» Kerio WinRoute Firewall (часть 3)

Цитата:

...Источник-Any

Тоже не гуд, лучше Источник-"Внешний интерфейс, Инет, и т.д."
А если вам нужен доступ к вебсерваку еще и из локалки, то лучше написать отдельное правило без NAT.


Добавлено:

Цитата:

это порт который использует прога 9091

А он не должен транслироваться в какой -нить 80? Ведь вы обращаетесь к вэб серваку?

нет...она использует тока порт 9091..
я уже настраивал другую прогу подобным образом ..она работает нормально
а эта никак не хочет
так как лучше правило прописать..
Для бухгалтерии нужно...

Добавлено:
может как зедсь:
http://kerio-rus.ru/index.php?option=com_content&task=view&id=80&Itemid=73

Цитата:

так как лучше правило прописать..

Цитата:

может как зедсь:

Нет, там во первых без Мара, во- вторых протокол инспектора у вас и так не будет, т.к. вы указываете конкретный порт.
Вы лучше опишите здесь немного своею задачу (хочу иметь доступ из инета с IP... в локальку к IP... по протоколу...) и подробно ваше правило (особенно NAT).
Отвечу завтра.

доступ нужен для проги с одного компа из локалки(192.168.0.4) на сервак в инете по http протоколу.данный должны как отправляться так и приниматься

настроивал прогу навигационную которая обращается к веб серваку,принимает оттуда данные...
правило так расписано:
Source-Any
Destination-Firewall
Service-TCP 1433
Translation-NAT IMAP (IP сервака)
Protocol Inspector -None

а что его нужно настраивать?

Добавлено:
а че делать вот с такой бодягой?
отчего может быть такое
когда страницу открываешь--
Сбой при поиске в системе DNS.


--------------------------------------------------------------------------------
Р-то сообщение создано РїСЂРѕРєСЃРё-сервером WinRoute


а в нормальной кодировке вот оно
Сбой при поиске в системе DNS.


--------------------------------------------------------------------------------
Это сообщение создано прокси-сервером WinRoute



Я просто уже реально запарился раньеш работало а в начале недели как всбесилось.....и ниче понят не могу в чем трабла,,,уже все настры проверил - -все также как и было неделю или 2 назад,,,серваки не менял ..все в норме....
почему такое народ подскажите?

timsson

Цитата:

Р-то сообщение создано РїСЂРѕРєСЃРё-сервером WinRoute

А ты браузер не пробовал подкрутить на автоматическое определение кодировки?

люди у кого юзеры нормально смотрят youtube и т.д.?
все правила рекламорезки уже разрешил, браузером любым пробовал, все настройки в браузере "открыты" - и ни чего не показывает. на самом хосте показывает. и стало такое после перехода на 6.4.2

snayper7
У меня смотрят, а что... Ты бы не расписывал что всё открыл а показл правила, http правила и фильтры...

Ruza
да тупо (для пробы) разрешил всей сети ходить в интернет, разрешил все в http (кроме керио) - казалось бы, куда еще? все равно не показывает.

Ruza
да браузер то подкрутил,,,тока он бывает и на google.ru эту бдягу с днс-ом выдает!

Добавлено:
дело то не браузере,,,а в керио тока в чем именно не пойму.....подскажите не умелому.,,,

timsson
ДНС настрой... А на счёт кодировки то керио отдаёт все страници в UTF-8. Если ничего не правил то ХЗ. Попробуй восстановить папку распаковав инсталятор керио
C:\Program Files\Kerio\WinRoute Firewall\webiface и C:\Program Files\Kerio\WinRoute Firewall\weblang


Добавлено:
snayper7
Ща я сосредоточусь... Войду в астрал... Включу телепатические способности и разберусь с твоим сервером....
Вот пошло, пошло.... Есть коннект... Смотри в логах телепатическую атаку...
Блин видно плохо - другие телепаты ru-board'a мешают...
Надо групповую телепатию применять...

Может у тебя *.flv запрещены...

Цитата:

доступ нужен для проги с одного компа из локалки(192.168.0.4) на сервак в инете по http протоколу.данный должны как отправляться так и приниматься

настроивал прогу навигационную которая обращается к веб серваку,принимает оттуда данные...
правило так расписано:
Source-Any
Destination-Firewall
Service-TCP 1433
Translation-NAT IMAP (IP сервака)
Protocol Inspector -None

мне кто нить поможет?

Last_Hero

Цитата:

данный должны как отправляться так и приниматься

Кто первый инициирует подключение?
Это может банк-клиент?

Цитата:

Кто первый инициирует подключение?

если я прально понял..подключение инициирую я...

Добавлено:
ошибка подключения:SERVER_HELLO:GSL host closed connection.

Ребята! Актуальный вопрос - КАК И ЧЕМ СЧИТАТЬ ТРАФИК KERIO?
Кто и чем считает, поделитесь, плиз опытом!

