Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Автор: emx
Дата сообщения: 24.11.2006 22:39
По многочисленным просьбам системных администраторов разделили общую тему по настройкам различных серий прокси серверов версий WR 4.х и KWR 5.х на две.
Пожалуйста, обращайте внимание:
В этом топике только серия KWR 5.х и выше
Настройка серии WR 4.x и старые вопросы по KWR 5.х (по состоянию на 19.01.2004 г.) в теме:
Настройка WinRoute 4.x




WinRoute 5.х и 6.x

Kerio WinRoute Firewall 6.0 Руководство Администратора (на русском)


Офф. сайт:
http://www.kerio.com/kwf_home.html
http://www.kerio.com/wrp_home.html



Цитата:

Kerio WinRoute Firewall 5™ sets new standards in versatility, security and user access control. Designed for corporate networks, it defends against external attacks and viruses and can restrict access to websites based on their content.
Kerio WinRoute Pro™ is a robust network firewall that protects your network from hackers and Internet threats. It easily connects the network to the Internet using various access devices. Built-in mailserver allows users to have their own corporate email.

Смежный топик в программах.
Лекарство ищем тут

Предыдущая тема по данному продукту.
Автор: Boriya
Дата сообщения: 25.11.2006 15:26
народ подскажите может кто знает ссылку на рабочий ключик для версии KWF 6.2.3
Автор: Mikes
Дата сообщения: 27.11.2006 09:02
Boriya

Цитата:
Лекарство ищем тут

http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=11837&start=lt
в шапке непонятно написано?
Автор: GArt
Дата сообщения: 27.11.2006 14:52
Помогите плиз с таким вопросом:
Стоят квоты на пользователей, при привышении лимита инет у юзера ессно пропадает, но при этом нет никаких оповещений (в идеале что-то в браузере "лимит привышен" или типа того). Нашел галочку отправлять на мыло, но это не то.
Автор: SHRIKE74
Дата сообщения: 27.11.2006 16:15
GArt
можно сделать чтоб оповещение было но отрубать не будет, а так ничего, сам хотел бы чтоб оповещало перед отрубоном
Автор: GArt
Дата сообщения: 29.11.2006 14:38
спасибо, значит без предупреждений будем...
Автор: roma6ka
Дата сообщения: 29.11.2006 14:48
Народ, нужно сделать так чтобы один из пользователей сети имел доступ только к почтовым сервисам. Каким образом можно прописать правила чтобы это реализовать?
Автор: SINL
Дата сообщения: 29.11.2006 15:54
Пользователи в винруте автоматически авторизуются по ip-адресу. Есть пользователи, которые индивидуально логинятся через веб-страничку. Всё работает замечательно, пока не включено автоматическое определение настроек соединения.

Но стоит настроить сеть через dhcp автоматически настраивать подключения браузеров, как возможность индивидуально залогиниться через веб-страничку исчезла, даже после ввода правильного имени и пароля пишется, что авторизован не тот, чьё имя/пароль введены, а тот, у кого в свойствах указан ip-адрес этого компа.

Файл wpad.dat примитивный:

function FindProxyForURL(url, host) { return "PROXY 192.168.0.1:3128; DIRECT"; }

В чём может быть проблема?
Автор: Mikes
Дата сообщения: 29.11.2006 17:26
roma6ka
нужно знать конфигурацию твоего winroute ... как люди ходят в инет? авторизация..

в общем виде это так..
1 вариант (по IP.)
в таком случае делается правило в traffic policy (надеюсь у тебя не разрешён полный доступ)
IP пользователя - internet - permit (dns imap pop3 smtp и secure их варианты по вкусу)
и ниже на всякий случай
IP пользователя - internet - deny (any)
то есть ты делаешь доступ в инет только для почтовых сервисов с этого IP ...
для других IP или диапазонов IP ставишь все сервисы что нужны ...

