» Kerio WinRoute Firewall (часть 3)

Появились несолько вопросов.
1. Можно ли привязать пользователя к IP и MAC адресу, то есть при попытке аутентификации пользователя на чужом ПК, ему в доступе было бы отказано.
2. С какой программой подсчёта трафика, имеющего клиента, аутентифицируещего пользователя по паролю и имеющего привязку по IP и MAC адресу, KWF не конфликтует?

superpalych
если есть домен то проще привязать пользователя к определённой машине средствами АД

Сранно как-то пишет в логах:

[09/Jun/2008 08:58:36] Port Scan: protocol: TCP, source: "Локальный интерфейс",
destination: по сипску пошли рабочие станции в локалке....

или до проверки на вири было такое:

Jun/2008 02:14:19] Port Scan: protocol: TCP, source: внешний интерфейс, destination: 86.61.232.11, 81.177.141.112, 81.177.141.153, 81.177.141.236, ..., ports: 47115, 44814, 56880, 56882, 56885, 56888, 56897, 49514, 57051, 47086, ...
[07/Jun/2008 02:52:43] Port Scan: protocol: TCP, source: внешний интерфейс, destination: 81.177.141.95, 81.177.141.112, 81.177.141.153, ..., ports: 59983, 57739, 57747, 57748, 57750, 57751, 36517, 58290, 36539, 58306, ...
[07/Jun/2008 02:53:17] Port Scan: protocol: TCP, source: внешний интерфейс, destination: 81.177.141.112, 81.177.141.153, 62.178.17.156, ..., ports: 57747, 57748, 57750, 57751, 57763, 36517, 2478, 58290, 36539, 58306, ...
[07/Jun/2008 02:54:16] Port Scan: protocol: TCP, source: внешний интерфейс, destination: 195.190.105.24, 81.177.141.112, 81.177.141.153, 81.177.141.236, ..., ports: 57127, 37480, 57747, 57748, 36517, 57771, 57772, 58290, 36539, 58306, ...

Хотя при проверке вири были найдены тока в карантине!
Где природа этих сканов?

SHRIKE74, компа не в домене. Клиенты - разные организации, арендующие офисы у моего работодателя.

Вопрос.
Все работает, но единственное, смущают постоянные ошибки в журнале "error":
Failed to send DNS query to server XX.XX.XX.XX: 10065

В чем может быть дело? Спасибо.

snayper7
вот картинка
http://rapidshare.com/files/121130885/prav.jpg.html
fdska
как ты говориш прости за глупость - как ты вставлял катринку в пост
Да народ и еще такая проблема - торенты вроде настроил но скорость закачки 0,01 к
хотя должно быть 16 к. Бандвидз не ставил.Доунлоад мастер качает нормально


Добавлено:
vimaret
толи лыжи не едут толи я ето самое...,не выходит

fdska

Цитата:

Нет, галки этой у меня нету, и регистрации к сожалению нет-((

Попробуй поставить эту галку:


Забыл обвести... "Always require blah-blah-blah"

ruza, ты писал:

Тебе надо сделать что то подобное:
3. Если есть авторизация то пропиши ИП машины в свойствах пользователя, дабы керио пропустил трафик.

авторизация у меня из active directory, но у меня ip раздаются по dchp (((((

MagistrAnatol
ты чего??? на рапиду картинки ложишь! тут нажмешь обзор и добавляй

ne0_2002

Но если я ее поставлю, тогда у пользователя при открытии браузера Kerio будет запрашивать логин и пароль, а мне хотся как в ISA, что бы аутентификация происхадила автоматом.

MagistrAnatol

Цитата:

толи лыжи не едут толи я ето самое...,не выходит

Ну вывешивайте скриншоты правил и Ipconfig /all файервола и проблемного юзерского компа. Разрулим. Только пожалуй до этих выходных я не успею, аврал на работе.

