» Kerio WinRoute Firewall (часть 3)

er23af
я сделал просто, создал адресную группу с айпишниками которым можно в инет и в правиле с натом вместо LAN воткнул эту группу, вуаля

Добавлено:
IL81
мегасовет, сделай шлюз с керио отдельно от всего, что за манера всё в одну кучу собирать, для шлюза можно и второй пенёк поставить если денег жалко

Цитата:

SHRIKE74

я так уже пробовал, просто сеть мне от прошлого админа досталась такая что .......
поэтому и говорю что голову сломал )

Добавлено:

Цитата:

IL81
мегасовет, сделай шлюз с керио отдельно от всего, что за манера всё в одну кучу собирать, для шлюза можно и второй пенёк поставить если денег жалко

полностью согласен, 1с нужно на отдельном сервере держать, удобней и мороки меньше

IL81
Правой кнопкой кликни в Traffic Policy и добавь все колонки!
Кликаешь на столбце Protocol Inspector и выбираешь None

SHRIKE74
Да известный совет, но пока нет возможнисти.

er23af
Я в правило на доступ к фаерволу включил только нужные группы, те у которых нету инета не видят компа с фаерволом!
Вместо <Lan> -> <Firewall>
поставил <MyGrup> -> <Firewall>




Добавлено:
У кого нибуть в логе warning писалось чтото подобное и как с этим бороться?
[25/Sep/2007 10:06:18] (3501) DNS forwarder: Got response with same ID, response discarded. Cached name 88.0.168.192.in-addr.arpa, response has name 212.0.168.192.in-addr.arpa, client 192.168.0.3:1033 id=6070, fid=53584, resp_id=6070.
[25/Sep/2007 10:06:28] (3501) DNS forwarder: Got response with same ID, response discarded. Cached name 250.0.168.192.in-addr.arpa, response has name 35.0.168.192.in-addr.arpa, client 192.168.0.3:1033 id=4082, fid=54820, resp_id=4082.

Народ! Тут меня один чел знакомый отсоветовал ставить v6.4.0.3176.x86, ставь грит v6.3.1.2906 или раньше.. какие-то глюки грит в новой версии, а какие так и не удалось от него добиться.. Может кто сталкивался?? Что-то серьезное??

lavren
все таки не помогло отключение Protocol Inspector на локал полиси, по прежнему тормозит 1с, пользователей 5-10. если пользователь подключен один то у него база летает.

IL81
Тогда только один выход как сказал SHRIKE74: разделить 1С и прокси.

Цитата:

Я в правило на доступ к фаерволу включил только нужные группы, те у которых нету инета не видят компа с фаерволом!
Вместо <Lan> -> <Firewall>
поставил <MyGrup> -> <Firewall>

это в Firewall Traffic что ли?

er23af
В Configuration\Traffic Policy, а как правило назовешь это тебе решать!
Главное чтобы в Source была твоя группа, а в Destination -- Firewall

спасибо нашел, конечно названиице было такое что ...))

Добавлено:
всё равно не работает, я не знаю, уже все испробовал но такое впечатление что керио всё пофиг и он делает что хочет.
каким ещё макаром можно айпишники обрезать?

er23af
Правила покажи!

Добавлено:
И объясни их! Где какая сеть и все что там есть!

короче я разнес два канала на два сервака

а в дхцп контроллера домена прописал выдавать

гейт1, гейт2
днс1, днс2

и теперь если первый канал упал, все автоматом получают инет со второго

все красиво

sLap

Цитата:

какие-то глюки грит в новой версии

пока не нашлось только один и то с отображением кирилицы в одном месте

причем ssg самодостаточна и работает и кабан и мак


Цитата:

короче я разнес два канала на два сервака

это ответ кому-то или совет?
еще красивее - было бы просто использовать "Connection Failover"

Помогите!
Поставил Керио, сделал доступ в инет, авторизация через WEB.
Так вот как сделать чтоб если я не авторизировался, и набираю какойнибудь сайт происходил переброс на страницу автроизации керио?
Заранее благодарен!

stop27
включить в керио прокси, в броузерах клиентов должен быть указан в подключении прокси и порт 3128, настроить по желанию в керио время разлогинивания, ок как выразился

На днях пересел с 6.2.2.
В 6.4 перестала работать статистика по юзерам, и если одновременно запустить с десяток страничек на клиентской тачке (юзаю Maxthon2), автоматическая авторизация юзера (NTLM) срабатывает не для всех из них (на некоторых страницах вылазит запрос на ручную авторизацию). Никто не сталкивался?

