» Kerio WinRoute Firewall (часть 4)

YuraseK
Внимания стоят только Виснетик, он же каспер и симантек. Остальное фтопку.

YuraseK

Цитата:

Есть желание прикрутить к Kerio WinRoute Firewall 6.5.0 второй антивирус помимо McAfee

Я бы не рекомендовал это делать по ряду причин:
1. Увеличивается вероятность ложного срабатывания.
2. Нагрузка на систему повышается в 2-раза
3. Увеличение задержки доставки контента, что может привести к ошибкам на строне клиента (превышено время ожидания & etc)
4. Всё равно "новый" вирус вряд ли вычислится т.к. время реагирования разработчиков антивируса как минимум пара часов.

Ruza
Не согласен. Повышение нагрузки я не заметил. А проверка двумя антивирусами только улучшит защиту, неоднократно был замечено ловля зверьков виснетиком, но не макафи.

Так, давайте без холиваров тока, ага? Или прувлинк, что виснетик круче НОДа.
Arakcheev, если не секрет, какой суточный объем траффика и сколько юзеров?

Arakcheev

Цитата:

неоднократно был замечено ловля зверьков виснетиком, но не макафи.

Ага - я тож использую "виснетик", но вместо встроенного макафи.
А толку от двух не заметил...

может кто знает настроил vpn соединение нормальное, коннект идет, захожу на терминальный сервер, но все это работает только в том случае если захожу в инет под сетевой картой на которой установлено получать автоматом(через DHCP), если на карте стоят настройки вручную то vpn также работает, но на терминал попасть не возможно.

ev_robert
посмотри таблицу маршрутизации, там должен добавляться маршрут в ту сеть за vpn`ом

Народ,толи лыжи не едут толи я ето самое....
У меня керио стоит на домене 2003 винды,юзверы авторизируются по айпишнику,больше нигде никаких галок не стоит.
Ставлю шо юзер отключон,а он всеравно пашет в нете?????
и че не работает бандвидз,поставил 3кб/с - юзеру ставил дневной лимит и 0 и 1Мб и не блокировать трафик а резать - тоже никаких результатов ???

Цитата:

Ставлю шо юзер отключон,а он всеравно пашет в нете?????

в правиле, по которому юзеры в инет ходят в разделе сорс что указано?
что бы сработала блокировка, надо еще разлогинить пользователя(или настроить на автоматическое разлогинивание).

kliv1
У меня стоит автоматический разлогин при 2 минутах,но если юзер засел на торренте, тоды как?Какое создать правило на разлогин юзеров?
Вот мои правила

ну правильно, у тебя в правиле для NAT в источнике стоит интерфейс локальной сети, т.е. любой пользователь этой сети по этому правилу будет пропущен в инет(независимо от авторизации).. ставь в источнике группу разрешенных пользователей, вноси в эту группу тех кому можно в инет..

kliv1
Мне моно все юзерам,но иногда особо зарвавшихся надо временно отключить или
ограничить полосу как ето реализовать? или для начало нада занести юзеров в источник?


Добавлено:
Добавил я юзеров,пробывал одного юзера не добавлять или отключать его учетку - все равно с нета он не вылетает. и бандвыдз не срабатывает

может кто встречался с проблемой?
устанавливаю vpn коннект, захожу под терминалом, работаю минут 3-5 и все глохнет. приходится заного заходить. в чем может быть дело?

sNAlexis
Скромно. Порядка 30 пользователей на выделенке 256k.
Вот и сейчас отловилось 6 зверей, из них только 1 макакой, остальные 5 виснетиком.
Я считаю, в любом случае, два антивиря лучше, чем один.
По поводу НОДа - не нравится он мне. С самого начала не нравился. Как раз вчера вебом вычищал комп частного заказчика, на котором стоял обновляющийся НОД 2хх версии.

Добавлено:
MagistrAnatol
Запретите торрент-обмен вообще! Это серьезнейшее нарушение безопасности сети впускать извне потоки, ведь ваш клиент становится донором! Да и затраты снизятся.

MagistrAnatol
Исходя из твоих правил нужно на самом верху прописать типа такого:
group - any - port 80 - deny - blabla
Где group это группа с запрещёнными ИП.
Точно так же и с нарезкой полосы. Для этой группы ставишь лимит трафика 1 кбайт и они соответственно попадают на ограничение...

На счёт торрентов - при закрытии клиента на стороне юзера его клиент ещё какое то время светится в пирах и соответственно запросы будут идти. Но они умирают по ttl т.к. приёмник уже выключен.
ev_robert
Попробуй уменьшить MTU

Arakcheev

Цитата:

Я считаю, в любом случае, два антивиря лучше, чем один.

Кто как хочет - так и настраивает... И паранойю ещё никто не вылечил.

Цитата:

Это серьезнейшее нарушение безопасности сети впускать извне потоки, ведь ваш клиент становится донором!

Плакаль...

По продлению лицензии, заодно обновили NOD c 2.7 на 3.0 корпоратив.
Керио вешается:
при любой попытке соединения из локалки происходит превышение количества соединений и керио стопорится.
Причем пинги ходят, телнетом цепляется, трасировка нормуль. А браузером не хочет.
Пробовал и Imon в NOD отключать и вообще его отключать. Не помогало.
Откатился на 2.7 работает!

AmoraleZ1975
Arakcheev


Проблема с автоматической авторизацией вылечилась так:
В Дополнительные параметры --> Веб-интерфейс/SSL-VPN в поле "Имя сервера WinRoute" прописал имя, соответствующее имени в самосгенерированном сертификате.
P.S. Вычитал на официальном форуме Керио.

