» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

По многочисленным просьбам системных администраторов разделили общую тему по настройкам различных серий прокси серверов версий WR 4.х и KWR 5.х на две.
Пожалуйста, обращайте внимание:
В этом топике только серия KWR 5.х и выше
Настройка серии WR 4.x и старые вопросы по KWR 5.х (по состоянию на 19.01.2004 г.) в теме:
Настройка WinRoute 4.x

---

Офф. сайт:
http://www.kerio.com/kwf_home.html
http://www.kerio.com/wrp_home.html



Цитата:

Kerio WinRoute Firewall 5™ sets new standards in versatility, security and user access control. Designed for corporate networks, it defends against external attacks and viruses and can restrict access to websites based on their content.
Kerio WinRoute Pro™ is a robust network firewall that protects your network from hackers and Internet threats. It easily connects the network to the Internet using various access devices. Built-in mailserver allows users to have their own corporate email.

Смежный топик в программах.
Лекарство ищем тут

Предыдущая тема по данному продукту.

народ подскажите может кто знает ссылку на рабочий ключик для версии KWF 6.2.3

Boriya

Цитата:

Лекарство ищем тут

http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=11837&start=lt
в шапке непонятно написано?

Помогите плиз с таким вопросом:
Стоят квоты на пользователей, при привышении лимита инет у юзера ессно пропадает, но при этом нет никаких оповещений (в идеале что-то в браузере "лимит привышен" или типа того). Нашел галочку отправлять на мыло, но это не то.

GArt
можно сделать чтоб оповещение было но отрубать не будет, а так ничего, сам хотел бы чтоб оповещало перед отрубоном

спасибо, значит без предупреждений будем...

Народ, нужно сделать так чтобы один из пользователей сети имел доступ только к почтовым сервисам. Каким образом можно прописать правила чтобы это реализовать?

Пользователи в винруте автоматически авторизуются по ip-адресу. Есть пользователи, которые индивидуально логинятся через веб-страничку. Всё работает замечательно, пока не включено автоматическое определение настроек соединения.

Но стоит настроить сеть через dhcp автоматически настраивать подключения браузеров, как возможность индивидуально залогиниться через веб-страничку исчезла, даже после ввода правильного имени и пароля пишется, что авторизован не тот, чьё имя/пароль введены, а тот, у кого в свойствах указан ip-адрес этого компа.

Файл wpad.dat примитивный:

function FindProxyForURL(url, host) { return "PROXY 192.168.0.1:3128; DIRECT"; }

В чём может быть проблема?

roma6ka
нужно знать конфигурацию твоего winroute ... как люди ходят в инет? авторизация..

в общем виде это так..
1 вариант (по IP.)
в таком случае делается правило в traffic policy (надеюсь у тебя не разрешён полный доступ)
IP пользователя - internet - permit (dns imap pop3 smtp и secure их варианты по вкусу)
и ниже на всякий случай
IP пользователя - internet - deny (any)
то есть ты делаешь доступ в инет только для почтовых сервисов с этого IP ...
для других IP или диапазонов IP ставишь все сервисы что нужны ...

1 вариант (по пользователям)
предполагается что у тебя обязательная авторизация пользователей
ставишь правило
имя пользователя - internet - permit (dns imap pop3 smtp и secure их варианты)
имя пользователя - internet - deny (any)

но вообще то надо знать конфигураци.. тогда будет более точный ответ

есть три сетевухи на сервере.
1. с внешним ip и есть инет через шлюз
2. с внутренним ip и есть инет через шлюз
3. локальная сеть без инета (другие участнеГи этой сети имеют инет через этот комп)

Как сделать так чтобы инет раздовался который дает сеть 2, но по внешнему ip сервер был бы доступен из нета? Т.е. чтоб ызапросы шли через шлюз сети 2 в инет, но из инета чтобы пропинговать можно было по прямому ip...

NeveR_Mind
немного понятнее .... а то запутанно написал...
конфиг сети хотелось бы.. более развёрнуто

Есть проблема..
На новом серваке поставил Kerio 6.2.3
настраивал все ручками, без автонастройки.
все сделал вроде правильно, авторизация идет, сервак все видит, но при загрузке любой страницы керио выдает сообщение в браузере "DNS lookup not found"
все настройки один в один со старым ящиком(там правда керио 6.0.4), но на старом все работает, а на новом такая фигня..
можт я че нить пропустил??

Nervniy2000
DNS forwarder включен ???
может он конфликтует с чем? что в логах по этому поводу..
на клиентах DNS прописан?
есть ли в сети другой DNS сервер ???

