Andrew_Kin
Включи автоматическое определение ДНС провайдера, если не хочешь руками писать
Включи автоматическое определение ДНС провайдера, если не хочешь руками писать
» Kerio WinRoute Firewall (часть 2)
Ну я не совсем дурак. Провайдер явного IP не дает. И никак это не мотивирует. Если в ДНСе вписывать IP из установленого подключения, то получаешь "Socket error: Failed to forward DNS query to 213.179.243.1". Проблема , о которой указывается выше и возникает при автоматическом определении ДНС провайдера.
Подскажите, есть ли возможность в WinRoute настроить прохождение почты? ...в чешском WinProxy есть такой "SMTP/POP3 gateway", а здесь?
Есть две точки с интернетом, в основной есть домен. Как настроить kwf так, чтобы вторая точка стала сигментом основной и из нее можно было логинится в домен основной?
zmitr0k
Что значит, прохождение почты? Если настроишь NAT, почта свободно ходит из сети и в сеть на все клиенты.
Что значит, прохождение почты? Если настроишь NAT, почта свободно ходит из сети и в сеть на все клиенты.
crapaud
Это если я машину с KWF назначу клиентам как default gateway... а по ряду причин не хотелось бы, сейчас я их через прокси пускаю. Но за подсказку спасибо
Это если я машину с KWF назначу клиентам как default gateway... а по ряду причин не хотелось бы, сейчас я их через прокси пускаю. Но за подсказку спасибо
А работает-ли у кого NTLM?
Всмысле интересует связка KerioWFirewall+Opera9.
IE c Kerio вроде дружит, а Opera9 нет, хотя в 9 версии заявлена поддержка NTLM
и есть сведения, что на ISA сервере Opera9 тоже работает с NTLM.
ИЛИ все-таки врут?
Добавлено:
А работает-ли у кого NTLM?
Всмысле интересует связка KerioWFirewall+Opera9.
IE c Kerio вроде дружит, а Opera9 нет, хотя в 9 версии заявлена поддержка NTLM
и есть сведения, что на ISA сервере Opera9 тоже работает с NTLM.
ИЛИ все-таки врут?
Всмысле интересует связка KerioWFirewall+Opera9.
IE c Kerio вроде дружит, а Opera9 нет, хотя в 9 версии заявлена поддержка NTLM
и есть сведения, что на ISA сервере Opera9 тоже работает с NTLM.
ИЛИ все-таки врут?
Добавлено:
А работает-ли у кого NTLM?
Всмысле интересует связка KerioWFirewall+Opera9.
IE c Kerio вроде дружит, а Opera9 нет, хотя в 9 версии заявлена поддержка NTLM
и есть сведения, что на ISA сервере Opera9 тоже работает с NTLM.
ИЛИ все-таки врут?
Apropos
Вообще, коммуникации через IPSec должны быть разрешены политикой брандмауэра. IPSec протокол использует два канала трафика:
1) IKE (Internet Key Exchange (Интернет обмен ключами) — обмен кодовыми ключами и другой информацией).
2) кодированные данные (используется IP протокол номер 50)
Открой раздел Настройки/Политика трафика (Configuration / Traffic Policy), чтобы установить правила, определяющие коммуникацию между клиентами IPSec:
Source: WAN
Distination: Firewall
Service: IKE, IPSec
MAP: InnerServer
Вот и всё =)
Добавлено:
Apropos
Вообще, коммуникации через IPSec должны быть разрешены политикой брандмауэра. IPSec протокол использует два канала трафика:
1) IKE (Internet Key Exchange (Интернет обмен ключами) — обмен кодовыми ключами и другой информацией).
2) кодированные данные (используется IP протокол номер 50)
Открой раздел Настройки/Политика трафика (Configuration / Traffic Policy), чтобы установить правила, определяющие коммуникацию между клиентами IPSec:
Source: WAN
Distination: Firewall
Service: IKE, IPSec
MAP: InnerServer
Вот и всё =)
Вообще, коммуникации через IPSec должны быть разрешены политикой брандмауэра. IPSec протокол использует два канала трафика:
1) IKE (Internet Key Exchange (Интернет обмен ключами) — обмен кодовыми ключами и другой информацией).
