Andrey Lopatnev
нет, не обязательно, просто отключай и все.
нет, не обязательно, просто отключай и все.
» Kerio WinRoute Firewall (часть 3)
snayper7
Цитата:
Вы правы, все получилось. Просто у меня неправильно была указана группа пользователей, для применения правила (после задания списка пользователей вместо группы, все заработало). Спасибо!
Остался один вопрос. Как запретить потоковое видео (типа YouTube)? Интересует возможность закрыть доступ именно на уровне типа данных, а не блокировкой какого-то определенного URL (сайтов, которые предлагают подобный контент достаточно много, хотелось бы перекрыть кислород всем). Запрещение *.flv файлов в HTTP Policy не дает нужного результата.
Цитата:
нет, не обязательно, просто отключай и все.
Вы правы, все получилось. Просто у меня неправильно была указана группа пользователей, для применения правила (после задания списка пользователей вместо группы, все заработало). Спасибо!
Остался один вопрос. Как запретить потоковое видео (типа YouTube)? Интересует возможность закрыть доступ именно на уровне типа данных, а не блокировкой какого-то определенного URL (сайтов, которые предлагают подобный контент достаточно много, хотелось бы перекрыть кислород всем). Запрещение *.flv файлов в HTTP Policy не дает нужного результата.
Есть небольшая локальная сеть. В сети работает сетевой чат Network Assistant. Для работы чат ипользует мультикаст группу 234.0.0.1 (порты 50138, 50139). В сети есть машина с WinRoute (PC_1). К ней подключена еще одна сеточка с машиной PC_2. При запуске Network Assistant на PC_1 - все работает нормально. А вот как сделать так чтобы при запуске Network Assistant с PC_2 меня видели в общем чате как будто я сижу с машины PC_1?
Насколько я понимаю нужно настроить WinRoute чтобы пакеты с сети приходящие на вышеуказанные порты перенаправлялись на те же порты PC_2 а пакеты приходящие с PC_2 перенаправлялись на адрес 234.0.0.1 Ну еще наверно нужно настроить Nassi чтобы вместо адресса 234.0.0.1 она использовала адресс PC_1.
Что скажете?
Насколько я понимаю нужно настроить WinRoute чтобы пакеты с сети приходящие на вышеуказанные порты перенаправлялись на те же порты PC_2 а пакеты приходящие с PC_2 перенаправлялись на адрес 234.0.0.1 Ну еще наверно нужно настроить Nassi чтобы вместо адресса 234.0.0.1 она использовала адресс PC_1.
Что скажете?
Цитата:
Насколько я понимаю нужно настроить WinRoute чтобы пакеты с сети приходящие на вышеуказанные порты перенаправлялись на те же порты PC_2 а пакеты приходящие с PC_2 перенаправлялись на адрес 234.0.0.1
Не факт. ИМХО керио не разруливает мулти/броадкасты.
Цитата:
Запрещение *.flv файлов в HTTP Policy не дает нужного результата.
попробуй *.flv + *.swf
andrejvb
Читал, настраивал все точно так же. Если оставлять Authenticated Users то все работает (т.к. правило одно). Но надо для разных групп разные права доступа, но как только создаешь два или более правила для разных групп, то работает только по первому правилу. Если задать группу IP адресов или просто IP адресс то все работает нормально независимо от количества правил.
Прикладываю скриншот Traffic Policy.
В данном случае пользователь User1 будет аутентифицироваться и ходить в интернет без проблем. А вот User2 не сможет ни аутентифицироваться ни, естественно, получить доступ в интернет.
Если правила поменять местами, то будет в точности наоборот: User2 - получит доступ, User1 - не получит.
Читал, настраивал все точно так же. Если оставлять Authenticated Users то все работает (т.к. правило одно). Но надо для разных групп разные права доступа, но как только создаешь два или более правила для разных групп, то работает только по первому правилу. Если задать группу IP адресов или просто IP адресс то все работает нормально независимо от количества правил.
Прикладываю скриншот Traffic Policy.
В данном случае пользователь User1 будет аутентифицироваться и ходить в интернет без проблем. А вот User2 не сможет ни аутентифицироваться ни, естественно, получить доступ в интернет.
Если правила поменять местами, то будет в точности наоборот: User2 - получит доступ, User1 - не получит.
iartem
Цитата:
Нет, не также. Где правило?
