» Kerio WinRoute Firewall (часть 2)

KashmarSPb
На нужные сайты можно сделать время жизни в кеше 0.
Ну или у вас опера стоит что тоже хорошо кешит Ж)

Отдельная шлюзовая тачка: w2k3, Winroute 6.0.10 в домене w2k3
Необходимо запретить скачку .exe, но оставить возможность качать .zip
Если ставить из предлагаемых заготовок:
HTTP Policy-HTTP_Rule-Advanced-Valid if MIME type is:
application/*
то не качаются ни экзе ни зипы одновременно
пробовал от балды ставить: application/exe или application/*.exe
- не работает

Ребят, а можно ли доставить на тачку ВПН сервер.
Ничего не произойдет с конфигом, работоспособностью Винроута???

Цитата:

snayper7

ТАкая же байда. Умерло все.

Добавлено:

Цитата:

Andrey Lopatnev

Я вот с тобой солидарен в нестабильности версии. Может надо подождать немного - хотя бы до 6.3.1

forb
Прописывай HTTP/FTP Policy.

Jilted
ничего

nakagun - не понял, что случилось?

Цитата:

forb
Прописывай HTTP/FTP Policy.

Шутку не понял
Я и так привёл кусок HTTP Policy.
A FTP Policy тут не при чём, нужные нам зипы качаются по HTTP.

forb
Правильное делается так:
в URL Groups делается список, например *.exe, *.rar и тд.
затем создается правило где указывается эта группа и действие (запрет). МИМЕ остается как "*".
все!

Доброе время суток, всемогущий All!

Подскажите пожалуйста... может кто так уже и поступал....

Суть проблемы в том, что имеем KWF 6.2.2 на котором не была установлена поддержка Kerio VPN. Сейчас можно как то отдельно доустановить Kerio VPN, или надо будет переустанавливать его весь и заного настраивать???

Заранее спасибо всем откликнувшимся!!!

Помогите плиз настроить winroute так что бы он автоматом авторизовал юзеров из домена.
К примеру есть у меня в домене группа inettaccess
Я создаю правило
source inetaccess@mydomain.local
dest OutLan (Интерфес смотрящий в интернет)
service any
Translation NAT
На вкладке Users Accaunt стоит не локальная база а домен. И они из домена берутся нормально.
На вкладке Autentication options стоят все галочки.
На вкладке Active directory тоже все стоят.
Но авторизация не происходит. Винроут не пускает в инет пользователей из этой группы.
Что не так делаю. Подскажите.

komal
С этим правилом Керио будет выпускать АВТОРИЗОВАННЫХ пользователей. Но ведь они еще не авторизованы!
Поэтому где-то в конце, ты поставь следующее правило:
Source - LAN
Dest - OutLan (Интерфес смотрящий в интернет)
Service - DNS, HTTP
Action - Allow
Trabslation - NoNAT

процесс будет идти так:
пользователи еще не авторизованные, будут пытаться выйти в инет по этому правилу, и на этом правиле будет авторизованы! Но как только они буду авторизованы, для них уже будет действовать твое правило, а не это! и до моего правила они просто не опустятся.

Alex_TAV
AnLe
Спасиб, что-то я про кэш не подумал.

керио 6.3.0(build 2683) - почему то не хочет запускаться NOD32 Antivirus
на предыдущих версиях проблем не было.. ((
выдает ошибку:Error loading scanner dll (998)

никто не сталкивался?

У меня Kerio Winroute 6.1.0.
Раньше всё работало нормально, но последнее время стали вылетать ошибки на сервере
Что то про crash report и т.д и при этом прокси останавливался пока ошибку не закроешь. С чем это может быть связано? При этой ошибке также отключается сетевой диск созданный на NetWare. C чем это может быть связано?

to Arakcheev:

Цитата:

forb
Правильное делается так:
в URL Groups делается список, например *.exe, *.rar и тд.
затем создается правило где указывается эта группа и действие (запрет). МИМЕ остается как "*".
все!

Сенькс!Работает!
за два года беспроблемной работы винрута без переустановок разленился думать
не допёр, что нужна более, чем одноходовая комбинация (две вкладки)

Подскажите, как настроить керио в качестве прокси сервера для пользования ICQ?

ShamaN
предположим, ты хочешь чтобы всю локалку пускало в аську без настройки прокси в свойствах icq-клиента... делаешь правило:
from = Локалка, destination = Internet, service = icq, Permit, Nat = инетовский сетевой интерфейс
тогда если на компе шлюзом прописан айпи компа с керио, то аська без проблем подключится к серверу

Цитата:

С этим правилом Керио будет выпускать АВТОРИЗОВАННЫХ пользователей. Но ведь они еще не авторизованы!
Поэтому где-то в конце, ты поставь следующее правило:
Source - LAN
Dest - OutLan (Интерфес смотрящий в интернет)
Service - DNS, HTTP
Action - Allow
Trabslation - NoNAT

процесс будет идти так:
пользователи еще не авторизованные, будут пытаться выйти в инет по этому правилу, и на этом правиле будет авторизованы! Но как только они буду авторизованы, для них уже будет действовать твое правило, а не это! и до моего правила они просто не опустятся.