1 вариант (по пользователям)
предполагается что у тебя обязательная авторизация пользователей
ставишь правило
имя пользователя - internet - permit (dns imap pop3 smtp и secure их варианты)
имя пользователя - internet - deny (any)

но вообще то надо знать конфигураци.. тогда будет более точный ответ
Автор: NeveR_Mind
Дата сообщения: 01.12.2006 00:55
есть три сетевухи на сервере.
1. с внешним ip и есть инет через шлюз
2. с внутренним ip и есть инет через шлюз
3. локальная сеть без инета (другие участнеГи этой сети имеют инет через этот комп)

Как сделать так чтобы инет раздовался который дает сеть 2, но по внешнему ip сервер был бы доступен из нета? Т.е. чтоб ызапросы шли через шлюз сети 2 в инет, но из инета чтобы пропинговать можно было по прямому ip...

Автор: Mikes
Дата сообщения: 01.12.2006 09:58
NeveR_Mind
немного понятнее .... а то запутанно написал...
конфиг сети хотелось бы.. более развёрнуто
Автор: Nervniy2000
Дата сообщения: 01.12.2006 17:35
Есть проблема..
На новом серваке поставил Kerio 6.2.3
настраивал все ручками, без автонастройки.
все сделал вроде правильно, авторизация идет, сервак все видит, но при загрузке любой страницы керио выдает сообщение в браузере "DNS lookup not found"
все настройки один в один со старым ящиком(там правда керио 6.0.4), но на старом все работает, а на новом такая фигня..
можт я че нить пропустил??
Автор: Mikes
Дата сообщения: 02.12.2006 10:32
Nervniy2000
DNS forwarder включен ???
может он конфликтует с чем? что в логах по этому поводу..
на клиентах DNS прописан?
есть ли в сети другой DNS сервер ???
Автор: slavic7th
Дата сообщения: 02.12.2006 21:40
люди ПОМОГИТЕ
дело такое надо чтоб винроут вел подсчет некоторого внутреннего трафика и форварда к главному прокси , например:
- независимая прога НТТР прокси сервер от toonel.net форвард на его прокси, нет подсчета трафика на юзера , считает на файрвол ;
- также не подсчитывает трафик и от любых локальных прог апачика, других проксиков и т.п.


вообщем трафик не считает на юзера и не применяет правило бандвиша,

как быть ?

Автор: Mikes
Дата сообщения: 04.12.2006 10:53
slavic7th

Цитата:
- независимая прога НТТР прокси сервер от toonel.net форвард на его прокси, нет подсчета трафика на юзера

где стоит эта прога то?
если на сервере то естественно всё не будет работать правильно ...
Автор: Nervniy2000
Дата сообщения: 04.12.2006 11:19
Mikes

Цитата:
DNS forwarder включен ???

да

Цитата:
может он конфликтует с чем? что в логах по этому поводу..

в логах чисто

Цитата:
на клиентах DNS прописан?

да
Автор: Mikes
Дата сообщения: 04.12.2006 11:32
Nervniy2000
включай в debug логе всё что касается DNS ...
Автор: SINL
Дата сообщения: 04.12.2006 19:50
Connection count limit дифолтное 600 — не многовато ли? Зачем клиенту для нормальных программ может понадобиться столько?
Автор: Mikes
Дата сообщения: 04.12.2006 20:30
SINL
вас никто не ограничивает уважаемый можно и меньше поставить или вообще отключить
это необходимо например для торрента или осла... что бы контролировать загрузку сервера
Автор: slavic7th
Дата сообщения: 04.12.2006 22:10
Mikes
[q][/q]
прога стоит на сервере или на другом компе в локалке

трафик не считает при прокси форварде
и не только при форфарде а даже если просто откріт порт на дополнительный проксик на сервере

Автор: knyshow2
Дата сообщения: 06.12.2006 09:00
Ребят, ну вот у меня и первая проблема с винрутом...

Проблема заключается в том, что не могу человеку из сетки дать возможность стучать на адрес: https://193.xx.xx.216:8443

В полиси уже переклацал все, что только можно. С фаервола заходит идеально, а никто из сетки не может!

