» Kerio WinRoute Firewall (часть 2)

Уважаемые, подскажите, может кто сталкивался. Локальная сеть, проксик с WinRoute Firewall и Mdaemon. Приотправке писем на некоторые адреса (совершенно выборочно) получаю следующие ошибки от KFW, хотя отправка происходит через Mdaemon:
на адрес xxxxxxxxx@rambler.ru
Kerio WinRoute Firewall was unable to deliver message. Remote server's reply:
452 Try again later


на адрес xxxxxxxxx@hotmail.ru
Kerio WinRoute Firewall was unable to deliver message. Remote server's reply:
450 Mailbox temporarily unavailable, please try again later.

причем в обоих случаях есть 100% вероятность что ящики рабочие, и письма на них с других доменов приходят отлично. Объясните плз причем тут вообще KFW когда доставкой почты должен заниматься Mdaemon и что в настройках неправильно.

Alex_TAV


Цитата:

proxy работает , с клиента через Kerio в инет выходишь без проблем.
Фаервол ничего не блокирует на самом верху правило - разрешиь все порты от всех ко всем(на всякий случай чтоб исключить вероятность блокировки фаерволом).
На машине где стоит Kerio с того же ТС выходится на фтп без проблем, вот надо то же самое на Kerio , не пойму в чем проблема?

Немного непонятно ты объясняешь. У тебя с клиентских компов до Керио доступ - есть? прокси сервер сам - работает? странички - открываются? пользователи - заведены?

Maddy101

Цитата:

Немного непонятно ты объясняешь. У тебя с клиентских компов до Керио доступ - есть? прокси сервер сам - работает? странички - открываются? пользователи - заведены?

пользователи заведены, доступ к Kerio у них есть - в инет ходят без проблем, стистика ведется - все отлично, но вот через http пройти на фтп который в интернете не получается, с сервера (без Kerio ) все проходит. Ставил UserGate - все работает, можно пройти через http пройти на фтп .

Такое ощущение что я вообще ничего не понимаю, сегодня с утра решил зайти с клиента на фтп в Опере через Kerio и он зашел! НО - Kerio в статистике это не учитывает, в соединениях не показывает , как-то странно все получается. Обновил Kerio до 6.3 сильно не помогло. С ТС зайти все равно не получается.

Робяты, статистика в вебе что-то неактуальна совсем!
Какой интервал обновления или время запоздания кто подскажет???

Alex_TAV
к фтп в инете ты сможешь подключаться только в пассивном режиме ибо ты за натом сидишь, соответственно в тотале должна стоять галка на пассив, вообще посмотри может у тебя в фтп полиси что-нить запрещено?

я тут немного протупил, оказывается через Kerio без проблем по http можно подключится к фтп у которого нет пароля на доступ, при попытке подключится к фтп с паролем(пароль указан) приходит ответ - 403 Forbidden. Может Kerio как-то данные передает некоректно, через SquidNT все без проблем.

MADDY101 - Спасибо за помощь, просмотрел хелп, нашёл, всё путём!!!!

ANDREY LOPATNEV - Большое человеческое спасибо, дружище!!!!!!!!!!!!!!! Скачал, установил, обновился!!!!!!!!!!!!!!!!!!! Если бы не ты, не знал бы что и делать...

Отдельное спасибо форуму за то, что ты есть. Всем удачи!!!!!!!

Подскажите, а как можно в версии 6.3.0 посмотреть статистику по оранж-фильтру как это было в версии 6.2.3. В интернет-статистике что-то не наблюдаю.

Добавлено:
Вопрос снимается.
Разобрался сам.
Просто были некоторые проблемы с авторизацией.

Братцы, помогите решить проблему. Не работает вот эта штука (цитирую из хелпа):

"Всегда требовать аутентификацию пользователей (Always require users to be authenticated) Активируйте эту опцию, чтобы требовать аутентификацию всегда, когда неудостоверенный пользователь пытается открыть web страницу. При этом неудостоверенный пользователь будет автоматически перенаправляться на страницу аутентификации (смотрите главу Аутентификация Пользователей в Брандмауэре). Требуемая web страница откроется после успешной регистрации".