2) кодированные данные (используется IP протокол номер 50)
Открой раздел Настройки/Политика трафика (Configuration / Traffic Policy), чтобы установить правила, определяющие коммуникацию между клиентами IPSec:
Source: WAN
Distination: Firewall
Service: IKE, IPSec
MAP: InnerServer
Вот и всё =)
Добавлено:
Apropos
Вообще, коммуникации через IPSec должны быть разрешены политикой брандмауэра. IPSec протокол использует два канала трафика:
1) IKE (Internet Key Exchange (Интернет обмен ключами) — обмен кодовыми ключами и другой информацией).
2) кодированные данные (используется IP протокол номер 50)
Открой раздел Настройки/Политика трафика (Configuration / Traffic Policy), чтобы установить правила, определяющие коммуникацию между клиентами IPSec:
Source: WAN
Distination: Firewall
Service: IKE, IPSec
MAP: InnerServer
Вот и всё =)
Таки не у одного меня Дублируются сообщения
Что-то колбасит RU-board
Что-то колбасит RU-board
scatchi ах , если бы все было так просто меня бы здесь не было!!!
filter log:
[02/Jun/2006 22:40:15] PERMIT "IPSec" packet from WAN, proto:UDP, len:340, ip/port:81.195.16.237:62609 -> yy.yy.yy.yy:500, udplen:312
[02/Jun/2006 22:40:15] PERMIT "IPSec" packet to LAN, proto:UDP, len:340, ip/port:81.195.16.237:62609 -> 192.168.0.90:500, udplen:312
(так нескольк раз , yy.yy.yy.yy - внешний адрес шлюза)
connection log:
[02/Jun/2006 22:42:51] [ID] 288450 [Rule] IPSec [Service] IKE [Connection] UDP ppp11-13.pppoe.mtu-net.ru:62583 -> 192.168.0.90:500 [Duration] 546 sec [Bytes] 600/1820/2420 [Packets] 2/8/10
В мониторе IP-безопасности > Статистика > Ошибки согласования = 1
filter log:
[02/Jun/2006 22:40:15] PERMIT "IPSec" packet from WAN, proto:UDP, len:340, ip/port:81.195.16.237:62609 -> yy.yy.yy.yy:500, udplen:312
[02/Jun/2006 22:40:15] PERMIT "IPSec" packet to LAN, proto:UDP, len:340, ip/port:81.195.16.237:62609 -> 192.168.0.90:500, udplen:312
(так нескольк раз , yy.yy.yy.yy - внешний адрес шлюза)
connection log:
[02/Jun/2006 22:42:51] [ID] 288450 [Rule] IPSec [Service] IKE [Connection] UDP ppp11-13.pppoe.mtu-net.ru:62583 -> 192.168.0.90:500 [Duration] 546 sec [Bytes] 600/1820/2420 [Packets] 2/8/10
В мониторе IP-безопасности > Статистика > Ошибки согласования = 1
Eugeny_Kosourov
Цитата:
А ты скриптик запусти, пингующий пару серваков в инете раз в 30-60 сек. Тогда пров думает, что это активность, и не отрубает тебя ПО НЕАКТИВНОСТИ. Правда, может отрубать и не за неактивность. Вот где-то читал, что Стрим раз в сколько-то принудительно отрубает.
* * *
Уважаемый All! Давайте попробуем совместно понять, что происходит со скоростью работы KWF. Лично у меня ситуация такова:
W2k3 sp1, KWF, FTP-сервер на машине Tualatin 1300, RAM 512, 2 100Mb интерфейса.
KWF 6.1.3: скачка по ftp в локалку ~2.5MB, NetBios - 1,2Mb. Отключаю (как рекомендовано выше) Firewall для локалки. Вах! скорость возрастает в два-три раза!
KWF 6.2.1: скачка по ftp в локалку ~4-5MB, NetBios - 1,0Mb. И проц меньше грузится. Но при отключении Firewall в локалку - скорость не растёт, хотя загрузка проца уменьшается
Третий пример: у приятеля всё похоже, кроме того что WinXP sp2 вместо W2k3. Скорсть в локалку по нетбиосу - до 7MB.
