» Kerio WinRoute Firewall (часть 3)

ставишь ресурс -интерфейс который смотрит в инет, далее в назначении -прокся, сервис порт ну или сервис по которому стучятся с нета , ну и в заключении
в translation указываешь Map host:port.
Шлюз указываешь проксю, а если разветвленная структура , то может и проброс портов придется делать , а может и нет!!

AndV

Цитата:

HELP> Kerio StaR — statistics and reporting> Users by Traffic

пардон, но там в Used protocols показывается только 100% Other... почему вопрос и возник

Цитата:

Создай отдельное правило для smtp,pop3 и отключи Инспектор протокола

Не пускает


Цитата:

См. здесь и здесь!

Спасибо, изучаю. Интересно.



Цитата:

sivka krd

Цитата:Даже при "form any to any smtp,pop3" ничего не доставляется-отправляется.

Цитата:существует банк-клиент,......Та же ситуация с ""form any to any any".

А про NAT не забыли, Небось почтовик и банк клиент в локалке стоят, а не на файерволе.

Пробовал и так, и так, и с НАТом, и без него. Всё остальное -- аська, http нормально работает. И с отключённым протокол инспектором, и без него.
банк-клиент-то по сути обычное java-приложение. Попробовали с самого файервола к нему стукнуться -- прошло соединение (правда, пришлось на сервер ява-машину поставить, может, в этом дело).

Polovov

Цитата:

подключение к интернету идет через сервер на котором Win2k3, AD, Kerio

Связка хуже не придумаешь, пока не поздно для керио отдельный комп.

lavren

Цитата:

Название стати: Автоматический LogOut. Если несколько юзверей работают за компом то может неправильно статистика работать...

В этом и стоял вопрос, т.к. NTLM авторизация работала, я грешным делом подумал что еще после статьи придется с чем-нибудь бороться Кстати те скрипты не работают с WinRoute 6.4.2, вот правильные .
uncleroot

Цитата:

пардон, но там в Used protocols показывается только 100% Other... почему вопрос и возник

Очень странно, Protocol Inspector включен?

Добавлено:
Frose

Цитата:

Всем привет!!! У меня такой вопрос все таки как проверить точнее посчитать сколько реально трафика нам экономит кеш, то что файлы в кеша такие то такие лежат это понятно что можно посмотреть, но вот от туда ли берет он все страницы, файлы и т.д. Отключить кеш и посмотреть сколько сожрем тогда, ну это не выход каждый раз тратится все поразному можно не верные данные получить!!

А чем не устраивает HTTP Policy>Cache>Cache Status?

Цитата:

А чем не устраивает HTTP Policy>Cache>Cache Status?

ну что толку то , там в принципе ни чего не показано!!!!! Хотелось Бы в метрах не посредственно!!!! Ну неужели ни как нельзя посмотреть. А вот еще вопросик давно интересуюсь, ответа пока тоже не нашел: А кеш вычитается из траффика пользователей или нет???? и как сделать так что бы менять этот параметр , ну типа что бы он не вычитался!!!??

sivka krd
WOW, вот это правила. Особенно для mail и bank. Поясните, Что такое IntraNet? это локалка?, что такое *laiki*? Ну и ADSL - это я думаю внешняя сетевуха (причем единственная внешняя?). Неплохо бы еще взглянуть на ipconfig /all и route print. тогда понятно будет, что -куда должно ходить.


Добавлено:
sivka krd
А что у вас работает (должно работать) через правило mail: Почтовые клиенты на рабочих станциях?, почтовый сервер?, где он расположен в локалке или на одном компе с файерволом?

Цитата:

WOW, вот это правила. Особенно для mail и bank.

Пока пытаюсь найти решение, такие и получаются правила


Цитата:

Поясните, Что такое IntraNet? это локалка?, что такое *laiki*? Ну и ADSL - это я думаю внешняя сетевуха (причем единственная внешняя?).

Intranet -- да, локалка. *laiki* -- сервер банка, adsl -- единственная внешняя.


Цитата:

Неплохо бы еще взглянуть на ipconfig /all и route print. тогда понятно будет, что -куда должно ходить.

