» Kerio WinRoute Firewall (часть 3)

Evgeny_Sorokin

Цитата:

С cервака можно будето только пинговать и почту получать\забирать.

И придут к тебе пользователи и скажут что не могут почту получить - некоторые почтовые сервера сервисы POP3,SMTP предоставляют за деньги, а так в ящик только со странички (что б народ рекламу смотрел)
ТП настроить стандартно, создать группу "Pechkin", в НТТР правилах разрешить десяток серверов запретив все остальное для этой группы.

voffka1984
MagistrAnatol
Коллеги прошу прошения за тормоза с ответом, много всего навалилось + командировка. Посмотрел ваши ИПконфиги и правила:
Для voffka1984: Вначале правильно настроим сеть:
1. На файерволе уберем с внешней сетевой IP адреса внешнего ДНС сервера ( 195.14.50.1 и 195.14.50.21) и перенесем их на внутренний ДНС сервер на вкладку Forwarders. Там ставите галку Enable DNS forwarding и прописываете эти ИПшники
2. Заходим в Керио на DNS Forwarder. Там ставите галку Enable DNS forwarding и Forward DNS queries to the specified DNS server(s) и там указываете два ИПшника внутренних ДНС серверов (192.168.1.9 и 192.168.1.19). Т.Е. смысл следующий: все ваши днс запросы из локалки и файервола вначале идут на внутренний ДНС сервер. Если он их сам не может разрешить, то форвардит внешнему (напр. провайдеру) через ваше правило под названием NAT.
3. На рабочем компе нужно поставить Основной шлюз 192.168.1.20, т.е ваш файервол, иначе Х.З.
Теперь о правилах. Если не сложно, то дайте мне ссылку, где вы нашли примеры правил New rule, map for ОРГРЕС Банк, мапинг mail smtp, мапинг mail pop3. Я почитаю, потом над вашими подумаю.
Еще ответьте на ряд вопросов: 1. Что вы хотели получить от правила "мапинг для формирования"?
2. Что такое порты 215, 11778, 821, 1778?
3. Что такое IP адреса 83.242.145.182, 193.110.5.134?
4. Что вы хотели получить от правила New rule (по IP 82.140.72.2 открывается сайт "Росби Ниформ Ко"?

Попробуйте выключить правила мапинг mail smtp, мапинг mail pop3. У вас должна работать почта и без них, через правило NAT, конечно при условии, что вы уже внесли исправления в ДНС и Основной шлюз, а также на почтовых клиентах прописаны smtp и pop3.
MagistrAnatol, а с вами завтра, уже поздно, домой пора.

Такой вопрос, заметил что по аське файлы передают! Как запретить такую передачу?

seva1
другими программами

vimaret
gпо второму пункту не согласен, он имеет смысл только если шлюз и днс на одной машине, в других случаях это превышение трафика, да и зачем напрягать свой днс запросами , пустьих обрабатывает провайдер, более того я делаю на керио ворфардинг на днсы прова а во внутреннем днс удаляю все корневые ссылки и добавляю туда свой шлюз, тогда свой днс не будет отсылать запросы по этим корневым а сразу перенаправлять на шлюз а шлюз на прова а пров уже пускай сам думает как их обрабатывать,

vimaret

Цитата:

Заходим в Керио на DNS Forwarder. Там ставите галку Enable DNS forwarding и Forward DNS queries to the specified DNS server(s) и там указываете два ИПшника внутренних ДНС серверов (192.168.1.9 и 192.168.1.19). Т.Е. смысл следующий: все ваши днс запросы из локалки и файервола вначале идут на внутренний ДНС сервер. Если он их сам не может разрешить, то форвардит внешнему (напр. провайдеру) через ваше правило под названием NAT.

Бред какойто... При правильном постороении сети ДНС запросы к керио могут посылать ТОЛЬКО внутренние ДНСы.
Я бы настоятельно порекомендовал отключить форвардинг ДНС в керио как заведомо бредовое решение.

Цитата:

Основной шлюз 192.168.1.20, т.е ваш файервол, иначе Х.З.

Иначе - это прокси называется.