Отсюда вопросы: влияет ли на скорость порядок и семантика правил? Я ведь могу одно и тоже (по результатам работы) по-разному написать.
Что ещё может скорсть давить? И как это надёжно протестировать?
Проблема, как я понял, мучает многих...
Цитата:
Соединение происходит без проблемм, но коннект рвется с периодичностью раз в ТРИ часа. Потом идет переконнект. Затем ровно через три часа все повторяется.
А ты скриптик запусти, пингующий пару серваков в инете раз в 30-60 сек. Тогда пров думает, что это активность, и не отрубает тебя ПО НЕАКТИВНОСТИ. Правда, может отрубать и не за неактивность. Вот где-то читал, что Стрим раз в сколько-то принудительно отрубает.
* * *
Уважаемый All! Давайте попробуем совместно понять, что происходит со скоростью работы KWF. Лично у меня ситуация такова:
W2k3 sp1, KWF, FTP-сервер на машине Tualatin 1300, RAM 512, 2 100Mb интерфейса.
KWF 6.1.3: скачка по ftp в локалку ~2.5MB, NetBios - 1,2Mb. Отключаю (как рекомендовано выше) Firewall для локалки. Вах! скорость возрастает в два-три раза!
KWF 6.2.1: скачка по ftp в локалку ~4-5MB, NetBios - 1,0Mb. И проц меньше грузится. Но при отключении Firewall в локалку - скорость не растёт, хотя загрузка проца уменьшается
Третий пример: у приятеля всё похоже, кроме того что WinXP sp2 вместо W2k3. Скорсть в локалку по нетбиосу - до 7MB.
Отсюда вопросы: влияет ли на скорость порядок и семантика правил? Я ведь могу одно и тоже (по результатам работы) по-разному написать.
Что ещё может скорсть давить? И как это надёжно протестировать?
Проблема, как я понял, мучает многих...
Вот нашёл недавно на их сайте в тему:
_http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=395
_http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=395
AnLe
Это спасибо, понятненько. Значит, от количества и сложности правил производительность зависит. Логично. А кто-нибудь эксперименты делал? И что такое сложность правил?
Это спасибо, понятненько. Значит, от количества и сложности правил производительность зависит. Логично. А кто-нибудь эксперименты делал? И что такое сложность правил?
Подскажи самый простой срособ для переноса настроек Керио с одного сервера на другой ? Желательно сохранить все кроме статистики ну и настройки интерфесов, их в любом случае нужно будет заново на новой машине писать руками.
Спасибо.
Спасибо.
Народ, подскажите, плиз - что за фигня со временем в статистике интерфейсов ?
Win 2K3 server EE
Kerio WR Firewall 6.2.1 build 1454
Time Zone = GMT+3
проблема такая:
в статистике интерфейсов рисуется траффик, все хорошо и даже правильно, но текущее время отображается не пойми какое - при моем текущем GMT+3 он вверху графика пишет, что отображает [мое текущее время] (GMT+4) и соответственно рисует мне шкалу X +4 часа от реального времени...
ставлю GMT+0, рестартую керию - пишет вверху [мое текущее время] (GMT) но в шкале X - вообще бред +8 часов...
как эту фигню привести в соответствие с действительностью ?
Win 2K3 server EE
Kerio WR Firewall 6.2.1 build 1454
Time Zone = GMT+3
проблема такая:
в статистике интерфейсов рисуется траффик, все хорошо и даже правильно, но текущее время отображается не пойми какое - при моем текущем GMT+3 он вверху графика пишет, что отображает [мое текущее время] (GMT+4) и соответственно рисует мне шкалу X +4 часа от реального времени...
ставлю GMT+0, рестартую керию - пишет вверху [мое текущее время] (GMT) но в шкале X - вообще бред +8 часов...
как эту фигню привести в соответствие с действительностью ?
А при переустановки системы как сохранить правила? И потом перенести на новую машину?
Elblang
Цитата:
*.cfg - настройки
*.stat - статистика
*.log - логи
я вообще перед таким делом весь каталог копирую на другую партицию - мало ли что...
