» Kerio WinRoute Firewall (часть 2)

Добрый день!

Подскажите плиз, где нарыть список сайтов для установки правил в керио, чтобы порнуху не смотрели.

Scream_Err
а "кабан" что? не помогает?
все, что здесь, вставить в winroute.cfg, в строку <list name="UrlGroups">

Люди, ответьте плиз. А то надо делать уже щас, а тему читать не успеваю...

Банальный вопрос для знающих, я думаю.
Есть сеть с двумя разными доменами. Есть проксик Kerio 6 (Стоящий на отдельной машине). Щас инет раздается сей сети. Надо ограничить чтобы он давался только избранным IP.

Когда переведем всех юзеров в один домен, хочется чтобы авторизация бралась из контроллера доме. А пока вижу 2 варианта.
1) Прописать всех юзеров в IP Address Group
2) Прописать их в Users и включить в отдельную Groups.

Какой вариант мне будет удобнее щас делать, чтобы потом (когда будет один домен) меньше переделывать? При этом важно чтобы юзерам никаких дополнительных вопросов (типа "введите пароль") не задавалось...

Товарисчи, вопрос, может не в тему, но не нашел, где задать. Кто-нить юзает связку KERIO+SkyDSL+ADSL? Можно ли запустить скай сервисом, до входа в систему? Вроде nnCron такое может делать. Просто нужно ехать в командировку, офис не хочется на это время на "землю" переводить. А пароли оставлять тоже. А так бы просто нажал кнопку вкл. компа, и всё. Возможно ли такое счастье? Кто-нить сталкивался? Что-то с кроном 2 дня бьюсь, результата ноль.

snayper7

Пасиб, помогло!

Кстати, извините за оффтоп, но пользуясь случаем, скину ссылочку, где лежит около 7.000 книг для админов, программеров и всех остальных, и на инглише и на русском.

Вот: Библиотека e-books.

Еще раз извините за оффтоп...

Lovec
Ни то, ни другое. Оба твоих варианта - временное решение. Самое правильное, заставить Керио брать данные пользователей из домена.

Такой вопрос: решил дома заюзать сабж. У меня пров раздает трафик через VPN, т.е. в подсети есть сервер,к которому прописано соединение, запускается со вводом логина+пароля. Поставил сегодня сабж, но так и не смог добиться выхода в инет - обрубило начисто. Как ни ковырял настройки - не помогло. Куча мануалов имеется. Может кто из гуру подскажет - возможно ли вообще такое (хотел чисто трафик за провом контролировать и мониторить, кто ко мне и от меня в сеть ломится)??? И елси не трудно - ткните носом в конкретную ссылку для моего случая.
А на русском программа есть? Или может где комплект есть с русиком? Не дружу я с буржуйским...

Nthnsq
создай одно единственное правило в самом верху from = any; destination = any; services = any; action = permit;

Цитата:

А на русском программа есть? Или может где комплект есть с русиком? Не дружу я с буржуйским...

Из шапки варезника:
Цитата:

ВНИМАНИЕ: РУСИФИКАТОРА админ-консоли WinRoute 6.X.X.X пока НЕТ в природе.Убедительно просим не желающих учить английский не засорять топик.

а вообще для таких целей ставить винрут... это как из пушки по воробьям

подскажите есть ли смысл переходить на 6.3.1 с 6.2.2 - интересует собственно только улучшение производительности.


Цитата:

6.3.0
* Improved overall performance

Вот это явно заметил кто нибудь. примерно 100 хостов у меня в интернет ходят.

se111
Переходить или не переходить тебе решать тебе И ТОЛЬКО ТЕБЕ!!!
Но список измений всё же впечатляет.

Цитата:

Version 6.3.1 - May 30, 2007
* link to Login Page re-added to Deny Page
* Application Layer Gateway is now detected as conflicting service (it caused FTP connections to fail)
* 'Valid On' Traffic Rule setting now always affect all existing connections
* improvements in Web Interface layout in Safari
- VPN traffic may be dropped by Anti-spoofing on server operating systems
- fragmented packets were not handled correctly under certain
circumstances (some connections were blocked)
- antivirus process sometimes refused to use correctly licensed Avast
- antivirus process could crash with NOD32
- fixed crash caused by malformed StaR database file
- RFC non-compliant e-mail could become corrupted by SMTP inspector
- fixed accounting of FTP traffic through proxy server
- traffic histograms were missing in Administration Console
- redirect to website after successful login sometimes failed
- stability of the Administration Console was improved
- it was not possible to enable Clientless SSL-VPN user right in Administration Console without Kerio VPN installed

Version 6.3.0 - March 29, 2007
Major new features:
+ Statistics and reporting (StaR)
* Improved overall performance
+ Support for 64 bit systems
+ Support for Windows Vista
* Improved P2P Eliminator

Version 6.2.3 - October 12, 2006
+ added support for Internet Explorer 7 to Kerio Clientless SSL-VPN
- fixed corruption of configuration file when incorrect MAC address was entered in DHCP server configuration
(This caused further changes to configuration to be mysteriously lost after reboot.)
- fixed crash when a malformed DNS response is received
- fixed crash when more than 3 custom forward DNS servers were specified
- McAfee now works even if its subscription is expired (without updates though)
- further fixes to video streaming (Amazon Music Sampler)
- fixed malformed reverse DNS queries being incorrectly resolved to valid names
- fixed missing error messages on unresponsive WWW sites
- fixed "user transfer quota exceeded" alert being sent too often
- fixed NOD32 plugin not working for SSL-VPN file transfers.

