» Kerio WinRoute Firewall (часть 2)

NcaSQw
Уже пиццот раз это мусолилось. Керио не выпустит ни группу ни юзера, до тех пор пока его не авторизует. Посмотри несколько моих предыдущих сообщений. Я писал как это побороть.

Hrist

Цитата:

это уже не сторонний продукт - а конкретно другая прокся...

Ну, керио это не совсем прокся, если уж быть точным

Arakcheev что-то у меня связи между моей проблемой и авторизацией не видится. Указываю конкретного юзера - работает, указываю группу - не работает. Раз юзер может пройти, значит авторизация работает, либо я чего-то не догоняю.
К тому же, если я включаю запись лог соединений, то в фильтрах вижу, что пользователь, входящий в группу авторизован. А если следом ставлю правило всё всем запрещающее, то в логах вижу, что работает именно оно, а не предыдущее. Бред какой-то, но вот где я на грабли наступаю - не пойму.
ПыСы
Предыдущие сообщения уже читал, только со своей проблемой связи не увидел.

metaltuman

Цитата:

Какие?

http://forum.ru-board.com/topic.cgi?action=addbookmark&forum=35&topic=17564&start=680 [?]
http://forum.ru-board.com/topic.cgi?action=addbookmark&forum=35&topic=12615&start=720 [?]
А вообще для точной статистике лучше конечно использовать как сказал Admin CSB UserGate или Траффик Инспектор!

На Kerio перешел недавно, до этого стоял UG проблемма, как в Kerio дать доступ на FTP правила прописал исп 21 порт. вроде у всех пользователей, но зайти могу только со своей машины с ip 192.168.0.11 с других ip не пускает пишет при попытке соеденения пользователя User на данном интерфейсе нет введите др. пользователя и пароль... что за хрень конектюсь TC пробовал и TurboFTP то же самое...
p/s. Kerio WinRoute.Firewall.v6.3.0.2683
Пассивный режим в настройках TC включал и отключал не помогло???

NcaSQw
Значит так и будешь биться головой. Керио не выпустит ни группу ни юзера, до тех пор пока его не авторизует. Посмотри несколько моих предыдущих сообщений. Я писал как это побороть.

s800
Из твоего поста вааще не понятно, к какому ftp ты коннектишься, откуда, какая топология сети.... телепаты в отпуске

s800
у меня также проблема с выходом на фтп через http прокси Керио, причем проблемы только с фтп требующие автризацию, на обычные заходит без проблем. Победить не смог, может у тебя получится. Через UserGate и SquidNT все работало без проблем, но вот хочется Керио.

2 all
1.
подскажите: 6.3.0(build 2683) легче 6.2.3(build 2027) работает или также?
2.
в каком порядке правильно установить правило кабана в http policy:
самым первым (перед разрешающими правилами)
или
предпоследним, перед "all deny" правилом?

snayper7
1) Легче и быстрее.
2) Перед Deny All

Цитата:

Доброй ночи.
После установки Kerio 6.3.0 перестал работать доступ со всех филиалов к нашему серваку. Коннект устанавливается, но ничего не пингуется. Все настройки остались от предыдущей версии, всё работало. Не могу разобраться в чём проблема. Может кто сталкивался ?

Предположительно сбой маршрутизации! Таже тема была и есть у меня, я просто задолбался убирать из списка маршрутов неправильные и делать рефреш, для определения правильных маршрутов... Или запускать батник следующего содержания

start /WAIT route -f
start /WAIT route add 0.0.0.0 MASK 0.0.0.0 xxx.xxx.73.129
start /WAIT route -p add xx.xxx..0.0 MASK 255.224.0.0 xx.xxx.73.253
start /WAIT route -p add xx.xxx..0.0 MASK 255.240.0.0 xx.xxx..73.253
start /WAIT route -p add xx.xxx..0.0 MASK 255.255.0.0 xx.xxx..73.253
start /WAIT route -p add xx.xxx.128.0 MASK 255.255.240.0 xx.xxx..73.253
start /WAIT route -p add 192.168.0.0 MASK 255.255.0.0 xx.xxx..73.253