SHRIKE74

Цитата:

днс на одной машине, в других случаях это превышение трафика,

МегаLOL
Прям мля панацея по экономии трафика!!!
А Вы уважаемый подумали на счёт того, что трафик считается на интерфейсе провайдера и ДНС запросы к его серверу тоже считаются трафиком и идут в оплату.

Цитата:

пустьих обрабатывает провайдер, более того я делаю на керио ворфардинг на днсы прова а во внутреннем днс удаляю все корневые ссылки и добавляю туда свой шлюз,

Угу и начисто отключаем возможность кешированя запросов.

Цитата:

а пров уже пускай сам думает как их обрабатывать,

Поверьте прову плевать как их обрабатывать а вот некоторым юзерам не по барабану почему интересующий их сайт ресолвится со второго или третьего раза.

Добавлено:
А при наличии 2-х и более каналов ДНС сервер на шлюзе просто настоятельно рекомендую!

snayper7 не подскажеш какими мона запретить? Мне желательно по Ip банить тока... Или по нмоеру аськи!

Мне некоторым надо оставить разрещеным)

NegoroX


Цитата:

Цитата:С cервака можно будето только пинговать и почту получать\забирать.

И придут к тебе пользователи и скажут что не могут почту получить - некоторые почтовые сервера сервисы POP3,SMTP предоставляют за деньги, а так в ящик только со странички (что б народ рекламу смотрел)
ТП настроить стандартно, создать группу "Pechkin", в НТТР правилах разрешить десяток серверов запретив все остальное для этой группы.

А причем тут внешняя почта ?
Человек написал что у него на серваке MDaemon стоит, разве не эту почту он имел ввиду, чтоб сервак почтовый работал?

Evgeny_Sorokin

Цитата:

Человек написал что у него на серваке MDaemon стоит

сорри был не прав.

Ruza

Цитата:

Бред какойто... При правильном постороении сети ДНС запросы к керио могут посылать ТОЛЬКО внутренние ДНСы.
Я бы настоятельно порекомендовал отключить форвардинг ДНС в керио как заведомо бредовое решение.

Я вчера, как чувствовал, что мой главный аппонент на это обратит внимание. Согласен, что в большинстве случаев это не нужно. Но это (бредовое) решение появилось не случайно. Сейчас уже трудно вспомнить детали, но, насколько я помню, были проблемы при подключении внешнего клиента PPTP, который предварительно подключался к инету по PPPoE. Наверное можно было бы и более корректно настроить разрешение имен для клиента, (например чтобы PPTP давал ему IP внутреннего ДНС сервера, а не компа с RRAS он же Керио), но это получилось, уже много лет работает и не конфликтует.


Добавлено:
SHRIKE74

Цитата:

по второму пункту не согласен, он имеет смысл только если шлюз и днс на одной машине, в других случаях это превышение трафика

Не совсем так. Трафик действительно выше, но он в локалке. ДНС не напрягается внешними запросами так, как на нем только локальная зона, и включен форвардинг на провайдера. А для чего форвардить с керио, я только что писал выше, чтобы клиенты RRAS разрешали имена в локальной сети.
Самым универсальным решением ИМХО будет выключение форвардинга на Керио в сети с доменной организацией, и соответствующей настройкой внутреннего ДНС сервера.

Прошу помощи у спецов. Поставил керио с прозрачным прокси, чтобы работали почтовые клиенты по поп3. Если клиент выходит в инет через броузер - то тут все понятно, он логинится по хттп, и трафик подсчитывается, а как подсчитать трафик по поп3/smtp по клиентам, кто сколько закачал? Заранее спасибо за ответ.

vimaret

Цитата:

Я вчера, как чувствовал, что мой главный аппонент на это обратит внимание.

Да какой я аппонент - вместе одну проблему решаем...


Цитата:

были проблемы при подключении внешнего клиента PPTP, который предварительно подключался к инету по PPPoE. Наверное можно было бы и более корректно настроить разрешение имен для клиента, (например чтобы PPTP давал ему IP внутреннего ДНС сервера, а не компа с RRAS он же Керио), но это получилось, уже много лет работает и не конфликтует.