Kerio WinRoute Firewall 6.5
Version 6.5.0 Beta 1 - June 9, 2008

Supported OS:
- WinRoute Firewall, VPN Client (32-bit): Windows 2000, XP (32-bit edition), Server 2003 (32-bit edition), Vista (32-bit edition) and Server 2008 (32-bit edition)
- WinRoute Firewall, VPN Client (64-bit): Windows XP (64-bit edition), Server 2003 (64-bit edition), Vista (64-bit edition) and Server 2008 (64-bit edition)

Major changes and new features:
New Features:
+ Link Load Balancing
+ Web-based dial-up management (readded feature, removed in v6.3)
+ Nested URL groups

Changes:
* Improved UPnP support, now compliant with Microsoft Internet
Connectivity Evaluation Tool:
http://www.microsoft.com/windows/using/tools/igd/default.mspx
* New McAfee antivirus engine version 5200
* New Sophos antivirus plugin

Bugfixes:
- Fixed engine crashes during startup and shutdown of the service
- Installation issues on Windows Vista (both x86 and x64)
- National characters are now supported in forbidden words filter

This beta version is intended for testing purposes only.

Ruza

Цитата:

подумайте к примеру над таким правилом:
lan - IP - port 80 - permit - nat (IF3) map IP:8080

Это из другой оперы, в его "рядовом" случае мапы не нужны, вы и сами ему не советуете.

+ Link Load Balancing

походу можно использовать несколько соединений для доступа в инет одновременно для увеличения нагрузки на интернет каналы. кто если оттестит просьба отписать работает ли это корректно

P.S. сейчас для этой целий исползую общеизвестный Mikrotik

vimaret
конфигурация следующая. есть доменная структура. поднят dns и dhcp серверы.
керио стоит на тачке в локальной сети как и все остальные юзвери. керио настроен как прокся
вот полисы с него

<img src="http://ipicture.ru/uploads/080609/6ajT2T1UJN.jpg" border="0">

вот ipconfig

<img src="http://ipicture.ru/uploads/080609/OR1TKYUh02.jpg" border="0">

банк клиенты стоят на локальных компах... вот пример ipconfig

<img src="http://ipicture.ru/uploads/080609/zH7fV3US9L.jpg" border="0">

для каждого пользователя прописан ip адрес, в графе статики для нераспознанного пользователя(unrecognized users) слишком просто громедный пересход трафика, каким образом ненужным ip адресам(тоесть те пользователи которые не прописаны в керио), запретить инет. И кто как решает подобные ситуации когда на неопределенном пользователе большой перерасход трафика.

vimaret
в форум все валить?

Добавлено:
vimaret
лови
сервак - 2003 винда+керио

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . : brt.org
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да
Порядок просмотра суффиксов DNS . : brt.org
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VIA Rhine II Compatible Fast Ethernet адаптер
Физический адрес. . . . . . . . . : 00-15-F2-3C-58-12
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.104.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 127.0.0.1
Net - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-30-4F-2B-EB-32
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
Telekom - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 91.124.239.240
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 91.124.239.240
DNS-серверы . . . . . . . . . . . : 195.5.46.12
195.5.46.10
NetBIOS через TCP/IP. . . . . . . : отключен

клиент - виста+сп1


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : BlackAdmin
Основной DNS-суффикс . . . . . . : brt.org
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : brt.org

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek RTL8168C/8111C Family PCI-E Gigabit Ethernet NIC (NDIS 6.0)
Физический адрес. . . . . . . . . : 00-1D-92-72-C1-5B
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.104.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.104.10
DNS-серверы. . . . . . . . . . . : 192.168.104.10
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер Подключение по локальной сети* 6:

Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.{3DC983BC-D8AA-4906-ACA0-655A7E0A0147}
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Подключение по локальной сети* 7:

Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 02-00-54-55-4E-01
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да


Правила

Две проблемы - надо настроить пошту на GMail и нормально настроить торенты - в конентах они видны ,правда токо конект ко мне,от меня не видать,и скорость моно сказать нулевая.
Заранее благодарен за помощь

MagistrAnatol

Привет. Помоги настроить Kerio 6, не проходит ping с рабочих машин и не могу подключится через интернет RAdmin'om 3 к серверу на котором стоит Kerio 6 и Radmin 3! Покажите пожалуйста правильные правила!
Заранее Спасибо!

