» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

qwerdy
content filtering - http filtering
и там ставь правила
например *.mp3 для запрета mp3

Добавлено:
SharedNoob

Цитата:

подскажите как сохранить настройки и перенести их в новоустановленный винроут.

смотри по топику.. такое уже обсуждалось
winroute.cfg - там хранятся все твои настройки...

Mikes

Цитата:

content filtering - http filtering
и там ставь правила
например *.mp3 для запрета mp3

ставил такое правило, но почемута на действует, поднемал на верх, всеравно никакого эффекта

Добавлено:
Mikes
помогло однако с запретом, я его выше пермита поставил пасиб
наверное я тебя уже достал своими вопросами ? если да то извиняюсь..
вот еще вопрос
у меня стоят два сервака и на обоих винрут пашет но, на одном количество подключений Firewall-a доходит до 50-60, а на другом не больше 5-10, чтоб это могло означать? проверил куда он ходит (у которого больше подключений) и выяснилось что там SMTP подключений больше чем DNS, и сайты какието странные.. что за фигня ? может у меня там вирус какойта каторый сам ходит в инет и грузит трафик ? НОД-ом проверял все вроде чисто??
не сталкивался с такой проблемой или это обычное явление?

Товарищи. Тема впринципе уже обсосаная, но все равно спрошу.
Я фильтрую flash-animation блокированием в http rules mimetype: application/x-shockwave-flash.
Есть ли возможность НЕ блокировать опеределенные сайты. Или какая-то закономерность у флеш банеров, которую можно блокировать? Ибо есть сайты построенные на флеше (хотя я этого не догоняю), но они нужны для работы, и их блокирование создает определенные неудобства
Или как вариант, как сделать, чтобы вместо флеша подставлялась локальная страничка с ссылкой разрешающей загрузку.

Добавлено:
Да и вот еще вопрос по POP3S. Батом подключаюсь к GMail'у, но коннект всегда проходит только со второго раза... и тогда все принимается без проблем. Может порты какие надо подкрутить? Сам бат вроде правильно настроен, трабла именно с пропусканием TLS handshake на фаере.

qwerdy

Цитата:

и выяснилось что там SMTP подключений больше чем DNS

знач троян какой то рассылвает спам... проверяй другими антивирями

stalker780
ставь правило на самый верх *site_name*.swf* permit

Faded_Steel

Цитата:

товарисчи, помоги плз со следующей проблемой.
дома сеть из трех компов, двух под ХР и один под 2003.
2 канала инета - один наземный - PPPoE, другой спутниковый - skyDSL. при использовании только наземного канала - Винроуте 6.0.23 нормально настраивается и работает, раздает инет. как только подключаю спутник - не хочет работать. у skyDSL своя программа для подключения к серверу, которая создает свой VPN. вот с ним то Керио и не хочет работать.
может кто нить знает решение данной проблемы.
заранее спасибо.

У самого инет через skyDSL раздается. Никакого VPN прога от skyDSL не создает (по крайней мере у меня его нет в сет. подключениях, версия проги 8.0 рус). Процесс настройки Kerio под skyDSL достаточно подробно описан здесь. В частности там важное замечание об отключении опции антиспуфинг в Винроуте.

у меня вопрос

есть winroute firewall на компе с 3я сетевыми интерфейсами
1 internet 62.76.167.х
2 local 192.168.1.1
3 www 192.168.11.1

вобщем всё работает "на ура" но потребовалось поставить web сервер ...
поставил NAT из internet в www + MAP 80го порта на комп с апачем
всё работает, сайт открывается. НО для компа с апачем все запросы приходят от адреса 192.168.11.1 естественно.
а мне надо что бы были оригинальные адреса клиентов.. для корректной работы php скриптов ...

я так понимаю надо роутинг настроить..
но как и чего.. увы в этом не силён
нужно перенаправлять пакеты с внешнего интерфейса на интерфейс www

конечно в MS ISA есть полноценный DMZ ... но к нему переход будет не раньше чем через годик... хочется тут сделать

Доброе время суток. Не знаю сюда ли писать, но думаю модераторы простят/поправят.

