» Kerio WinRoute Firewall (часть 3)

lavren
через веб....
при попытке открыть сайт или еще чего в браузере появляется окошко и там нужно логиниться, на старых и новых внешне все одинаково, но почта на новых не пашет

hg04
Гм...
Проверь так:
Name ----- You IP --- Any --- SMTP ---- Permit --- Always ---- Inspektor (none)
и проверь
telnet yandex.ru 25

Цитата:

Настройка RRAS

как я понял этого в ХР нету...

Erazer
А порты открыты в брандмаузере? Может у тебя проблемы с ОС, а не с Керио?
Откуда почту берешь?

Цитата:

А порты открыты в брандмаузере?

в каком ? никаких мауэров в локалве кроме как на серваке с керио нету.... с ос ?... с каких как говорится делов...почту с со "своего" сервака. там хостинг, почта... он здесь не причем, настройки тупо переносились с рабочего почтового клиента...

Простите если не туда влез или это было.... но вот хотел узнать, как исправить...
не сильно давно пользуюсь KWF, по этому не всё пока знаю...
в общем проблема в следующем....

KWF использую как персональный файерволл..... то есть для себя лично...а значит на мне никто не седит и не грузит мою тачку...
Вроде как работает нормально.... но как только зайду у нас в локалке в сетевую игру
Battlefield 2, то в самой игре конкретные лаги, даже когда в игре я один и без ботов. Пинг примерно от 550 подымается... Как только выключу KWF, то всё норма...
Я не сервер игры.. я захожу как клиент....
Тут дело больше не втом, что мне хочется поиграть и быть защещённым, а втом, что бы научиться правильно работать с KWF, так как может в будущем пригодится.... вот и хочу узнать как решать подобные проблемы...

В общем впрос заключатся в этом : ПОЧЕМУ ПОДЫМАЕТСЯ ВЫСОКО ПИНГ ПРИ СЕТЕВОЙ ИГРЕ, ведь это даже не в инете, а в моей локалке, в моей ПОДСЕТИ игровой сервер...

SPY_breaker
из пушки по воробьям... в качестве персонального фаера использовать винрут немного нецелесообразно
трафик полиси покажи

SPY_breaker
KWF всегда тормозил при соединении локалхоста с сетевыми машинами и пока это не особо лечится.
как сказал aljd, эта прога не для персоналки а для сервака и не предполагает работы на своем же хосте работы обычного пользователя, и тем более каких-то сетевых игр ))) Если надо защитить машину - пользуй персональный фаер - и тормозов меньше и защита лучше.

Ruza
подключил другой ящик все заработало, а тот не хочет надо провайдеру пойти по голове постукать кирпичом.....

Erazer

Цитата:

в каком ?

У тебя какая ОС стоит?
Если какаято сборка ХР, то кто знает что там отключено!
Если чистая ХР, то "Бpaндмayэp Windows" отключи или соотвественно настрой его!
Если стоит какойто антивирус с встроенным фаерволом то отключи или соотвественно настрой его!


Цитата:

почту с со "своего" сервака.

Какой там мыло-сервер стоит?

Добавлено:
В правилах керио все разрешено! Скорее всего это проблема или с ОС, или мыло-сервером

Привет!
Есть терминальный сервер, пользователи зайдя на него терминально запускают IE и ходят в интернет.
Стоит Kerio Winrout 6.4
В новых версиях появилась возможность настроить авторизацию при такой схеме доступа в интернет, для этого в Winroute специальна добавлена возможность
Enable non-transparent proxy server authentication
но настроить у меня не получается.
Что делаю
1. Включен Прокси на порту 3128
2. Включены все три опции на закладке Authentication Options
3. Настроен импорт пользователей из АД
4. Имя домена указано и для АД и для NT аутентификации
5. FQDN имя сервера указано в закладке Web Interface и включен ВЭБ интерфейс.
6. Создано правило в HTTP Rules разрешающее выход с авторизацией.
Проблема такая , что авторизуется только первый пользователь, все остальные работают от его имени.
Помогите кто настраивал авторизацию.
Заранее спасибо!