люди ПОМОГИТЕ
дело такое надо чтоб винроут вел подсчет некоторого внутреннего трафика и форварда к главному прокси , например:
- независимая прога НТТР прокси сервер от toonel.net форвард на его прокси, нет подсчета трафика на юзера , считает на файрвол ;
- также не подсчитывает трафик и от любых локальных прог апачика, других проксиков и т.п.


вообщем трафик не считает на юзера и не применяет правило бандвиша,

как быть ?

slavic7th

Цитата:

- независимая прога НТТР прокси сервер от toonel.net форвард на его прокси, нет подсчета трафика на юзера

где стоит эта прога то?
если на сервере то естественно всё не будет работать правильно ...

Mikes

Цитата:

DNS forwarder включен ???

да

Цитата:

может он конфликтует с чем? что в логах по этому поводу..

в логах чисто

Цитата:

на клиентах DNS прописан?

да

Nervniy2000
включай в debug логе всё что касается DNS ...

Connection count limit дифолтное 600 — не многовато ли? Зачем клиенту для нормальных программ может понадобиться столько?

SINL
вас никто не ограничивает уважаемый можно и меньше поставить или вообще отключить
это необходимо например для торрента или осла... что бы контролировать загрузку сервера

Mikes
[q][/q]
прога стоит на сервере или на другом компе в локалке

трафик не считает при прокси форварде
и не только при форфарде а даже если просто откріт порт на дополнительный проксик на сервере

Ребят, ну вот у меня и первая проблема с винрутом...

Проблема заключается в том, что не могу человеку из сетки дать возможность стучать на адрес: https://193.xx.xx.216:8443

В полиси уже переклацал все, что только можно. С фаервола заходит идеально, а никто из сетки не может!

Помогите, очень прошу - за этим айпишникком базнес-база, без которой человек просто не может работать.

Скрин полиси прилагаю.


Добавлено:
Кстати, на страницу http://193.xx.xx.216 заходит, но там просто стартовая страница апача. что не интересно. А вот именно по хттпС, да еще и на 8443-порт - нифига.

Добавлено:
ЗЫ: v.6.2.2 Build 1746

Mikes

Цитата:

никто не ограничивает

Не в том проблема. А в том, чтобы выяснить приемлемое число коннектов для нормальной офисной работы.

Firefox2 в турбо-режиме настраивается на 48 коннектов. Какой нормальной программе при условии отсутствия p2p программ может потребоваться 600 коннектов?

Какое количество установить для нормальной работы обычных программ (браузеры и почта)?

600 коннектов дифолтное значение оставить — это просто подарок троянам…

SINL

Цитата:

600 коннектов дифолтное значение оставить — это просто подарок троянам…

дак трояны и через 50 буду идти.. это не выход..
количество коннектов с одной машины позволяет тебе контролировать загрузку сервера.. что бы не случилось такого что он загнётся от перегрузки машины на которой он установлен..
у меня например ограничение вообще убрано.. а ptp сети запрещены.. так что более 10-15 коннектов с машины нет... (ну может 1-2 из 600 клиентов )
если уж хочется ограничивать .. ставь 50.. с запасом

Добавлено:
knyshow2
опять же.. что в логах по этому правилу?
включи логи по этому правилу и по самому последнему.. и попробуй соединится ...
а потом логи в студию
судя по трафик полиси всё правильно

Цитата:

