» Kerio WinRoute Firewall (часть 3)

Vadimka_DDD
Это вопрос был? Если да то там описана старая версия ещё до ввода шейпера.
Это тут настраивается _http://ruza.front.ru/kerio.jpg

Доброго времени суток. Проблема такая сильно увиличился pop3 траффик из инета в локалку. Керио это показывает, но приписывает его нераспознаному пользователю.. Скорее всего это вирусная активность ( хотя странно что траффик именно входящий) можно ли как то настроить протоколирование чтобы стало понятно с какой машины идёт этот траффик ? Спасибо.

День добрый
В этом файерволе вроде как есть ограничение на одновременное шастанье в интернет(максимум 15 одновременных подключений).
Вопрос: где посмотреть сколько человек в настоящий момент подключено?
SHRIKE74
Благодарю

gbcfkf
смотри актив хостс и коннекшн

Люди кто знает керя создает какие-то темповские файлы у себя в дериктории, огромных размеров, с чем это связано и как с ним боротся?

cfkmdbz
Конечно создаёт если включён кеш, и если у тебя стоят логи в траффик полиси! Скорей всего второе у тебя!

У меня возникла следующая проблема:
Версия керио 6.4.0
Включена автоматическая авторизация через браузер, как в сообщении от max855
Когда клиент заходит через браузер, то ему предлагается авторизоваться и лишь потом работает интернет, НО mail.ru-агент получает доступ в интернет независимо от того, авторизован юзер или нет. При чём используется либо протокол HTTP, HTTPS или ICQ.
Как-то в версии 6.1 настраивал правила, препятствующие выходу в интернет всем прогам и службам, пока пользователь не авторизуется через браузер, но хоть убейте не могу вспомнить как именно я это реализовывал.
Если в правиле NAT указать в источнике вместо названий интерфейсов Authenticated users, то инет не работает вообще и пользователь при открытии браузера не перенаправляется на страницу авторизации. Приходится сначала самому открывать страницу авторизации керио, и лишь потом интернет начинает работать.
Помогите решить проблему !

Ещё один глюк - почему-то не работает статистика пользователей. При попытке просмотреть статистику через браузер происходит перенаправление на страницу с просьбой "В целях безопасности подтвердить пароль", после чего вновь открывается та-же страница.

Помогите разобраться со статистикой ПЖЛ!

Ситуация:
есть АДСЛ инет. Настроил НАТ. Завел пользователей. каждому прописал свой IP компа. В винруте показывается правильно соответствие компа и юзера в конекшенах. НО в статистике у всех пользователей стоит "0". Если зайти на сам firewall - то у этого юзера статистика будет тикать. В строке статистики у Not recognized users стоит "0".
В правилах роутинга в source перечислены данные юзеры.

КАК СДЕЛАТЬ ПЕРСОНАЛЬНУЮ СТАТИСТИКУ? почему все валится в all users?

Винроут 6.3.2.

Цитата:

Если в правиле NAT указать в источнике вместо названий интерфейсов Authenticated users

Естественно. Перед этим правилом должно стоять правило: Lan - Firewall - http, dns, kwf webadmin, kwf webadmin ssl - без NAT. Т.к аутентификация происходит при запросе dns. И в http и ftp policy сначала правило разрешающее аутентифицированным юзерам бродить по Инету, а потом правило, перенаправляющее неизвестных на страницу аутентификации. Ну и последним - запрет на всё.

Нужно отключить Трафик Инспектор на почтовых интерфейсах.
Трафик Полиси
Когда вывожу POP3 и SMTP из общих и отключаю ТИ, почта перестает ходить.
Кто-нить в курсах что это такое?

kantervsn

Цитата:

ЗАДАЧА: как дать возможно VPN-клиент выходить в интернет с помощью NAT?

В свойствах ВПН интерфейса добавить маршрут во внешнюю сеть... Клиент подключается и получает дополнительный маршрут.

Интернет идет по adsl. Есть подозрение, что в связи со скачками погоды - скачет канал. Можно ли как-нибудь мониторить канал с помощью сабжа(график загурзки не подходит)?

Цитата:

мониторить канал

неа.

Добавлено:
специфика совсем другая.

andrejvb

Цитата:

Естественно. Перед этим правилом должно стоять правило: Lan - Firewall - http, dns, kwf webadmin, kwf webadmin ssl - без NAT. Т.к аутентификация происходит при запросе dns.

До этого правила стоит правило разрешающее все протоколы с локальной сети к фаерволу и с фаервола на локальную сеть. Разве его не достаточно ?

Можно поподробнее про

Цитата:

И в http и ftp policy сначала правило разрешающее аутентифицированным юзерам бродить по Инету, а потом правило, перенаправляющее неизвестных на страницу аутентификации. Ну и последним - запрет на всё.

Как организовать перенаправление ?

obtim

Цитата:

мониторить канал с помощью сабжа

что должно быть на выходе ?