Цитата:
Поставь галки на логирование на правилах (и обязательно на последнем) и смотри причину отказа.
Цитата:
настраивал все точно так же
Нет, не также. Где правило?
Цитата:
klient (интерфейс!) - inet - dns, http - без NAT!!!Без него клиент не получит аутентификацию, ибо она происходит только при запросе в Инет.
Поставь галки на логирование на правилах (и обязательно на последнем) и смотри причину отказа.
andrejvb
Спасибо! Заработало. Видимо вначале это правило неправильно забил и поэтому не корректно работало.
Интересно только почему раньше, все же просиходила аутентификация по первому правилу (если смотреть картинку правило Admin)?
Добавлено:
Еще вопрос: Получается это правило (klient (интерфейс!) - inet - dns, http - без NAT!!!) определяет при обращение к каким протоколам ползовтел буедт авторизоваться?
Т.е. если задать допустим ANY, то пользователь будет авторизоваться при любом обращении во внешнюю сеть?
Допустимо ли будет правило типа: klient (интерфейс!) - inet - any - без NAT.
Или так лучше не делать?
Спасибо! Заработало. Видимо вначале это правило неправильно забил и поэтому не корректно работало.
Интересно только почему раньше, все же просиходила аутентификация по первому правилу (если смотреть картинку правило Admin)?
Добавлено:
Еще вопрос: Получается это правило (klient (интерфейс!) - inet - dns, http - без NAT!!!) определяет при обращение к каким протоколам ползовтел буедт авторизоваться?
Т.е. если задать допустим ANY, то пользователь будет авторизоваться при любом обращении во внешнюю сеть?
Допустимо ли будет правило типа: klient (интерфейс!) - inet - any - без NAT.
Или так лучше не делать?
iartem
Цитата:
А откуда у тебя уверенность, что она происходила? Что у тебя в http полисях?
Цитата:
Допустимо, но смысл? Это правило нужно ТОЛЬКО для аутентификации! Чем меньше там будет открыто, тем лучше. И оно должно стоять НИЖЕ правил, определенных для пользователей! Юзеров лучше разбить на группы и сократить кол-во правил, ибо они изрядно влияют на скорость работы.
Цитата:
почему раньше, все же просиходила аутентификация
А откуда у тебя уверенность, что она происходила? Что у тебя в http полисях?
Цитата:
Допустимо ли будет правило типа: klient (интерфейс!) - inet - any - без NAT
Допустимо, но смысл? Это правило нужно ТОЛЬКО для аутентификации! Чем меньше там будет открыто, тем лучше. И оно должно стоять НИЖЕ правил, определенных для пользователей! Юзеров лучше разбить на группы и сократить кол-во правил, ибо они изрядно влияют на скорость работы.
andrejvb
Цитата:
Потому что я вижу в Status - Active host появляется имя компьютера и пользователь авторизовавшийся на этом компьютере. А у других хостов пользователи не появляются - соотвестнно авторизация не проходит.
Цитата:
что бы авторизация происходила не только по DNS и HTTP, но и по ICQ или по некоторым другим портам, например, есть пользователи работающие с системой клиент-банк через специальную прогу, которая лезет на нестандартные порты.... И очень не удобно будет открывать сначала IE, что бы авторизоваться, а потом уже открывать нужную программу.
Конечно я думаю надо прописать все порты и сервисы по которым будет происходит авторизация - так будет правильнее.
Цитата:
А откуда у тебя уверенность, что она происходила? Что у тебя в http полисях?
Потому что я вижу в Status - Active host появляется имя компьютера и пользователь авторизовавшийся на этом компьютере. А у других хостов пользователи не появляются - соотвестнно авторизация не проходит.
Цитата:
Допустимо, но смысл? Это правило нужно ТОЛЬКО для аутентификации! Чем меньше там будет открыто, тем лучше. И оно должно стоять НИЖЕ правил, определенных для пользователей! Юзеров лучше разбить на группы и сократить кол-во правил, ибо они изрядно влияют на скорость работы.
что бы авторизация происходила не только по DNS и HTTP, но и по ICQ или по некоторым другим портам, например, есть пользователи работающие с системой клиент-банк через специальную прогу, которая лезет на нестандартные порты.... И очень не удобно будет открывать сначала IE, что бы авторизоваться, а потом уже открывать нужную программу.