Надо в этот бат естественно прописать свои маршруты, но это опять же помогает не надолго. В предыдущей версии такого гимора небыло.

privet vsem srochna nujna pomosh
u menia kerio 6.2.1 i vseti priblizitelno 150 kampiuterov. pachemuta useri ne mogut sdelat attachment ne w yahoo ne gmail i negde. kak tolka delaiu restart serveru srazu vsio vastanavlivaetsa toist usera delaiut attachment. no cherez 30-40 minut apiat zavisaet. mojet ktonibut znaite vchom prablema ???

spasibo vsem zaranie.

Никак не могу настроить Керио 6.1.0. Не идут пинги внутри сети. Создаю правило: Source - 169.254.100.0/255.255.255.128 Destination - 169.254.100.0/255.255.255.128 Service - Any ICMP Action - Permit. После - жму Aply и пинги все равно не идут!!!
Помогите пожалуйста.
ЗЫ. Если не туда написал ткните носом...

Читал ветку полчаса, но как-то не нашел...
Можно ли настроить почтовую программу через прокси Winroute, чтобы почта уходила, получалась, если:
1) на компах в локалке инет роздан через прокси Winroute
2) почту надо забирать на общедоступном сервере типа mail.ru и т.д.
3) правило типа ip - any - pop3, smtp - permit - map (на почтовик прова) не помогает, почта ни туда, ни сюда...
В принципе без полного NATа для конкретного IP это возможно?

Цитата:

Никак не могу настроить Керио 6.1.0. Не идут пинги внутри сети. Создаю правило: Source - 169.254.100.0/255.255.255.128 Destination - 169.254.100.0/255.255.255.128 Service - Any ICMP Action - Permit. После - жму Aply и пинги все равно не идут!!!
Помогите пожалуйста.
ЗЫ. Если не туда написал ткните носом...

McAfee прекращает поддержку антивирусных обновлений в некоторых версиях продуктов компании Kerio

С 30-го апреля 2007 года некоторые версии Kerio MailServer и Kerio WinRoute Firewall не будут совместимы с новыми обновлениями антивируса McAfee. Для того, чтобы продлить срок использования антивируса McAfee, пользователи должны обновиться до текущей версии Kerio MailServer и Kerio WinRoute Firewall. Это обновление необходимо, иначе ваша система перестанет производить сканирование

На какие версии распространяется требование?
Kerio MailServer with McAfee
6.1.x, 6.0.x или 5.x
Пользователи, использующие устаревшие версии Kerio MailServer, должны обновиться до версии 6.3.0 до 30 апреля.
Kerio WinRoute Firewall with McAfee
6.2.0, 6.1.x, 6.0.x или 5.x
Пользователи, использующие устаревшие версии Kerio WinRoute Firewall, должны обновиться до версии 6.3.0 до 30 апреля.
Почему сканирующие движки в старых версиях McAfee перестают работать?
McAfee прекратил поддержку старых антивирусных движков, используемых в предыдущих версиях Kerio MailServer и Kerio WinRoute Firewall. Новые антивирусные сигнатуры более сложны и больше не будут поддерживаться старыми антивирусными движками. Примите во внимание, что если новые сигнатуры будут загружены после 30 апреля 2007, необновленные версии прекратят работать.

источник:
http://www.bakotech.com.ua/readnews/1390.html

Подскажите как заставить керио 6.1.2-603 пускать нет на порт у меня например не пускает на http://***.***.***.***:2082 (сам сервер идет на этот адрес а как локальную машину (подключена к нету через сервер в керио по правилу пермит) заставить) и программу SQLyog для редакта MySql

Привет всем!

Появилась вполне тривиальная задачка сделать шлюз в инет. На компе стоит Винда 2003 сервер сп1 рус., KWF 6.3, крякнутая.