ВОТ!!! Наконец то пришли к тому что и требовалось доказать...
Народ ставьте ДНС сервер на машину с керио и снимете большинство проблем с разрешением имён как внутренней сетки так и внешней.
Забудьте про "галку" DNS Forwarding.

P.S. Кстати у кого керио купленный подкиньте идею разработчикам чтобы включили в пакет кеширующий ДНС сервер а не обрезанную пересылку.

Starry

Цитата:

а как подсчитать трафик по поп3/smtp по клиентам, кто сколько закачал? Заранее спасибо за ответ.

А почитать 10 страниц не судьба?
Вот подумай сам как можно определить чей пакет идёт по РОР3 если в протокол нельзя включить промежуточную авторизацию...
Пропиши пользователю IP адрес и будет считать трафик только на его имя и авторизация через браузер не понадобиться.

Ruza
Я в курсе про IP-адрес и привязку пользователя. Видимо, не точно сформулировал вопрос. У меня в сети DHCP-сервер. Вот я и решил, что есть какое-то другое хитрое решение проблемы.

Starry
а адрес-группу религия не позволяет? Там имя хоста вписать можно...

Ruza

Цитата:

Наконец то пришли к тому что и требовалось доказать...
Народ ставьте ДНС сервер на машину с керио и снимете большинство проблем с разрешением имён как внутренней сетки так и внешней.

А ведь класная мысль, я это попробую, когда апгрейдну комп


Добавлено:
MagistrAnatol

Цитата:

Две проблемы - надо настроить пошту на GMail и нормально настроить торенты - в конентах они видны ,правда токо конект ко мне,от меня не видать,и скорость моно сказать нулевая.

Я посмотрел ваши IP конфиги, там все нормально, только смущает ДНС сервер 127.0.0.1.
Он у вас на файерволе и к нему еще добавляются ссылки на внешний ДНС из Telecom адаптера. Возможно сабака зарыта в ДНСах, поэтому и не работает GMail. А правило для GMail написано нормально. Из него можно убрать NET адаптер (если я правильно понял, то это сетевая карта к которой подключен DSL модем.). Более того, правило GMail можно убрать, т.к. оно полностью дублируется правилом NAT.
Повторяюсь: предполагаю конфликт в ДНСах. Я бы его разрешал координальным путем. Для начала заказал бы у прова вместо PPP( PPPoE) постоянное подключение с маршрутизацией сети. Модем ставите в режим "Бриджа". Тогда вы на Net сетевухе указываете внешний IP и шлюз к провайдеру (ДНСы не указываете) (можно указать еще второй IP 192.168.1.2 для лазанья в модем), а на локальной сетевухе указываете ДНС 127.0.0.1 (а лучше 192.168.104.10), в ДНС сервере настраиваете форвардинг на ДНС провайдера. Вот здесь уже не должно быть конфликтов.
Далее по правилам: Torrent от вас: Sourc.-Подключение по локальной сети, Dest- Telecom, Serv.-TCP 25555, UDP 25555, Transl.- NAT (MAP не нужен)
Torrent к вам: Уберите из правила Net и NAT остальное правильно (надеюсь что правильно, так как не вижу что мапится, картинка усеченная)
Еще можно слегка причесать правила: 1. В правиле NAT уберите Net. 2. В правиле Local traffic добавте Dial-in в source, и уберите Net. 3. В правиле Firewall traffic добавте в Destination Net, чтобы можно было лазить внутрь модема.
Успехов...

Не могу найти где делается порт-фовардинг, какими словами только не обзывал ничего не нагуглилось.
(Хочу опубликовать потовый сервер).
Подскажите пожалуйста.

usmd
это называется порт маппинг,
сурс эни
дестинейшн фаервол
сервис необходимые порты
пермит
транслейшн--нижняя галка адрес машины с почтовиком

Ruza

Цитата:

Народ ставьте ДНС сервер на машину с керио и снимете большинство проблем с разрешением имён как внутренней сетки так и внешней.
Забудьте про "галку" DNS Forwarding.