Конечно я думаю надо прописать все порты и сервисы по которым будет происходит авторизация - так будет правильнее.
День добрый!
Кто-нибудь сталкивался с подобной проблеммой:
при запуске KWF через некоторый небольшой промежуток времени (1-5 минут) процесс отедает около 95% ресурсов процессора. Ну и соответственно все умирает...
С чем это может быть связанно - глюки проги или железа?
Кто-нибудь сталкивался с подобной проблеммой:
при запуске KWF через некоторый небольшой промежуток времени (1-5 минут) процесс отедает около 95% ресурсов процессора. Ну и соответственно все умирает...
С чем это может быть связанно - глюки проги или железа?
такая же хрень была, переустановил систему, потом накатил антивирус, обновил его потом керио воткнул, стало всё нормально
SHRIKE74
Спасибо, направление действий понятно
Спасибо, направление действий понятно
Есть kerio-kwf-6.4.1-3519-win32.exe, на сетевой плате два адреса
10.9.19.х и 192.168.0.х, при этом есть ВПН соединение, на которое Керио и пропускает через прокси. Надо сделать мапинг портов 110 и 25 из сети 10.9.19.х на 192.168.0.х. Такое впечатление , что если адрес на который надо мапить порты не из ВНП, то керио не далает мапинг, не получилось сделать. Пробовал таким образом
10.9.19.х и 192.168.0.х, при этом есть ВПН соединение, на которое Керио и пропускает через прокси. Надо сделать мапинг портов 110 и 25 из сети 10.9.19.х на 192.168.0.х. Такое впечатление , что если адрес на который надо мапить порты не из ВНП, то керио не далает мапинг, не получилось сделать. Пробовал таким образом
vityah
Погодь а нах на сетевой 2 адреса?
Если это ВААБЩЕ критично то мапинг не нужен... просто поставь разрешение соединений с 10 <-> 192 они друг друга видеть будут.
"таким образом" из картинки них не понятно... ДПА_ВСЁ -> Хост мап 192:25 Информативно аж жуть берёт.
В следующий раз эротику положи что ли, приятнее разглядывать будет...
Добавлено:
Willy777
Опиши систему... Посмотри журнал системы в момент затыка ресурсов.
Может дело и не в антивирусе.
Хотя ИМХО я не понимаю зачем он там нужен. Есть встроенный который проверяет трафик а нафига ещё одну проверку... Потом ещё и у юзера на машине проверяется... Это параноя уже.
Погодь а нах на сетевой 2 адреса?
Если это ВААБЩЕ критично то мапинг не нужен... просто поставь разрешение соединений с 10 <-> 192 они друг друга видеть будут.
"таким образом" из картинки них не понятно... ДПА_ВСЁ -> Хост мап 192:25 Информативно аж жуть берёт.
В следующий раз эротику положи что ли, приятнее разглядывать будет...
Добавлено:
Willy777
Опиши систему... Посмотри журнал системы в момент затыка ресурсов.
Может дело и не в антивирусе.
Хотя ИМХО я не понимаю зачем он там нужен. Есть встроенный который проверяет трафик а нафига ещё одну проверку... Потом ещё и у юзера на машине проверяется... Это параноя уже.
Ruza
Компы из сети 10,9,19,х не должны видеть сеть 192,168,0,х но должны забирать почту с машины с адресом 19,168,0,1. Вот они (ДПА_АЛЛ 10,9,19,х) и обращаются на машину с керио (ХОСТ 10,9,19,8) на порты 110 и 25, и теоретически я хотел что бы Керио эти запросы переадресовывал на 192,168,0,1 и отдавал в сеть 10,9,19,х.
ЮзерГейт кстати это делает но мне не хватает его возможностей как прокси
Компы из сети 10,9,19,х не должны видеть сеть 192,168,0,х но должны забирать почту с машины с адресом 19,168,0,1. Вот они (ДПА_АЛЛ 10,9,19,х) и обращаются на машину с керио (ХОСТ 10,9,19,8) на порты 110 и 25, и теоретически я хотел что бы Керио эти запросы переадресовывал на 192,168,0,1 и отдавал в сеть 10,9,19,х.
ЮзерГейт кстати это делает но мне не хватает его возможностей как прокси
vityah
Ну всё таки не пойму я без описания сети и ipconfig /all
НАФИГА НА ОДОЙ СЕТЕВОЙ 2 адреса.