[more]

Настройка протокола IP для Windows



Имя компьютера . . . . . . . . . : mail

Основной DNS-суффикс . . . . . . : xpea-group.local

Тип узла. . . . . . . . . . . . . : гибридный

IP-маршрутизация включена . . . . : да

WINS-прокси включен . . . . . . . : нет

Порядок просмотра суффиксов DNS . : xpea-group.local



InterNet - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet Adapter

Физический адрес. . . . . . . . . : 00-15-E9-48-B5-3F

Dhcp включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 83.239.73.94

Маска подсети . . . . . . . . . . : 255.255.255.252

Основной шлюз . . . . . . . . . . : 83.239.73.93

DNS-серверы . . . . . . . . . . . : 85.172.0.250

83.239.0.202



IntraNet - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PL Network Connection

Физический адрес. . . . . . . . . : 00-15-F2-BE-39-FF

Dhcp включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.0.1

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :

DNS-серверы . . . . . . . . . . . : 192.168.0.2



Kerio VPN - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Kerio VPN adapter

Физический адрес. . . . . . . . . : 44-45-53-54-60-08

Dhcp включен. . . . . . . . . . . : да

Автонастройка включена . . . . . : да

IP-адрес . . . . . . . . . . . . : 169.254.6.133

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :

DHCP-сервер . . . . . . . . . . . : 169.254.6.132

NetBIOS через TCP/IP. . . . . . . : отключен

Аренда получена . . . . . . . . . : 6 мая 2008 г. 6:49:31

Аренда истекает . . . . . . . . . : 6 мая 2008 г. 6:52:31

[/more]


[more]
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 15 e9 48 b5 3f ...... D-Link DFE-520TX PCI Fast Ethernet Adapter - Kerio WinRoute Firewall
0x3 ...00 15 f2 be 39 ff ...... Intel(R) PRO/1000 PL Network Connection - Kerio WinRoute Firewall
0x10005 ...44 45 53 54 60 08 ...... Kerio VPN adapter - Kerio WinRoute Firewall
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза  Интерфейс Метрика 
0.0.0.0 0.0.0.0 83.239.73.93 83.239.73.94     20
83.239.73.92 255.255.255.252 83.239.73.94 83.239.73.94     20
83.239.73.94 255.255.255.255 127.0.0.1 127.0.0.1     20
83.255.255.255 255.255.255.255 83.239.73.94 83.239.73.94     20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1     1
169.254.6.0 255.255.255.0 169.254.6.133 169.254.6.133     20
169.254.6.133 255.255.255.255 127.0.0.1 127.0.0.1     20
169.254.255.255 255.255.255.255 169.254.6.133 169.254.6.133     20
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1     10
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1     10
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1     10
224.0.0.0 240.0.0.0 83.239.73.94 83.239.73.94     20
224.0.0.0 240.0.0.0 169.254.6.133 169.254.6.133     20
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1     10
255.255.255.255 255.255.255.255 83.239.73.94 83.239.73.94     1
255.255.255.255 255.255.255.255 169.254.6.133 169.254.6.133     1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1     1
Основной шлюз: 83.239.73.93
===========================================================================
Постоянные маршруты:
Отсутствуют

[/more]



Цитата:

А что у вас работает (должно работать) через правило mail: Почтовые клиенты на рабочих станциях?, почтовый сервер?, где он расположен в локалке или на одном компе с файерволом?

Должны работать почтовые клиенты на станциях.
Почтовый сервер нормально работает на том же компьютере.


upd С почтой всё невероятно просто. Оказывается, если указать не pop.mail.ru, а 194.67.23.102, то вся почта отлично получается. Пока не понял, где косяк. Но это уже радует.

sivka krd
1. Правило для почтовых клиентов:Source > IntraNet; Destination > ADSL; Service > POP3, POP3S, SMTP, DNS (здесь косяк); Translation > NAT; Prot. Insp. > Default
2. Правило для Банк-клиента: Source > IntraNet; Destination > *laiki*; Service > HTTP, HTTPS, DNS, TCP 9091(Для iBank -возможно у вас другой); Translation > NAT; Prot. Insp. > Default
3. Правило для почтового сервера на выход: Source > firewall; Destination > ADSL; Service > POP3, POP3S, SMTP, DNS ; Translation > нет; Prot. Insp. > Default
на вход: Source > any; Destination > firewall; Service > POP3, POP3S, SMTP, IMAP, HTTP, HTTPS ; Translation > нет; Prot. Insp. > Default
4. В правило New rule добавте NAT


Добавлено:
sivka krd

Цитата:

Пока не понял, где косяк.

