Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: StormBP
Дата сообщения: 22.05.2006 13:14
Возникла следующая ситуация - из локалки необходимо выпускать FTP клиента. Прописываю пользователя для керио - говорю автоматом логиниться с такого-то адреса.
Настраиваю FTP policy - этого пользователя при коннекте к любому серверу - разрешить.
Наблюдаю картину - долгое ожидание и ответ сервис недоступен.
Куда рыть, в каком направлении?
Автор: Arakcheev
Дата сообщения: 22.05.2006 15:44
StormBP
Правила траффика давай.
Автор: Sanserif
Дата сообщения: 22.05.2006 21:57
вопросы следующие наболели:
1) как бы ограничить фаерволом именно что бы 2 компа с статическим IP могли коннектиться черех шару друг к другу(расшаренные папки на них), а другие - не могли
2) Есть ли возможность что бы файл с вирусягой не тянулся сначала с сервера и потом только сигналил о вирусе, а сразу открубал бы его скачивание? Стоит визнетик
3) Есть ли возможность ограничивать скорость с помощью встроенного шейпера для разных юзеров на разном уровне(что бы для одного скорость была не больше 30кб, для второго - 10кб)
Автор: Roft
Дата сообщения: 23.05.2006 08:21
2StormBP

Помимо 21 порта для клиента на вход надо разрешить порты больше 1024 (это быстрый вариант), ну или по логам вычислить какой диапазон на вход открывает сам клиент (чуть геморройнее). CuteFTP, например, открывает больше 5000 один или два потра.
Автор: Arakcheev
Дата сообщения: 23.05.2006 08:34
Sanserif
1) фаером не возможно в принципе - раздавай права NTFS
2) так и происходит (частично), как только обнаруживается сигнатура, файл останавливается.
3) в текущей - нет. в будущих - да. (с форума керио)
Автор: Sergey_Demchuk
Дата сообщения: 23.05.2006 09:44

Цитата:
Итак, для того чтобы работали p2p клинеты надо:
1. Создать правило типа Name-пофик, Source-интернет (Диалап, ADSL, т.е. место откуда инет приходит), Destination-FireWall, Service-порт клиента или сервис (например eDonkey, DC++), Action-Permit естевственно, Translation-тут в верхней части No Translation в нижней Translate to: IP машины с клиентом (если та на которой винроут то 127.0.0.1).
2. Advanced Options, P2P Eliminator, галка должна быть снята, либо переключатель должен стоять в положении Alow only predefined services и там выбраны ваши p2p сети. По кнопке Advanced можно настроить количество конектов, зависит от ваших настроек клиента и скорости инета. У меня на 56k для осла стоит 10.
Если поставить меньше ничего страшного не произойдет, лишние будут отрубавться и в Alert log-е появляться сообщения.


Не получается, не работает емул. На сервере ОК, на клиенете нет.
Автор: SergDobudko
Дата сообщения: 23.05.2006 12:38
Люди, подскажите, стоит на W2003EE WinRoute 6.2.0 1323 Первое время работал нормально, теперь отжирает 99% процессора и тормозит всю систему. Так и должно быть или как то можно бороться ?

На тачке Celeron 2500 и 512 оперативы. AD, DNS, DHCP.
Автор: Artem12577
Дата сообщения: 23.05.2006 15:43
Периодическая трабла с ДНС форвардингом. Имеем винрут 6,1,4 1086. Время от времени падает днс форвардинг, т.е. пинги с локалок идут на днс сервер провайдера, а хттп не ходит. Пробовал переставлять и тп.п- не помогает. Помогает перезапуск керио...
Автор: lipser
Дата сообщения: 23.05.2006 21:58
Уважаемые, поможите с настройкой роутинга!
Есть домашняя локалка, мой адрес в сети 192.168.4.59, но присутствуют и другие подсетки. Настроен Wins.
Есть дома две тачки 10.0.0.1 и 10.0.0.2 (WinRoute)
Интерент подключается через VPN-соединение, в ВинРоуте выставлено подключать Persistent.
C той машины что 10.0.0.2 (ВинРоут) все ок: имеем и инет и локалку. А вот с машины 10.0.0.1 интернет имеем, а вот в локалку никак
Допустим пытаюсь пингануть с 10.0.0.2 (ВинРоут) машину в сети с адресом 192.168.100.1 - все ОК. То же самое с 10.0.0.1 - превышен интервал ожидания. Пытаюсь с нее же tracert 192.168.100.1 - вижу первый хоп 10.0.0.2, а далее все тот же превышен интервал.
Таблица роутинга на 10.0.0.1:
[more]
===========================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0f ea 69 86 1b ...... Realtek RTL8139 Family PCI Fast Ethernet NIC
==========================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.0.0.2 10.0.0.1 20
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1 20
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.100.1 255.255.255.255 10.0.0.2 10.0.0.1 20
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1 20
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 1
Основной шлюз: 10.0.0.2
===========================================================
Постоянные маршруты:
Отсутствует
[/more]