а потом логи в студию

[more][07/Dec/2006 08:24:44] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2221 -> 194.67.23.154:2042, flags: SYN , seq:1255640253 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:24:44] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2224 -> 194.67.23.154:2042, flags: SYN , seq:119980517 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:24:49] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2224 -> 194.67.23.154:2042, flags: SYN , seq:119980517 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:24:49] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2227 -> 194.67.23.154:2042, flags: SYN , seq:2292349549 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:24:51] PERMIT "NAT2" packet from Dial-Up, proto:TCP, len:77, ip/port:193.xx.xx.216:8443 -> <мой внешний ip>:50240, flags: ACK PSH , seq:1262401870 ack:1976678732, win:65535, tcplen:37
[07/Dec/2006 08:24:51] PERMIT "NAT2" packet from Dial-Up, proto:TCP, len:40, ip/port:193.xx.xx.216:8443 -> <мой внешний ip>:50240, flags: FIN ACK , seq:1262401907 ack:1976678732, win:65535, tcplen:0
[07/Dec/2006 08:24:51] PERMIT "NAT2" packet to Dial-Up, proto:TCP, len:40, ip/port:<мой внешний ip>:2915 -> 193.xx.xx.216:8443, flags: ACK , seq:1976678732 ack:1262401908, win:64282, tcplen:0
[07/Dec/2006 08:24:51] PERMIT "NAT2" packet to Dial-Up, proto:TCP, len:77, ip/port:<мой внешний ip>:2915 -> 193.xx.xx.216:8443, flags: ACK PSH , seq:1976678732 ack:1262401908, win:64282, tcplen:37
[07/Dec/2006 08:24:51] PERMIT "NAT2" packet to Dial-Up, proto:TCP, len:40, ip/port:<мой внешний ip>:2915 -> 193.xx.xx.216:8443, flags: FIN ACK , seq:1976678769 ack:1262401908, win:64282, tcplen:0
[07/Dec/2006 08:24:52] PERMIT "NAT2" packet from Dial-Up, proto:TCP, len:40, ip/port:193.xx.xx.216:8443 -> <мой внешний ip>:50240, flags: RST , seq:1262401908 ack:0, win:0, tcplen:0
[07/Dec/2006 08:24:52] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2227 -> 194.67.23.154:2042, flags: SYN , seq:2292349549 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:24:55] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2230 -> 194.67.23.154:2042, flags: SYN , seq:1266476295 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:25:01] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2230 -> 194.67.23.154:2042, flags: SYN , seq:1266476295 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:25:01] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2233 -> 194.67.23.154:2042, flags: SYN , seq:2469070790 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:25:05] DROP "Default traffic rule" packet from Локалка, proto:TCP, len:48, ip/port:192.168.0.11:2233 -> 194.67.23.154:2042, flags: SYN , seq:2469070790 ack:0, win:65535, tcplen:0
[07/Dec/2006 08:25:05] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:48, ip/port:82.207.40.130:3326 -> <мой внешний ip>:445, flags: SYN , seq:2400500472 ack:0, win:8760, tcplen:0[/more]
Логи приложены...
Ваще дупля не дам шо происходит. Первая и единственная трабла, с которой я столкнуля по винруту

Всем доброго дня!

Господа, вопрос есть по FTP policy. Установлена версия KWF 6.2.3 build 2027.
Можно ли блокировать FTP-сервера по маске?
Т.е. например необходимо запретить посещение ресурса, содержащего слово "ftpserver" у которого еще куча дополнительных серверов вида:

ftpserver1.com
ftpserver2.com
ftpserverrus.ru
newftpserver.com.ru
addon.newftpserver-group.com

Забивание маски *ftpserver* в графу SERVER на закладке GENERAL результата не дает.

Буду очень признателен, если кто-то подскажет в каком направлении стоит копать.

Добавлено:

Ответ для knyshow2


Цитата:

Логи приложены...
Ваще дупля не дам шо происходит. Первая и единственная трабла, с которой я столкнуля по винруту

В твоих логах присутствует правило "NAT2" по которому рулится трафик. На скриншоте его нет... Возможно, это правило неправильное и стоит выше своего правила "NAT".

В NAT2 я вынес отдельно соединения из локалки с инетом по порту 8443 чтобы в логи не писался весь обмен трафом.

Цитата:

В NAT2 я вынес отдельно соединения из локалки с инетом по порту 8443 чтобы в логи не писался весь обмен трафом.

Так у тебя идет несоответствие логов скриншоту. В скрине фигурирует правило NAT, а в логах NAT2.

Ну возможно не прав был. Привел полиси в полное соответствие скриншоту. Поставил логирование правила NAT и Default Rule
Пытаюсь зайти на https://193.xx.xx.216:8443 - идеально все заходит и вход этот светится в логах.
Пытаюсь туда же пробраться с тачек в локалке - в логах тишина. Нигде упоминания о 193.xx.xx.216 нету.

Добавлено:
Все, ребята, отбой! Всем спасибо, ру-боард лучшие!!!

ЗЫ: нашел вот такую мессагу:
http://forum.ru-board.com/topic.cgi?forum=5&topic=7347&start=1100#17

Спасибо!

dimchik2002
content filtering - ftp policy
content filtering - http policy
вот там и делай

Цитата:

Забивание маски *ftpserver*

и всё будет ограничиватся

Есть 2 локальные сети:
1: 192.168.0.1/255.255.255.0 с доменом
2. 192.168.2.1/255.255.255.0 без домена

в обоих сетях стоят шлюзы на kerio 6. Есть выход в инет с фиксированным ip-адресом.
Между сетями настроил vpn tunnel.

Можно ли сделать так, чтобы в сетевом окружении обоих сетей была и 1-я и 2-я?