Не работает автоматическое перенаправление на страницу аутентификации и, соответственно, никакая веб-страница автоматом не открывается. Когда щелкаешь любую ссылку, браузер тупо висит какое-то время в дауне, потом пишет, что, мол, невозможно отобразить страницу. Нужно ВРУЧНУЮ входить на страницу ввода логина и пароля и только после этого можно открывать любую веб-страничку. В принципе эта ерунда никогда у нас и не работала. Срабатывала только на том компе, где установлен сам Керио. Но прошло какое-то время, перестала работать и на нём. Сейчас уже ничего не запрашивает, а просто сразу открывает страницу. Может, винду уже нужно переустанавливать? Кто-нибудь что-нибудь подскажет? Заранее спасибо за помощь.

lyman
У меня недавно была та же проблема, браузер висел-висел и выдавал невозможность отображения страницы.
У меня проблема оказалась в неправильно написанном имени сервера на вкладке "Web interface / SSL-VPN" в ветке "Advanced options".
То есть предлагаю проверить эту вкладку, там должна стоять галка "Enable HTTP interface" и правильно указано имя "WinRoute server name".
Затем в ветке "Users", на вкладке "Authentification options" стоит галка "Enable users authentif. automat. performed by web browsers" и стоять какие-нибудь галочки из серии "Enable Active directory или WindowsNT authentif."
При этом вроде всё должно работать. Ну, если домен, ясно дело.

Alex_TAV


Цитата:

пользователи заведены, доступ к Kerio у них есть - в инет ходят без проблем, стистика ведется - все отлично, но вот через http пройти на фтп который в интернете не получается, с сервера (без Kerio ) все проходит. Ставил UserGate - все работает, можно пройти через http пройти на фтп .

Такое ощущение что я вообще ничего не понимаю, сегодня с утра решил зайти с клиента на фтп в Опере через Kerio и он зашел! НО - Kerio в статистике это не учитывает, в соединениях не показывает , как-то странно все получается. Обновил Kerio до 6.3 сильно не помогло. С ТС зайти все равно не получается.

На лицо явный косяк с настройками. Во-первых, ты заходишь на фтп через прокси или по NAT? во-вторых, в пассивном режиме или нет?

Alfair

Нет, у меня не домен. Покопался ещё, но так ничего и не получилось. Надеюсь, что кто-нибудь ещё присоветует что-нибудь.

aljd

Это не важно сейчас, у меня вообще все заблокировано. Вот скрин, где показаны основные настройки для главной машины. Пока не был получен прямой ип, проблем не было и все работало. Теперь же инет блокирован.

[img=http://img233.imageshack.us/img233/5454/20070413230852uq9.th.png]

Напомню, что вопрос был задан ранее, как сохранить прямой ип для осла.

Prince Corvin
неудивительно что инет у тебя блокирован...
правило corvin->inet делает вот что: если с компа с винрутом летит пакет в сторону инета он пуляется на дефолтный шлюз, при этом он летит не туда куда надо а всегда на один и тот же айпишник - 85.192..., а раз это не что иное как твой внешний адрес, то ты шлешь пакеты не в инет, а сам на себя
убери NAT и MAP из этого правила, тогда с компа с керио можно будет ходить в инет
чтобы с ноута керио пропускал в инет надо еще 2 правила:
1. From = Notebook, To = Internet, Services = Any, Permit, Nat = Default outgoing
2. From = Internet, To = Firewall, Services = Any, Permit, Nat = Локальный интерфейс, MAP = Notebook
ну и в целях безопасности я бы во втором правиле в Services не Any сделал, а только Edonkey и Torrent

Maddy101

Цитата:

На лицо явный косяк с настройками. Во-первых, ты заходишь на фтп через прокси или по NAT? во-вторых, в пассивном режиме или нет?

захожу на фтп через прокси ( NAT не работает), захожу в пасивном режиме. Но вот почему получается зайти на фтп без пароля(случайно найденый фтп в инете), а вот зайти на фтп с паролем(наш фтп в инете) не получается. Такое ощущение что поле пароля урезается и комп пытается зайти на фтп исключая пароль, такое возможно. В правилах FTP Policy что-то особенно прписывать надо(я там на всякий случай создал правило разрешать все).

aljd

Вот при такой настройке (это все правила) ничего не работает. Ноут даже не проверял. Инет соединяется, но пакеты не проходят. Может, из-за того, что у меня внешний ип 172.17.31.12, внутренний локальный 172.17.108.12, а внешний, видимый из инета 85.192.54.247?

http://img172.imageshack.us/img172/4897/20070413230852hj8.png

amber - это ноут.