Помогите, очень прошу - за этим айпишникком базнес-база, без которой человек просто не может работать.

Скрин полиси прилагаю.


Добавлено:
Кстати, на страницу http://193.xx.xx.216 заходит, но там просто стартовая страница апача. что не интересно. А вот именно по хттпС, да еще и на 8443-порт - нифига.

Добавлено:
ЗЫ: v.6.2.2 Build 1746
Автор: SINL
Дата сообщения: 06.12.2006 16:46
Mikes

Цитата:
никто не ограничивает


Не в том проблема. А в том, чтобы выяснить приемлемое число коннектов для нормальной офисной работы.

Firefox2 в турбо-режиме настраивается на 48 коннектов. Какой нормальной программе при условии отсутствия p2p программ может потребоваться 600 коннектов?

Какое количество установить для нормальной работы обычных программ (браузеры и почта)?

600 коннектов дифолтное значение оставить — это просто подарок троянам…
Автор: Mikes
Дата сообщения: 06.12.2006 21:22
SINL

Цитата:
600 коннектов дифолтное значение оставить — это просто подарок троянам…

дак трояны и через 50 буду идти.. это не выход..
количество коннектов с одной машины позволяет тебе контролировать загрузку сервера.. что бы не случилось такого что он загнётся от перегрузки машины на которой он установлен..
у меня например ограничение вообще убрано.. а ptp сети запрещены.. так что более 10-15 коннектов с машины нет... (ну может 1-2 из 600 клиентов )
если уж хочется ограничивать .. ставь 50.. с запасом

Добавлено:
knyshow2
опять же.. что в логах по этому правилу?
включи логи по этому правилу и по самому последнему.. и попробуй соединится ...
а потом логи в студию
судя по трафик полиси всё правильно
Автор: knyshow2
Дата сообщения: 07.12.2006 08:32

Цитата:
а потом логи в студию

[more][07/Dec/2006 08:24:44] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2221 -> 194.67.23.154:2042, flags: SYN , seq:1255640253 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:24:44] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2224 -> 194.67.23.154:2042, flags: SYN , seq:119980517 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:24:49] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2224 -> 194.67.23.154:2042, flags: SYN , seq:119980517 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:24:49] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2227 -> 194.67.23.154:2042, flags: SYN , seq:2292349549 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:24:51] PERMIT "NAT2" packet from Dial-Up, proto:TCP, len:77, ip/port:193.xx.xx.216:8443 -> <мой внешний ip>:50240, flags: ACK PSH , seq:1262401870 ack:1976678732, win:65535, tcplen:37
[07/Dec/2006 08:24:51] PERMIT "NAT2" packet from Dial-Up, proto:TCP, len:40, ip/port:193.xx.xx.216:8443 -> <мой внешний ip>:50240, flags: FIN ACK , seq:1262401907 ack:1976678732, win:65535, tcplen:0
[07/Dec/2006 08:24:51] PERMIT "NAT2" packet to Dial-Up, proto:TCP, len:40, ip/port:<мой внешний ip>:2915 -> 193.xx.xx.216:8443, flags: ACK , seq:1976678732 ack:1262401908, win:64282, tcplen:0
[07/Dec/2006 08:24:51] PERMIT "NAT2" packet to Dial-Up, proto:TCP, len:77, ip/port:<мой внешний ip>:2915 -> 193.xx.xx.216:8443, flags: ACK PSH , seq:1976678732 ack:1262401908, win:64282, tcplen:37
[07/Dec/2006 08:24:51] PERMIT "NAT2" packet to Dial-Up, proto:TCP, len:40, ip/port:<мой внешний ip>:2915 -> 193.xx.xx.216:8443, flags: FIN ACK , seq:1976678769 ack:1262401908, win:64282, tcplen:0
[07/Dec/2006 08:24:52] PERMIT "NAT2" packet from Dial-Up, proto:TCP, len:40, ip/port:193.xx.xx.216:8443 -> <мой внешний ip>:50240, flags: RST , seq:1262401908 ack:0, win:0, tcplen:0
[07/Dec/2006 08:24:52] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2227 -> 194.67.23.154:2042, flags: SYN , seq:2292349549 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:24:55] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2230 -> 194.67.23.154:2042, flags: SYN , seq:1266476295 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:25:01] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2230 -> 194.67.23.154:2042, flags: SYN , seq:1266476295 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:25:01] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2233 -> 194.67.23.154:2042, flags: SYN , seq:2469070790 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:25:05] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2233 -> 194.67.23.154:2042, flags: SYN , seq:2469070790 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:25:05] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:48, ip/port:82.207.40.130:3326 -> <мой внешний ip>:445, flags: SYN , seq:2400500472 ack:0, win:8760, tcplen:0[/more]
Логи приложены...
Ваще дупля не дам шо происходит. Первая и единственная трабла, с которой я столкнуля по винруту
Автор: dimchik2002
Дата сообщения: 07.12.2006 10:58
Всем доброго дня!