Цитата:

ошибка подключения:SERVER_HELLO:GSL host closed connection.

прога с котрой мучаюсь iBank 2..может кто встречался с проблемой ее настройки через Керио

Ruza
а что может быть с днсом?что не так?
меня больше интересует почему на днс ругается а не то что это отображает криво.

demo06
Считаю через керио, но есть это!

Добавлено:
Last_Hero
Для банк-клиента у меня такова вида:
<192.168.0.4, Firewall> <Inet> <TCP 1433> <Permit> <NAT(Translate to IP address of outgoing interface (typical setting))> <Always> <None>
Но может потребуется правило для обратной связи:
<Inet> <192.168.0.4, Firewall> <TCP 1433> <Permit> <MAP 192.168.0.4 (Translate to: 192.168.0.4)> <Always> <None>
Читай здесь!

Цитата:

lavren

большое спасибо ...попробую...потом отпишусь получилось или нет

Для просмотра трафика использовался IAM

Last_Hero

Цитата:

ошибка подключения:SERVER_HELLO:GSL host closed connection.

Цитата:

прога с котрой мучаюсь iBank 2..может кто встречался с проблемой ее настройки через Керио

Цитата:

мне кто нить поможет?

Прошу прощения, что не ответил так быстро, как обещал, тут свои замороки...
Чтобы работал iBank 2 нужно разрешить протокол HTTPS плюс открыть некий порт (у нас 9091) у вас может быть как раз 1433.
А правило обычное для выхода в инет пользователя Sour - локалка, Dest- Инет,
service - DNS, HTTP, HTTPS, TCP9091 (TCP1433 ?), Trans- NAT defaul outgoing interface.

Никаких МАРов и правил для обратной связи не нужно. Может только нужно уточнить про порт у службы техподдержки IBanka. Даже прокся при авторизации у меня не указана, хотя на керике включена.
Да вот еще момент. В браузере нужно добавить сайт IBanka в надежные узлы.

Цитата:

Прошу прощения, что не ответил так быстро, как обещал, тут свои замороки...
Чтобы работал iBank 2 нужно разрешить протокол HTTPS плюс открыть некий порт (у нас 9091) у вас может быть как раз 1433.
А правило обычное для выхода в инет пользователя Sour - локалка, Dest- Инет,
service - DNS, HTTP, HTTPS, TCP9091 (TCP1433 ?), Trans- NAT defaul outgoing interface.

разобрался я...всё равботает по такому правилу:
Any - Firewall - TCP 9091 -Permit -NAT (typical setting)MAP IP сервера банка

банк-клент не работала из-за не правильной настройки самой проги...
надо было прописать в Общих настройках,во вкладке Подключение: IP адрес сервера:192.168.0.4 и порт 9091(а я писал порт 3128)

вообщем всё работает!!!


Добавлено:
большое спасибо всем кто пытался помочь!!!

Добавлено:

Цитата:

192.168.0.4

ошибся...IP 192.168.0.1

Добавлено:
скажите, а есть ли какое-нить расширение для Керио,с помощью которого юзерам(или хостам) можно ограничивать скорость инет соедниения...а то,например, один юзер активно серфит по инету а у других инет тормозит....

Last_Hero
В самом керио есть bandwidht limiter В нем можно на всех или группу хостов сделать ограничение закачки-отдачи.

vimaret

Здесь ты описывал выход для моей ситуации. Помоги, пожалуйста, закончить...
Провайдер выделяет мне дополнительный внутренний ip на ту же сетевуху.
Вот скрин моих настроек - могу с компьютеров внутренней сетки (Boss, Local) выходить в локалкку провайдера (Coltel), подключатся в интернет через VPN (nextOne). Для простоты сделал, что все сервисы с внутренней сетки открыты наружу, но извне на мои машины можно попасть только на HTTP, FTP и Servis.
Не знаю, правильно сделал или нет но убрал галку с Firewall Traffic
Что нужно сделать, чтобы по одному ip мне выходить в локал, а по второму ip в инет.
Подскажи, пожалуйста, что и где подкрутить чтобы всё работало нормально.
Заранее благодарен!

Превед пипл
[16/Mar/2008 23:29:12] Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.220:137 -> 192.168.0.255:137, udplen:50
[16/Mar/2008 23:29:22] Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.224:137 -> 192.168.0.255:137, udplen:50
[16/Mar/2008 23:29:23] Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.224:137 -> 192.168.0.255:137, udplen:50
[16/Mar/2008 23:29:23] Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.9:137 -> 192.168.0.255:137, udplen:50
[16/Mar/2008 23:29:24] Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.224:137 -> 192.168.0.255:137, udplen:50
[16/Mar/2008 23:29:25] Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.232:137 -> 192.168.0.255:137, udplen:50
вот это вылезает...
моя эта сетка, и причём тут анти спуф?
нельзя както настроить анти спуфинг чтоб на своих не бросался?
Спасибо заранее.

