» Kerio WinRoute Firewall (часть 3)

Dasky
http://www.mail.ru/pages/help/81.html аутлук так настроен?
антивирус если есть отключи
лог для созданной стороки включи - глянь что керио пишет

блин, возникла проблемка...
есть ли возможность удаленно перезапустить службу керио?

Цитата:

есть ли возможность удаленно перезапустить службу керио?

Подними удаленный рабочий стол и на здоровье, через администрирование-службы.

Так что, про статистику никто ничего не знает?

Добавлено:
Отвечаю сам себе. Веб-статистика STAR сбросу не подлежит. Взамен этого керио предлагают "просто брать оттуда необходимый вам период".

Другой вопрос. На версии 6.3.1 кабан ходит в инет не только по HTTPS и TCP6000, но и по 80му порту. Каждый раз, как кто-то открывает какой-нибудь сайт, кабан по HTTP ломится на такие адреса, как:
194.153.113.93
217.160.173.234
206.253.225.8
206.253.225.7
194.153.113.99
и т.п.

Список, думаю, не полный. Пришлось открыть 80й порт со шлюза с KWF. Но меня не устраивает такая ситуация. Кто поставил себе 6.3.1, сгенерите пожалуйста правила трафика мастером, скажите, как будет выглядеть правило для ISS OrangeWeb Filter?

Dasky
Давай так - сначала просто выполни с клиентской машины
telnet smtp.mail.ru 25
и посмотри что ответит...
Потом проверь
nslookup smtp.mail.ru
если всё работает то скинь картинку с правилами, а то разговор двух слепых получается.

У меня возникла ровно такая же проблема с почтой. Но самое странное, что с клиентской машины я могу телнетом подключиться и к 110, и к 25 порту. А почтовики (ни бат, ни громоптиц) не подключаются. Все предложенные выше действия делал - эффекта ноль...

Dasky
Прочти это http://www.winroute.ru/forum/viewtopic.php?t=617
Потом создай правила:
Name (Правило почты)---Source (Firewal, INET)---Destition (INET,Firewal)---Service (POP3 SMTP)---Action (Permit)
Name (Правило почты User)---Source (User)---Destition (INET)---Service (POP3 SMTP)---Action (Permit)--Translation (NAT Default...)
Я так же не понял ты работаешь через непрозрачный прокси или через НАТ??? Если ты работаешь через прокси, то в настройках оутлука (или др. почт клиента) указываешь ip адрес машины с керио и с сответствующим портом прокси (8080, 3128....) ИМХО

Потом сделай что сказал Ruza


Добавлено:
EzhickATwork

Цитата:

У меня возникла ровно такая же проблема с почтой. Но самое странное, что с клиентской машины я могу телнетом подключиться и к 110, и к 25 порту. А почтовики (ни бат, ни громоптиц) не подключаются. Все предложенные выше действия делал - эффекта ноль...

Тогда тоже попробуй, что я выше написал!

Доброе время суток уважаемые!
Вопрос сложился: есть локалка ( №1)- десяток рабочих станций 192.168.0.2-192.168.0.12, + отдельная машина с Kerio 6.3 с раздачей прокси по 3128 порту 192.168.0.1внутрь и постоянный IP наружу на выделенке , + отдельная машина с win2003 как сервер домена и настроенным удаленным доступом через dialup192.168.100.. Все работает, все конектиться, удаленный доступ исправно раздает интренет, и пока речь идет об отдельной рабочей станции все работает исправно, но когда конектиться с машиной на которой тоже установлен Kerio с целью организовать раздачу инета через просив локалку №2, тут и наступает стоп, причем при подключении через дозвон к городскому провайдеру все работает, но как только к первой сети, через удаленный доступ нет.
Вот такая вот ситуевина я очень надеюсь что смог объяснить в чем проблема. На машине с Kerio все без каких-либо дополнительных настроек – все по «молчанию». Я слабо знаком KWF, возможно все просто и надо где-то выставить что нить и только, но может быть…. Одним словом подкиньте идею народ, что менять?
PS не нашел об этом в форумах, может и мелькало, но не нашел


--------------------------------------------------------------------------------

Saftor
Ruza
большое спасибо вам за помощь...