Strannik06

Цитата:

6. Создано правило в HTTP Rules разрешающее выход с авторизацией.

Создай правило запрета выхода без авторизации ПОСЛЕ разрешающего.
И вроде как надо запретить автоматическую авторизацию

hg04
Бывает.... Предлагаю прову не платить месяц....

SPY_breaker

Цитата:

KWF использую как персональный файерволл.....

Да.... Есть люди в наше время!!! А ты не пробовал к примеру ИСА ещё поставить? ОЧЕНЬ рекомендую + касперского с полной эвристикой + что то для слежения за spyware и ты за ПК ты точно не нужен будеш... Оно само работать будет.

Ставь Оутпост или КИС и будет щастье.

Вопрос к спецам!
Поставил winroute в интернет кафе, впечатления только положительные
но есть проблема: logout и, в меньшей степени, login пользователей.
Стоит управляющая прога ClubTimer? которая при открытии разблокирует комп и если клиент оплатил интернет я бы хотел, чтобы она открывала интернет.
Как реализовал сейчас (немного криво, сильно не ругайтесь):
при покупке интернета Clubtimer запускает простенькую прожку (спасибо AutiIt)
которая ждет появления окна ввода пароля, заполняет его и нажимает ок.

При окончании времени, хотелосьбы как-нибудь сделать logout/
смотрел предлагаемый скрипт, он предполагает открытие страницы сервера, а у меня когда комп заблокирован окна IE запрещены.

Вопрос как покорректнее организовать login logout
PS ClubTimer может выполнять действия и на стороне сервера, может можно как открывать доступ в инет на сервере?

Strannik06
а в IE в подключении указал прокси и порт?

SHRIKE74
Прокси и порт указал, но не работает...

Цитата:

Проблема такая , что авторизуется только первый пользователь, все остальные работают от его имени.

для меня это непонятно, даже не знал что такое возможно, только если все с одного айпишника ломятся

Доброго времени суток !

Помогите разобраться с реализацией шейпера в последней версии этого чуда.

Ставлю ограничение по скорости для одного IP, но оно не работает для данного IP - скорость не режется вообще.
Если ставлю ограничение для всех, либо для всех кроме этого IP, то ограничение работает, но как-то странно - скорость, проставленная в керио не соответствует скорости у клиента. Точнее, в керио ставлю 32КB/s - на клиенте получаю 64.
Что за алгоритм расчётов надо применить чтобы получить нужную скорость ? ))

Ещё, можно ли в керио настроить разграничение скоростей не только для группы ip, но для каждого клиента в отдельности ? Если нет, то не могли ьы посоветовать прогу, которая может это делать.

И последнне, как запретить клиентам закачивать определённые типы файлов(mp3,zip,gz,mpeg и т.д.) ? Естественно интересует возможность настройки для каждого клиента отдельно.
Нужно резать именно по HTTP протоколу, т.к. настройку FTP я знаю, но она не влияет на HTTP траффик.

Всем спасибо за будущие ответы !

Цитата:

для меня это непонятно, даже не знал что такое возможно, только если все с одного айпишника ломятся

ничего странного и непонятного - это ж терминальный сервер. И естессно, что все клиенты ломятся с одного и того же компа. Надо задать авторизацию на каждую сессию web-подключения.

Цитата:

Ставь Оутпост или КИС и будет щастье.

Цитата:

эта прога не для персоналки а для сервака

Я это прекрасно понимаю....

Обычно и пользуюсь персональными файером типа КИС или Агнитум

Как я писал выше, я пользуюсь им недавно, и по этому пытаюсь набраться опыта в работе с ним, по этому спрашиваю интересующие меня вопросы... вот главная суть вопроса... Я учусь им пользовать... узнаю в чём бывает трабл и как его решить если возможно.....

Короче говоря... набираюсь опыта по вопросам, с которыми встречаюсь в работе с ним...
Вот и всё... так что не судите строго

Народ! Трабла такая:
Есть подключенный спутниковый интернет от Радуги, исходящий траффик через GPRS
Установлен и настроен "ускоритель" от Радуги Sprint 3 версии

Как настроить Kerio на этот самый Sprint 3 или может 2 версии спринт? Есть ли тут кто это реализовал у себя и успешно использует?? Поделитесь опытом, пожалуйста! Может дока по этому делу где-то есть?

