» Kerio WinRoute Firewall (часть 3)

Lovec
а если остальным закрыть порт 3128 на проксе?
т.е. (правила сверху вниз):
1) {Access allowed} -> {Inet Group} -> {Firewall} -> [services] -> [permit]
2) {Deny proxy} -> {LAN} -> {Firewall} -> [TCP 3128] -> [deny]
3) {Access firewall} -> {LAN} -> {Firewall} -> [services] -> [permit]

Цитата:

AlexGold
Да

Тогда ткните носом, если не трудно, как это сделать, потому что настроил обычный маппинг, так он подменяет источник.

AlexGold
на мыле не проверял, но только что отмапил FTP на тачку за KWF и зашёл на него с домашнего компа. Всё определяется правильно, источник не подменивается.
А netstat при соединении что кажет?

Продублирую сдесь вопрос:
Здравствуйте! Есть такое горе - керио (6.2) блокирует доступ к шлюзу со всех компов внутри локалки, т.е. если у меня допустим, локалка 192.168.0.0, керио внутренний 192.168.0.1, внешний 192.168.1.2, а аппаратный рутер связанный с инетом - 192.168.1.1, соответственно шлюзом указан 192.168.1.1. Мне нужно внутри локалки поставить еще один прокси на 192.168.0.33 (он будет парент для первого, на нем DVB плата,подробности опускаю - много буков), соответственно нужен доступ к 192.168.1.1 с него. Пытался по разному с правилами и маршрутами - результат пока нулевой. Помогите пожалуйста!

Цитата:

он будет парент для первого

Это как? Где первый?

Цитата:

подробности опускаю - много буков

Мож ты что то главное пропустил...

makz

Цитата:

керио внутренний 192.168.0.1, внешний 192.168.1.2, а аппаратный рутер связанный с инетом - 192.168.1.1, соответственно шлюзом указан 192.168.1.1

где он указан шлюзом? только на первой KWF или на клиентах и на втором KWF?
Если второе, то ставь шлюзом 192.168.0.1 и би хэппи.

Помогите пожалуйста начинающему настроить
WinRoцte Firewall 6 на локальной сети из 6 компьютеров.
Имеется ADSL модем Zyxel Prestige 600 (USB- и LAN- интерфейсы).
Хочу установить WinRoute на обычный компьютер (не сервер) с ОС
Win XP (SP2).Обязательно ли использовать 2 сетевые карты,
или в качестве второй будет использоваться модем?
Ip адрес модема по умолчанию: 192.168.1.1.
Настройки моего компа (на кот. нужно установить WinRoute):
ip    192.168.1.38
мп    255.255.255.0
шл.    192.168.1.1
DNS    80.113.48.4
Так и на остальных компах работает Инет.
Но стоит исправить шлюз или DNS (вписать свой),
Инет пропадает. Подскажите какие сетевые настройки нужны,
чтобы всех пользователей "пустить" через один комп и
полностью контролировать трафик.
Спасибо.

AlexanderKR
1) KWF работает на уровне сетевых интерфейсов, так что вторая NIC необязательна, хотя всё же Ethernet лучше.
2) настройки KWF посмотри в FAQ'е http://pcsecurity.net.ru/forum/viewtopic.php?t=1373&sid=f351728dce1c08845109d678ef4ad9ea Самое пристальное внимание обрати на настройку DNS
3) для клиентов шлюзом будет KWF

Но все описанные в FAQ`е настройки как раз рассчитаны на
вторую сетевую карту. Если я начинаю настраивать таким же образом
свой модем, то Инет вообще не работает. Может кто подскажет,
как настроить общий доступ к Интеренту без второй сетевухи,
имея в наличии только ADSL модем?

AlexanderKR
был такой вариант, модем у меня определился в керио на интерфейс диал-ин (вроде так), а дальше в траффик полиси его куда надо ставил,
но керио морочил голову (то пашет, то не пашет)
для стабильной работы решение одно - модем с ethernet и во вторую сетку

AlexanderKR
То есть модем хочешь подключить по USB?

Народ! Такая проблема:
На шлюзе стоит KWF (firewall, NAT) и UserGate 2.8.0.43 (прокси).
По ряду причин в качестве прокси используется именно UserGate.
К UserGate узеры получают доступ по MAC-адресам.
С KFW 6.1.1 проблем небыло. После апдейта KWF до 6.4.0.3176 примерно раз в сутки UserGate перестает определять MAC-адрес клиента и соотвественно узеры теряют доступ к прокси(UserGate).
В логах тишина.
Перезапуск Winroute и UserGate не помогают. Лечится только полной перезагрузкой машины.
Политики в KWF не менялись. После апдейта в KWF был включен McAfee и кабан.
Кто-нибудь сталкивался? В какую сторону копать?

Прошу помощи, ибо нет времени пока со всем разбираться.... хотя попытки были...
Нужно срочно раздать инет юзерам сети.....
имеется сервер с win 2k3 с поднятыми AD, DNS, DHCP...........всего 5 машин включая сервер... сеть 192.168.0.1 255.255.255.0

так же к серваку подключен skylink модем....
как минимальными действиями раздать инет..... очень надо... За ранее спасибо за понимание и ответы (((

Приветствую
поставил Винроут 6,1
Завёл пользователей, установил Policy для каждого пользователя,
но почему то статистика ложиться вся на одного пользователя (Админа),
кто подскажет из за чего это может быть баг винроута или настройки ?

megabred

Цитата:

Нужно срочно раздать инет юзерам сети.....

если срочно - то через нат, разрешить все исходящие без всяких там настроек прокси, авторизации и т.п.

Цитата:

серваку подключен skylink модем

какой, если не 550, то модем - в качестве диал-ап интерфейса заводить, если же 550 - то его можно в режиме моста заюзать...