Добавлено:
Со статистикой частично разобрался. Теперь в консоли керио показывает трафик по юзерам (в 6.2.2 ставил фильтр локального трафа, а сдесь он похоже автоматом фильтрует). Но через веб в старе всю статистику показывает как "Данные не доступны". И осталась трабла с ntlm

Добавлено:
О! Заработал стар он видно не сразу кидает данные в БД, а раз в час.
ЗЫ
Тут кто-то интересовался чем можно редактировать базу стар.
IBExpert - hччp://rapidshare.com/files/58590828/IBExpert_full_2007_9_26.rar (бесплатная для xUSSR) (с вопросами по юзанию в ПМ)
или любая другая прога, работающая с базами Firebird/Interbase

Здраси!!!!

KWF использую уже около полугода все устраивает все хорошо не жалуюсь.
Вот тока начальство поставило задачу:
ПРИ ПРИВЫШЕНИИ КВОТЫ ПОЛЬЗОВАТЕЛЯ РАПРЕТИТЬ ИНЕТ И ОСТАВИТЬ ТОЛЬКО ПОЧТУ (SMTP,POP). Все нечего вот тока незнаю как бы Это сделать кто подскажет. Т.К. при привишенни квот в настройках пользователя есть - не чего не делать и сообщить пользователю на мыло, либо вооще все отрубить (KWF 6.3.0 build 2683 стоит на отдельной машине, в сети без доменов, просто раб. группа)

Подскажите как ограничить трафик пользователям постоянно (без всяких превышений квоты)

Как настроить WINROUT 6 что бы была возможность отправки писем(SMTP), а то только получать могу, а отправка

LeftUser
Configuration\Bandwidth Limiter\Large Data Transfers, а если на определенную группу то в Advanced...\Constraints\IP Addresses\Apply to the selected address group only поставь группу!

BioNix
В Керио такова нету!

hg04
А чем ты почту получаешь?

lavren
стандартным Outlook Express

hg04
Попробуй отключить Инспектора Протокола.

Господа... подскажите плз как разрулить ситуэйшн... Ибо я в этом продукте пока ваще нифиг ане понимаю, досталось по наследству а разрулить нужно строчно...
Добавил в рабочую группу пару компов,инет на них есть, но вот почта не работает ни в какую, ни почт клиенты, ни телнет не коннектятся ни на 110 ни на 25 порты... Авторизация как я понимаю идет только по имени и паролю? Тогда почему под тем же самым именем на др компах все работает пож этим же логином, а на 2 новых только веб... никаких проксей нигде не прописано, проверял... или где-то указываются еще и имена или ip компов которым разрешен доступ по каким-то протоколам ?

BioNix
керио - никак. здраси.

LeftUser
еще бы понять чего это написано "постоянно ограничить трафик"


Добавлено:
lavren

Цитата:

Попробуй отключить Инспектора Протокола

это интересно для чего его отключать? абсолютно непонятно.
hg04
тупой совет - создать разрешающее правило, что сейчас настроено - телепатов нет.

Erazer
Правила (Traffic Policy) покажи!

5555555

Цитата:

это интересно для чего его отключать? абсолютно непонятно.

Он пакеты режет которые ему не нравятся! Часто отключают чтобы почта рулила! Если следишь за топиком (или за смежными) то должен быть в курсе!!!

Цитата:

тупой совет

Дай умный! Зачем человека обижать?

hg04

Po4ta - группа людей, хто почтовики юзает

lavren

Цитата:

Он пакеты режет которые ему не нравятся

чем заявлять, надо разобраться как работает, - ничего он не режет в данной ситуации, а советы по его отключению я же сам и давал, но как правило чаще это относиться не к отправке а к приему smtp-pop-imap.


Цитата:

Дай умный!

было написано "тупой совет - создать разрешающее правило," (тире стоит, т.е. тупой совет это: "создать разрешающее правило").
Для ответов на заданный вопрос надо хотя бы знать, как сейчас настроено, иначе это все из области:
"у меня не отправляется почта, я пользуюсь "Почтой России"". off::

Может ли Kerio Firewall делать автоматическую авторизации в домене(как это делает wingate или traffik inspector).
Если клиент настроен на выход в инет черех Kerio, ему приходится вводить имя и пароль, хотя данные о пользователи на машине , с установленным kerio, берутся из домена.
Если да, то как?

Lykym
Enable user authentication automatically - по моему все ясно.