с клиентской машины телнет не ответил...
пинги не проходят...
пишет заданный узел недоступен, когда я пингую mail.ru, хотя в фаере разрешил пинг...
nslookup обратился сначала к внутренней днске, не нашел такого адреса, после чего пошел в инет и выдал ип mail.ru - 194.67.57.26
скрин трафик полиси прилагаю...



Saftor
спасибо за линк... много полезного нашел для себя...
сделал как ты сказал... эффект прежний=(
в аутлуке 2003 в поле pop и smtp сервера вбивал ип шлюза с портом...
вообще не может найти ничего=(
по поводу ната и непрозрачного прокси, я наверное криво объяснил, да и настроил так же наверное - прошу меня простить...
собственно все, что из локалы идет - через нат...
есть непрозрачный прокси...
вот скрин HTTP policy



в свойствах браузеров на клиентских машинах выставлена прокся в виде айпи шлюза:8080 порт + галка не использовать проксю для локальных ипов...

косяк из-за етого?
из-за того, что нат и прокся вместе включены?

кстати еще вопрос по поводу ната...
как должно выглядеть правило, чтоб можно было снаружи заходить через ВПН-тоннель или ВПН-клиента через сервер с керио на другой сервер. который внутри локалы?
т.е. у меня как получилось...
правило local traffic позволяет приконнектиться мне через ВПН-тоннель или клиента на сервер с керио и зайти на консоль при помощи dameware... но когда я хочу зайти допустим на клиентскую машину через туже дэймварку - меня посылают...типа время ожидания вышло...тоже самое и с RDP...
но как только я выставлю в правиле local traffic NAT(Local) - все сразу становиться нормально и везде заходит...
собственно вопрос в том, что можно ли правилу Локал Траффик выставить НАТ (Локал), либо надо создать отдельное правило для удаленного доступа через ВПН и пустить его через НАТ (локальный)? если так, то значит данное правило должно стоять первым?или выше чем Локал Траффик? я правильно понимаю?если так можно сделать, то не будет ли каких-нибудь проблем с прохождением локального траффика?

правило должно выглядеть так?правильно?



прошу прощения если путано объясняю и спрашиваю... сильно ногами не пинайте плиз... подсобите пожалуйста, тыкните носом, объясните где накосячил?
спасибо...

Dasky
Как мне объясняли раньше, при включёном прокси вообщем NAT не нужен. ИМХО

Только что себе включил прокси на 8080, но NAT в правиле не выключал, так в инет пользователь может заходить даже при не указании прокси в браузере!!!! Если НАТ отключаю то естественно пользователь не может попасть в инет, да и почту я сразу не могу получить с почтового клиента!!!
Так что я из этого делаю выводы у тебя вообще не работает NAT!!!
Днс, смотрю работает правильно!
Да, рекомендую ставить NAT Default... , а не так как у тебя с указанием интерфейса в выход в инет (в инструкции по керио тоже так рекомендуют)!
Вообще смотря твоё TP , как ты вообще собираешься получать почу если у тебя нет правила
Name (Правило почты)---Source (Firewal, INET)---Destition (INET,Firewal)---Service (POP3 SMTP)---Action (Permit)
С VPN не подскажу, пока не работал с ними!

Saftor

Цитата:

при включёном прокси вообщем NAT не нужен. ИМХО

нужен, кому надо.

Цитата:

пользователь может заходить даже при не указании прокси в браузере!!!!

чтобы не зашел, для этого есть например: http policy

Dasky

Цитата:

Name (Правило почты)---Source (Firewal, INET)---Destition (INET,Firewal)---Service (POP3 SMTP)---Action (Permit)

про это правило яж тебе написал!! а ты сказал.
ты делаешь, что тебе советуют?...

