» Kerio WinRoute Firewall (часть 2)

sanchoskor
Конечно
Name (User ICQ)---Source (User Vasy)---Destition (INET)---Sorce (ICQ)---Action (Permit)--Translation (NAT Default...)
Name (User Deny)---Source (User Vasya)---Destition (INET)---Sorce (ANY)---Action (Deny) --Translation (NAT Default...)
ИМХО

Saftor
а нафига "второе лезвие"?
хотя... оно может быть полезно, если в правилах общего доступа к инету указано "Autenticated Users", а не поимённое перечисление допущенных. Во втором случае достаточно убрать Васю из списка, а остальным займётся Default Rule.

AlOne
Да я так на всякий случай, чтоб не пролез вообще
P.S. Просто я так понял челу вообще лень FAQ прочитать!!!!

Доброго времени суток... Подскажите пожалуста как в Керио сделать чтоб на один канал принимал весь входящий трафик а на выход у него было только 2-3 адреса Как вообще такое можно сделать?
Просто поясню. Мы юзаем интернет через спутник входящий трафик, исходящий на ADSL весит. Программа поставляемая часто падает. Хотя и в керио стоит запрет всех юзеров ходить в интерент... Но как то за этот месяц наскакало 2 гб входящего на земмле. Если Еще какая ифа требуется то скажите... Я с привеликим удовольствием предоставлю ее для помощи.

olannots
http://www.pcsecurity.net.ru/forum/viewtopic.php?p=2846#2846

Народ, все не перечитаю. Ответьте - стОит ли качать последнюю версию "6.3.1 build 2906", либо ставить "6.2.0-1382" ? Прост старую версию скачал давно, а щас нужно поставить вин роут - произошли ли какие-нибудь стоящие измение\улучшения ради которых надо скачать новую версию. Заранее спасибо.

KPOCCOBOK
6.3.1 лучше, чем 6.2.0, так что стОит

KPOCCOBOK


Цитата:

#
Version 6.3.1 - May 30, 2007
* link to Login Page re-added to Deny Page
* Application Layer Gateway is now detected as conflicting service (it caused FTP connections to fail)
* 'Valid On' Traffic Rule setting now always affect all existing connections
* improvements in Web Interface layout in Safari
- VPN traffic may be dropped by Anti-spoofing on server operating systems
- fragmented packets were not handled correctly under certain
circumstances (some connections were blocked)
- antivirus process sometimes refused to use correctly licensed Avast
- antivirus process could crash with NOD32
- fixed crash caused by malformed StaR database file
- RFC non-compliant e-mail could become corrupted by SMTP inspector
- fixed accounting of FTP traffic through proxy server
- traffic histograms were missing in Administration Console
- redirect to website after successful login sometimes failed
- stability of the Administration Console was improved
- it was not possible to enable Clientless SSL-VPN user right in Administration Console without Kerio VPN installed
#
Version 6.3.0 - March 29, 2007
Major new features:
+ Statistics and reporting (StaR)
* Improved overall performance
+ Support for 64 bit systems
+ Support for Windows Vista
* Improved P2P Eliminator
#
Version 6.2.3 - October 12, 2006
+ added support for Internet Explorer 7 to Kerio Clientless SSL-VPN
- fixed corruption of configuration file when incorrect MAC address was entered in DHCP server configuration
(This caused further changes to configuration to be mysteriously lost after reboot.)
- fixed crash when a malformed DNS response is received
- fixed crash when more than 3 custom forward DNS servers were specified
- McAfee now works even if its subscription is expired (without updates though)
- further fixes to video streaming (Amazon Music Sampler)
- fixed malformed reverse DNS queries being incorrectly resolved to valid names
- fixed missing error messages on unresponsive WWW sites
- fixed "user transfer quota exceeded" alert being sent too often
- fixed NOD32 plugin not working for SSL-VPN file transfers
#
Version 6.2.2 - August 7, 2006
+ added TCP MSS altering to work around nonworking PMTU discovery due to blocked ICMP
(this typically fixes nonworking HTTPS pages on PPPoE connections)
* Administration Console now remembers last view in IP Address Groups, DHCP Scopes and Leases, HTTP URL Groups, Time Ranges screens
* cache memory size configuration value has been removed (the best value is now auto-detected)
* the timeout for half-open TCP connections has been decreased
- fixed deadlock in UPnP service if an interface goes up or down
- in SSL-VPN downloaded files are now forced to be saved to disk instead of opened in IE
- fixed creating of huge antivirus temporary files even though size limit was configured
- fixed occasional WinRoute service crashes during system shutdown
- fixed crashing when loading user configuration where no user has administrative rights
- fixed opened Administration Console aborting normal system shutdown
- fixed problem with temporary files occasionally remained on disk after the antivirus scanning
- fixed a potential bug that antivirus process(es) won't start during WinRoute initialization
- fixed national characters handling in the administrative password dialog in the installation wizard
- fixed loading of web pages on nonstandard TCP ports when going through multiple proxies
- fixed nonworking CNN pipeline stream videos
- fixed possibility to remove some interface statistics for some interfaces
- fixed IP addresses for hostnames in the traffic policy not being updated often enough
- fixed old half-closed FTP connections through the firewall sometimes remaining open for very long times
- antivirus scanning failures are now logged into security log
- fixed client FTP connections not being correctly reset if virus was found during the transfer.
- fixed FTP inspector could parse certain (illegal) responses incorrectly causing the affected connection to hang
- fixed bandwidth limiter behaving incorrectly if the IP address group selected there was deleted
- fixed inability to send mail through certain rare servers if TLS transfers are denied by WinRoute
- fixed possible file corruption during antivirus scanning on chunked HTTP connections
- fixed nonworking quarantine storage of infected files found in FTP transfers
- fixed changes to the default SSL web interface TCP port of 4081 not being applied until restart of WinRoute
- user manually imported from AD now have their email addresses imported (affects only newly imported users)
- fixed file and folder icons failures to load when browsing FTP via the HTTP proxy server