алл
как редактировать лог хтпп - отредактировал аккуратно - а все равно сбились все строки начиная с этого места...
Цитата:
А при переустановки системы как сохранить правила? И потом перенести на новую машину?
*.cfg - настройки
*.stat - статистика
*.log - логи
я вообще перед таким делом весь каталог копирую на другую партицию - мало ли что...
алл
как редактировать лог хтпп - отредактировал аккуратно - а все равно сбились все строки начиная с этого места...
после обновления с 5.1.7 до 6.2.1.1454 стали вылазить грабли:
перестала работать аутентификация пользователей, импорт пользователей с AD тоже не пашет, кроме всего прочего комп тормозит жутко..
у кого какие мнения?
вот что странно: импорт пользователей стал работать через "Windows NT Domain", хотя раньше я импортировал только через AD.
А вот загвоздка с аутентификацией осталась..если мыслей не будет в понедельник буду откатываться..
перестала работать аутентификация пользователей, импорт пользователей с AD тоже не пашет, кроме всего прочего комп тормозит жутко..
у кого какие мнения?
вот что странно: импорт пользователей стал работать через "Windows NT Domain", хотя раньше я импортировал только через AD.
А вот загвоздка с аутентификацией осталась..если мыслей не будет в понедельник буду откатываться..
Hrist
Спасибо
Спасибо
Ребят) Есть вопрос) Можно ли как нибудь настроить Kerio, чтобы он показывал тарфик по каждому из локальных IP? Вариант с использованием аутефикации по логину и паролю не подходит.
Хлопцы! Нужна помощь. Не могу понять, как сделать правила для VPN-подключения. Есть adsl-модем, он подключается к серверу по ethernet, т.е. создано подключение под названием ADSL. Создаю VPN-подключение (виноузное, PPTP) под названием U-Link. Чтобы подключиться к Инету нужно поднять U-Link. Т.е. все правила должны создаваться относительно подключения U-Link как внешнего?
Хорошо, но что сделать с подключением ADSL? Какое правило создать, ведь через него идет только PPTP протокол? В общем, поднимаю U-Link при включенном WKF - не работает. Подскажите, пожалуйста, как это разрулить. Спасибо.
Хорошо, но что сделать с подключением ADSL? Какое правило создать, ведь через него идет только PPTP протокол? В общем, поднимаю U-Link при включенном WKF - не работает. Подскажите, пожалуйста, как это разрулить. Спасибо.
Renard7
как вариант попробуй непрозрачный прокси и прокси инспектор в качестве обработки статистики...
Starry
ну так и попробуй для него создать правило
local - adsl - (PPTP DNS .... ) permit NAT и поставь его самым первым
как вариант попробуй непрозрачный прокси и прокси инспектор в качестве обработки статистики...
Starry
ну так и попробуй для него создать правило
local - adsl - (PPTP DNS .... ) permit NAT и поставь его самым первым
Mikes
А почему не local - u-link - (PPTP DNS .... ) permit NAT ?
А почему не local - u-link - (PPTP DNS .... ) permit NAT ?
А никто не делал VPN между Kerio Winroute Firewall и ISA Server
Это вообще возможно?
Это вообще возможно?
Что-то я сейчас впал в ступор
В четвертой версии WinRoute можно было у TCP пакетов указывать флаги (SYN например). С помощью них можно было запретить все входящие соединения. А в шестой версии я такого не вижу
Как запретить все входящие соединения, но не запретить входящий трафик (трафик от исходящих соединений)? Т.е. запретить все входящие пакеты с SYN. Тогда подключиться не смогут, а пакеты уже установленных соединений будут проходить спокойно. Ясное дело, что как-то это можно сделать - но как? Ткните носом где копать
В четвертой версии WinRoute можно было у TCP пакетов указывать флаги (SYN например). С помощью них можно было запретить все входящие соединения. А в шестой версии я такого не вижу
Как запретить все входящие соединения, но не запретить входящий трафик (трафик от исходящих соединений)? Т.е. запретить все входящие пакеты с SYN. Тогда подключиться не смогут, а пакеты уже установленных соединений будут проходить спокойно. Ясное дело, что как-то это можно сделать - но как? Ткните носом где копать
Labutin
Так и происходит, если ты создаешь только правила на выход. В правилах по умолчанию, любое соединение с тобой из вне запрещено. Пока ты не создал правило типа источник - внешняя сеть, получатель - внутренняя сеть (или фаервол хост). До этого к тебе никто не пробьется.