Господа, вопрос есть по FTP policy. Установлена версия KWF 6.2.3 build 2027.
Можно ли блокировать FTP-сервера по маске?
Т.е. например необходимо запретить посещение ресурса, содержащего слово "ftpserver" у которого еще куча дополнительных серверов вида:

ftpserver1.com
ftpserver2.com
ftpserverrus.ru
newftpserver.com.ru
addon.newftpserver-group.com

Забивание маски *ftpserver* в графу SERVER на закладке GENERAL результата не дает.

Буду очень признателен, если кто-то подскажет в каком направлении стоит копать.

Добавлено:

Ответ для knyshow2


Цитата:
Логи приложены...
Ваще дупля не дам шо происходит. Первая и единственная трабла, с которой я столкнуля по винруту


В твоих логах присутствует правило "NAT2" по которому рулится трафик. На скриншоте его нет... Возможно, это правило неправильное и стоит выше своего правила "NAT".
Автор: knyshow2
Дата сообщения: 07.12.2006 12:31
В NAT2 я вынес отдельно соединения из локалки с инетом по порту 8443 чтобы в логи не писался весь обмен трафом.
Автор: dimchik2002
Дата сообщения: 07.12.2006 13:55

Цитата:
В NAT2 я вынес отдельно соединения из локалки с инетом по порту 8443 чтобы в логи не писался весь обмен трафом.


Так у тебя идет несоответствие логов скриншоту. В скрине фигурирует правило NAT, а в логах NAT2.
Автор: knyshow2
Дата сообщения: 07.12.2006 14:17
Ну возможно не прав был. Привел полиси в полное соответствие скриншоту. Поставил логирование правила NAT и Default Rule
Пытаюсь зайти на https://193.xx.xx.216:8443 - идеально все заходит и вход этот светится в логах.
Пытаюсь туда же пробраться с тачек в локалке - в логах тишина. Нигде упоминания о 193.xx.xx.216 нету.

Добавлено:
Все, ребята, отбой! Всем спасибо, ру-боард лучшие!!!

ЗЫ: нашел вот такую мессагу:
http://forum.ru-board.com/topic.cgi?forum=5&topic=7347&start=1100#17

Спасибо!
Автор: Mikes
Дата сообщения: 07.12.2006 14:59
dimchik2002
content filtering - ftp policy
content filtering - http policy
вот там и делай

Цитата:
Забивание маски *ftpserver*

и всё будет ограничиватся
Автор: ShamaN
Дата сообщения: 07.12.2006 15:00
Есть 2 локальные сети:
1: 192.168.0.1/255.255.255.0 с доменом
2. 192.168.2.1/255.255.255.0 без домена

в обоих сетях стоят шлюзы на kerio 6. Есть выход в инет с фиксированным ip-адресом.
Между сетями настроил vpn tunnel.

Можно ли сделать так, чтобы в сетевом окружении обоих сетей была и 1-я и 2-я?

Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344

Предыдущая тема: ЦФТ ИБСО (IBSO)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.