Таблица роутинга на 10.0.0.2 (WinRoute):
[more]
===========================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 60 52 0c 11 cf ...... Realtek RTL8139 Family PCI Fast Ethernet NIC
0x3 ...00 01 02 c2 dc c5 ...... 3Com EtherLink XL 10/100 PCI(3C905C-TX)
0x80005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================
===========================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.0.0.1 10.0.0.2 21
0.0.0.0 0.0.0.0 192.168.4.254 192.168.4.59 21
0.0.0.0 0.0.0.0 192.168.104.30 192.168.104.30 1
10.0.0.0 255.0.0.0 10.0.0.2 10.0.0.2 20
10.0.0.2 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.0.0.2 10.0.0.2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.4.0 255.255.255.0 192.168.4.59 192.168.4.59 20
192.168.4.59 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.4.255 255.255.255.255 192.168.4.59 192.168.4.59 20
192.168.6.38 255.255.255.255 192.168.4.12 192.168.4.59 20
192.168.100.1 255.255.255.255 192.168.4.12 192.168.4.59 1
192.168.104.30 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.104.255 255.255.255.255 192.168.104.30 192.168.104.30 50
224.0.0.0 240.0.0.0 10.0.0.2 10.0.0.2 20
224.0.0.0 240.0.0.0 192.168.4.59 192.168.4.59 20
224.0.0.0 240.0.0.0 192.168.104.30 192.168.104.30 1
255.255.255.255 255.255.255.255 10.0.0.2 10.0.0.2 1
255.255.255.255 255.255.255.255 192.168.4.59 192.168.4.59 1
255.255.255.255 255.255.255.255 192.168.104.30 192.168.104.30 1
Основной шлюз: 192.168.104.30
===========================================================
Постоянные маршруты:
Отсутствует
[/more]

Подскажите плз как правильно настроить роутинг и на какой именно машине. Всю голову сломал

2Moderator: Sorry, поправил...
Автор: XDefender
Дата сообщения: 24.05.2006 15:17
Ребята, вопрос у меня.

Мне необходимо выставить ограничение по скорости в 256 kbps по всем портам, кроме двух портов
5200, 149 (к примеру).

Или выставить ограничение по IP адресам по скорости 256kbps,
т.е. все IP которые не принадлежать этим IP адресам
69.11.22.11 - 69.11.22.45
88.31.12.1
ограничение в 256kbps.

Вопрос: как это сделать?

хотелось бы использовать для этого встроенные средства KWF 6.2.1 (если вообще возможно это).

если нет - посоветуйте что использовать?

Конечным, идиальным варинтом было-бы
задать качество обслуживания, т.е трафик по портам 5200, 149 толжен иметь высший приоритет (типа голоса). ВСе остальное ниже приоритетом. Вот как-бы это сделать - вот в чем вопрос!

Пожалуйста дайте ваши советы!!!
Я хочу заранее выразить благодарность за них!!!!
Автор: AloneInTheDark
Дата сообщения: 24.05.2006 15:58
Господа подскажите что делать:

Kerio WinRoute FireWall 6.0.8
Периодически (1-2 в месяц) Kerio отрубает все порты на машине, пока локально не зайдешь и не нажмешь OK на мессаге, говорящей что это не лицензионная версия (ломал кряком). Апдейты отрублены.
Он типа коннектится с разработчиком и понимает что он "левый", и сразу уводит машину в даун.

Может какая кряка есть?

И обязательно в выходные!
Автор: Serg0FFan
Дата сообщения: 24.05.2006 16:10
AloneInTheDark
В варезнике такие вопросы надо задавать! Ссылка есть в шапке. За такие вопросы здесь по шапке надают.
Автор: ICY_fire
Дата сообщения: 24.05.2006 16:15
AloneInTheDark,
...А вообще, в варезник тебе надо
Автор: AloneInTheDark
Дата сообщения: 25.05.2006 07:13
Спасибо ICY_fire, впредь буду аккуратнее с выбором топика