вот есть неплохой монитор Bandwidth.Monitor

http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=13080&start=60#lt

а запускать его через AppToService
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=8814&start=20#lt

Люди добрые помогите ПОЖАЛУЙСТА!!!!

На win 2000serv sp4 накатал Kerio 6.4.0 билд3176 Ну и как водится Traffic Police прописал, галок вроде лишних ни где не ставил, И вот такая трабла получается

Когда Я стартую winroute он выкидывает меня из удаленки и вообще (если на нем) отказывается видеть любые сетевые ресурсы, не выход в инет, не обновляет проги там всякие итп.. В 1 раз с таким сталкиваюсь!! Что мне делать? когда из служб его вырубаеш - все гуд становится!

Помогите плиз!

ikulibin
Спасибо!

Проблему решил!!! переустановкой и убиранием галки update _))

Egenius

Цитата:

Можно поподробнее про

Можно Докладываю:
Предполагаем худшее - на Kerio висит несколько сетей и Netbios отключен , доступ к шлюзовой машине для одной или нескольких локалок обрезан до предела.
1.traffic policy
autentificated user - inet - any - nat
klient (интерфейс!) - inet - dns, http - без NAT!!!
klient - firewall - dns, http, kwf webadmin
Firewall - inet - any
остальные - по умолчанию
2.HTTp policy
Allow_user: selected user - allow
redirect : any user (флажок do not require autorise НЕ ставим) - deny -> advanced - redirect to url http://192.168.1.33:4080/ (адрес свой)
Deny_unautorise: any user (флажок do not require autorise ставим) - deny
3. Users and Groups - Users - Always require...
если юзеры привязаны к IP, то больше ничего делать не надо , если нет - на юзерских машинах правим hosts файл, заносим соответствие IP - имени машины с KWF.(т.к. иногда, при принудительном разлогинивании по таймауту, зайти на страницу аутентификации нельзя. При включенном Netbios этой проблемы не наблюдается. Именно из-за этого в правиле redirect п.2 используется IP адрес, а не имя.
4.FTP policy
Permit FTP: any user autentificated... - permit
Deny FTP: any user - deny
Забыл добавить: если нет домена и адреса постоянные, крайне желательно на KWF создать hosts файл с соответствиями имен ип. Это предотвратит появление в статистике записей с IP, а не именем компа. Но это так, для косметики.

Кто подскажет, как решать проблему со статистикой по unrecognized users(not logged in)? Мегабайт по 300 набегает за неделю.
Аутентификация настроена, юзеры в инет могут заходить только со своего ip-шника.
В Authentication option галка стоит на 1) Always require users to be authentificated wheb accsesing web pages 2) Enable user authentication automatically performed Web browsers
3) Enable Active Directory/kerberos authentication

UPD
""Если ты действительно всех авторизовал, то этот трафик создает только входящий поток из инета на фаервол.""
Такое может быть?
То есть Kerio обрезает всякий хлам, но учитывает его в статистике?

Sibtech
Скорее всего это обновления программ и трафик, который идет с компов юзеров, которые еще не логинились в браузере (POP3, например).

Можно ли в Kerio WinRoute Firewall 6.4.0.3176 огарничить юзеров по скорости и максимальному объему скачиваемого файла. Например:

Группа 1: 5кб/с - 10Мбайт
Группа 2: 10кб/с - 30Мбайт
Группа 3: 20кб/с - 50Мбайт

Yips
Врядли. У меня к примеру, пока не залогинишся в керио, обновления не идут. Правил специательных для такого поведения ессно нет.

Цитата:

Можно ли в Kerio WinRoute Firewall 6.4.0.3176 огарничить юзеров по скорости и максимальному объему скачиваемого файла. Например:

Группа 1: 5кб/с - 10Мбайт
Группа 2: 10кб/с - 30Мбайт
Группа 3: 20кб/с - 50Мбайт

сам не настраивал, но грят, что можно, но только с помощью сторонних программ, squid, например.

Цитата:

Можно ли в Kerio WinRoute Firewall 6.4.0.3176 огарничить юзеров по скорости и максимальному объему скачиваемого файла. Например:

Группа 1: 5кб/с - 10Мбайт
Группа 2: 10кб/с - 30Мбайт
Группа 3: 20кб/с - 50Мбайт

То что ты хочеш не возможно выполнить средствами Керио.
Есть возможность выполнить только такое:
http://forum.ru-board.com/topic.cgi?forum=8&topic=22219&start=1160#11

френды, будьте добже, помогите

через Керио по правилу НАТ проходят только пакеты длиной не более 608 байт
с самой машины в Инет (и обратно) пакеты любого размера ходят нормально
при убивании Керио и пользовании обычным Routing and Remote Access все прекрасно, но хочется считать траффик и накладывать правила

пробовал версии 6.3.1(lz0) и 6.4(ssg) - одинаковая картина

Здравствуйте! Помогите настроить Kerio Firewall 6.3.0 для работы с несколькими сетевыми интерфейсами.
internet - сетевой интерфейс в интернет
local - сетевой интерфейс в сеть 192.168.0.0/24
norman - сетевой интерфейс в сеть 192.168.1.0/24
В каждой сети свой Контроллер домена.