Ничего не понимаю... Это почему же так? Да не нужен на машине шлюза ДНС-сервер ни в коем разе. ДНС-сервер должен быть (и кстати никуда от него не деться) на PDC. А на шлюзе ВПОЛНЕ достаточно обычной пересылки (кстати она отлично кеширует). В чём прелесть второго ДНС-сервера в локалке?

Я чего-то не знаю? Только, пожалуйста, без эмоций.

Народ по моему вопросу не подскажите?
какой прогой можно заблочить передачу файлов по ICQ

DiMidRoLL666

Цитата:

Доброго времени суток!
У меня к Вам следующий вопросик, надеюсь чего подскажете.
Мне необходимо в офисе создать резервный канал.
Основной канал у меня ADSL (ADSL маршрутизатор стоит).
Резервный будет Ethernet - тупо витая пара протянутая в офис и статический IP от провайдера.
Естественно для переключения между каналами собираюсь использовать KWF.

Я вот это использую уже давно, и если основной канал падает, то керио тут же переключает на резервный.

Керио через определенные промежутки времени пингует шлюз провайдера и если ответа нет то шлюзом по умолчанию становится другой сервак в нашей локалке у которого есть выход в интернет через другого провайдера.

После переключения на резервный канал керио опять пингует основной канал и если пинг появляется опять переключает на первый канал.

seva1
Практически никакой т.к. оно само прогой проксю поднимает...
Как варианты сменить пейджер, зарезать скорость.

Starshark2007
А фигли понимать тут.


Цитата:

А на шлюзе ВПОЛНЕ достаточно обычной пересылки (кстати она отлично кеширует). В чём прелесть второго ДНС-сервера в локалке?

Вот если достаточно то спорить не о чем... Т.к. заведомо решение принято.


Цитата:

Да не нужен на машине шлюза ДНС-сервер ни в коем разе.

Это ты на личном опыте или подсказал кто?

Ладно всё это как ты сказал эмоции...
Ответь для себя на следующие вопросы.
1. 2 Канала от 2-х провайдеров куда пересылать, если канал переключился автоматом.
2. Внешний клиент подключаясь к шлюзу получает его как ДНС, будет ли работать внутренние разрешения?
3. Как организовать внешнюю зону типа firma.com при внутренней firma.local. Если ДНС одни и он на PDC? Хотя есть возможность транслировать запросы на него... Но я себе даже в страшном сне не представлю PDC открытым снаружи тем более с MSDNS...
4. Как разрешить опрашивать пересылку ТОЛЬКО определённым пользователям/IP адресам?
5. При падении PDC (не жай Бог) будет ли разрешаться сеть вообще?


Цитата:

Я чего-то не знаю?

Я тоже чего то не знаю, но на личном опыте убедился что связка named+kerio ой как полезна... И именно на шлюзе!



Добавлено:
Evgeny_Sorokin

Цитата:

Керио через определенные промежутки времени пингует шлюз провайдера и если ответа нет то шлюзом по умолчанию становится другой сервак в нашей локалке у которого есть выход в интернет через другого провайдера.

Не совсем верный совет в свете ADSL.
Есть уникальные провайдеры которые меняют шлюз в зависимости из-за выданного ИП (это при динамическом) так что лучше пинговать НС/почтовик/прокси провайдера.

Цитата:

Да не нужен на машине шлюза ДНС-сервер ни в коем разе.

+1 хотя по высказываниям каждый уверен в своем

ответы на "вопросы для себя" даже расписывать не буду, самый примитив:
Цитата:

При падении PDC (не жай Бог) будет ли

что будет в случае падения сервака-шлюза?

Цитата:

опрашивать пересылку

забавная формулировка

Цитата:

даже в страшном сне не представлю PDC открытым снаружи тем более с MSDNS

тем не менее он для этого изначально предназначен сказки про кривость от МС - это пугать ..(не буду писать кого ).. в европе куча контор на нем сидят и ничего особо страшного не происходит. и т.д. в том же духе.

ГЛАВНЫЙ ответ для читателей: Не воспринимать личные предпочтения пишущих здесь как догму и лучше придерживаться официальных рекомендаций..

5555555

Цитата:

что будет в случае падения сервака-шлюза?

А что будет? Проблема только у админа... И писалось это к тому
Цитата:

В чём прелесть второго ДНС-сервера в локалке?