Ruza

Цитата:

Плакаль...

На здоровье, платочек подать?

Ruza
в бандвидзе я поставил на загрузку 3к(кста керио в бандвыдзе считает в килобайтах
или килобитах,я где-то читал что в килобайтах - мне надо обрезать по 3кБ/с)
создал юзверов - тип аутотентификации - внутренняя база - по статическому айпишнику
конфигурация определена шаблоном,
в шаблоне ограничить дневной трафик по загрузке на 1 МБ и не блокировать дальнейший трафик.
Отключение неактивного юзера 2 минуты
Все верно?
Arakcheev затраты мне по шарабану у меня безлимит,правда пока на 128 кб
Ту алл по поводу торрентов - то что качают от меня по определенному порту фиг
с ним,с точки зрения безопасности - наскоко реально через открытый торрент порт
ломануть комп?

Arakcheev

Цитата:

На здоровье, платочек подать?

Нет спасибо.

Грустно однако слышать такие речи:

Цитата:

Запретите торрент-обмен вообще!

"Торрент шефа" на картинеке Вам ни о чем не говорит?
Закрыв торент "шефу" MagistrAnatol попросту рискует работу потерять.
Ведь именно "шеф" платит ему ЗП и как ни странно платит за инет.

Теперь разберём фразу по частям (ни в коем случае не вырывая из контекста):

Цитата:

Это серьезнейшее нарушение безопасности сети впускать извне потоки

А как быть с почтовым трафиком? А также с некоторыми другими программами которые требуют доступ именно по портам.

Цитата:

ведь ваш клиент становится донором!

Донором кого? Или чего? Если Вы имеете в виду отдачу файла так это батенька условие приринговых сетей.


Цитата:

Да и затраты снизятся.

Ну тут бабка на двое... Вдруг у MagistrAnatol безлимит...
Да и скачка того же контента к примеру с рапиды врядли уменьшит затраты.

Да, еще такой вопрос правила срабатывают сверху-вниз или наоборот?

обработка сверху вниз идет. если правило не подошло, то берется следующее, и так до первого сработавшего

Цитата:

с точки зрения безопасности - наскоко реально через открытый торрент порт
ломануть комп?

Я о таком не слышал...

Цитата:

Да, еще такой вопрос правила срабатывают сверху-вниз или наоборот?

Именно сверху-вниз вплоть до последнего которое any drop

Ruza
юзверов отрубаю,пасиб,а бандвыдз зараза не хочет работать.
Скорость скорее всего идет в кБ/с хотя в параметрах бандвыдза и в активных хостах пишет кб/с - скорее всего неточный перевод
Где ещо может быть косяк?

MagistrAnatol
На счёт ограничения - проверь:
1. У тебя в свойствах юзера должно стоять квоте.
2. Всего можно выделить 3 группы (без квоты, с квотой, и с квотой 1 кб)
3. В настройках ограничения должно быть что то типа "После превышения срезать скорость до такого предела"

Ruza

Цитата:

1. У тебя в свойствах юзера должно стоять квоте

стоит - я установил по шаблону - дневной лимит 1 Мб и не ограничивать а резать трафик

Цитата:

2. Всего можно выделить 3 группы (без квоты, с квотой, и с квотой 1 кб)

А можно поподробнее по етому пункту - как создать три групи ето понятно
без квот - тоже понятно
а вот как быть с квотой и с квотой 1 кб?-чет в свойствах группы я не нашол скорости
Насколько я правильно понял для всех юзеров привысивших свою квоту ставиться одно
ограничение которое указано в бандвыдзе

Цитата:

3. В настройках ограничения должно быть что то типа "После превышения срезать скорость до такого предела"

стоит 3 на загрузку - ето 3 килобайта или килобита и надо умножить на 8?

вопрос по kerio. Качаю данные по p2p через utorrent. Разблокировал порт, tcp и udp, поставил ограничение соединенийц по p2p на 1000, всё нормально качает, но заметил, что очень тяжело utorrent цепляется к пирам. Как это можно исправить? может ещё какая-нибудь хитрая настройка есть?

MagistrAnatol

Цитата:

стоит 3 на загрузку - ето 3 килобайта или килобита

Килобайта. К сожалению там что в английской, что в русской версии неправильно обозначение. Возможно молодые люди работавшие над интерфейсом не знают разницы между КБ (KB) и Кб (Kb).

Цитата:

а вот как быть с квотой и с квотой 1 кб?-чет в свойствах группы я не нашол скорости

Ruza имел ввиду, скорее всего, что ты в настройках пользователей задаешь квоту (кому какую), потом этих пользователей объединяешь в группу, а внастройках огранечения на кнопке "Дополнительно" задаешь Ограничения - Применять только к указанной группе адресов". И тогда у тебя будут 3 категории - те у кого нет квоты, те у кого она задана жестко и те кто в группе.

Germanus
Наскоко я понял кнопка Дополнительно относиться токо к ограничению загрузки/выгрузки больших файлов или к пользователям превысивших квоту?
У меня безлимит а в свойтвах группы,точнее квоты нет отдельного ограничения по скорости,если я правильно понял у меня не получиться разбить на 3 группы.
Мне не надо посностью отрубать юзвера - токо ограничить скорость

ставь пользователю квоту 0 и галку ограничение по скорости, если ТЫ это имеешь ввиду