда траф повесится на unregister ).

Единственно что несовсем удобно щщитает он его относительно себя досихпор.
Тоесть пользователь например скачал чтото из локалки по впну, в статистике фаервола этот траф записывается пользователю в раздел out.
Автор: Venchik
Дата сообщения: 08.05.2006 01:58
Проблема в 6.2.1 (build 1454) или во мне.
На KWF сделан VPN туннель (активная сторона) и к этой же машине (к Kerio VPN Server'у) подсоединяются несколько клиентов (с помощью KVC).
Я сделал правило:
Source: User1
Destination: VPN_Tunnel_to_USA
Service: Any
Action: Permit
Translation: No
Valid On: Always
Protocol Inspector: Default

На 2-ой машине сделан пассивный VPN туннель и правило:
Source: VPN_Tunnel_from_Ukraine
Destination: Interface connected to - указано соединение с инетом - внешний интерфейс
Service: Any
Action: Permit
Translation: Interface connected to - указано соединение с инетом - внешний интерфейс
Valid On: Always
Protocol Inspector: Default

Все работает - User1 коннектится с помощью KVC и получает доступ к Интернету через NAT на 2-ой машине.
Я вижу как увеличивается траффик на всех интерфейсах, через которые проходят его пакеты (в том числе и на интерфейсе VPN Server), но я нигде не вижу траффика этого пользователя...везде стоят нули...и скорость всегда 0.
В Configuration...Advanced Options...Quote/Statistics стоит галочка Enable per user statistics. Exkude IP Adresses - ничего нету. Excluse Firewal - тоже не стоит.

Проблема не критичная в моей ситуации, но все-таки, хотелось бы понять в чем проблема.
Спасибо.
Автор: Koberok
Дата сообщения: 08.05.2006 03:12
1. Пипл! помогите определиться всеже со 2-ым антивирусомм под Керио. Просто я что не повешу, - все как-то очень незаметно работает, как будто и не работает вовсе Меня это очень даже смущает. Даже в логах ничего не пишет, хотя плагины устанавливал и настраивал все как надо вроде. (Еще хотелось бы лицензию на avast! for kerio найти).

2. И еще вопрос наверняка миллион раз рассмотренный, но листать 100 страниц в топике, который был до переноса - сил нет. Подскажите как настроить Керио, чтобы траффик нормально считался. Есть локалка, в инет доступ осуществляется через ADSL модем, который врублен в свитч и имеет свой IP. На Керио поднят PROXY, аутентификация пользователей включена (кажд. раз при заходе на страницу инета). Я это описываю, бо не знаю что конкретно нужно, просто беда в том, что при всем этом в логах основная часть траффика попадает все равно на Unrecognized. ТОбишь получаецца когда открываю TOP20 пользователей по траффику, то показывается 4 пользоваткля к примеру с учтенным траффиком, а потом идут пользователи с мелочным, а потом Unrecognized где 70% остального траффа.

3. Ну и доп. вопрос, как прописать правила, чтобы локальный траффик не учитывался а считался только инетовский.

P.S. Очень рассчитываю на вашу помощь и понимание. Раньше Керио не использовал, - перешел на нее совсем недавно, как узнал, что в ней резалка траффика появилась.
Автор: crapaud
Дата сообщения: 08.05.2006 09:52
Koberok
Ну для того, чтобы проверить как работает антивирь достаточно послать себе вирус, или зайти на http://eicar.com/anti_virus_test_file.htm и покачать оттуда. Сразу будет все понятно. На счет аваста - тоже искал, нету , но думаю связки VisNetic+Mcaffe хватит за глаза. А работают они и правда особо не нагружая процессор. Да, если ты в своем NOD32 не сделал исключения на проверку папок, используемых антивирусными модулями керио, работать ничего не будет.
Автор: Koberok
Дата сообщения: 08.05.2006 13:27
crapaud
Огромное спасибо. Благодаря твоему посту остановился на Visnetic'e. Пожалуй действительно наилучшее решение.

Теперь осталось разобраться с траффиком.
Автор: RemComm
Дата сообщения: 08.05.2006 14:05
Koberok
для всех правил включи логи соединений и потом по этим самым логам можно будет найти, какие хосты у тебя не отождествляются с пользователями, но получают доступ в сеть согласно каким-то правилам. такое бывает в разных случаях, но в основном когда есть правила, разрешающие хождение наружу с условием SIP=x.x.x.x и когда этот ип не удается ассоцировать с конкретным пользователем.
Автор: Mushroomer
Дата сообщения: 10.05.2006 09:02
Удалено. Вопрос снят. Все заработало
Автор: flayx
Дата сообщения: 10.05.2006 10:46
FTP кто нить проверял? А то глюкавость c winroute тут стала проявлятся..
Ставлю по локалке закачку маленьких файлов (меньше 1 мб) тысяч под 10000. То что обычно копировалось меньше чем за час, скопировалось часа за 3-3.5. Причем успеваешь даже имя файла прочитать.
Вырубаю Winroute, ставлю копироваться заново, все просто пролетает минут за 40-50.
Бегунок копирования бежит с такой скоростью, что прочитать не успеваешь ничего.
Антивирус вырублен, DNS forwarder - тоже
Версия Winroute 6.2.0.1383.patch1.
Поставил версию 6.2.1b1454 - тормоза остались.
Из портов открыты Netbios-SSN/FTP/HTTP/HTTPS/DNS