Kerio VPN Client 1.2.2
- fixed route to remote network being added to system even if it already exists
#
Kerio VPN Client 1.2.1 - May 4, 2006
- fixed conflict with MS Firewall Client that caused OS crash
#
Version 6.2.1 - May 3, 2006
- fixed service crash in email protocol inspectors
- fixed occasional high CPU usage of the service
- fixed handling of HTTP/0.9 responses
(this caused false positives of binary characters in HTTP headers)
- fixed ignoring traffic policy rules when host names were used
- fixed nonworking Windows Update via proxy server
- fixed monthly rotation of logs
* denial pages no longer use SSL
(this caused unexpected SSL certificate warnings in browsers)
* improved handling of ICMP destination unreachable messages
(this sometimes caused VPN tunnels to stop working)
+ added ability to select custom port for SMTP relay server
#
Version 6.2.0 Patch 1 - April 10, 2006
- fixed service stability issue

Так что решать тебе.

Не пойму где туплю - настройки все по умолчанию из визарда. Включен НАТ для всей локалки для всех сервисов. Работает все, кроме игрушек. Все пишут коннекшн таймаут. На тачке с Винроутом все работает...

SHRiKEZ
Ну мое предположение - порты для игр открыть.

Добавлено:
Ruza
Спасибо, почитал.. Но, как известно, пофиксили старые баги, добавили новых

KPOCCOBOK
Да все открыто. Правила такие:

Nat: Local - Inet - Any - Permit
Local Traf: Local, FW - Local, FW - Any - Permit
FW Traf: FW- Inet - Any - Permit
Ident: Inet -FW - Ident - Deny

SHRiKEZ
non-transparent proxy включен?
а где сама NAT-трансляция? надеюсь в правиле она есть, просто написать забыл.

1. non-transparent proxy включен, только при чем тут он?
2. Да, конечно есть, в правиле Nat

Добавлено:
Из локалки все работает, http, ftp, pop3, smtp, а игрухи нет.

SHRiKEZ
выключи

AlOne
Пробовал - таже фигня, т.к. имхо никакого отношения прокси к НАТу не имеет.

SHRiKEZ
возможно мешается Protocol Inspector. Поставь в None.
Хотя у меня при дефолтном КС нормально конектился вроде.

Protocol Inspector - где это?

Добавлено:
Даже интернет игры из ВыньХП не конектяться...

Чет я запутался маленько)
У меня 2 прова, нужно чтобы на определенный диапазон заходить с одного, а в глобал и другой диапазон с другого.. Подскажите правила плиз.
Пров№1 - сетевка prov1
Пров№2 - сетевка prov2

SHRiKEZ, правый клик на Traffic Policy, Modify Columns, поставить крыж на Protocol Inspector. Потом выберешь его режим.


Добавлено:
KPOCCOBOK, Routing Table в помощь.