Подскажите, как с помощью КЕРИО заблокировать сайты знакомств, или КИРЯ русский язык не понимает, у меня не получилось по запрещённым словам блокировать их. Заранее спасибо

Добавлено:
Подскажите, как с помощью КЕРИО заблокировать сайты знакомств, или КИРЯ русский язык не понимает, у меня не получилось по запрещённым словам блокировать их. Заранее спасибо

snayper7

Цитата:

нужен, кому надо.

Тоже верно


Цитата:

чтобы не зашел, для этого есть например: http policy

Хороший вариант, хотя я в TP просто убрал NAT на те протоколы что не нужно пускать через NAT.


Цитата:

про это правило яж тебе написал !! а ты сказал .
ты делаешь, что тебе советуют?...

Dasky
Только что это всё проделал, как описал snayper7 всё работает на ура почта ходит!

Добавлено:
P.S. Вообще то я от прокси отказался, работаю через NAT!

Добавлено:
Arayakao
IIS OrangeWeb Filter
В Http policy ручками каждый сайт!
P.S. Да с русским у керио туго!

ребят... спасибо вам всем. что откликнулись...
нашел я в чем грабли были...
косяк был в неверно выставленном шлюзе на клиентских тачках...
после выставления верного шлюза - все сразу пошло на ура... не пришлось даже менять правила в керио...
извиняюсь и еще раз всем спасибо, что подсобили...

Помогите такая же проблемма почта совсем не уходит перепробовал все что выше описано непомогает стоит kerio-kwf-6.3.1-2906-win32

John Smirnov
Сбросить статистику star можно.
Прибей файл C:\Program Files\Kerio\star\data\STAR.FDB

У меня другая проблеммка, на которую никто не отвечает:


Цитата:

При просмотре внутренней статистики (star) по пользователям подвисает служба kerio и в каталоге kerio создается файлик user.dmp
Сразу при обнулении статистики (прибил файл C:\Program Files\Kerio\star\data\STAR.FDB) могу зайти в разделы статистики "Пользователи" и "По объему трафика". Там естественно пусто. Через несколько минут, когда статистика прогружается, всё тож самое - разделы "Общие", "Посещаемые web-узлы" и "WEB-категории" доступны, при остальные прибивают службу kerio.

Проверено на kerio 6.3.0 / 6.3.1 и Windows Server 2003 SP1 и SP2

Есть у кого варианты. Уж очень не хочется сервак переставлять.

Все так и осталось непомогло

Dasky

Цитата:

ребят... спасибо вам всем. что откликнулись...
нашел я в чем грабли были...
косяк был в неверно выставленном шлюзе на клиентских тачках...
после выставления верного шлюза - все сразу пошло на ура... не пришлось даже менять правила в керио...
извиняюсь и еще раз всем спасибо, что подсобили...

НУ молодец, а говорил что всё прочитал по той ссылке . Работает и хорошо!

sozon3

Цитата:

Помогите такая же проблемма почта совсем не уходит перепробовал все что выше описано непомогает стоит kerio-kwf-6.3.1-2906-win32

Уважаемый тут телепатов нет!!!
Ещё раз прочти то что писалось ранее на 2-страницах и представь TP, через что работаешь (NAT,прокси), раб группа, домен, есть ли внутрений ДНС сервер?????
А то такие вопросы порядком надоели помогите не работает то! ИМХО

Добавлено:
SK

Цитата:

При просмотре внутренней статистики (star) по пользователям подвисает служба kerio и в каталоге kerio создается файлик user.dmp
Сразу при обнулении статистики (прибил файл C:\Program Files\Kerio\star\data\STAR.FDB) могу зайти в разделы статистики "Пользователи" и "По объему трафика". Там естественно пусто. Через несколько минут, когда статистика прогружается, всё тож самое - разделы "Общие", "Посещаемые web-узлы" и "WEB-категории" доступны, при остальные прибивают службу kerio.
Проверено на kerio 6.3.0 / 6.3.1 и Windows Server 2003 SP1 и SP2
Есть у кого варианты. Уж очень не хочется сервак переставлять.