Добавлено:
добавил правило - всем все разрешено. Включил. При включенном Winroute тормоза остались.
Стоит его вырубить через systray. Файлы летают. Может у кого будут идеи?
Автор: AnLe
Дата сообщения: 10.05.2006 12:19
flayx
Выключить скан антивирусом или PI вообще. Думаю это скорость повысит.

Добавлено:
Точнее выключить его на правиле по которому будет фтп ходить.
Автор: Arakcheev
Дата сообщения: 10.05.2006 15:31
flayx
Поставь правило "Local traffic" самым первым...
Автор: flayx
Дата сообщения: 10.05.2006 17:00
AnLe

Цитата:
Выключить скан антивирусом или PI вообще. Думаю это скорость повысит.

Антивирус не включался изначально в .cfg, впридачу - снята галочка после.
На счет PI вообще интересная ситуация - при "default" скорость медленная, при "none" - если в каталоге большое кол-во файлов, фтп-клиент просто висит.
В "other=ftp", то же самое, что при "default".


Arakcheev

Цитата:
Поставь правило "Local traffic" самым первым...

Смотря что назвать "Local Traffic". На машине два сетевых интерфейса, при этом она входит в несколько подсетей. В каждой из подсетей есть несколько серверов с которых эта машина перекачивает кучу-другую файлов на другие сервера как по FTP, так и через NETBIOS.
Ну и чтобы юзеры "случайно" не получили доступ к этой машине, на ней поставили Winroute.
После чего скорость перекачки по ФТП очень заметно упала.
Автор: Mushroomer
Дата сообщения: 11.05.2006 08:11
А зачем в настройке пользовательской квоты есть чекбокс "Уведомлять пользователя по E-mail". Ну прописал я у пользователя почтовый адрес. А толку - ноль У меня же внутренней почты нет А настроек для POP3 и SMTP в Kerio похоже нет С другой стороны, как пользователь получит почту, если у него квота уже использована? Как-то нелогично сделано. Или все завязано на внутреннюю почту?
Автор: Serg0FFan
Дата сообщения: 11.05.2006 14:07
Вопрос: Возможно ли трафик полиси настроить таким образом чтобы например прослушивался 80 порт с определенного айпишника извне и вс что идёт на 80тый порт перенаправлялось на login.icq.com на порт 5190? Т.е. типа тунеля организовать.. потому как у друга открыт только 80 порт и аську никак не могет запустить..вот хочу ему помочь =) Если это вообще возможно.. всякие халявные веб-сервисы работают оч. медленно...их можете не предлагать.
Автор: Venchik
Дата сообщения: 11.05.2006 16:38
А мне надо чтобы запросы, отправляемые на 64.12.0.0/255.255.0.0 и 208.188.0.0/255.255.0.0 на порт 5190 - шли через шлюз 10.0.5.1, а если другой порт, то и шлюз дефолтовый системный. Можно как-то оргранизовать?
Автор: AnLe
Дата сообщения: 11.05.2006 19:55
Serg0FFan
А просто посадить проксик винрута на 80 порт и пускать аську через него?

И такой вопрос, вы в одной сети (локальной например и только твой машина выход в инет имеет) или это вы в разных частях инета таксказать.
Автор: Koberok
Дата сообщения: 12.05.2006 00:36
А такой вопрос.
KWF 6.2.1 - Стоит Kerio Прокси + NAT
у всех пользователей прописан прокси..
Дык вот когда они ломяцца в инет, то в статистике на каждого пользователя
траффик отображается только на Сервисе Proxy..
1. А как сделать, чтобы они продолжая ходить по проксе всетаки разделялись в статистике на Web, Mail, FTP и т.д. ?
2. Как отключить запись в статистику локального траффика, который попадает в сервис "Other"?
3. Как добавить в статистике, в сервисах чтобы еще ICQ сервис отображался?