Вопрос.
Имеется машина с WinRoute и одним интерфейсом в локалку (192.168.2.1). В локалке несколько подсетей: 192.168.2.0, 192.168.7.0, 192.168.10.0... для логического разделения отделов. Раздельные интерфейсы для подсетей поставить невозможно по ряду причин.
Задача -- доступ в нет из всех подсетей с сохранением невидимости отделов друг другом.
1-й вариант решения. Задаю в интерфейсе дополнительно адреса 192.168.7.1 и 192.168.10.1. Работает, но бегать ко всем машинам и настаивать интерфейсы не улыбает.
2-й вариант. Поднимаю DHCP, резервирую IP по MAC. При этом DHCP раздает IP из всех подсетей (192.168.2.0, 192.168.7.0, 192.168.10.0...) кому попало, вне зависимости от резервирования. В чем может быть причина кривой раздачи IP?

AxelS

Цитата:

Задача -- доступ в нет из всех подсетей с сохранением невидимости отделов друг другом.

на клиентах Достаточно указать в качестве шлюза айпи машины с винроутем, и в св-вах браузера прописать прокси айпи машины с винроутем порт 3128
остальное настраивается в винроуте

noblekey, спасибо, но это получается как в 1-м варианте, только нужно еще и браузеры настраивать... А зачем, у меня это и так работало, но, как уже говорил, 1-й вариант не катит.

Больше устраивал-бы второй, но почему то IP криво раздает.
Т.е. вопрос-то как-бы сводится к тому, что DHCP криво работает. Написал ему конкретно для машин MAC+IP, а он при каждой новой загрузке клиента (в любой подсети) выдает ему самый младший из свободных IP самой младшей подсети.
Т.е. к примеру хост 192,168,10,30 после перезагрузки получает IP 192.168.2.2 (первый свободный).
Другой пример. Хосты из подсети 192,168,2,0 бывало получали IP из 192.168.7.0, но когда с интерфейса winroute убирал дополнительные IP, то зарезервированный IP выдавался корректно.

Есть вопрос:
Хочу в локальной сети сделать бесплатной icq. На данный есть сервер с vpn-подключением к интернету (не роутер и не шлюз он).
Сеть - 10.0.0.0. У каждого подклюнение к интернету через шлюз в виде модема по тому же vpn.
На сервере стоит win2003serverR2. Cредствами винды установлены dhcp, wins. Хотел dhcp в Керио сделать, но в свойствах не нашел раздачу роутов. Оно есть?
В керио использую только dns (не знаю как в винде такое сделать) - при запросе server.com dns-сервер возвращает свой адрес (на нем крутится сайт локальный). Если запрос неизвестен - переправляется провайдеру.
Вот настройки
http://www.miranda-ftp.narod.ru/traffic_pol.png
http://www.miranda-ftp.narod.ru/dns-kerio.png
http://www.miranda-ftp.narod.ru/http.png

Собственно вопрос:
1.можно ли раздавать роуты в керио dhcp?
2.как сделать настройку прокси для icq?
3.как защититься от передачи файлов?
4.как ограничить скорость для icq канала?

Спасибо!

Скажите как сделать прозрачную аутентификацию доменных юзеров в керио?

Имеется сеть -

adsl-модем-----свич-----локальная сеть

у юзеров шлюзом стоит модем. хотелось бы весь интернет трафик завернуть через машинку с Керио, чтобы вести логи и резать нежелательные сайты. НО, очень не хотелось бы делать это через два сетевых интерфейса. Возможно ли сделать такое при следующей схеме подключения -

adsl-модем----свич----локальная сеть
|
шлюз

хотелось бы, чтобы при этом остались доступны вещи типа telnet samplehost sampleport.
Если возможно, подскажите пожалуйста в двух словах как реализовывается.