Спасибо помогло. Вот только почему то авторизация автоматом не происходит. Все равно перебрасывает на страницу авторизации KWF. И еще одно неудобство. После того как пользователь отключается и с этого же компа ктото входит под другим именем, все равно интернет идет под тем пользователем, который залогинился изначально. Если уменшить время через которое KWF делает принудительный logaut то приходится постоянно вводить имя и пароль. Вобщем это не удобно.

Цитата:

Спасибо помогло. Вот только почему то авторизация автоматом не происходит

Для того чтобы автомат работал, нужно к имеющимся у вас трафик полисам еще
НТТР полисы в Content Filtering, как то: Allow access to selected users , где в Selected user(s) указана ваша группа inetaccess@mydomain.local , Url Begins with *, в Action стоит Allow access to the Web site. И правило для авторизации напр: Deny access to other users (обязательно после Allow access to selected users, лучше даже поставить его последним). В нем нужно указать: Any user (do not require autentication - убрать галочку!!!), в Action поставить Deny access to the Web site. Также включите в нем Log. По нему увидите происходит автоматическая аутентикация или нет, т.е. в Logs > filter должны появляться строки типа: [20/Apr/2007 12:36:34] AUTHENTICATE URL 'Deny access to other user......
И еще. У меня не получился автомат еще в двух случаях: 1. Пользователь выходит в инет напрямую, а не через прокси. 2. Пользователь браузит Оперой а не мелкософт эксплорером.

Цитата:

После того как пользователь отключается и с этого же компа ктото входит под другим именем

Когда выходит страница Аутентификации на ней есть ссылка на "страницу выхода из системы", нужно ее запомнить в закладках, и тогда пользователь сможет разлогиниваться сам.

Цитата:

На вкладке Autentication options стоят все галочки.

У меня убрана галка Enable Active Directory/Kerberos autentication не помну почему, но без нее работает.

подскажите в windows 2003 sr2 winroute как сервис не запускается изза чего непонятно

Неправда ваша: все запускается.

Что в Event Log'ах?

komal
Ставь 6.3. Там как раз сделана проверка авторизации с одного компа.

повторюсь...

керио 6.3.0(build 2683) - почему то не хочет запускаться NOD32 Antivirus
на предыдущих версиях проблем не было.. ((
выдает ошибку:Error loading scanner dll (998)

никто не сталкивался?

aljd
а если нужно не только из локальной, но и из инета пускать (типа прокси для icq, а то по GPRS подключиться тяжко)?

Proger
возможно ему не нравится модуль IMON, его лучше отключить - попробуй поставить NOD заново с отключенным модулем IMON.

to All: Пробвал поставиь правило NAT с тем чтобы трафик по нему не считался поставил в калонке Trafic_Inspector - none, NAT работает но и трафик по нему исправно идет в статистику - что я сделал не так? Самое интересное что в IAM_Kerio вроде нет трафика что шел по NAT.

может я не в тему, но существует небольшой вопрос по лицензированию. Кто покупал - подскажите.
вот у меня такая схема

Расскажите как понимается
USER в правилах лицензирования
WinRoute Firewall

Меня интересует такая ситуация:
структура в файлике

в каждом офисе по 100-200 компьютеров.
все офисы соединяются прямой связью.

Какая в данном случае будет для верхнего
КЕРИО лицензия? обычная стандартная на 10 юзеров?
а для каждого офиса?

керио они используют только как РОУТ, и во вкладке
USERS на самом керио они не заводятся.
вот и не понятно, юзер это всё же что.

если юзер - это компьютер, то получается. что верхний керио должен
быть на 500 юзеров, а нижние по 100-200? или верхний стандартную
лицензию, а нижние используют расширенные лицензии?
или все используют стандартные?

Добавлено:
я повторюсь.

никакие юзеры на керио НЕ ЗАВОДЯТСЯ
керио только как РОУТЕР используется

подскажие по такому вопросу, равильно ли я делаю (просто на данный момент негде проверить), нужно будет просто в скором времени сделать. ситуация такая. есть сервер 196.168.0.1 с керио. есть пользователи локалки. они выходят в инет через НАТ. в трафик полиси для них разрешаю только dns, ftp, http(s), icq, tcp443.
есть юзеры user1, user2, user3, user4, user5 (к примеру)

мне нужно чтобы:

user1, user2 - полный доступ в инет
user3 - доступ только на mail.ru, rambler.ru
user4, user5 - доступ на microsoft.com, kernel.org

соответственно я так думаю что делается стандартная аутентификация через веб форму в керио, прописываю юзеров.. а что далее? я так понимаю надо зайти в http плиси и там сделать следующее:

создаем (новое правило доступ тока на mail.ru, rambler.ru) соотвтсвенно указываем что действует тока на user3 - permit
далее правило:
(доступ на микрософт и кернел.орг) для юзеров user4, user5 - permit
далее доступ полный для user1, user2 - все сайты - permit
и самое нижнее правило создать типа * (все сайты) для всех юзеров - deny. или это не правильно? или наоборот это правило вверх переместить?

f0s
будет работать
можешь и в traffic policy что-то похожее накидать - как удобней

snayper7



в самом начале разместить правило типа "всем всё зопрещено!" или нет? оно не будет остальные перекрывать? и как для тех у кого уже полный доступ сделать так, чтобы они не могли качать мп3 и т.п. я так понимаю создать еще олно правило в котором объединить в группу мп3\ави и поставить deny. и куда это правило поместить в порядке очереди?

f0s
1. all deny в самый вниз
2. на этой странице выше (однотипный вопрос)