Цитата:

ipconfig:
internet - Ethernet адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 217.25.234.246
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 217.25.234.245

local - Ethernet адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.0.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

norman - Ethernet адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.1.70
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

route print:

Цитата:

===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 217.25.234.245 217.25.234.246 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.2 192.168.0.2 20
192.168.0.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.2 192.168.0.2 20
192.168.1.0 255.255.255.0 192.168.1.70 192.168.1.70 20
192.168.1.70 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.70 192.168.1.70 20
217.25.234.244 255.255.255.252 217.25.234.246 217.25.234.246 20
217.25.234.246 255.255.255.255 127.0.0.1 127.0.0.1 20
217.25.234.255 255.255.255.255 217.25.234.246 217.25.234.246 20
224.0.0.0 240.0.0.0 192.168.0.2 192.168.0.2 20
224.0.0.0 240.0.0.0 192.168.1.70 192.168.1.70 20
224.0.0.0 240.0.0.0 217.25.234.246 217.25.234.246 20
255.255.255.255 255.255.255.255 192.168.0.2 192.168.0.2 1
255.255.255.255 255.255.255.255 192.168.1.70 192.168.1.70 1
255.255.255.255 255.255.255.255 217.25.234.246 217.25.234.246 1
Основной шлюз: 217.25.234.245
===========================================================================
Постоянные маршруты:
Отсутствует

вот такие правиля созданы на керио:

Цитата:

Name -- Sourse -- Destination -- Services -- Action -- Translation

local traffic -- local user, local, firewall -- local, firewall -- any -- Permit -- none
norman traffic -- norman, firewall -- norman, firewall -- any -- Permit -- none
firewall trafic -- local user, firewall -- internet -- http, pop3, smtp -- Permit -- none
local 2 internet -- local user, local -- internet -- http, pop3, smtp -- Permit -- NAT
icmp traffic -- firewall -- any -- ping -- Permit -- none
internet 2 ping -- internet -- firewall -- ping -- Permit -- none
internet 2 webserver -- internet -- firewall -- http, pop3, smtp -- Permit -- 192.168.0.1
internet 2 radmin -- internet -- firewall -- radmin -- Permit -- none
local 2 norman -- local -- norman -- any -- Permit -- none
norman 2 local -- norman -- local -- any -- Permit -- none
ident -- internet -- firewall -- ident -- deny -- none
defaull rule -- any -- any -- any -- Drop -- none

использовал для конфига эту ссыль http://kerio-rus.ru/index.php?option=com_content&task=view&id=76&Itemid=70

Добавлено:
с 2й сети в сетевом окружении появился домен 1й сети, компы внутри, только зайти не может. Пишет - нет прав доступа. Походу КД не пускает...

Снова я на любимом форуме, снова с вопросом...
есть инет на настольном PC + есть ноут. На настольном PC есть 2-е сетевые карты в обной из них торчит шнур от инета, в другой шнур который на прямую соединяет ноут и настольный PC. Как разрешить ноуту юзать инет на настольном PC?

Инет висит на локальном подключении (тип адреса DHCP), тоесть я запускаю локальную сеть она сама определяет IP и все дела... поняли надеюсь...

Мне говорили: "правой кнопкой по инетовской локалке, свойтсва, дополнительно, разрешить общий доступ и двеп галки поставить"
но у меня там токо Фаервол виндовый вкл/выкл. Больше опций нет.

Что делать как быть, конечно же не особо хочется вещать в процессы под процесс который будет жрать оперативку (имеется ввиду сторонний софт), хотелось бы перепробывать все возможные виндовые средства, если такой вариант не возможен, то какой софт посоветуете мне... Никаких ограничений по трафику и его контролю не надо, антивирус тоже... так как на настольном PC есть фаервол и антивир и я вполне способен сам контролить соединение которое будет юзать через мой комп ноут...

Эм вот как то так...

Мне советовали UserGate и WinRoute, ну если стандартно не получтися сделать... а я даже и не знаю что и выбрать, что нить попроще как по ресурсам так и по контролю, так как контролировать особо и нечего....

TeeHa1F
В данной теме это оффтоп, но отвечу:
По проще сделать так, как советовали (итернет коннекшн шаринг - ICS) встроенный в винду (есть от 2000го и выше) для включения обязательно должны работать сразу 2 сетевухи (иначе на вкладке "дополнительно" ничего не появится). Если не появляется - либо проверить руки, либо переустановить винду с нуля
Всякие прокси-серверы в данном случае непозволительное излишество.

Вас понял... буду проверять...

Если оффтоп, извеняюсь... просто тема "в помощь системному администратору" хоть и по конкретной проге, но смысл то..., впринципе... Хотя я уже практически собрался ставить её.
Извеняюсь