Физически сети обединены получается в другом месте?
Ну всё таки не пойму я без описания сети и ipconfig /all
НАФИГА НА ОДОЙ СЕТЕВОЙ 2 адреса.
Физически сети обединены получается в другом месте?
Ruza
Цитата:
Что-бы машина с Керио видела и сеть 10,9,19,х и сеть 192,168,0,х, в то время как машины с локалки должны видеть только 10,9,19,х
Тут же дело не в маршрутизацииа в особенностях настройки мапинга портов в одной локальной сети но в которой есть разные посети 10,9,19,х и 192,168,0,х
Цитата:
НАФИГА НА ОДОЙ СЕТЕВОЙ 2 адреса
Что-бы машина с Керио видела и сеть 10,9,19,х и сеть 192,168,0,х, в то время как машины с локалки должны видеть только 10,9,19,х
Тут же дело не в маршрутизацииа в особенностях настройки мапинга портов в одной локальной сети но в которой есть разные посети 10,9,19,х и 192,168,0,х
Есть Adsl + спутниковый интернет(VPN) на windows 2003. Возможно ли на kwf6
1. Объединить эти два канала? Чтоб эти два канала работали одновременно? (Агрегировать каналы)
2. Одну группу пользователей пустить через Adsl, а другую через спутник?
1. Объединить эти два канала? Чтоб эти два канала работали одновременно? (Агрегировать каналы)
2. Одну группу пользователей пустить через Adsl, а другую через спутник?
KWF 6.2.3 2027
админконсоль, статус - статистика - статистика интерфейсов
как я могу посмотреть например трафик за прошлый мексяц? тут есть только день, текущий месяц и полностью.
админконсоль, статус - статистика - статистика интерфейсов
как я могу посмотреть например трафик за прошлый мексяц? тут есть только день, текущий месяц и полностью.
Цитата:
как я могу посмотреть например трафик за прошлый мексяц? тут есть только день, текущий месяц и полностью.
использовать внешний анализатор логов.
Dr_Spectre
а какой например?
а какой например?
Цитата:
а какой например?
internet access monitor
Зачем использовать внешние тулзы, когда можно просто в браузере набрать:
https://адрес_машины_с_керио:4081
и выбрать нужный интервал для анализа.
https://адрес_машины_с_керио:4081
и выбрать нужный интервал для анализа.
такая проблема c vpn возникла
офис с сеткой 192.168.101.х
внешний интернет 79.х.х.х
включил впн-сервер, адрес 10.1.1.1
создал правило 4: name=(VPN) src=(iface:"Internet") dst=(Firewall) service=("Kerio VPN") snat=(any) dnat=(any) action=(permit,logconn), time_range=(always) inspector=(default)
дома комп в другом интернете с динамическими адресами, локальные адреса 192.168.1.х, адрес впн-адаптера автоматический 169.чег.ото.там
с настройками по дефолту в клиентском впн-е подключается, пингуется только комп с керио
ставлю в свойствах впн-адаптера шлюз 192.168.101.1 и днс .20 из офисной сети
не соединяется или соединяется но пингуется только комп с керио
ставлю на правило локал нат
соединяется, пингуется вся сеть, но внутри сети перестают постоянно работать интернетные проги, аси, агенты, сама керио консоль администрирования начинает отключаться.
выключаю на правило локал нат, офис опять работает, из дома по впн перестает пинговаться сеть кроме керио.
чета не понимаю ничего. все настраивал по докам.
и еще, если домашний провайдер меняет типа раз в сутки динамические адреса, то постоянное соединение по впн-у будет отключаться или само переконфигурируется?
офис с сеткой 192.168.101.х
внешний интернет 79.х.х.х
включил впн-сервер, адрес 10.1.1.1
создал правило 4: name=(VPN) src=(iface:"Internet") dst=(Firewall) service=("Kerio VPN") snat=(any) dnat=(any) action=(permit,logconn), time_range=(always) inspector=(default)
дома комп в другом интернете с динамическими адресами, локальные адреса 192.168.1.х, адрес впн-адаптера автоматический 169.чег.ото.там
с настройками по дефолту в клиентском впн-е подключается, пингуется только комп с керио
ставлю в свойствах впн-адаптера шлюз 192.168.101.1 и днс .20 из офисной сети
не соединяется или соединяется но пингуется только комп с керио
ставлю на правило локал нат
соединяется, пингуется вся сеть, но внутри сети перестают постоянно работать интернетные проги, аси, агенты, сама керио консоль администрирования начинает отключаться.
