» Kerio WinRoute Firewall (часть 3)

5555555
А вот ты не прав. Я человека хочу самого довести до такого вывода и заодно разобраться как он это откопал.

Пытливости нашей нет конца: конец на том свете.
М. Монтень (powered by Google)

Я не собираюсь никому ничего доказывать.
Лазил по папкам KWF. Наткнулся на папку с интересным именем:
Program Files\Kerio\WinRoute Firewall\weblang\gfx\ftp
В ней "картинки"
dir.png -
file.png -
link.png -
logo.png -

Решил попробовать, получил в ответ:


На машине стоит только XP Pro Rus SP2, IIS и никаких дополнительно серверов не ставилось:


KWF такой:


Но! В принципе, по сути - 5555555 прав.
Машина с KWF вообще-то дает такой ответ -
421 Service not available (The FTP server is not responding.)
А уж умный ИЕ пребразует как я показал выше.

Yips

Цитата:

Я человека хочу самого довести до такого вывода

Благое пожелание, только имхо не для данного тогда топика

Кстати, если есть в KWF встроенный веб-сервер, почему не быть FTP? Хотя-бы для изменения шаблонов того самого веб-сервера.

Dmb_2007
с таким же успехом можно набрать в осле
ftp://все_что_угодно
и получить сообщение, что не хватает прав доступа к папке

Удалено [не то пальто]

Yips
И что это?

Не получается.
Набираю - ftp://vk2-1 (машина в сети, пингуется, на ней стоит такая-же ХР)
Браузер (ИЕ7) выводит:
============
Internet Explorer не может отобразить эту веб-страницу

Возможные причины:
Нет подключения к Интернету.
На веб-узле возникли неполадки.
Возможно, сделана опечатка в адресе.

Попробуйте сделать следующее:
Диагностика проблем подключения

Подробнее
=============
и все. Скриншот нужОн?

Dmb_2007
1. зачем к какой-то машине, если вообще все что угодно можно написать
(жамкни на ту "ссылку", что я написал)
2. в 6-м осле ты получишь именно то, что я написал, 7 суущественно переписан, так и в области сообщений
3. Заканчиваем оффтопик.

Поведение 6-го практически не отличается от 7-го в данном случае. Также выскакивает окно с запросом имени и пароля. Но, опять-же, только при попытке подключиться к машине с KWF.
Если "коннектиться" на машину без KWF - тогда да, нет прав.
А почему изучение поведения программы в разделе сисадминства вдруг стало оффтопиком? И к тому же:

Цитата:

Модерирует : lynx, Crash_Master, dg, emx

Народ заканчивайте...
Dmb_2007
То что ты нашёл это ФТП в Керио меня немного удивило, как можно найти то чего нет... А просканировать порты рука не поднялась?
Найденное - это просто иконки для отображения ФТП через прокси.
А устроил прямо выставку картин.

уморился читать и капать, ситуация такова

есть :
1локалка с выходом в интернет, на котором стоит мой аипи 192,168,1,4 для доступа в инет

2есть адсл инет (еще один), который подключен к моему компу, у него ограничение с проваидера на мак адрес стоит.

3 На моей машине VM ware6 (виртуальная машина)

4 у меня 2 сетевухи "Internet", "Lan"

по одтельности оба интернета пашут, локальный с настройками IP 192.168.1.4 mask 255.255.255.0 getway 192.168.1.1, другой на DHCP (остальное наверное провайдер выставляет).

Нужно чтобы:

1 интернет с моей машины выходил по второй , той что прямо с инетом, линейке
2 Виртуалка работала по локальной сетке
3 с локалки другие пользоватетели моглибы бы при определеных настройках выходит через мой инет.


Проделал:

1 прописал Lan -у 192,168,1,99 без шлюза
виртуалке IP 192.168.1.4 mask 255.255.255.0 getway 192.168.1.1

насроил NAT так чтобы пользователи ходили через интернет,

те Lan -> Internet Nat (Internet) работает,
я выхожу в инет через мой кабель, но проблема в локалке она либо ходит через мой инет либо стоит, если отклюяит kerio
то все естественно ОК толкь другие пользователи не могут выходит через мой инет.

есть ли решения етой шараде

david4c
Давай ты напишеш попроще что бы и другие ход твоих мыслей понять могли.
Как объяснить это:

Цитата:

1локалка с выходом в интернет, на котором стоит мой аипи 192,168,1,4 для доступа в инет

Цитата:

4 у меня 2 сетевухи "Internet", "Lan"

Цитата:

1 прописал Lan -у 192,168,1,99 без шлюза
виртуалке IP 192.168.1.4 mask 255.255.255.0 getway 192.168.1.1

Я вот тут представлял как это - воображения не хватило

если проще то: у меня два инета один свой другой соседский, на моем стоит ограничение на мак адрес от провайдера а на соседский на локальный IP (192.168.1.4)
с keiro у меня проблема с виртуалной машиной, надо чтом она ходила в инет через соседский инет, при отключенной программе она так и делает ео только мне нат нужен чтобы соседи через мой комп в мой инет ходили (где ограничен мак)

ну так на виртуальном пропиши маршрут что все пакеты рулятся на ИП соседа.
А в керио не трогай трафик с/на виртуальную машину. Или сделай виртуальный интерфейс и включи его в правила для локал.