Да серьёзно, могу посоветовать полностью удалить продукт Kerio на его упоминание везде (винт, реестр)!

Цитата:

Для изучения проблемы с дампом используется утилита из \support\debug\i386\dumpexam.exe или команда windbg -z user.dmp. Этот файл можно удалять без опаски. Синтаксис для dumpexam.exe:

dumpexam -y <symbol file location> <dumpfile name and location>, например
dumpexam -y d:\winnt\symbols d:\winnt\memory.dmp

Результат будет помещен в %SystemRoot%\MEMORY.TXT.

Для запрета создания USER.DMP, запустите DRWTSN32.EXE и снимите галочку напротив "Create Crash Dump File".

Так же попробуй отлючить DEP, в boot.ini пропиши:

Цитата:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003, Enterprise" /noexecute=ALWAYSOFF /fastdetect

Кто-нибудь сталкивался с такой странностью - StaR не отображает картинки при обращении к интернет-статистике. При этом данные все присутствуют. Появилось после установки 6.3.1 с последующим переносом cfg-файлов из 6.3.0.

Уважаемые, еще вопросец. Я тут допустим В WinRout'е понаделал юзеров, поставил им квоты. НО там есть последняя выкладка в их свойствах по поводу к какой сети их присоеденить. Там и firewall и specific IP и IP range. Подскажите пожалуйста что там надо поставить чтобы все робило как надо. Не гневайтесь, я неопытный.
Заранее всем благодарен!

bober139

Цитата:

Уважаемые, еще вопросец. Я тут допустим В WinRout'е понаделал юзеров, поставил им квоты. НО там есть последняя выкладка в их свойствах по поводу к какой сети их присоеденить. Там и firewall и specific IP и IP range. Подскажите пожалуйста что там надо поставить чтобы все робило как надо. Не гневайтесь, я неопытный.
Заранее всем благодарен!

Там нет такого что Вы говорите к какой сети их присоеденить!
Это вкладка Автоматическая авторизация, а что там тебе ставить сам решай!
P.S FAQ в шапке!

bober139

Цитата:

Уважаемые, еще вопросец. Я тут допустим В WinRout'е понаделал юзеров, поставил им квоты.

Кроме FAQ читаем еще тут :
http://kerio-rus.ru/index.php?option=com_content&task=blogsection&id=4&Itemid=36
Потом с вопросами сюда

bober139
Для каждого созданного тобой пользователя в последней вкладке ты указываешь KWF предполагать, что он заходит с определенного адреса. Firewall - с машины на которой сам KWF стоит. Specific host... - с указанного адреса, Address group с любого из указанной группы адресов.
Допустим есть юзер Vasya, который работает на компе со статическим адресом 192.168.0.18 и всегда заходит с него на сервер, где Керио рулит. И ты хочешь, чтобы этот юзер автоматом логинился на Керио (без запроса пароля). Тогда в свойствах для этого юзера выставь галку Specific host IP Addresses и впиши в строку 192.168.0.18.
Если же, наоборот, ты хочешь чтобы юзер обязательно логинился, то сними галку.
Все это будет работать только если на странице Users and Groups -> Users -> Authentication options стоит галка Always requireusers to be......
Авообще Saftor прав в том что в шапке есть и
Цитата:

Manual на Русском

и
Цитата:

Настройка, русификация, полный русский мануал

- заходи и читай. Только так разберешься окончательно.

Можно ли как-нибудь для одного, конкретного пользователя, выставить ограничение по скорости?

KWF + NOD32
короч. может кому пригадится.....

стоял сервак w2003 EN + WUI + KWF 6.3.1 + nod32 всё летало!! (с помощю патчика с оф. сайта керио который создавал в \eset\nod32\nod32.dll)

всё это переехало на новый сервак.... там стоял w2003 RU и всё..(Y)...
оч. долга мучился ни чего не выходило (т.е. выходило... AvPlugin failed to initialize: error loading scaner dll (126, 998))....
(и KWF разные версии и NOD32 разные версии + языки)

потом попробовал на WM поставить w2003 EN + KWF 6.3.1 + nod32 EN и попробовать там.... всё заработало с пол оборота.....