Есть сервер с контроллером домена, откуда керио должен брать учетки.

Полицы созданы стандартна через визард. В инет должны ходить только некоторые пользователи, а не весь ЛАН.

Что я сделал: Заменил в строчке с натом в качестве сорса поставил пользователей которые имеют доступ в инет. Керио маппит пользователей из АД, и так же их аутентифицирует. АД находится на другом сервере.

Проблема в том, что он не хочет пускать их в инет, пока к каждому пользователю не будет привязан свой адрес, когда же я пытаюь привизуть к пользователям группу адресов, настройки сохраняются только одного из пользователей(того кого настраивал последним) у всех остальных настройки группы адресов сбрасываются. \

При перезагрузке сервера с нетом пользователи вообще не могу войти в инет, т.к. сбрасываются групповые адреса сбрасываются у всех сразу...

Подскажите, может нужно делать как-то иначе? Инет необходимо раздавать только по пользователям, никак не по адресам!

Пробывал ставиь керио на другие компы, тот же эффект, пробывал ставить другие версии и не крякнутые, опять же ничего не меняется...

Может кто-то уже сталкивался с такой задачей и решил ее иначе, буду очень благодарен за любую помощь.

Цитата:

С 30-го апреля 2007 года некоторые версии Kerio MailServer и Kerio WinRoute Firewall не будут совместимы с новыми обновлениями антивируса McAfee. Для того, чтобы продлить срок использования антивируса McAfee, пользователи должны обновиться до текущей версии Kerio MailServer и Kerio WinRoute Firewall. Это обновление необходимо, иначе ваша система перестанет производить сканирование

Ни хрена не понял при чем тут McAfee...... Я создаю правило, а оно не отрабатывает!!!! Где грабли???

crapaud

Цитата:

Из твоего поста вааще не понятно, к какому ftp ты коннектишься, откуда, какая топология сети.... телепаты в отпуске

по порядку:
1.к любому FTP нет доступа, даже к своему не пускает, в локалке есть FTP сервер
2. топология сетки. есть прокся на ней установлен W2003 там же стоит Kerio до этого был UG 4,0 и проблем не было, вход на FTP был юзеры качали инфу поставил Kerio и началась такая фигня....

есть решение!!!! в настройках ТС надо указать через брадмауэр или прокси сервер-HTTP проксси с поддежкой FTP далее указать IP адрес прокси (у меня 192.168.0.1) все заработало!!!

Стоит корпоративный symantec 10.0.1.1000 на сервере (при установке клиентской части указывают этот сервер, все настройки для клиентских машин заданы на сервере и залочены на клиенте), все машины в локалке обновляются с него, но по непонятным причинам некоторые машины качают какие-то апдейты с сайта liveupdate.symantecliveupdate.com (вижу в internet access monitor) при этом ничего на машине не обновляется, за сегоднешнее утро уже накачало 700 мб. Вопрос: как запретить обновляться машинам с инета? если созданное правило в kerio на коннект к сайту по http и ftp не помогает?

s800
у тебя заходит на фтп с паролем? Т.е. просто на фтп и у меня заходит, точно так же через ТС "прокси сервер-HTTP проксси с поддежкой FTP", а вот если фтп с паролем - все облом.

s800
1) Убедится что ftp к которому конектишься имеено на 21 порту.
2) проверить существует ли правило (Обязательно NAT) для доступа по 21порту в интернет.
3) Проверить вкладку services - protocol inspector должен быть включен для ftp.