Всем привет и с НГ!

Помогите, плиз, два важных вопроса:

1. есть winroute pro 4.2.5 на WinXP SP2
наружу 110 порт открыт, внешние пользователи забирают почту отлично. Пробую вытянуть кпк-шкой с WM5 через гпрс - фиг, постоянно переспрашивает логин\пароль..
Пробовал точно так же все настроить на фришную почту - забирает.

В логах видно, что сначала пытается заломиться на 995 порт, обрубается,а потом уже на 110. Пробовал открыть 995 - все равно переспрашивает логин\пароль.

Есть какие мысли?


2. есть winroute pro 4.2.5 на WinXP SP2
Пробую ставить на него kms 6.3.1-2402, потом пробовал еще 6.2.2-1801 - нифига не цепляет пользователей и настройки 4-го..
Пробовал при запущенном сервисе и при стопнутом.

Что еще попробовать?

зы: или тыкните сцылкой, плиз.
ззы: только не в гугл, плииз )

tarsan
1. твоя кпк пытается получить почту по защищенному POP3(SSL), этот сервис WR4.x никогда не умел. соответственно, и порт открывать смысла нет, нужно настраивать кпк.

2. если "начисто" ставить kms, то он спросит импортировать ли учетные записи и настройки из WR. во всех остальных случаях нужно запустить cfgWizard.exe или создавать пользователей руками.

3. ИМХО, оба вопроса не имеют отношения к этому топику

На машине стоит керио винрут 6,2,3, на ней же мдемон 9,0,7, трафикполиси в винрут используются дифолтные (плюс опубликование наружу смтп и днс), их вполне хватает, антивирус в керио не используется и исходящую почту трогать вообще не должен вроде бы.

Мдемон отлично работает, и посылает и принимает. Однако иногда клиенты внутренней сети получают от KWF6@SERVER сообщения, что, мол,

===
Kerio WinRoute Firewall was unable to deliver message. Remote server's reply:
451 Please try again later
===

Зачем он вмешивается в доставку мдемоном писем и -- главное -- как? В какой настройке это можно выключить?

В логах самого мдемона в близкое время к времени отправки винрутом ругательства я не вижу никаких неудачных исходящих сессий с 451.

Подскажите с чем может быть связанно, что Керио не позволяет делать автологин по ip. У меня есть один пользователь которому я сделал автологин по ip, так вот Kerio как то по странному на это реагирует в логах его дропает (т.к. не авторизованные запрещены) а перегружаешь тачку и логинится без проблем? Где могут быть грабли?

Возможно ли использование Kerio Winroute Firewall 6.2.3 build 2027 с персональным фаером.
Если да, то посоветуйте с каким.

Народ помагите плиз

Имею win_Xp_mce_sp2 на нем Kerio 6.0.11

Есть локалка на 2 компа.
1ый - 192.168.0.1
2ой - 192.168.0.2

В 1ом есче выделинка с 86.234.х.х

Хочется чтоб 2ой тоже выходил в нет

Поставил керио 1ый.Настроил визордам спокойно в нет вылазиет.
локалка пашет,пингуетя оба компа.
Прописал шлюз на 2ом, он не выходит в интернет.

Визард нат прописал вроде нормально.сам пробывал неполучаеться вывести 2ой.

Что делать Помагите плиз

какие сделать настройки в керио
1. нужен нат - исходящий адсл, входящий ДВБ
2. вебсервер и маилсервер должны сидеть строго на адсл
3. отдельный нат для 1-2 ип только по ADSL с определеными портами

модем мостом
через а-ля диалап по ппое тачка получает реальный адрес
реально для использования 3 сетевухи

ADSL
DVB
LAN

Только начинаю осваивать возможности Керы.