короче... NOD прикручивается тока к англицкому виносу.....

PS. моё имхо

ктонибудь ставил winroute на Active Directory Domain Controller?
есть подводные камни?

одна машина, он же домен контроллер, он же мейл сервер, и на нем же winroute для как прокси?

Добавлено:
один сетевой интрефейс, инет идет с рутера

Beka
Мало того, что это о-о-очень не гуд, шлюз на ДС ставить, так Керио ещё и работает по интерфейсам, т.е. ему надо 2 сетевки.

Beka

Цитата:

ктонибудь ставил winroute на Active Directory Domain Controller?
есть подводные камни?
одна машина, он же домен контроллер, он же мейл сервер, и на нем же winroute для как прокси?
Добавлено:
один сетевой интрефейс, инет идет с рутера

Ставил, стоит, работает уже год! Подводные камни есть везде, прочитать инструкцию по KWF, правильно настроить ДНС и самое главное KWF!
Два сет интерфейса естесвенно нужно!
andrejvb

Цитата:

Beka
Мало того, что это о-о-очень не гуд, шлюз на ДС ставить, так Керио ещё и работает по интерфейсам, т.е. ему надо 2 сетевки.

Когда нет лишней машины, то можно !

Добавлено:
obtim

Цитата:

Можно ли как-нибудь для одного, конкретного пользователя, выставить ограничение по скорости?

Только это Bandwidth Limiter, но я думаю что это тебе не поможет, хотя там ограничение можно выставить на одного пользователя, но данная система работает на уменьшение загружённости канала при закачке больших файлов!!!
spyker

Цитата:

KWF + NOD32
короч. может кому пригадится.....

стоял сервак w2003 EN + WUI + KWF 6.3.1 + nod32 всё летало!! (с помощю патчика с оф. сайта керио который создавал в \eset\nod32\nod32.dll)

всё это переехало на новый сервак.... там стоял w2003 RU и всё..(Y)...
оч. долга мучился ни чего не выходило (т.е. выходило... AvPlugin failed to initialize: error loading scaner dll (126, 998))....
(и KWF разные версии и NOD32 разные версии + языки)

потом попробовал на WM поставить w2003 EN + KWF 6.3.1 + nod32 EN и попробовать там.... всё заработало с пол оборота.....

короче... NOD прикручивается тока к англицкому виносу.....

PS. моё имхо

Нечего плохого не имею против NOD32 (сам им пользуюсь уже порядка 1,5 года), но использовать его в Керио не вижу смысла, так как лицензии крякнутой нет на него, а тот плагин который ты ставишь с оф сайта Архивы проверять он не будет!, замечательно Макака делает своё дело!
Отписался на твой пост, так как ты не указал лицензионный ли ты пользователь, обеих продуктов! За инфу спасибо, учту.
ИМХО

Кто нибудь может посказать как организовать связь между тремя поразделениями , таким образом , что бы были доступны по сети машины трех поразделений друг для друга , структура сети следующая : подразделения подключены в локалку черезKWF 6 и выходят на один прокси КWR6 .

Создаешь в Винроуте 3 группы ай-пи для каждого подразделения и 1 правилом прописываешь им разрешение общаться между собой.
Правило лучше ставить в самом верху - в таком случае тормоза при общении получаются меньше.

Добавлено:
правила примерные можно посмотреть на www.kerio.kiev.ua

ANREW_PRK_V
например, делаем связь между 21й и 53й подсетями:
на компе 193.168.0.53 добавляем маршрутизацию:
route add -p 193.168.21.0 mask 255.255.255.0 193.168.0.21
на 193.168.0.21 все с точностью до замены "21" на "53", в обоих KWF создаем правила, разрешающие подобный трафик и вуаля