» Kerio WinRoute Firewall (часть 4)

Frose да вроде да

Пользуюсь Винраутом уже лет 5, но возникла задача, которую не могу сам решить.
Цель: разрешить создание серверов WarCraft 3 на Battlenet из локалки.
Написал два правила:

1) разрешающая всем доступ к портам War3:

<variable name="Order">1</variable>
<variable name="Enabled">1</variable>
<variable name="Color">4</variable>
<variable name="Name">On-Line игры</variable>
<variable name="Description"></variable>
<variable name="Src">iface:"1_LAN"</variable>
<variable name="Dst">iface:"0_Internet"</variable>
<variable name="Proxy"></variable>
<variable name="Service">"Alkar War3"</variable>
<variable name="ValidTime"></variable>
<variable name="Action">permit</variable>
<variable name="SNAT">auto</variable>
<variable name="DNAT"></variable>

2) мапинг на лакальную машину, которая создает сервер на Battlenet (в данном случае 192.168.1.2)

<variable name="Order">33</variable>
<variable name="Enabled">1</variable>
<variable name="Color">4</variable>
<variable name="Name">Alkar War3 Server</variable>
<variable name="Description"></variable>
<variable name="Src">iface:"0_Internet"</variable>
<variable name="Dst">Firewall</variable>
<variable name="Proxy"></variable>
<variable name="Service">"Alkar War3"</variable>
<variable name="ValidTime"></variable>
<variable name="Action">permit</variable>
<variable name="SNAT"></variable>
<variable name="DNAT">192.168.1.2</variable>

Служба Alkar War3: TCP/UDP порты 6112-6119

По этому второму правилу сервер создается и виден из интернета (могут подключаться извне). Но возникла проблема: локальные пользователи (из моей локалки) не могут подключиться к созданному у нас серверу через Battlenet (варкрафт пишет, что мол сервер или не найден или отключен).

Не подскажете, как можно разрешить локальным серверам доступ к серверу, созданному одной из машин нашей локалки через Battlenet? [Winroute 6.4.2]

MagistrAnatol
Подсказано было правильно, поставив квоту, ты запускаешь механизм "... при достижении квоты" , так вот если поставить "не отключать пользователя, а переключить его на канал с пониженной скоростью, заданной в шейпере" , ты созжаешь по сути некий тариф, при котором пользователь выкачивает установленную квоту на полной скорости, которая доступна, а потом НЕ ОТКЛЮЧАЕТСЯ , а в дело вступет шейпер, и гасит скорость до указанного значения. Это на самом деле работает, но замечены сл. моменты, которые меня не устраивают :

1. Для пользователей, которые перенесены из предудущих верчий винроута, шейпер работает глючно, а именно: при включении шейпера на данного юзера (он попал в группу шейпера), правила начинают действовать, потом выключаем шейпер, либо меняем скорость, и вот тут глюк- шейпер может не отключаться, скорость перестает регулироваться. Это замечено не всякий раз, но бывало 5-6 раз. Лечу удалением юзера, и созданием его по новому, тогда проблема исчезает.
2. Правила шейпера (и первая часть "для группы", и вторая - "по превышении квоты") работают на группу юзеров. Те эти ограничения канала, указанные в правилах шейпера, действительны для всей группы юзеров, которые попали под правило. В итоге, я задаю 14 кб "на превышение квоты", и первый пользователь получает свои 14 кв, второй выработал квоту - и ага, оба сидят по 7,5 кб, ну третий и дальше, уже не смешно.
3. Наблюдаю за ситуацией с загрузкой канала на двух последовательно подключенных серверах, и вижу проблему: на прокси-сервер подключается клиент, попадает в правила шейпера, ему скорость зарубается, что видно на гистограмме. На втором сервере (провайдерском) ситуация не меняется, канал как работал на максимуме, так и работает. Как это можно объяснить с точки зр. здравой логики, я не знаю, но всё то время, пока клиент "выдаивает" с прокси свою загрузку, канал всёже молотит на полную, что тоже видно по гистограмме. Куды в это время девается накачанное, не понятно )))

Вот это, остобенно вторая часть, не дает возможности использования шейпера фактически. Оч. хотелось бы, чтоб хотябы на ай пи или на мак прикрутили ограничение, не говоря уже о динамике. Сейчас пробую с внешними программами, нашел 3 варианта: TMeter, BandwidthController, bwm (BandwidthManager), сходу прикрутил TMeter, а с остальным надо разбираться, если кстати, кто знает где это обсуждается (по указанным программам), дайте ссылочку, если нет - давайте организуем топик, тк пока ждешь шейпера в Керио, надо что-то делать ))), а проги вроде нормальные, только надо коллективно их осознать ))))))))

Добавлено:
Andrey Lopatnev
слышал, что проблема связана с маршрутизацией UDP , а порты вроде начинаются с 6110

Доброго времени суток у меня небольшие проблемы с прокси
1е неведётся учёт трафика от пользователей приконектившихся через внешний интерфейс
2е неработают фильтры содержимого для пользователей, правильно приконектившихся к прокси на внешний адрес

версия 6.5.0 (4794)
ps шлюза работает из под пользователя(ну т.е. его трафик пишется одному из пользователей)

Имеется 2 провайдера, на одном крутится фтп , и еще по мелочи сервисов, то есть трафик практически весь исходящий. второй безлимитка, то есть его хочу использовать как основной. Возможно ли с помощью керио разрулить 2 инета ?
нужно что бы работали оба подключения, часть сервисов через один, часть через другой. у 1 подключение через антену, белый ip. у 2 - через эзернет кабель+ VPN

Что там с лекарственным сбором для 6.5?