Приветствую,подскажите,плиз,как разрешить на винроуте (версия 6.3.0)интернет-банкинг?создал правило для конкретной клиентской машины,отключил протокол инспектор на айпишник банка-не помогает.
ЗЫ:все настройки сделал по мануалу к KWF 6.3.0

Помогите пожалуйста! Столкнулся с проблеммой , имел опыт настройки win route через ethernet модем (модем в режиме nat) все работало нормально.но при попытке сделать тоже самое через usb модем (sky link) ничего не получается пинги проходят voip шлюз в сети работает но странички в браузере не отображаются говорит (узел найден ожидается ответ ) и на этом висит . В чем дело?

ivanovchar
мучаясь, мучаясь... перешел я на ethernet модем. так что переходи

Здравствуйте Всем!
Кто нибудь мне поможет, новичку по программе Kerio WinRoute Firewall.
Решил себе поставить на лок. машину, для эксперимента, эту программу версии kerio-kwf-6.3.0-2683-win32. Всё установилось, крекнулось, но я не могу достучатся до интернета с этой мшины, не по сети, а с этой же машины, запускаю IExplorer , установил там в настройках прокси сервер localhost и порт 3128, ftp работает, mail агент работает, почат не работает и IExplorer не работает. Правилабыли созданы по умолчанию. Что нужно подкорректировать, чтобы заработал интернет на этой же машине. Пинги идут и по имени и по адресу в интернет, ничего не понимаю, даже пользователя заводил, логинился через пароль, всё равно не идёт.
Спасибо!

tgrisha
найдешь ответ здесь, здесь, здесь и faq - там примеры и под разные сетки

jabahutt

Цитата:

Никак не могу настроить Керио 6.1.0. Не идут пинги внутри сети. Создаю правило: Source - 169.254.100.0/255.255.255.128 Destination - 169.254.100.0/255.255.255.128 Service - Any ICMP Action - Permit. После - жму Aply и пинги все равно не идут!!!
Помогите пожалуйста.
ЗЫ. Если не туда написал ткните носом...

А что значит внутрения сеть? это у тебя тунель что ли!? Правило созданно правильно, а вот правило разрешающие пинговать машину на которой у тебя стоит керио созданно (по умолчанию пинги запрещены)!?
Name (Ping)---Source (Firewal, INET)---Destition (Any)---Sorce (Ping)---Action (Permit)

Lovec

Цитата:

Читал ветку полчаса, но как-то не нашел...
Можно ли настроить почтовую программу через прокси Winroute, чтобы почта уходила, получалась, если:
1) на компах в локалке инет роздан через прокси Winroute
2) почту надо забирать на общедоступном сервере типа mail.ru и т.д.
3) правило типа ip - any - pop3, smtp - permit - map (на почтовик прова) не помогает, почта ни туда, ни сюда...
В принципе без полного NATа для конкретного IP это возможно?

Name (Правило почты)---Source (Firewal, INET)---Destition (INET,Firewal)---Sorce (POP3 SMTP)---Action (Permit)
Name (Правило почты User)---Source (User)---Destition (INET)---Sorce (POP3 SMTP)---Action (Permit)--Translation (NAT Default...)
А так как я понял ты работаешь через прокси сервер, то ты должен указывать в настройках оутлука ip адрес машины с керио и с сответствующим портом прокси (8080, 3128....) ИМХО

svanidze

Цитата:

privet vsem srochna nujna pomosh
u menia kerio 6.2.1 i vseti priblizitelno 150 kampiuterov. pachemuta useri ne mogut sdelat attachment ne w yahoo ne gmail i negde. kak tolka delaiu restart serveru srazu vsio vastanavlivaetsa toist usera delaiut attachment. no cherez 30-40 minut apiat zavisaet. mojet ktonibut znaite vchom prablema ???
spasibo vsem zaranie.

И давно у тебя так или всегда такое было, может просто служба керио не справляется с таким количеством запросов!? версия kwf 6,3,0 более оптимизирована уже попробуй её поставить! Да в Advanced Options-Security Settings-Coonect Limiten стоит галка ?