такой задача :

Дома есть 2 компьютера :

на 1-ом :
1) сетевая ип 192.168.0.1 - для сети между 1ым и вторым
2) сетевая ип 80.200.200.200 ( реальный другой это для примера ) , для доступа в интернет от провайдера . тариф анлим.
у второй сети есть 3 диапазона ( сегмент провайдера - траффик с него бесплатен ) к примеру
80.200.200.0-80.200.200.255
80.200.201.0-80.200.201.255
80.200.202.129-80.200.202.255

на 2-ом
1) сетевая ип 192.168.0.х - для сети между 1ым и вторым
2) двб карта SkyStar 3, провайдер SkyDSL для спутникового интернета

надо :
1) чтобы первый компьютер мог ходит в интренет по всем портам через езернет провайдера , включив прокси в браузере ходить по хттп через спутник.
2) надо чтобы 2 компьютер в локальной сети получал инет от 1го , чтобы спутниковый интернет исправно работал
3) надо чтобы из сегмента по нужным ип адрессам имелся нат на езернетовского провайдера для определённых ип и портов ( довать доступ к бесплатным для тарифа игровым серверам )
4) надо чтобы из сегмента по нужным ип адрессам имелся хттп прокси на езернетовского провайдера.
5) надо чтобы из сегмента по нужным ип адрессам имелся хттп прокси на спутникового провайдера

такой вопрос , реально это сделать с помошью керы ?
нужно ли на второй компьютер тоже ставить прокси сервер ?
если использовать нат , то может ли клиент , одновременно лазить по инету через своё подключение , а в играх
( к примеру контр страйк ) использовать шлюз с керио ?

плз не пинайте ногами сильно...
у меня тут вопросик возник небольшой...
1 имеется многосегментная сеть в ней находятся 2а компа 1й в подсети 192.168.98.ххх 2й в 192.168.215.ххх

2 собственно вопрос как сделать чтобы комп из подсети 192.168.98.ххх используя впн вылазил в инет через комп 192.168.215.ххх

Зы на компе 192.168.215.ххх одна сетевуха
ЗЫЫ а надо все ето только для того чтоб чловек смог в Ла2 поиграть

Здравствуйте!
У меня примитивный вопрос: почему на других машинах не работает DNS пока на машине WinRoute не залогинится (в WinRout конечно) любой пользователь? Добился постоянно работающей ситуации - на всех машинах все работает, все пингуется, все резолвится. Как только пользователь на машине с рутом отлогинится из рута же - пинги по IP ходят, а вот попытка пингануть по адресу домена - нет.

Спасибо!

Здравствуйте ребята! В очередной раз прошу помощи

Машина с KWR 6.2.3.2027 (WinXP). На ней сетевые:
- 192.168.0.1 - смотрит в локалку и в KWR обзывается этот интерфейс соответственно "Локалка"
- 192.168.1.2 - локалка с ADSL-модемом. в KWR - "Мопед"
- XXX.XXX.114.146 - мое PPPoE-соединение с провом. в KWR - "Укртелеком - 15Gb"

Машина с терминалкой и ВПН родным виндовым (Win2k3).
- 192.168.0.2 - смотрит в локалку.

Подключения и к терминалке и к ВПН из локалки проходят на ура. Претензий нет.
А вот все то же самое, но из инета через KWR или из локалки, но не к 192.168.0.1, а к ХХ.ХХХ.114.146 - нифига. В полиси игрался, перебрал кучу вариантов. ВПН-подключение отваливается с ошибкой 800 (невозможно подрубиться к ВПН), а терминалка если идти на порт 3390 пишет что клиенту не удалось подключиться, а если по 3389 (RDP) - открывается консоль машины с KWR.

Логи... в логах filter.log ни подключения к терминалу, ни к ВПН нету. Лог пустой совершенно. Такое очучение что портмап вообще игнорируется.

Скрин полиси и ipconfig с KWR и терминалки/ВПН приложен. Правила для выделены серым цветом.

Помогите разобраться плиз бо скоро идти в отпуск, а к тому времени филиалы должны работать кто в терминале,Ю а кто в ВПН.

Заранее спасибо за любые подсказки и варианты!