AlOne
Не помогло. А не может быть такое из-за того что у меня НАТ за НАТом? Т.е. пров мне дал только внутренний ИП, след-но у него НАТ. Я расшариваю через свой "сервер" инет дальше в локалку, при этом пров разрешает коннекты в инет только с моего ОДНОГО внутреннего ИП, поэтому я использую "второй" НАТ. Все предопределенные сервисы в локалке рабртают, т.е. http, ftp, pop3, smtp и т.п., а вот любые коннекты с портами выше 1024 отваливаются по таймауту, при этом видно что коннект идет, но такое ощущение что обратно пакеты не проходят...

SHRiKEZ. а пЫнг какой? Мож просто по Latency не пущают?

Доброго времени суток !

ПРоблема такая, сервак, две карточки , локалка инет , KWF (NAT), из локалки стандартное (виндовое )VPN соеденение. Понадобилось еще одно VPN соеденение . Когда подключаюсь одним вылетает второе и наоборот. Если напрямую (без KWF ) все работает.
Может кто, что подскажет?
Спасибо!

Evgeniy55
а в логах есть причина разрыва?

se111
Нет. Ни чего не находил. Одно соеденение проподает другое появляется ошибок не каких нет.

Evgeniy55
1) PPTP или L2TP?
если первое то попробуй выключить Protocol Inspector.

se111
PPTP
Пробовал перестает конектится

проблема следующая:
система - Win2k Server.
периодически вылетает Kerio WinRoute Firewall 6.0.8 со следующей ошибкой:

[31/May/2007 10:48:06] (1005:1453) Internal error: Failed to retrieve packet from driver.
[31/May/2007 11:03:04] (1005:1453) Internal error: Failed to retrieve packet from driver.
[31/May/2007 11:05:46] (1005:1453) Internal error: Failed to retrieve packet from driver.
[31/May/2007 11:05:51] Last message repeated 379491 times
[31/May/2007 11:15:05] (1005:1453) Internal error: Failed to retrieve packet from driver.
[31/May/2007 11:15:13] Last message repeated 460037 times
[31/May/2007 11:15:13] (1009:1453) Internal error: Failed to determine count of IP addresses.
[31/May/2007 11:16:04] (1005:1453) Internal error: Failed to retrieve packet from driver.
[31/May/2007 11:16:07] Last message repeated 15962 times
[31/May/2007 11:16:07] (1005:1453) Internal error: Failed to retrieve packet from driver.
[31/May/2007 11:23:33] Last message repeated 531916 times
[05/Jun/2007 00:04:03] (1005:1453) Internal error: Failed to retrieve packet from driver.
[05/Jun/2007 00:04:09] Last message repeated 535 times
[05/Jun/2007 00:15:03] (1005:1453) Internal error: Failed to retrieve packet from driver.
[05/Jun/2007 08:01:58] Last message repeated 497428 times
[09/Jun/2007 18:39:52] (1005:1453) Internal error: Failed to retrieve packet from driver.
[09/Jun/2007 18:45:04] (1005:1453) Internal error: Failed to retrieve packet from driver.
[09/Jun/2007 21:09:06] Last message repeated 520214 times
[14/Jun/2007 09:11:16] (1005:1453) Internal error: Failed to retrieve packet from driver.
[14/Jun/2007 09:45:20] (1005:1453) Internal error: Failed to retrieve packet from driver.
[14/Jun/2007 09:47:25] (1005:1453) Internal error: Failed to retrieve packet from driver.
[14/Jun/2007 11:13:16] Last message repeated 403847 times

естественно, машину приходится перегружать, что не есть good.
все сетевухи - Compaq, один гигабитный D-Link. К сетевухам (их дровам) нареканий никогда не было.
дрова, на самом деле, менять не хочется совершенно.
есть ли действительная информация по этой конкретной ошибке и методам ее устранения?

Evgeniy55
протокол GRE разрешен в traffic policy ?

Добавлено:
да и попробуй убрать галочку anti-spoofing

Пытаюсь ставить последнюю версию.. на этапе "KWF lower layer driver setup" все останавливается и может висеть, наверно, бесконечно.. Что это за проблема и как ее решить ?
На время установки пробывал отключать всевозможные программы, оставляя только системные.
Да, удалось поставить один раз - поставил сначало 6.2.2, поверх нее быстро все установилось, но при попытки настроить Керио не видит моих сетевух.. Нажал анинстал все опять повисло на этот самом "KWF lower layer driver setup" и все.

KPOCCOBOK
погоди, оно жетам при установке этого самого около пяти раз спрашивает про то, что типа данные дрова не тестировались с винхп, и типа что вы хотите? Прекратить установку или продолжить?! я там помоему продолжить раз 5-6 нжимал))) У тебя до этого доходило?!