Last_Hero

Цитата:

разобрался я...всё равботает по такому правилу:
Any - Firewall - TCP 9091 -Permit -NAT (typical setting)MAP IP сервера банка

Хорошо что ваш iBank заработал, но это правило кривое. В нем одновременно NAT и МАР. Это правило для входа к вам в локалку и NAT здесь лишний. Скорее всего iBank выходит в инет через другое правило. Посмотрите через кокое правило в Status > Connection в тот момент когда iBank работает. Кривые правила - потенциальная дыра в безопасности локалки.
alin

Цитата:

Провайдер выделяет мне дополнительный внутренний ip на ту же сетевуху.
Что нужно сделать, чтобы по одному ip мне выходить в локал, а по второму ip в инет.

А приведите еще раз ipconfig и route, как вы приводили здесь http://forum.ru-board.com/topic.cgi?forum=8&topic=22219&start=1424&limit=1&m=1#1
но уже с двумя интерфейсами к провайдеру.
И еще уточнения: "Ваши внутренние ресурсы к которым подключаются пользователи из локалки прова расположены на одном компе с кериком"?, "Через какой IP вы собираетесь ходить в инет, а через какой в локалку"?, "При поднятии VPN вы получаете динамический IP или за вами зарезервирован статический"?

vimaret
Я пока не настроил второй ip, жду ваших рекомендаций.
1) Люди из локалки прова, подключаются к серваку, где установлен Кирек.
2) Согласно тем настройкам которые сейчас, отваливание прекратилось, пользователи из сетки прова выходят на мой сервер стабильно (Servis), после того как применил рекомендованные настройки (предыдущие посты).
Действующий ip для локалки оставлю, новый под инет выделю.
Внешний ip динамический (подключение vpn).
Tепрь немного болтает Мою внутреннюю сеть когда подключаю ВПН (нестабильно работают DC++, Jabber)

Цитата:

Хорошо что ваш iBank заработал, но это правило кривое. В нем одновременно NAT и МАР. Это правило для входа к вам в локалку и NAT здесь лишний. Скорее всего iBank выходит в инет через другое правило. Посмотрите через кокое правило в Status > Connection в тот момент когда iBank работает. Кривые правила - потенциальная дыра в безопасности локалки.

а как лучше прописать правило ???

alin

Цитата:

Я пока не настроил второй ip, жду ваших рекомендаций.

Не правильно я задал в прошлый раз вопрос. мне нужно было знать про новый IP - это единственный IP в той же сети 10.2.0.0/255.255.0.0 или другая сеть, например из четырех IP. Логично будет предположить первый вариант, допустим у вас адрес 10.2.0.х в сети 10.2.0.0/255.255.0.0
Тогда: 1. Вы прописываете на сетевухе Coltel - Ethernet адаптер основным тот адрес через который пойдет VPN (IP 10.2.0.х mask 255.255.0.0 gate 10.2.0.1), а в дополнительных адресах тот, через который пойдет локалка (IP 10.2.17.18 mask 255.255.0.0).
2. Правило ICMP traffic уберите, можно добавить сервис ping в ниже следующих правилах, если быдете загрублять Any.
3. Правило Commfort измените так: (Src: Coltel) (Dst: 10.2.17.18) далее правильно.
4. Правила LAN, VPN уберите.
5. Правило Local traffic измените так: (Src: Boss, Local, Firewall) (Dst: Boss, Local, Firewall) далее правильно.
6. Правило Firewall traffic можно включить.
7. Создайте правило для выхода в локалку провайдера: (Src: Boss, Local) (Dst:10.2.0.0/255.255.0.0) (Svc: Any) (Trn: NAT (IP 10.2.17.18))
8. Создайте правило для выхода в Инет: (Src: Boss, Local) (Dst:NextOne) (Svc: Any) (Trn: NAT (Default outgoing interface))
(7 и 8 правила менять местами нельзя)
9. Еще можно добавить правило для ответа на пинги: (Src: NextOne, Coltel) (Dst:Firewall) (Svc: Ping)
Должно работать.


Добавлено:
Last_Hero

Цитата:

а как лучше прописать правило ???

Я же вам писал выше на этой странице:
А правило обычное для выхода в инет пользователя Sour - локалка, Dest- Инет,
service - DNS, HTTP, HTTPS, TCP9091, Permit, Trans- NAT (default outgoing interface).


Добавлено:
Причем порт TCP9091 iBank использует только в момент авторизации, а далее работает по HTTPS.

vimaret
спасибо ещё раз!!! так и сделаю!

Добавлено:
ребята помогите ..не могу нормально с блокировкой порнухи справиться...ISS фильтрация фигово работает...