Полиси:


ipconfig со шлюза: [more]
Код:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : 207-admin
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Модем - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC #2
Физический адрес. . . . . . . . . : 00-13-46-4E-E5-4E
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

Локалка - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-E0-4E-06-1A-32
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

Укртелеком 15Gb - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : XX.XXX.114.146
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : XX.XXX.114.146
DNS-серверы . . . . . . . . . . . : XX.XXX.67.2
XX.XXX.67.6
NetBIOS через TCP/IP. . . . . . . : отключен

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-5D-B8
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 169.254.110.219
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 169.254.110.218
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 22 января 2007 г. 11:36:08
Аренда истекает . . . . . . . . . : 22 января 2007 г. 11:39:08

knyshow2
а пробросить порты с внешнего интерфейса на терминальный сервак не судьба?

SHRIKE74
или я не понял, или меня не поняли...
я ж прописал переброс на внут интерфейс на нужный айпишник внутри сети...

хотя только что прописал "Translate to IP adress: 192.168.0.2" - эффект тот же.

knyshow2
ХХ.ХХХ.114.146 адрес пингуется из локалки и инета? Почему подключаешься PPPoE-соединением? Поставь АДСЛ роутером... Потом, непонятно, ИП статический или динамический? Проверь любым нет_монитором какие порты открыты... При таком соединении на винроуте должен работать NAT... И вообще, проверь правилом any->any->any->permit самым верхним приоритетом для данного соединения. А без файера хоть работает ВПН?

knyshow2
я в правилах которые ты выложил ни одного проброса не увидел

Добавлено:
сорри, не туда смотрел,
правила маппинга сделаны через зад, воспользуйся нижней опцией в порт маппинге и укажи на каком айпишнике прослушивать порт и куда его перенаправлять

Добавлено:
вообще то надо понимать для начала что фаер все запросы извне отфутболивает и принимает тольео то что идёт в ответ на запрос изнутри

knyshow2
Вот http://kerio.kiev.ua/winroute_exemple5.htm примеры маппинга. Может пригодится...

Цитата:

ХХ.ХХХ.114.146 адрес пингуется из локалки и инета?

да.

Цитата:

Почему подключаешься PPPoE-соединением?

долгая история, но это нужно оставить именно так.

Цитата:

ИП статический

да.

Цитата:

на винроуте должен работать NAT

работает.

Цитата:

проверь правилом any->any->any->permit самым верхним

ничего не изменилось.

Цитата:

А без файера хоть работает ВПН?

напрямую на 192.168.0.2 в локалке лётает. а из инета нет. из инета без фаера кто будет перекидывать на 192.168.0.2?

Цитата:

правила маппинга сделаны через зад

ну так я же делаю!

Цитата:

воспользуйся нижней опцией

Source NAT - No Translation
Destination NAT - Translate to 192.168.0.2:3389
не работает.

Скажите плиз что не так делаю-то?
stepplers спасибо, ушел читать.


Добавлено:
stepplers
прописал по аналогии:

Цитата:

Source NAT - No Translation
Destination NAT - Translate to 192.168.0.2:3389
не работает.

Добавлено:

Цитата:

Проверь любым нет_монитором какие порты открыты...

3389, 3390 и 1723 в "netstat -na" нету

попробуй так
Source Destination Service Action Translate to
Any твой внешний порт который Разрешить соответственно
IP надо пробросить адрес и порт
куда надо
пробросить
у меня лично в таком варианте всё прекрасно работает

Добавлено:
для того чтобы уметь пользоваться фаером надо понимать некоторые вещи
Source это отправитель
Destination получатель
если мы ставим в Source внешний айпишник а на Destination внутренник локальной сети то это правлио действует по принципу снаружи вовнутрь
если в Source ставим внутренний айпишник локальной сети а в Destination внешний, тогда это правило будет действовать изнутри наружу,
у меня же создаётся впечатление что тут многого не понимают в принципах действия винроута