Спасибо за внимание.
P.S. может у кого таблетка на kwf 6.2.1 b1454 появилась с поддержкой Макаки?
Автор: MoRoZ
Дата сообщения: 12.05.2006 06:11
Mushroomer
в сабже же вроде есть smtp-relay
Автор: crapaud
Дата сообщения: 12.05.2006 08:27
Koberok
Таблэтка в варезнике давно уже есть.
У меня все ходят тока через NAT(включен прозрачный прокси). И все прекрасно отображается...
Автор: Koberok
Дата сообщения: 12.05.2006 08:53
Crapaud

а дай мне плиз свою аську )
я тебя в ней подостаю немножко
Автор: Serg0FFan
Дата сообщения: 12.05.2006 09:00
AnLe
Именно в разных частях инета.. т.е. я здесь а он в другом городе даже =) Если бы были в локалке то нафик бы я ему чвота резал бы? в смысле доступа..

Добавлено:
ТАк что ни у кого нету мыслей как сделать туннель? Чтобы человек из другого города мог законектица ко мне на винроут и тот его перенаправил куда надо дальше..
Автор: KudisovArkan
Дата сообщения: 12.05.2006 15:50

Цитата:
Вопрос: Возможно ли трафик полиси настроить таким образом чтобы например прослушивался 80 порт с определенного айпишника извне и вс что идёт на 80тый порт перенаправлялось на login.icq.com на порт 5190? Т.е. типа тунеля организовать.. потому как у друга открыт только 80 порт и аську никак не могет запустить..вот хочу ему помочь =) Если это вообще возможно.. всякие халявные веб-сервисы работают оч. медленно...их можете не предлагать


у меня построена так:

ICQ-x.x.x.x- Firewall - DNS, HTTP Proxy, HTTPS, ICQ - permit
INET (интерфейс который смотрит в инет)

где x.x.x.x - IP в инете

При таком раскладе все работает. единственное у меня на том IP полность закрыт доступ в инет, разрешен только доступ до моего IP (по всем портам). и что бы работала ICQ приходится так извращаться.

Добавлено:
Да и тебе в твоем случае придется прокси повесить на порт 80 скорее всего.

Или попробовать сделать так: ICQ - x.x.x.x - Firewall - ICQ - premit - translate to IP address of intefce
Автор: modest3
Дата сообщения: 12.05.2006 16:13
обидно, однако.
Автор: NoKawaii
Дата сообщения: 13.05.2006 00:37
Появился трабл с установкой 6.2.1.
Опять скорость копирования по локальной сети с компьютера на котором установлен Керио.
В файле winroute.cfg на внутрешнем интерфейсе установлено <variable name="FirewallExclude">1</variable>
Скорость 150-300 Кб/с,... что еще нужно исправить ?
Заранее благодарен !
Автор: Venchik
Дата сообщения: 13.05.2006 02:59
Serg0FFan, пусть твой друг пропишет у себя в качестве сервера ICQ твой IP. Порт, конечно же 80, раз он только его может использовать. Ты у себя сделай правило:
Source: IP друга
Destination: Firewall Host
Service: Local Port - TCP:80 (это кажись просто HTTP)
Action: Permit
Translation:
Source NAT: Translate to IP address of interface: выбираешь свой коннект к инету
Destination NAT:
Translate to: login.icq.com
Translate port to: 5190

Вот такая схема должна быть, я думаю.
На правильность не претендую, так как: 1-сам не проверял, 2-не великий АСС в сетях

Добавлено:
Второй способ - это сделать через прокси, но тут я тебе сразу не скажу прям так настройки....надо посмотреть сначала....а в 3 часа ночи...ой, утра, наверное, - не особо голова варит
Автор: Apropos
Дата сообщения: 14.05.2006 21:14
Вопрос такой. Есть KWF 6.2.1 , авторизация через домен.
Галочки "Требовать авторизации" и "Автоматическая авторизация через браузер" включены, так же пришлось включить HTTPS сервер керио.
При попытки открыть страницу что через IE что через Firefox (он тоже умеет NTLM), происходит перенаправление, предлагает принять сертификат , далее выбрасывается обычное окно Логин-Пароль - и только после этого пользователь логиниться в керио.

То есть авторизация через домен превращается в аторизацию через логин-пароль

Как исправить?
Автор: AnLe
Дата сообщения: 15.05.2006 09:00
Правила то все соблюдены?
хттп://www.kerio.com/manual/kwf/en/ch22s03.html
Автор: SpiderZlyuka
Дата сообщения: 16.05.2006 08:43
Здравствуйте.
Стоит у меня на выделенке уже давно winroute 5.х с касперским и все отлично, никаких проблем. Да вот надумали брать более скоростное подключение и назрел вопрос:
Как можно в новых версиях керио ограничивать скорость подключения юзеров к интернет, т.е. чтобы на любой ip была скорость не больше 56к, или какую стороннюю программу возможно прикрутить к керио, чтобы ограничить скорость подключения. Изучал winrout 6.0.8 и такой функции не нашел, может в последних версиях есть?
Подскажите пожалуйста.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.