» Kerio WinRoute Firewall (часть 3)

crapaud

Это фича. Ибо надо определить разницу между автоматической авторизацией юзеров и выпуском их через НАТ.
Моя интуиция подсказывает мне, что если стоит группа ИМЕН, то и выпускать юзеров надо ИМЕНАМИ.
Для этого делается два спаренных правила:
1) NAMEGROUP -> INETINTERFACE -> NEEDED SERVICES -> PERMIT -> NAT
2) LAN -> INETINTERFACE -> DNS, HTTP -> PERMIT - NO_NAT!

второе правило опустить ниже всех НУЖНЫХ действующих правил.
т.е. в этой ситуации не авторизованный юзер, автоматически авторизуется по второму правилу, но выхода на НАТ у него нет. Как только он авторизовался и зарегился у керио именем, это правило уже не действует на него, точнее он просто "не опускается" до него. Юзер начинает работать по первому правилу, где его имя уже есть в группе ИМЕН.

А если есть желание авторизовать/выпускать по ИП, то надо создавать не группу ИМЕН, а группу АДРЕСОВ, где можно внести как имена МАШИН, так и их ИП-адреса! А случае Vadimich'a именно группу АДРEСОВ надо указывать в качестве SOURCE, но никак не группу ИМЕН.

p.s.
У меня как раз юзера и ходят по этим двум спаренным правилам.

в качестве тренировки (как уточнил) автор вопроса разобраться в авторизации интересно конечно..

На практике - сейчас юзают юзергейт, не рассматривали вопрос о их совместной работе? (т.е. юг в качестве прокси).
Очевидные плюсы:
- более расширенные способы авторизации (в том числе по мак!)
- резалка полосы и трафикоограничитель
(делал в паре контор - очень удобно )

5555555
ЮГ глюкало еще то! В нем глюк на глюке глюком погоняет....

DRED_Russia, неправильно пароль обнуляешь.

Цитата:

<variable name="password"></variable>

должно быть: <variable name="password">NUL:</variable>

Arakcheev
оченя ошибаетесь
версия 2.8 - отличненькая штучка,
все, что после - попробовал - и забыл (возможно именно их вы имели ввиду).


Добавлено:
AlOne
да какой там пароль, если до подключения к службе сервера еще не добраться

Vadimich, http://pcsecurity.net.ru/forum/viewtopic.php?t=160 в помощь и будет щастье

5555555
Ну да, все что 3.х и выше - мусор. На как-то давно ушел на керио именно с 2.8 (или чуть более ранних версий) ЮГа. В Керио нашел все что хотелось....

5555555, а "Authentication failed" тут типа ни при чём?

AlOne
а что же он должен написать при

Цитата:

Cannot connect to Kerrio WinRoute Firewall at "localhost"

?
ну мессач такой
первично все-таки начало сообщения в данном случае.. (ИМХО )

Arakcheev

Цитата:

В Керио нашел все что хотелось

шайпинг трафика?
ограничения по закачке - отдаче?
для небольших контор, где следят за трафом это существенно,
в средне-крупных - ни ЮГ ни керио не особо подходят...

5555555, полный текст ошибки: Cannot connect to Kerrio WinRoute Firewall at "localhost". Authentication failed
Сначала указывается следствие, потом причина. Устраним причину, пропадёт и следствие.

AlOne


Цитата:

Сначала указывается следствие

(в памяти всплыло забытое )
Вполне возможно. Вопрошающий возможно даст ответ как только разберется с этим...

Arakcheev, AlOne
Спасибо, будем пробовать.

5555555
Специфичность используемого в конторе софта ( Контора - авторизованный сервисный центр по ремонту бытовой техники и электроники многих (штук 25) известных брендов. Каждым из прендов предоставляеться специализированные программы отчетов и спец. софт, каждый из которых работает на своих портах и хитрых протоколах)

На данный момент для обеспечения работоспособности по возможности бОльшей части этого софта параллельно с ЮГ используется очень простой но работающий Esproxy (много софта через ЮГ напрочь отказывается работать без видимых причин). Остальной софт приходиться использовать ПРЯМО с прокси-сервера, подключаясь к нему в терминальном режиме , что не есть ГУД!
Как вариант решения ситуации сейчас и балуюсь с Керио.
А вот остальные юзеры (которые обычный софт юзают) действительно будут ходить в нэт через ЮГ дабы можно было резать им полосу.

ИЛИ стоит все таки пользовать один только Керио + какой нибудь резатель полосы? Посоветуйте, pls!

ЗЫ Сорри за оффтопик

Vadimich
Ну в керио есть свой обрезатель полосы, правда очень простой как солдатские трусы...

Vadimich

Цитата:

стоит все таки пользовать один только Керио + какой нибудь резатель полосы

да никто лучше Вас этого не решит поскольку не известно -
может в наличии шнуок с 10-100мб безлимиткой
а если примерно представляя, то в вашем случае грубо разделил бы трафик на
рабочий и нерабочий.
Рабочий (в том числе
Цитата:

спец. софт

) пустил бы весь через нат без ограничений, а просмотр погоды, новостей и девочек - здесь бы попридержал немного чем нибудь

Имеем канал в 512. На него поставлен сабж 6.3.1 build 2906+визнетик. Инет работает нормально. Файлы при скачивании идут битыми-недокаченными. Проблема в антивирусе. Слышал, что такой же глюк у макаки. На канале 128 в другом месте визнетик используется давно и без проблем. Вопрос: можно ли как-нибудь подстроить антивирус или винроут так, чтобы нормально проверялись файлы ?