Возможен еще и такой косяк с DNS, когда у вас локальный DNS сервер и при этом неправильно настроен форвардинг. По самому первому правилу для локалки днс запросы уходят на локальный днс... и теряются. Нужно посмотреть в connection и в логах через какие правила и куда уходят днс запросы.

AndV

Цитата:

Очень странно, Protocol Inspector включен?

включен дефолтный, у меня простой НАТ, и нет прокси

по прикидкам, где-то треть траффика должна идти почта + Lotus, но хочется иметь статистику

Kerio 6.3.1 + lz0

Frose

Цитата:

ну что толку то , там в принципе ни чего не показано!!!!! Хотелось Бы в метрах не посредственно!!!!

Там же есть в процентах от общего трафика, совсем не сложно посчитать на калькуляторе в мегабайтах
uncleroot

Цитата:

включен дефолтный, у меня простой НАТ, и нет прокси

У меня так же, но все работает как надо, версия чуть поновее 6.4.2. Может стоит обновится?

Цитата:

Возможен еще и такой косяк с DNS, когда у вас локальный DNS сервер и при этом неправильно настроен форвардинг. По самому первому правилу для локалки днс запросы уходят на локальный днс... и теряются. Нужно посмотреть в connection и в логах через какие правила и куда уходят днс запросы.

Действительно.
Вот и весь хвост вылез.

Огромное спасибо.

Ребят сломал голову, не могу прицепить к Кире6.4.2 НОД32_2.7.39LUS ошибка error loading scanner DLL (998). Помажите люди добрые!!!!

Кто сталкивался с проблеммой отправки почты с вэб морды mail.ru ?? Все остальные почтовые сервисы работают нормально, а с mail.ru ничего нельзя отправить !!! При вложении файла - он не загружается на сервер, и после некоторого времени браузер выдеёт ошибку о невозможности отображения страницы. В правилах керио все сервисы для пользователей открыты. Что может быть причиной ?
Вот мои правила.

AndV
не особенно помогло
появилось чуть-чуть, процентов 10, хттп траффика, остальное все other

DennisKo

Цитата:

Ребят сломал голову, не могу прицепить к Кире6.4.2 НОД32_2.7.39LUS ошибка error loading scanner DLL (998). Помажите люди добрые!!!!

без файла лицензии (которого в свободном доступе нет) и не прицепишь.
Используй или встроенную "макаку", или прикручивай плагин Visnetic (для этого смотри шапку смежной темы в Варезнике)

С некоторого времени перестал работать просмотр статистики через вебинтерфейс. пишет что база данных недоступна. захожу подд пользователем, у которого все права есть...
в логах нешёл только это:
error-ax:
[07/May/2008 10:59:43] (8705:335544333) DB: unable to connect to database, Firebird DB error message follows:
[07/May/2008 10:59:43] (8705:335544333) Firebird DB: *** IBPP::SQLException ***
[07/May/2008 10:59:43] (8705:335544333) Firebird DB: Context: Database::Connect
[07/May/2008 10:59:43] (8705:335544333) Firebird DB: Message: isc_attach_database failed
[07/May/2008 10:59:43] (8705:335544333) Firebird DB:
[07/May/2008 10:59:43] (8705:335544333) Firebird DB: SQL Message : -902
[07/May/2008 10:59:43] (8705:335544333) Firebird DB: Unsuccessful execution caused by a system error that precludes
[07/May/2008 10:59:43] (8705:335544333) Firebird DB: successful execution of subsequent statements
[07/May/2008 10:59:43] (8705:335544333) Firebird DB:
[07/May/2008 10:59:43] (8705:335544333) Firebird DB: Engine Code : 335544333
[07/May/2008 10:59:43] (8705:335544333) Firebird DB: Engine Message :
[07/May/2008 10:59:43] (8705:335544333) Firebird DB: internal gds software consistency check (cannot find tip page (165))
[07/May/2008 10:59:43] (8705:335544333) Firebird DB:

обновление до самой последней версии не помогло исправить эту ошибку...