В форумах тут пишут что Traffic Inspector легко на это дело натягивается, стоит ли заморачиваться на нем?

У меня другая беда с kerio 6.3.0 Build 2683.
имеется сеть большая канторская с доменом
имеется комп с двумя сетевухами
один провод идёт в большую сеть
другой в отдельную сетку защищённую kerio
все машины в отдельной сетке вогнаны в домен большой сети.
при просмотре сетевого окружения перестали показыватся компы большой сети.
ничего не трогал. всё работало.
может имеет смысл зделать downGrade ?

Eсли у вас стоит Kerio WinRoute Firewall + ftp server (passive mode)
возникает проблема доступа из инета к вам на сервер в пассивном режиме,для решения проблемы:
Нужно убрать слежение 'protokol inspector' за FTP 21 портом:
заходим Services->находим FTP->Edit->protokol inspector(заменить FTP на None)->сохранить
2)добавить новую службу:
заходим Services->ADD->name(ftppassive - например);protocol(tcp);destanation Port(50000-50100 например - соответственно настройкам ftp server)
3)добавить правила:
traffic policy->название;source(ваша внешняя сетевая карта);destination(firewall);service(FTP,ftppassive - например);permit

незабудьте настроить сервер фтп на пассив мод (50000-50100 например)

darksage
Разреши Ping! И поиграй с NetBIOS-NS и 135 портом!

lavren

Цитата:

darksage
Разреши Ping! И поиграй с NetBIOS-NS и 135 портом!

Спасибо большое =)
Заработало =)))

Цитата:

traffic policy->название;source(ваша внешняя сетевая карта);destination(firewall);service(FTP,ftppassive - например);permit

для начала если хотите дать доступ к фтп извне в сурсе надо эни поставить и мне непонятно зачем там нужно прописывать айпишник внешней сетвеой карты
а во вторых если фтп сервер находится внутри локалки то этих правил явно недостаточно, к ним ещё и маппинг приделать надо до машины внутри сети

Добавлено:
для незнающих или непонимающих:
source -- отправитель
destination --- адресат
это если по простому
и в зависимости от того что вы в этх двух вещах будете указывать так правило работать и будет, отправителем может быть как машина внутри сети так и любой узел в интернете, так же и с адресатом.

Цитата:

и в зависимости от того что вы в этх двух вещах будете указывать так правило работать и будет, отправителем может быть как машина внутри сети так и любой узел в интернете, так же и с адресатом.

А умеет ли Керио, в частности версия 6.4.0, делать прозрачный маппинг портов, т.е. не подменять порт источника?
У меня будет почтовик стоят за Керио с маппингом порта 25. Мне нужно чтобы запросы на почтовик приходили не от интерфейса с Керио, а от реальных адресов. С Керио такое возможно?

AlexGold
Да

народ скажите пожалуйста

встроеные антивирусы проверяют файлы и процессы на сервере, или только траффик?

d0x
афаик только трафик

d0x
Практически уверен что только траффик. Нужен еще штатный антивирь, а "встроенные" всего лишь плагины.

all
Подскажите... В ТП основное правило доступа в инет организовано так:
1) создана ip-группа, которая имеет доступ к прокси
2) прокси разрешен доступ в инет
Таким образом эта ip-группа имеет доступ в инет.
Минус в том, что доступ к прокси нужен не только этой ip-группе,но и другим компам. Т.е. они тоже получат доступ в инет, что не надо. Как разграничить доступ к прокси и доступ в инет?

При этом. НАТ мы не используем. Пользователей и соответственно связанную с ними авторизацию тоже не используем. (Пробовали, но возникли не решаемые проблемы) Т.е. авторизация происходит только по IP.
Прокси стоит на отдельном компе.

Добавлено:
И еще.
Выложите кто-нить свои ТП без НАТа. Посмотреть хоть как люди делают. А то кругом НАТ, НАТ...