» Kerio WinRoute Firewall (часть 3)

Все, я сдался... Даже пляски с бубном не помогают. Прошу совета.

На серваке KWF 6.4.0. Включена идентификация пользователей по IP. Домена нет. В сетке есть один удивительный компьютер. Раз в день-два он перестает видеть инет. Даже шлюз не пингуется. Все остальные компьютеры рабочей группы видит, пингует и на них заходит. Меняю в свойствах сетевухи IP на единичку, потом возвращаю назад - все начинает работать. Проходят сутки - опять та же картина. Думали, проблема в железе. Поменяли ВЕСЬ системник (HDD остался старый) - не помогло...

VovikK
Проверь комп на вирусы или P2P клиенты, возможно они создают кучу запросов и керио просто его блокирует.

Люди подскажите: как сделать так, чтоб с определенного компа или пользователя был доступ только в локальную сеть? Инет нах надо отрубить, а локалку оставить.

В правилах HTTP создай правило, где для юзера, которому перекрыть доступ в нет, адреса начинающиеся с *, запретить. Ну если уж совсем точно:
If user accessing the URL is -> selected user -> выбираешь юзера кторому запретить -> And URL matches criteria -> URL begin with -> * -> Action -> Deny...
Другой вариант:
If user accessing the URL is -> any user (галку ставишь) -> And URL matches criteria -> URL begin with -> * -> Action -> Deny... -> вкладка Advanced -> Valid for IP address group -> выбираешь юзера IP которому запретить, только сначала его нужно создать в Address groups. И этот вариант больше подойдет если у юзера статический IP.

Это понятно. Инет отрубается.
Но тут есть одна прога в сети, для запуска которой требуется интерент браузер. После этих операций, вместе с инетом, отрубается и эта прога.
Я создавал две вещи: запрещал инет, а потом открывал доступ для этого юзера к этой проге, но приоритет, видимо, больший на запрете стоит, опэтому прога всё-равно не робит.

есть одна проблема, может кто подскажет как решить.
Есть win2003server (не контроллер домена), на нём при установке
Kerio v.6.4.0 забыли выдернуть сет. шнурок и он где-то в реестре
прописал, что версия крекнутая. Галочку update убрали уже после.
Как результат полностью невозможно работать.
Проблему решили частично, поверх установили версию 6.3..., и всё заработало.
Но раз в неделю стопорит комп и говорит, что версия нелицензионная.
После перезагрузки пашет ещё неделю. Где найти остатки этой версии 6.4.0?
Конечно, по нормальному надо было всё снести и поставить заново, но пока не могу этого сделать. В паре с kerio работает kerio mail server. C ним проблем нет.
может кто уже с таким сталкивался и решил эту задачу.....

tiji
в керио в хттп полиси запрети правилу с керио выход в инет, по умолчанию это правило разрешено

tiji
каким лекарством пользовались?
SHRIKE74
на новых версиях этот способ давно уже не работает

aljd
у меня 6.3.1, всё прекрасно работает и не понтуется насчёт лицензии, насчёт 4.0 не могу ничего сказать.

Доброе время суток, всемогущий ALL!

Проблема в связке Kerio FW 6.4.0 и терминального сервера.

Включена обязательная аутентификация пользователей, и автоматическая аутентификация пользователей через броузер...

При этом все сессии с терминального сервера проходят от имени пользователя который первым вышел в инет через прокси с терминального сервера.

Есть хорошая галка "Force non-transparent proxy server authentication", но в данном случае пользователям выводится окошко с предложением ввести имя и пароль, чего собственно не хотелось бы (((

Может кто победил эту беду??? (Может кто то реализовал "молчаливую" аутентификацию пользователей в каждом сеансе с терминального сервера??)

У меня проблемы с подсчётом траффика в Proxy Inspector`е, неправильно считает по NAT`у - завышает цифры. Что бы это могло быть?

aljd
пользовался patch-keygen by SSG.
На одном из форумов прочитал, что нужно выбирать тип
лицензии standart, а у меня enterprise

6.4 полёт нормальный уже 2 месяца, лекарство в шапке, не зубудьте отрубить UPDATE

tiji
При генерации лицензии нужны выбрать СТАНДАРТ! ВСЕГДА! иначе будут проблемы с лицензией!

Pavlovdi

проверь по каким логам он считает, нужно или по КОННЕКТОМ или WEB, иначе это в ВИН РОУТЕ было, он 2 раза одно и тоже прочитывает.

посмотри как он запрашивает DNS может пользователи DNS к провадеру идут запросы тоже жрут трафик через НАТ
Иногда в Коннектах он задевает локальный трафик или трафик именно От ПОЛЬЗОВАТЕЛЯ К СЕРВЕРУ учитывает. (пример Веб сервер)


а терь вопрос что за хрень не пойму. Стоит
В авторизации пользователей
- Всегда запрашивать авторизацию пользователей
- Включить автоматическую авторизацию через браузер

ниже

авторизация через актив Включена
авторизация Вин НТ включена

НЕ РАБОТАЕТ.

снимаю галочку - Всегда запрашивать авторизацию пользователей (работает) в логах пишет IP адреса ессесно не авторизирует.

Трокал сертификаты SSL веб сервера по порту 4081... может из за него, ну вообщем раньше он перекидывал на этот https (почему то) автоматом авторизировал по домену и выходил на страницу. щас и так и так пробую. Брэд.

У кого такое было ХЕЛП ми.

Здравствуйте

Есть локальная сеть из компьютера и видео сервера(192.168.0.150 и 192.168.0.100) соответственно.
Комп подключен к инету через adsl модем. Имется один внешний IP
В компе две сетевухи. Одна для локалки, другая в инет смотрит
Видео сервер имеет Web интерфейс
Необходимо чтобы из интернета можно было получить доступ к видео серверу.
Поставил Керио
Как правильно сконфигурировать правила, чтобы получитть задуманное?