Автор: StormBP
Дата сообщения: 25.05.2006 07:14
Всем спасибо, кто откликнулся. С FTP разобрался, добавив правило на НАТ для сервиса ФТП.
Вот правда возникла еще задачка - надо одному пользователю разрешить доступ только к одному сайту (mail.ru) и чтобы больше никак не смог пролезть. Настраиваю HTTP Policy - одно правило разрешить маил.ру, второе запретить все. в результате - не пускает вообще никуда. Порядок правил не обрабатывается что-ли в керио? и как тогда выкрутиться? Подскажите пожалуйста.
Автор: Arakcheev
Дата сообщения: 25.05.2006 11:11
StormBP
В HTTP Policy можно указать имя пользователя и все тут.
Автор: Apropos
Дата сообщения: 25.05.2006 22:04
А kerio 6.2.1 может пропускать внутрь сквозь нат L2TP IPSec через отображение портов? Работает ли галочка IPSec Passthru, и вообще какой от нее толк???
Автор: scatchi
Дата сообщения: 28.05.2006 09:33
Apropos
WinRoute имеет так называемый IPSec проход. Это значит, что WinRoute не имеет инструментов для установки соединения IPSec (туннеля), но он может обнаружить IPSec протокол и активизировать трафик между локальной сетью и Интернет.

"Галочка" - работает =) Для чего нужна - в предыдущем абзаце.

Что имелось ввиду под фразой "через отображение портов"???
Автор: Apropos
Дата сообщения: 28.05.2006 15:14
scatchi
схема такая : СЕРВЕР(W2K3) - ШЛЮЗ(KWF) - ИНТЕРНЕТ(удаленный клиент)

на СЕРВЕРе поднимается виндовый VPN-сервер
надо обеспечить подключение клиента через шлюз к серверу

Для PPTP написал правило, отлично работает
Source: WAN
Distination: Firewall
Service: PPTP
MAP: InnerServer

А как сделать чтобы работал протокол L2TP IPSec ??
Прописывал уже что только можно, галку ставил - нефига не подключается.. И в каком логе смотреть ошибки тоже не сильно понятно
Автор: Eugeny_Kosourov
Дата сообщения: 30.05.2006 14:31
Доброго времени суток.

Может кто сталкивался с такой проблеммой:
Стоит на машине (WinXP SP2) Winroute 6.1.4 patch 2 build 1086
соединение с провайдером осуществляется посредством VPN соединения

Установил в винруте дозвон Persistent

Соединение происходит без проблемм, но коннект рвется с периодичностью раз в ТРИ часа. Потом идет переконнект. Затем ровно через три часа все повторяется.

Звонил провайдеру, тот твердит что проблеммы на моей стороне.

Помнится как-то всплывала такая тема на страницах этого форума, но как решили проблемму так и не нашел.

Кто подскажет где копать?
Автор: AnLe
Дата сообщения: 30.05.2006 15:18
Нигде не копать.
Если у вас то через что соединяетесь с провайдером (адсл, кабельный модем, ещё какой канал) стабильное, то это точно пров. У нас например пппое соединение рвут раз в сутки ровно, отмазываясь что это биллинг их так работает. Или ещё месный пров один вообще рвал каждые 4 часа.
Автор: BlackFox
Дата сообщения: 30.05.2006 15:39
Припопытке обновления симантека...в логаз винроута пишется вот это: в закладке варнинг

/2006 15:13:18] (3002) Antivirus scanning failed (Object is corrupted) for user Vasja at ***.***.***.***, HTTP file http://liveupdate.symantecliveupdate.com/segments/1148928718jtun_sav10_ennluxdb.x86.seg1.zip.
в чем может быть проблема?

Добавлено:
Eugeny_Kosourov
у меня было такое..откатился на более раннюю версию


как сделать...хттп на пользователей закрыт..как сделать так чтобы они могли выходить токо на 5 сайтов определенных?.
Автор: lipser
Дата сообщения: 30.05.2006 16:59
Ребят, собираюсь перенести winroute на новую тачку, намекните как лучше сделать чтобы потом заново не настраивать правила и сохранить статистику пользователей...
Автор: BlackFox
Дата сообщения: 30.05.2006 17:02
lipser
*.cfg сохрани все..вот и все
Автор: lipser
Дата сообщения: 30.05.2006 17:16
А статистика юзеров ?
Автор: AnLe
Дата сообщения: 30.05.2006 19:53
lipser
сохранить все *.stat
Автор: Andrew_Kin
Дата сообщения: 31.05.2006 08:25
Посоветуйте, как избавиться от "DNS lookup failed."

"This message was created by WinRoute Proxy" без перезапуска сервиса Винроута?
Автор: TitanMK
Дата сообщения: 31.05.2006 09:37
Andrew_Kin
у тебя днс неправильно настроен или же вообще не настроен.
Если нет собственого сервака днс включи в винроутере днс форвард и укажи там, в поле днс сервак твоего прова.
Автор: Andrew_Kin
Дата сообщения: 31.05.2006 12:57
А если я не знаю сервака своего провайдера?
Автор: AnLe
Дата сообщения: 31.05.2006 14:45
Andrew_Kin
Мда.
1. позвонить прову и спросить в техподержке.
2. открыть консоль и набрав магическое ipconfig /all увидеть их там.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.