выключаю на правило локал нат, офис опять работает, из дома по впн перестает пинговаться сеть кроме керио.
чета не понимаю ничего. все настраивал по докам.
и еще, если домашний провайдер меняет типа раз в сутки динамические адреса, то постоянное соединение по впн-у будет отключаться или само переконфигурируется?
Hell Berrel
Нужно два правила: Ссылка
Через второе правило вся внутренняя сет получает полный доступ к прокси!
На мой взгляд иво нужно разбить на два:
1) src=(Firewallvpn-user) dst=(Firewallvpn-user)
2) src=(iface:"LAN"vpn-user) dst=(iface:"LAN"vpn-user)
Нужно два правила: Ссылка
Через второе правило вся внутренняя сет получает полный доступ к прокси!
На мой взгляд иво нужно разбить на два:
1) src=(Firewallvpn-user) dst=(Firewallvpn-user)
2) src=(iface:"LAN"vpn-user) dst=(iface:"LAN"vpn-user)
lavren
ессно, у меня 2 правила.
4: name=(VPN) src=(iface:"Internet") dst=(Firewall) service=("Kerio VPN") snat=(any) dnat=(any) action=(permit,logconn), time_range=(always) inspector=(default)
5: name=(Local Traffic) src=(iface:"Dial-In" Firewall iface:"Local" vpn-user) dst=(iface:"Dial-In" Firewall iface:"Local" vpn-user) service=(any) snat=(any) dnat=(any) action=(Permit), time_range=(always) inspector=(none)
все как по книжке
ессно, у меня 2 правила.
4: name=(VPN) src=(iface:"Internet") dst=(Firewall) service=("Kerio VPN") snat=(any) dnat=(any) action=(permit,logconn), time_range=(always) inspector=(default)
5: name=(Local Traffic) src=(iface:"Dial-In" Firewall iface:"Local" vpn-user) dst=(iface:"Dial-In" Firewall iface:"Local" vpn-user) service=(any) snat=(any) dnat=(any) action=(Permit), time_range=(always) inspector=(none)
все как по книжке
Прошу помощи знатоков...
На базе керио огранизованы два канала - один через Nat, второй через прокси отправляет запросы на другой parent. При этом, в первом случае на локальный сайт вида 192.168.0.х заходит, во втором случае, естесственно, нет. Вопрос: как сделать так, чтобы был доступен именно 192.168.0.100 и запросы на него не уходили далее на parent прокси? Пробовал через HTTP-policy - результата нет...
На базе керио огранизованы два канала - один через Nat, второй через прокси отправляет запросы на другой parent. При этом, в первом случае на локальный сайт вида 192.168.0.х заходит, во втором случае, естесственно, нет. Вопрос: как сделать так, чтобы был доступен именно 192.168.0.100 и запросы на него не уходили далее на parent прокси? Пробовал через HTTP-policy - результата нет...
Germanus
Цитата:
AFT
я логи разбираю - http://forum.ru-board.com/topic.cgi?forum=35&topic=1488&start=1660
не супер точно и нужно уметь настроить какие логи писать и куда керио - но в общем и целом картина вполне получается
Цитата:
Зачем использовать внешние тулзы, когда можно просто в браузере набрать: https://адрес_машины_с_керио:4081и выбрать нужный интервал для анализа.и он потом отчеты в ексель сохранит? и по всем юзерам распишет - кто какие сайты посещал и сколько накачал скаждого?
AFT
я логи разбираю - http://forum.ru-board.com/topic.cgi?forum=35&topic=1488&start=1660
не супер точно и нужно уметь настроить какие логи писать и куда керио - но в общем и целом картина вполне получается
Парни как можно решить проблему совместимости kwf и kav 6? Пробовал ставить kwf 6.2.3-2027 и 6.4.1-3519 ни в какую. Пробовал сносить Керио, сначала устанавливать KAV, а потом уже kwf. не помогает. Может проставить kav7?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788
Предыдущая тема: Не расшариваются SYSVOL и NETLOGON
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.