Сделал вот так:
Firewall + LocalNet | Internet | HTTP+DNS | NAT на внешний интерфес
Internet | Firewall | HTTP | Map to 192.168.0.100 + NAT на внешний интерфес

Не работает

MCSASE
Map to 192.168.0.100 + NAT на внешний интерфес
А прикинь получается:
Напрвить трафик на 192.168.0.100 но при этом транслировать адрес внешнего - само собой не будет работать...
А вот если:
Internet | Firewall | 80 | Map to 192.168.0.100:80

Где 80 это порт на котором слушает видео-сервер.
Хотя я бы не использовал 80 в данной ситуации... А сделал бы к примеру так:
Internet | Firewall | 5555 | Map to 192.168.0.100:80

http://www.securitylab.ru/vulnerability/309805.php

Цитата:

13 декабря, 2007
Программа: Kerio WinRoute Firewall версии до 6.4.1
Опасность: Низкая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет локальному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за неизвестной ошибки в прокси сервере, который, при некоторых обстоятельствах, не требует аутентификацию для доступа к HTTPS страницам.
URL производителя: www.kerio.com

Решение: (чудо, а не решение )

Цитата:

Установите последнюю версию 6.4.1 с сайта производителя.

5555555
Вообще-то сегодня как раз релиз этой версии.
На сайте керио уже лежит.

Arakcheev
я вот думаю может

Цитата:

Программа: Kerio WinRoute Firewall версии до 6.4.1

это включительно?

5555555
Version 6.4.1 - December 13, 2007
* Connection limit now applied on incoming and outgoing connections separately
- Fixed bug in POP3 inspector causing certain emails being blocked
- Fixed engined crash in on-demand dialing if a certain configuration was imported from KWF 6.3
- Fixed proxy server sometimes not requiring authentication for HTTPS pages
- Fixed engine was not started automatically after clean installation on Windows Vista
- Fixed inability to login to the web interface for users without the 'view statistics' right
- Fixed firewall traffic sometimes being accounted to random hosts
- Fixed broken configuration of automatic hangup after inactivity (please check your settings after upgrade to 6.4.1)
- Fixed displaying of national characters in alerts
- Fixed eTrust plug-in

Ruza
Я тоже вначале поставил только Map 192.168.0.100:80
но так тоже не работает
в логах видно что пакеты приходят на внешний IP
потом перенаправляются на 192,168,0,100
Потом от 192,168,0,100 уходят на внешний IP и я ничего не вижу так как пакеты с этих адресов дальше не маршрутизируются
Я сделал вывод что надо в этом правиле добавить еще NAT на вшений интрефейс
но это тоже не помагает почему то

MCSASE

В правилах исходящих поставь просто NAT (а не NAT на интефейс...) т.е.

Firewall + LocalNet | Internet | HTTP+DNS | NAT ( на внешний интерфес - убрать)

Это опция вторая сверху в NAT (typical seting)



Добавлено:
MCSASE
т.е. тебе надо всего два правила:

Firewall + LocalNet | Internet | HTTP+DNS | NAT
Internet | Firewall | HTTP | Map to 192.168.0.100:80

MCSASE
да уж...
Firewall + LocalNet | Internet | HTTP+DNS | NAT(хоть default хоть выбрать именно внешний интерфейс роли почти не играет)
Internet | Firewall | HTTP | Map to 192.168.0.100:80 - тут надо добавить NAT на внутренний сетевой интерфейс, иначе работать не должно и не будет

Цитата:

тут надо добавить NAT на внутренний сетевой интерфейс, иначе работать не должно и не будет

окончательно добили вопрошающего

Добавлено:

Figure 6.24. Traffic rule that makes the local web server available from the Internet


источник:
http://www.kerio.com/manual/kwf/en/ch06s04.html

5555555
web-сервера у меня нет, зато есть, например, rdp
если в правиле доступа к rdp из инета убираю нафиг NAT, а оставляю только MAP? то почему-то не могу подцепиться rdp-клиентом, с NATом все работает
почему так, не подскажешь?

aljd

Цитата:

почему так, не подскажешь?

не - подсказать не могу, но ..
в трех небольших охфисах стоит это чудо (керио), во всех - термиалы, во всех - только маппинг на них и усе
что прочем также относится к фитипи, почтовым и т.п. сервисам, ну да что я расписываю - ссылку с рекомендациями от офф производителя публиковал,
да и чисто логически ВО ЧТО натить айпишник входящего запроса на внутреннем интерфейсе??

5555555
последний вопрос: сколько сетевых интерфейсов у тебя в офисах на компах с керио? два(LAN, WAN) или один?

aljd
вообще-то в двух - по 3-и(1w 2l), а в одном - 4-е(2x2)

Добавлено:
мне вообщем-то структура с dmz симпотична (это если - почему по 2-е лан)

aljd

Цитата:

почему так, не подскажешь?

Неправильно настроена маршрутизация на целевой машине.

sadafaga
признаю ошибку, если на целевой машине шлюз указать, то работает и без NAT

Кто знает как разрешить из локальной сети обращаться на локальный же сайт, если на клиентах прописан прокси на шлюзе. Отключать непрозрачный NAT не хочется. Может есть какая прога, которая могла бы на шлюзе перебрасывать трафик, если идет обращение к локальному сайту?
Или есть ещё какие варианты без отключения прокси в WinRoute?

В сети есть домен.

ЗЫ. На шлюз ставить сайт не предлагать.