Ruza
с историей релизов то понятно. просто хочется знать стало ли быстрее всё это хозяйство работать?

p.s. если бы хоть 1 security fix там был бы я бы не задумываясь перешел.

se111
Ну помоему 99% безопасности в твоих руках (всё зависит от настройки).

Народ, короче такая трабла, винраут поднялся замечательно все бегает аж просто заглядение. А вот возникла проблема, нада заходить в ц-панель на наших веб-серверах (там же и почта), захожу по ссылке вида "ссылка: 2082 (или 2086)", короче нифига не хочет залазить ни на ц-панель ни на вебхостменеджер, уже и правило добавил чтоб с внутренней сети на внешнюю на этот порт ходило и нифига (с домашнего компа захожу без проблем - с сервером все в поряде). Помогите, че делать?

Earllestat
d HTTP полиси попробуй поставить галку Allow Tunneled Connections to any TCP port.

Хм, не нашел этой настройки в HTTP policy, может это в какой то новой версии есть? У меня 6.1.4

Earllestat
Ты с машины с Керио на эти адреса зайти можешь?

Earllestat
Укажи эти порты в траффик полиси и все.

C машини Керио тоже не могу зайти, порты эти прописал! Мне говорили, что ответ идет на другие порты (сказали 1040-1070 - в этом диапазоне), я их тоже открыл, но нифга. Не могу понять где лажа...

Earllestat
Screen

Народ , кто смог побороть Керио, чтоб можно было заходить через http прокси на фтп с авторизацией. Вот пример лога - http -
172.16.1.4 - Alex [13/Jun/2007:12:10:47 +0700] "GET ftp://ftp.lemm.ru/ HTTP/1.0" 200 3450
172.16.1.4 - Alex [13/Jun/2007:12:10:56 +0700] "GET ftp://www.my_ftp.ru/ HTTP/1.0" 403 1118
Первый фтп не требует авторизации - все Ок, второй фтп требует пароля(пароль правильный, проверял с теми же настройками , но заходил через SquidNT) и получает в ответ 403. NAT на фтп не хочу ставить. Можно что то сделать? Создавал уже в Трафик полиси отдельное правило для FTP - все то же самое.

se111, ну у меня это просто называется "Фддщц connections to any TCP port", все-равно ниче не помогает, не хочет заходить и все тебе. Хотя вот наш директор работает с интернет-банкингом, то там тоже свой порт используется, так я открыл доступ на этот порт и все путем, а тут вот херня какето.

Earllestat
тогда единственный способ - это смотреть логи.

Добавлено:
Earllestat
ой ой ой что я нашел

release history 6.2.2

Цитата:

-fixed loading of web pages on nonstandard TCP ports

я думаю то что надо. Обновляйся.

О, все окей, спасиб ребята!!!!

Уважаемые форумчане прошу вашего совета и помощи.

Ситуация: есть внутренняя сетка 192.168.0.x 255.255.255.0
192.168.0.1 - циска смотрящая в инет и внутрь, инет через нее попадает в сетку только одному IP - 192.168.0.4 то есть моей машине.

Задача: настроить керио на раздачу интернета через один интерфейс по пользователям посредством исключительно прокси (так как в качестве шлюза на всех машинах прописана циска а не моя машина ибо "так надо")

Требования: необходима авторизация по пользователям, необходима статистика (установка квот), необходиа возможность ограничения пользователей в сервисах (кому то ftp, комуто http, комуто аську).

Доп. сведения - версия керио 6.3.1 билд 2906. Все выше указанное я пытался реализовать сам, и оно у меня работает но КРИВО, устав биться головой об стену я решил попросить вашей помощи, как бы вы в такой ситуации настроили керио?!

ThinkerZZ
а что именно криво работает?

Цитата:

так как в качестве шлюза на всех машинах прописана циска а не моя машина ибо "так надо"

хм...
меняй свой IP на сиськин, а сиськин на свой и исправляй сиськин роутинг на .0.1 вместо .0.4
машина с Керио ОБЯЗАНА быть прописана в качестве шлюза у клиентов.

Saftor
Ну как, поднял впн?

bolurov
Нет ты меня с кем то спутал, я не собирался поднимать VPN канал!

всем привет, вопрос можно в Kerio WinRoute пользователю запретить всё кроме ICQ

можно