Цитата:

забавная формулировка

А как сформулировать по другому сие творение? Если на любом ДНС сервере можно ограничить доступ....

Цитата:

тем не менее он для этого изначально предназначен сказки про кривость от МС - это пугать ..(не буду писать кого ).. в европе куча контор на нем сидят и ничего особо страшного не происходит. и т.д. в том же духе.

Епт! Пример ИМЕННО! PDC видимого снаружи у серьёзной конторы в студию!!! А то как то не впечатлило...

Цитата:

ГЛАВНЫЙ ответ для читателей: Не воспринимать личные предпочтения пишущих здесь как догму

Полностью поддерживаю!!!


Цитата:

лучше придерживаться официальных рекомендаций..

Но помнить одно - каждый кулик хвалит своё...

Ruza
Думаю не стоит развивать данную тематику обсуждения, очень коротко по принципиальному вопросу:
Цитата:

PDC видимого снаружи у серьёзной конторы в студию

1. надеюсь адекватно восприняли в данном случае pdc как "неотрывный" dns сервер (т.е. запросы по 53, а не к AD хотя видел и ldap открытый).
2. понятие "серьезной" конторы у каждого свое, примеры там, где видел - привести могу, правда не знаю что это даст. Но если следовать термину "серьезные" конторы, то там керио ес-но и близко не лежал (подавляющее большинство - хардварные решения), обсуждать здесь это бессмысленно..

Оки, а вот Как KERIO фиксирует такую передачу? то есть я Internet acess monitor смотрю траф, он где то хотя бы фиксируется?

То есть никак не запретить? может какой то порт мона закрыть?

вопрос первый
Указываю dns ip kerio в настройках инет итерфеса
в kerio вкл dns forwarding и указываю ip dns серверов
и каждый раз при подключении к инету
сайты не открываются а в это время ess показыват
что атака DNS cache poisonig с dns серверов
но не долго потом всё начинает работать
подскажите в чём проблема

5555555

Цитата:

т.е. запросы по 53, а не к AD

Именно об этом я и подумал и меня интересует только PDC в единственном числе, а не DNSы в DMZ, вторичные и т.п...
Ведь Starshark2007 сомневается вообще в необходимости второго ДНСа в локалке.
Ну да ладно останемся при своих мнениях.
Хотя на счёт керио и железок это верно.

dawwab
А нафик тебе ещё и ESS вместе с керио, да ещё небось и Protocol Inspector работает на этом правиле?

ess для контроля приложений к томуже он и антивирус
Protocol Inspector не ставил а об правиле я не понял ты про что

второй вопрос
из локалки не проходит акунт соединяется ssl доходит до авторизации аккунта и болт
снифером посмотрел вроде происходит обмен но потом приходит ответ encrypt alert
в правилах https включен а так понимаю не правильно происходит обмен сертификатами
в настройках proxy server 3128-> adv.option всё выключено и стоит winroute roxy sever

dawwab

Цитата:

ess для контроля приложений

Ты о чём?

Цитата:

к томуже он и антивирус

А встроенного не хватает?

Цитата:

Protocol Inspector не ставил

Его не надо ставить он по умолчанию включен.

Цитата:

а об правиле я не понял ты про что

А это то правило по которому firewall может опрашивать внешние NS.


Цитата:

правилах https включен

Правило покажи.

Цитата:

не правильно происходит обмен сертификатами

Сертификат установлен на клиенте?
Хост керио должен быть в доверенных узлах.

seva1
Ты так и не сказал, какой именно клиент надо закрыть? Только ICQ?
Если у тебя инспектор протокола ICQ включен, то данные по трафу будут отдельной строчкой.
Запретить передачу файлов - вопрос непростой, это даже за рамки маршрутизатора выходит.
Грубо говоря, если у тебя используется только аська, ужесточи правила, чтоб по порту 5190 можно было только с серверами мирабилисов соединяться - это блокирует стандартный метод передачи файлов между клиентами аськи, когда они соединяются напрямую. Но другие мессенджеры (мейл ру агент) используют скажем 80 порт, а его так просто не закроешь.