Люди добрые, подскажите (не могу найти, но где-то была инфа), как сдеть редирект юзера на страничку , где он прочтет о превышении дневной квоты? Почтой очень неоперативно, а звонки одолели уже. KWF 6.3.0

когда захожу через Kerio на фтп через http протокл, то следующая картина -
если на фтп пароля нет, то на него нормально заходит и в логах на http следующее-
"GET ftp://ftp.lemm.ru/syb/ HTTP/1.0" 200 5652

если же на фтп ест пароль, но приходит ответ от фтп неверный пароль в логах на http -
"GET ftp://www.my_ftp.ru/ HTTP/1.0" 403 1118

такое ощущение что Kerio вырезает пароль из запроса, а где бы это убрать?

rudback
А просто точто он может выслать на почту уведомление не подходит?

AnLe

Нет. Почту читают нерегулярно. Долбят звонками "а почему?....."
Где-то по форумам пролетало.Найти не могу. Вроде было завязано с редиректами на основе групповых политик. Могу ошибаться.

Если есть правило Source - Any, Dest - Any, Service - Any, Action -Permit - то фаервол как-бы отсутвует, то есть все пропускать должен?
У меня паралельно с Kerio запущена программа chxinat1.2.2 , она за NAT на сервере отвечает(ну исторически так сложилось), так вот останавливаю Kerio - NAT работает, запускаю KERIO - все NAT перестает пропускать пакеты. В чем может быть дело?

Alex_TAV
Зачем тебе 2 NATa на одной машине сноси свой
Цитата:

chxinat1.2.2

и поднимай NAT на керио

noblekey
на Kerio я NAT не ставил. Вопрос скорее принципиальный - почему при установленно политике Source - Any, Dest - Any, Service - Any, Action -Permit - Kerio еще как-то мешает другим програмам? Но скорее всего придется ставиь NAT на KERIO - есть вопрос - где нужно указывать что считать KERIO в виде трафика. Дело в том что у меня настроен выход для клиентов в инет через http прокси KERIO , а через NAT идет трафик который учитывать не надо(он локальный). И раньше я специально и стаил отдельную программу для NAT чтобы гарантировано этот трафик не считался.

Alex_TAV
для подсчета трафика керио лучше не использовать, так как подсчет трафика в нем слабенький, ихмо лучше воспользоваться считалками трафа других производителей например TMeter

Цитата:

NAT идет трафик который учитывать не надо(он локальный).

А зачем тебе NAT на локальном трафике? NAT поднимай между локальной сетью и инетом

[Alex_TAV
Да все разрешено, но сам NAT не включен.
А что явно не разрешено (включено) то по умолчанию ЗАПРЕЩЕНО.

AdminKZ
разве правило Source - Any, Dest - Any, Service - Any, Action -Permit не разрешает все?

noblekey
у меня структура сети -
локалка№2--сервер_с_Керио--локалка№1--провайдер_интернет

я админю локалка№2 с сервер_с_Керио, использую NAT чтобы разрешать своим юзерам ходить через сервер в локалка№1(это обще институтская сеть с фтп и их считать в трафике интернет не надо), а вот Керио раздает инет пользователям и вот это уже надо считать.

Alex_TAV
так на внутренней сети NAT тебе и не нужен достаточно сделать правило в трафик полиси разрешающее хождение локального трафика между локалка1 и локалка2, считать полюбому не керио,
а чем раздается инет с сервера локалка№1?

noblekey

Цитата:

так на внутренней сети NAT тебе и не нужен достаточно сделать правило в трафик полиси разрешающее хождение локального трафика между локалка1 и локалка2, считать полюбому не керио,

NAT нужен чтобы в верхней локалке нас все видели по IP сервера(так устроена регистрация на фтп)


Цитата:

а чем раздается инет с сервера локалка№1?

там стоит Линукс какой-то и на нем Squid 2.5

Хелп. На Инетовском серваке (Win2k) стоит Винроут 6,1,3 билд 749. Глюк с ПХП, страницы не обновляются, т.е. При каждом изминении информации на ПХП странице наро обновлять руками, при чём только по Ф5. Кто подскажет как лечить? Или дело совсем не в ВинРоуте?
Зы. Недавно устроился на это место, поэтому всю сеть ещё не копал

KashmarSPb
так на Керио кеш включен поди? Вот поэтому и надо обновлять в ручную.