Всем привет. Вопросы по лицензированию:
1)    В организации 3 точки выхода интернет. На каждой из них должен работать отдельный керио. На каждой из них достаточно иметь 5 лицензий для выхода в инет 5 ползователям. Должен ли я покупать 3 раза базовый пакет с 10 пользователями за 18000р или достаточно купить один базовый и 2 аддона на 5 пользователей ?
2)    Купленные лицензии действуют неограниченный срок ? Не имею ввиду подписку на обновления и поддержку. Когда подписка истечет через год купленные лицензии позволят мне дальше работать (просто без возможности обновляться и суупорта) ?

подскажите, ситация:
внутр сеть
10,10,7,0-255,255,255,0
vpn клиентам даю 10,10,8,0-255,255,255,0
после подключения вижу сервер и как 10,10,8,1 и как 10,10,7,1
причём ни одну машину из 10,10,7,0 впн клиенту не видно, а из сети 10,10,7,0 отлично видно этого самого клиента

при трассировке всё останавливается на vpn сервере
в керио прописано правило
local (lan,firewall,vpn_cli) <--> (lan,firewall,vpn_cli) allow
в чём может быть дело?

Народ есть логи, нужна програмка которой можно было бы просмотреть их и применить фильтры по сайтам, по пользователям по времени...

Подскажите плиз

seva1
тема а применять фильтры по сайтам и по времени можно в керио

Посоветуйте, через аську народ сотни метров трафа гонит, как запретить передачу файлов?

seva1

Цитата:

через аську народ сотни метров трафа гонит, как запретить передачу файлов?

_нttр://www.icq.com/help/view_faq.php?faq_id=4513

Цитата:

When you transfer files and play games, ICQ establishes a direct TCP connection through a port in the 1025-65536 range. In other words, ICQ establishes a peer-to-peer connection, meaning that your and your friend's computer are connected directly to each other. If this connection method fails, usually due to firewall and/or NAT limitations, and both sides are using ICQ 5, ICQ will attempt other indirect connection methods.
Note! If you choose HTTP as your proxy server you may not be able to send files or play games via ICQ.

Иначе говоря первым делом нужно запретить NAT портов из диапазона 1025-65536. Как фильтровать HTTP-прокси трафик, думаю, рассказывать не надо.

ne0_2002 смари какая фишка, из дипазна
1025-65536

У меня всего 2000-2008 открыты! все остальное закрыто)

То есть у меня TCP порты четко прописаны которые открыты а какие закрыты)

seva1

Цитата:

У меня всего 2000-2008 открыты!

Ну? И что мешает ей через эти открытые порты передавать? Или вопрос должен был формулироваться "как запретить file transfer не закрывая порты с 2000 по 2008"?
Где-то попадалось (там решали обратную проблему) непроверенное утверждение, что если ICQ работает через HTTP-Proxy, то скорее всего сервис передачи файлов будет недоступен...

У кого-то получалось пропстить через NAT SIP протокол? Кто поделится опытом использования VoIP с участием winrote?

Столкнулся с проблемой, неудолось подружить NOD32 3.0.650 с керио 6.4.1.
Других версий попробывать нет возможности.
Может кто-то сталкивался уже и решил эту проблему.
Старый нод версии 2.70 работал без проблем.

Господа, здравствуйте.
Созрел вопрос: можно ли юзеру дать полный доступ только к Time Ranges? Т.е. чтобы он мог запустить Administration Console и изменять только временные интервалы, а ко всем другим настройкам не имел доступ ? Если можно - то как это реализуется ?

здравствуйте, всем доброго времени суток!
столкнулся с такой проблемой, клиент соединяестя ИЗ ВНЕ со шлюзом версия 6.4.2 через встроенный в winroute проксяк!!!
так вот с доступом всё отлично работает, и лишних блокирует, даже записывает что клиент подконнектился, но НЕ УЧИТЫВАЕТ ТРАФФИК заюзанный клиентом, добавляет его либо к неизвестным юзьверям (это если для шлюза "авто" авторизация не написана) или к трафику юзьверя который на этой машине залогинен (: , как боротся с этим ума не приложу

поидее можно в керио поставить обязательную авторизацию и без неё он не пустит