Добавлено:
netchayevmax

Цитата:

но почему то статистика ложиться вся на одного пользователя (Админа)

а как на рабочих местах авторизация проводиться?

to 5555555
стоит обязательная авторизация
авторизация происходит автоматом,- привязал пользователя к айпишинку

netchayevmax


Цитата:

кто подскажет из за чего это может быть баг винроута или настройки ?

Цитата:

авторизация происходит автоматом,- привязал пользователя к айпишинку

Смотря какие правила и смотря как настроены HTTP Политики.
Ты бы написал вкратце.

Может где пропустил, извините заранее.
У меня Керио 6.3.1 build 2906.

1) Не обновляется антивирусник McAfee. Пишет в логе:
___________
[08/Oct/2007 09:59:26] (8300) Antivirus Server error: Downloaded file update.ini is corrupted or missing
[08/Oct/2007 09:59:26] (8300) Antivirus Server error: Cannot load actual version from server.
[08/Oct/2007 09:59:26] (8303) Unable to perform McAfee update (McAfee Scanning Engine (5092/5.1.00))
___________

Вычитал в начале топика: "C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются... "

А как обновлять то?

Нашел в варезнике библиотеку, поставил, а она не определяется, говорит не то приложение.

2) Отключился "ISS OrangeWeb Filter". Как помочь ему включится?

Не зная куда и кому задавать вопрос:
1. В организации зарегистировани в базе KerioWinRoute порядка 100 пользователей, одновременно в Интернет выходит не более 50 пользователей, если покупать лиценцию то насколько пользователей (на 50 или на 100)
2. Всплыла "пугалка", что керио не зарегистирован и ip засечен. надо ли так мне сильно напрягаться

TohaDub
це в варезник
kassadz
це тоже. Запрещать надоть было хождение на некоторые адреса и редиректы делать.
Тут ваще-то настройка обсуждается, а не {censored}

kassadz

Цитата:

2. Всплыла "пугалка", что керио не зарегистирован и ip засечен. надо ли так мне сильно напрягаться

Вопрос для варезника, но как новичку отвечу - нет не надо! А вот что надо - это перечитать родственную ветку в варезнике (вот эту) перед этим выбрав вверху страницы справа (щелкнув) Версия для печати. Тогда все посты откроются на одной странице. Удобнее читать и проще делать контекстный поиск. Когда установишь и настроишь KWRF согласно прочитанной информации, он у тебя и отваливаться не будет, и пугать, и все надстройки будут замечтательно работать.
Удачи.

Господа а кто нибудь пробовал в 6.4.0 импортироватьт позователей из НТ домена в локальную базу? Оно вообще с НТ доменом нормально работает? Жму на кнопочку "Import...", в окошке выбираю - Windows NT domain и имя домена и ОК - вываливается окошко с ж0лтым восклицательным знаком и текст -
Import from domain XXXX failed.
Error:
В доках требуют , чтобы комп был в домене - хорошо , включил в домен, и тоже самое.
Есть какието мысли ?

Цитата:

Оно вообще с НТ доменом нормально работает

да - нормально.

5555555
Именно в плане импорта? Потомо что авторизация через домен у меня нормально идёт и в логах на PDC при этом всё как надо, а при попытке импорта в логах тишина.

sadafaga
попробуй имя домена вбить только до первой точки, типа не xxx.local а только ххх
по карайней мере в старых версиях именно так нужно было

SHRIKE74
В именах доменов NT4.0 нет точек , оно так и выглядит типа DOMAIN, но всё равно спасибо попытку помочь. Похоже просто в 6.4.0 эта функция (Import...) не тестировалась и не работает с NT доменом или я ничего не понимаю - самто КВФ видит домен. Уже подумываю снифер поставить и пакеты посмотреть, но страшно не хочется возится....

подскажите как керио заставить пустить сюда http://ul-files.org.ua:8000/

Olezka
правило any - any - permit не помогает?

all
Что-то запутался, не могу отследить какое правило блокирует обновление НОДа.
Есть правило:
NOD32 - <лок. сеть> - Firewall - TCP 8081 - permit
Раньше по нему работало обновление. Щас хоть это правило и стоит первым, но НОД нормально не обновляется. Обновляется нормально только если ставить первым правило any - any - permit. Т.е. что-то блокирует НОД...
Так вот, в логах не найду какое правило блокирует НОД. Логирование стоит.
В каком логе хоть смотреть?

Сорри за сумбурность.

Olezka
Правило <LAN>(<Firewall>) -> <ul-files.org.ua> -> <TCP 8000> -> <permit>


Добавлено:
Lovec

Цитата:

В каком логе хоть смотреть?

В filter, но если у тебя в правиле с DROP включено запись в лог!
Попробуй включить в Default rule!

Цитата:

НОД нормально не обновляется

А настройки там не менялись? Что в логах?

Добавлено:
Lovec
На redline-software пишут:
Замечание: Соединения, удовлетворяющие Deny- или Drop-правилам, не могут быть записаны в журнал.
IMHO это не совсем так! Иногда получается! Но при каких обстоятельствах не провирял!

здрасте всем
Есть проблемма с керио 6.2.2 на сервере 2003. На нем две сетевухи одна в локалку другая в инет (подключение не прямое требуется авторизация на прокси ,настроен каскад). При пуске пользователей через прокси не считается трафик по ним но в Hosts/Users видна информация о посещаемых ими сайтах, немогу понять в чем проблемма подскажите если возможно?

P.S. Опыт работы с керио есть и по его настройки тоже но токо когда было прямое подключение (диалап жпрс адсл) все работало и по нат и через прокси.