Цитата:

Arakcheev

Ну вааще-то ничего странного в этом нет. В группах представлены юзвери, которые притянуты к определенным IP адресам в сети. По логике всем входящим в группу разрешен доступ в инет и они должны авторизоваться автоматом. Но в реальности этого не происходит. Что это, фича, или баг, и как это обойти, я бы тоже хотел знать. Пока вроде бы не нужно, но со временем может понадобиться...

В свойствах пользователя есть на последний закладки, там прописываешь IP адрес юзера, и он автоматом входит не спрашивая пароля.

DRED_Russia
В том-то и дело, это всем известно и сделано. Но, работает только, если ты в правиле ставишь "локалка - интернет - NAT". Тогда да, юзвери логинятся автоматом. А вот если ты поставил "группа юзверей - интернет - NAT" то залогинивания не происходит. Вот о чем речь. Arakcheev в самом верху этой страницы предложил интересный способ обхода этой фичи. Будем посмотреть..

Подскажите пожалуйста!

KWF 6.3.0 build 2683. Как отключить аутентификацию пользователей в брандмауэре через веб, а чтоб просмотр статистики через веб остался?

У меня провайдер предоставляет две сети внутреннюю (p2p и всякие игры) бесплатно и интернет платно. Юзеры моей домашней сети ходят на внутреннюю сеть провайдера через меня бесплатно, а в инет через меня по впн авторизации платно. Так вот когда юзеры заходят смотреть статистику по https происходит аутентификация на сервере а потом не делают завершение сеанса (просто закрывая странику) то считается весь трафик который проходит через сервак к пользователю.

У меня, наверное, ламерский вопрос, но ответ не могу найти... У меня стоит 6.3.0 и все отлично работало, пока я не сменил интернет-провайдера с DSL (Акадо) на выделенную линию, где подключение к интеренету реализовано через VPN-соединение (spacenet.ru). Так вот, при включенном KWF VPN не соединяется. Как только отключаю KWF интернет прекрасно работает

Подскажите, как нужно настоить KWF? Может есть где-то конкретная инструкция?

Спасибо заранее!

Deleted...

atman
Какое VPN соединение использует провайдер?

Гм, ну попробую сказать какое именно VPN они используют.
Настройки соединения такие - указан IP севера их сети, шифрование данных не используется, только вводится безопасный пароль перед соединением. Тип VPN стоит "автоматически"

Если меняю тип VPN на PPTP, то соединение устанавливается, если на L2TP IPSec, то соединение установить не удается.

Перерыл кажись все, нашел много по не работающему протоколу https (SSL), но так ничего и не помогло.
Кто поможет именно с моим случаем???
З.Ы. Скрины ТП чуть выше в этой теме.

Такой момент: настройки KWF... Для настроек сетевой...в домене..
Интерент подключени через оптоволокно, у нас стоит маршрутизатор (шлюз) 192,168,1,7 для выхода в интернет в котором прописан ip провайдера, шлюз, маска и днс...

На клиентах пишут, что нужно указывать шлюз ip-компа с установленным KWF, а по сути у нас есть ещё один шлюз (маршрутизатор) 192,168,1,9-для подключений по туннелям к офисам?

Как лучше настроить сетевухи? На сервере и на локальных ПК?

Добавлено:
А может кто нибудь выложить снимок экрана - настроек Traffic Policy...С наиболее подробными и правильными правилами...

всем добрый день,

вопрос по керио:

имеется версия программы: 6,2,2 на ХР

проблема:
не пускает в сеть асю и скайп - никак.

В Definations/Services стоит ICQ (клиент RQ и QIP), Source: Any, Destination: Euqal to: 5190

Раньше работала с моего компа и с одного еще компа в локалки, теперь - доходит до 16% и все останавливается - у всех. Порт подключения у всех - один - 5190. Ничего не менял/не устанавливал дополнительно.
При попытке подключения аси в разделе Connections появляется Traffic Rule: ICQ, машина, с которой происходит коннект и указывает направление.. все вроде как проходит, но ничего не подключается. Та же фигня и со Скайпом - Traffic Rule: NAT, и большой список серверов, по которому Скайп пытается соединиться, но соединение отсутствует.

Есть идеи? На одной из страниц видел нечто подобное, но, к сожалению, пользователь не указал, как он решил эту проблему.

atman
Тебе сюда:
_http://www.kerio.kiev.ua/winroute_exemple4.htm
Если не заработает к PPTP добавь GRE

А что за правило Ident?

brizer
IDENT - это протокол, описываемый RFC1413, позволяет серверу узнать имя пользователя установившего с ним соединение, что бывает полезным если пользователь зашел с многопользовательской машины. Запрос по данному протоколу часто делается smtp, ftp, irc серверами. Неправильная фильтрация (drop пакетов вместо посылки TCP RST в ответ на запрос) этого протокола чревата задержками в соединении и отказами в обслуживании серверами использущими данный протокол

Перестал работать собион месяца так через 2,5. Переустановил. Заработал. Добавил старые *.кфг файлы - снова перестал. Методом проб и ошибок пришел к выводу что кобион перестает работать при возвращении файла userdb.cfg.
Да сообщение вот он какое выдает:
(7102:-601004) ISS OrangeWeb filter: Initialization failed: Invalid errno: No text available!!
Может кто сталкивался помоги плж.

Вопрос, можно ли как то в керио (версия 6.2.3) сделать ограничение по количству подключений , не для всего сервера, а только для конкретного человека ?