Так и происходит, если ты создаешь только правила на выход. В правилах по умолчанию, любое соединение с тобой из вне запрещено. Пока ты не создал правило типа источник - внешняя сеть, получатель - внутренняя сеть (или фаервол хост). До этого к тебе никто не пробьется.
crapaud
Цитата:
Т.е. если я поставил правило - можно соединяться в инет на 80-й порт, то это автоматически означает, то с 80-го порта ответные пакеты могут ко мне приходить?
Добавлено:
Еще такой вопрос. Могу ли я как-то из диапазона исключить фаервол хост?
Поясняю.
1. IP-адрес выдает автоматически и может быть любым из диапазона 192.168.1.1 - 192.168.1.254
2. Хочу разрешить исходящие соединения в локальную сеть 192.168.1.1 - 192.168.1.254 (тот же самый диапазон)
Если я добавлю правило можно соединяться по любым портам на 192.168.1.1 - 192.168.1.254, то в этом диапазоне окажется и мой IP, в результате я разрешу к себе все входящие соединения! А я этого делать не хочу. Т.е. нужно правило типа: можно в 192.168.1.1 - 192.168.1.254 кроме фаервол хост. Как это сделать?
Цитата:
Пока ты не создал правило типа источник - внешняя сеть, получатель - внутренняя сеть (или фаервол хост). До этого к тебе никто не пробьется.
Т.е. если я поставил правило - можно соединяться в инет на 80-й порт, то это автоматически означает, то с 80-го порта ответные пакеты могут ко мне приходить?
Добавлено:
Еще такой вопрос. Могу ли я как-то из диапазона исключить фаервол хост?
Поясняю.
1. IP-адрес выдает автоматически и может быть любым из диапазона 192.168.1.1 - 192.168.1.254
2. Хочу разрешить исходящие соединения в локальную сеть 192.168.1.1 - 192.168.1.254 (тот же самый диапазон)
Если я добавлю правило можно соединяться по любым портам на 192.168.1.1 - 192.168.1.254, то в этом диапазоне окажется и мой IP, в результате я разрешу к себе все входящие соединения! А я этого делать не хочу. Т.е. нужно правило типа: можно в 192.168.1.1 - 192.168.1.254 кроме фаервол хост. Как это сделать?
Я вот почитал почитал но не нашел явного ответа вот так сразу на такой вопрос.
Как в версии 6.2.1 (build 1454) отключить Кобиона? Захожу в закладку по ISS а там галочка про отключение зверя серая и снять ее не получается.
Как в версии 6.2.1 (build 1454) отключить Кобиона? Захожу в закладку по ISS а там галочка про отключение зверя серая и снять ее не получается.
Labutin
Если ты инициировал соединение, то да.
Ну а по ФВХ. Проще настроить это дело правилами внешняя сеть(интернет) - внутренняя сеть. Для ФВХ всегда есть собственные правила. Их можно просто отключить. Если не прокатит, принудительно запретить правилом, стоящим ниже выход ФВХ в инет.
Если ты инициировал соединение, то да.
Ну а по ФВХ. Проще настроить это дело правилами внешняя сеть(интернет) - внутренняя сеть. Для ФВХ всегда есть собственные правила. Их можно просто отключить. Если не прокатит, принудительно запретить правилом, стоящим ниже выход ФВХ в инет.
Labutin
можно же разбить диапазон внутренней локалки на два, исключив из них адрес сервака. и усе. например 192,168,1,1-192,168,1,9 и 192,168,1,11-192,168,1,254
можно же разбить диапазон внутренней локалки на два, исключив из них адрес сервака. и усе. например 192,168,1,1-192,168,1,9 и 192,168,1,11-192,168,1,254
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869
Предыдущая тема: Microsoft Exchange Server
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.