Добавлено:
Olezka

Цитата:

Подскажите как заставить керио 6.1.2-603 пускать нет на порт у меня например не пускает на http://***.***.***.***:2082 (сам сервер идет на этот адрес а как локальную машину (подключена к нету через сервер в керио по правилу пермит) заставить) и программу SQLyog для редакта MySql

Name (Http map)---Source (Inet)---Destition (Firewall)---Sorce (HTTP)---Action (Permit)--Translation (MAP "машина где твой Web сервер":2082)
И открой порты в фаерволе которые тебе нужны для доступа с инета!
P.S.Честно говря не совсем понял вопрос



Добавлено:
sergikhack

Цитата:

Стоит корпоративный symantec 10.0.1.1000 на сервере (при установке клиентской части указывают этот сервер, все настройки для клиентских машин заданы на сервере и залочены на клиенте), все машины в локалке обновляются с него, но по непонятным причинам некоторые машины качают какие-то апдейты с сайта liveupdate.symantecliveupdate.com (вижу в internet access monitor) при этом ничего на машине не обновляется, за сегоднешнее утро уже накачало 700 мб. Вопрос: как запретить обновляться машинам с инета? если созданное правило в kerio на коннект к сайту по http и ftp не помогает?

Странно что у тебя не работает HTTP полиси, может не правильно создал правило?
Создай правило в полиси:
*liveupdate.symantecliveupdate.com*
*symantecliveupdate.com*
соответсвующим пользователям
диапозон ip указать
Deny
Поднеми его в самый вверх для начала!

Добавлено:
ivanovchar

Цитата:

Помогите пожалуйста! Столкнулся с проблеммой , имел опыт настройки win route через ethernet модем (модем в режиме nat) все работало нормально.но при попытке сделать тоже самое через usb модем (sky link) ничего не получается пинги проходят voip шлюз в сети работает но странички в браузере не отображаются говорит (узел найден ожидается ответ ) и на этом висит . В чем дело?

Отлестни страниц 5 назад, об этом уже говорилось по поводу раздачи инета при созданном PPPoE!
P.S.А вообще у тебя инет есть на этой машине где керио стоит, или ты не можешь его раздать клиентам!?


Добавлено:
RogerGT

Цитата:

Приветствую,подскажите,плиз,как разрешить на винроуте (версия 6.3.0)интернет-банкинг?создал правило для конкретной клиентской машины,отключил протокол инспектор на айпишник банка-не помогает.
ЗЫ:все настройки сделал по мануалу к KWF 6.3.0

Name (Bank map)---Source (UserBuh)---Destition (193.19.150.13)---Sorce (TCP "порт котором работает банк")---Action (Permit)--Translation (MAP "машина где стоит банк:порт),
у меня работает и если просто поставить NAT.

на клиентах интернета нет .Но про пинги с клиентов незнаю мучаюсь пока с локальной машиной.Соединение устанавливается пинги идут telnet работает . HELP что может быть ?

Добавлено:
Отлестни страниц 5 назад, об этом уже говорилось по поводу раздачи инета при созданном PPPoE!
P.S.А вообще у тебя инет есть на этой машине где керио стоит, или ты не можешь его раздать клиентам!?

там были проблеммы со шлюзом у меня соединение есть шлюз тоже вроде один . Есть ли в kerio проблеммы с 80 портом при ppp?

народ, привет. один раз мне здесь помогли здорово) может и сейчас получится)
kwf 6.3.0. 2 инет интерфейса, один сетевой. инет 1 канал ходит сетевая - sdsl (pppoe), вторая интерфейс висит прямо на сетевой. т.е. по витой паре в хаб, затем в антенну.
есть правило NAT - по нему все замечательно ходит.
есть правило rdp: sorce:инет1, инет2, лан -> dest:ip внешний1, ip внешний2 -> service:rdp -> permit -> map 192.x.x.x:3389 -> protocol inspector: default.
перестал подключаться по рдп. несколько раз подключишься с хоста - потом он его рубит. сначала видел дроп из-за анти-спуфинга. выключил.
теперь вижу коннект до 192.x.x.x tx - 0.1 и все. клиенту пишет, что подключится не удалось. обратитесь к системному администратору. а это я. сам у себя спрашиваю - хз. не понимаю)
еще одно. пинг разрешен отовсюду - не пингуется.