Господа, подскажите плиз...
Kerio VPN клиент - где и как посмотреть созданный на машине сертификат ( точнее интересует отпечаток.
Если через оснастку сертификатов, то под каким именем он сохранен.
Спасибо.

Есть Traffic Policy такого вида(досталось от старого админа):

Пинг Any Any Any ICMP
Удаленное
Подключение(1с) Inet firewall RDP MAP x.x.x.100

Локалка local local
firewall firewall Any

Входящий Inet firewall DNS,RDP,110,25,21,443
траффик

Исходящий firewall Inet DNS,RDP,110,25,21,443,80,8080
траффик

NAT local Any Any NAT(Inet)

Все работает, но есть вопросы:1) Правильно ли настроено с точки зрения безопасности
(если неверно, то что поменять)?
2) Обязательно ли делать мапинг на какой-либо порт (там на 1С удаленно заходят) или и так сойдет?

Sibtech

Цитата:

мапинг на какой-либо порт

можно не делать (сервис rdp уже описан по портам), но лучше сделать

Цитата:

Правильно ли настроено с точки зрения безопасности

все зависит от того, что за службы внутри крутятся, к которым должен быть доступ, так вроде все логично (если правда и днс зону на своих сереврах держите)..

>5555555

То есть строчка будет такая
Удаленное
Подключение(1с) Inet firewall RDP MAP x.x.x.100:3389 (в Definitions на RDP стоит порт 3389)?

Про ДНС зону, ДНС сервак поднят на контроллере домена().

Sibtech

Цитата:

MAP x.x.x.100:3389

ага

Цитата:

ДНС сервак поднят на контроллере домена

если нет мапа, то контроллер, он же сервер керио? - не очень хорошо если так.
днс обслуживает внешние запросы? (т.е. зону домена интернет тоже держит, не только внутреннюю сеть? - тогда все нормально).

>5555555

Сервер Керио на отдельном компе.
ДНС только на внутреннюю сеть.

Как понимаю из правила:
Входящий траффик Inet firewall DNS,RDP,110,25,21,443

DNS надо убирать, он там необязателен.
А также 21 порт, так как фтпшника нет.

А насчет 110,25 - КMS стоит, значит оставляем.

Sibtech
молодец

Вопрос начинающего мастерам.
Настроил с помощью мастера все политики, в свойствах сетевой на сервере (смотрит в интернет) проставил айпишник, шлюз, ДНС провайдера,в свойствах сетевой на сервере (смотрит в локалку) проставил 192.168.0.1, в свойствах сетевых карт клиентских ПК проставил 192.168.0.2-15 а также отключил прокси в свойствах обозревателя. В администраторе Kerio виден трафик по unrecognised users , но на сервер и на пользователей интернет не приходит.
Бьюсь с этой проблемой уже несколько дней. Прошу Вашей помощи.
kryazh_control@ukr.net

>Studier

А как политки настроены?
Должны быть правила вида:
Исходящий firewall Inet DNS,110,25,21,443,80
NAT local Inet DNS,110,25,21,443,80 NAT (интерфейс внешней сетевой)

В Керио, на вкладке HTTP Policy-> Proxy server галка на Enable non-transparent proxy server (+ порт укажи, допустим 4480). В браузерах прописываешь в качестве прокси сервак с Керио(+порт).
А пользователи сами-то заведены во вкладке Users&Groups?

Добрый день!

Установил, настроил Kerio 6.4.1. Но есть одна проблема. Если создавать правила Traffic Policy по запрету/резрешению доступа для пользователй/групп, то отрабатывает только первое правило. Допустиме если есть два правила: первое разрешает доступ пользователю User1 а второе пользователю User2, то User1 будет иметь доступ в интернет, а User2 не будет (не проходит авторизация).

Авторизация работает по IP адресу, пользователи локальные.

Причем если забивать в правила вместо имен пользователей или групп, IP адреса, то все работает замечательно, как для первого так и для второго правила.

Уже голову сломал почему так.
Если кто подскажет решение буду очень благодарен!

>iartem

Аутентификацию смотреть надо. Что стоит в Users->Authentication options?

Sibtech

Стоят две галочки на:
- Always require users to be authenticates when accessing web pages
- Automatically logout users when they are inactive

Если их убрать то ситуация не меняется

iartem
Почитай

Столкнулся с проблемой и никак не пойму как решить:
нужно опубликовать рабочий стол одной из машинок внутри сети по нестандартному порту.
Делаю правило: from: any; to: firewall; port: 10012; destination NAT to address 192.168.0.xxx, translate to port 3389,

но не работает. я что-то не так делаю?

Подскажите, пожалуйста, можно ли заставить работать HTTP Policy при отключенном Proxy Server? Нужна именно работа NAT (без использования прокси) и запрет на скачку определенных файлов (например, *.avi, *.mp3 и т.д.). Возможно ли такое реализовать или для этого обязательно пользоваться Proxy?

P.S. KWF v6.4.1