thefallenangel
сурс эни
дестинейшн фаервол
сервис порт ТСР 4899
пермит
в транслейшине нижняя галка и айпишник внутренний машины куда хочешь подключаться радмином

thefallenangel
я в принцыпе не спец по керио,сам недавно установил,по поводу радмина - надо добавлять в правилах локалки UPD порт по котором ходит админ,плюс не факт шо админа у тебя глушит керио,может и нод если стоит и брендмауер хрюши-висты.
Выруби керио и смотри работает у тебя все шо надо или нет.Пинг вообщето работает по исмп протоколу,у себя я его не добавлял.Посмотри мои картинки постом выше у меня работает все кроме пошты на жмайл и торентов- эти правила вверху,не обращай на них внимания
Если надо пинг для нета добавь в нат правила сервис пинг
Добавлено:
Народ,шо может быть за прикол,вчера было все нормально,не отправляеться пошта -
!10.06.2008, 09:18:52: SEND - Листа не відправлено. Сервер повідомляє: Unexpected failure, please try later

Может кто сталкивался
Имеется kerio vpn client на удаленной тачке выход у нее в инет чз ADSL модем
Работает все некоторое время, но потом, впн клиент оставаясь также в статусе "connected", связь с удаленным компом теряет.
Выяснили, что связь пропадает если отправить ему пакет примерно чуть больше 1300б. Уменьшили МТУ до 1200 на обоих интерфейсах - связь всеравно держится недолго.
Причем другой впн клиент соеденяющийся с керио через совершенно такойже адсл модем(другой провайдер) держит связь очень стабильно...

Люди добра, чаво то ни как не могу найти правду.... Как все же в Kerio сделать, что бы пользователи автоматически аутентифицировались из домена.

Помогите!
Есть проблема - отваливается подключение по VPN . при востановлении пишет , что пользователь уже есть ! и не соединяется.
Надо перегрузится и все работает.
Вычислить почему отваливается не удается, то через 10 мин. бывает то по 3 суток не отваливается.
Стоит Kerio WinRoute Firewall 6.4.1.3519

Приветсвую...
Имееться 2003 сервак, она сетевая
Стоит Gene6 FTP Server 3.10.0 ftp работает
Ради защиты извне ставлю winroute 6.4.2 ,
ставлю правила (для проверки работоспособности): 1 отовсду к фаерволу порты все, и 2 от фаервола всюду порты все

ftp ИЗВНЕ непускает, с фаервола пускает,
останавливаю winroute все опять работает


В чем траблы могут то быть???

rstar1979
надо порты пробросить в керио с внешнего интерфейса на внутренний, чтобы керио прослушивал фтпшный порт, но будет работать подключение только в активном режиме, для пассивного доступа надо в самом фтп указать внешний айпишник и диапазон портов для пассивного доступа и в керио так же сделать маппинг этих портов с внешнего интерфейса на внутренний

1. Kerio 6.4.2-3672, встроенный антивирь отключен, апдейтер отключен. Раздача PPPOE на локалку. С наружи открыт только фтп. в визардные настроенки добавлена Аська. Всё.
2. Каспер самый свежий+полный ап + полный прогон
3. Полный прогон КуреИтом - дважды 1 раз из под безопасного и 1 раз из под инфры
4. SpyBot - свеженький поставлен, обновлен, прогнан
5. Все проверки чисто!!!
6. При запуске Керио НЕ работает ни один браузер (3шт - ослик, опера порт, фаерфокс)
7. TcpView - показывает скан портов с меня на меня ~50000 соединений

хелп

8. просмотр всех длл в с:\вынь\сис32 на предмет свежести ничего не дал
9. отключаешь керио - всё начинает бегать

хелп!!!

Cписок пользователей в керио(пользователи) отличается от списка пользователей в интернет статистике(http://proxy:4080). кто знает как привести это соответствие в каких файлах хранятся те и те пользователи - kerio 6.4.2. Не могу найти этих файлов.

harit

Цитата:

хелп!!!

Чего хелп? помогите настроить или работало вири сажрали?
если настроить то выложи ТП и ИПконфиги с машины керио и компа в сети.

NegoroX

ясно, что вири сожрали, просто что еще можно сделать? - обидно просто, не успел архив сделать. да в ТП я разберусь, просто обалдел от того что всё что надо сделал, а результат отрицательный. Что еще можно сделать не снося систему?

да забыл: прогнал LSPFix.exe - всё ок!
а также HIJACKThis - тоже - всё чисто!

что еще можно сделать?

Цитата:

SHRIKE74

у меня один интерфейс... одна сетевая....
я там опечатался... "ОНА" написал


на системе из двух сетевых там все проще, сказано все пускать из локалки, так все и пускает.... а тут либо я чегото не догоняю, либо одно из двух...