AlexSun1980

Цитата:

Что там с лекарственным

что-то со зрением?
смежная тема в варезнике

Liderdomofon
из за чего я и так долго морочил голову народу - не работает нормально у меня обрезка
по скорости.Есть много проксешников у которых шейпер работает нормально,причем можно выставлять для каждого юзера свою ширину,НО ... ни у одного аналогичного проксешника я не нашол нормально работающего ната.Будем пробывать TMeter и другие

Задача следующая:
Внутри сети есть корпоративный портал.
Необходимо иметь к нему доступ извне, т.е. из интернета.
По логике вещей, надо сделать такое правило:
Из Интернета На Firewall Сервис HTTP Permit MAP 192.169.1.2:80

т.е. в браузере когда я набираю внешний ip адрес firewall, он должен пробрасывать его на внутренний портал (192.168.1.2)
НО... при пробросе он сопоставляет 192.168.1.2 с именем хоста и браузер пытается уже достучаться по этому имени, естественно его в интернете на находится

как быть? как извне попасть на внутренний портал?

AmunRa
керио тут ни причем, попробуй у клиента в файлике hosts сопоставить имя хоста с порталом и внешний ip сервера, тогда DNS запрс будет возвращать твой адрес сервера

Где бы почитать , как правильно настроить кеш в керио 6
Народ в течении дня лазит по 3-4 определенным сайтам, инфа на которых меняется раз, отсилы 2 в день. Трафика нагоняет немеряно.
Интересует именно детальная настройка на определенные сайты.
Что бы кешировало все .exe и jpg и некоторые дургие форматы
Заранее спасибо

kpmby
Читай здесь!

lavren

это я читал, однако в статье нету информации как заставить керио кэшировать только определенные типы файлов

1.Есть сетка 192.168.0.0/255.255.255.0. и домен domain.local. Есть куча юзеров в АД, которым надо дать инет без авторизации и привязки до IP, и куча юзеров непривязаных к вышеупомянутому домену. Этих "левых" юзеров надо авторизировать по IP или каким-то другим способом (но только единоразово-ввод логина и пароля каждый день неприемлем). Возможно ли организовать это в Керио 6.5.0. Если да, то как?
2.Как установить лимит скорости для конкретного юзера не привязаного к IP?

имеется отдельно стоящий пк с 2003 виндой и Керио 6,4,2 и заведенным к нему инетом
в системе ОДНА сетевая (сервер необходим для обмена данными, а также их хранения через инет)
правила разрешено отовсюду повсюду любые порты (для начала, дальше - закроем)
неполучаеться настроить фтп (стоит geneb ) на 21 порту,
немогу выйти в инет (при попытки выйти в коннекшен куча попыток подключения к сайту на который пытаюсь выйти) хоть на сайт хоть на ФТП

при отключении керио - сразу все работает
переустанавливать пробывал...

в общем выручайте посоветуйте как исправить ситуацию

Wise_Man
Через АД все ваши требования легко сделать в керио. А юзеров вне АД, если именно автомат нужен, можно привязать к ИП (керио это тоже умеет), если же в их браузерах сохранить пароль.
Резать скорость можно только группе юзеров.

Добавлено:
rstar1979
Проверьте отключена ли авторизация

Arakcheev

авторизация отключена

rstar1979
случайно антивирус не установлен на этом компе? каспер например. Винроут не со всеми дружит

rstar1979
+ и выключи протокол-инспектор на FTP

На компьютере, не контроллере домена изменил имя сервера Керио. Т.к. ничего не заработало, вернул обратно. Теперь на контроллере домена имеется пред виндовс-2000 запись компьютера с тем именем, которым я вводил, но она не отображается! При этом из-за этого возникают другие ошибки. Как от этого избавиться???

пост удалил - проблему решил

Народ, небольшой вопросец. Как и где изменить страничку генерируемую контент фильтром с надписью "Запрошенная страница не найдена. Пожалуйста, свяжитесь с администратором межсетевого экрана", а то юзера замучили.

kliv1
тут все норм он непричем...
Liderdomofon

Цитата:

+ и выключи протокол-инспектор на FTP

ПОМОГЛО!!! спс!!!
тока выключить пришось и на шттп чтоб в инет выйти можно было

Народ подскажите реально ли настроить керио на вот такой сетке: Инет от провайдера раздаётся в сеть через роутер Asus, Керио я поставил на серваке Win2003 serv с AD( также на нём стоит сервер Exchage, Symantec Endpoint, Avicom - использует MS SQL) также в сети стоит почтарь на FreeBSD завязанный на Exchange. Суть в том, что на серваке один сетевой интерфейс, а я так понял что Керио надо настраивать на два (внешний и внутрений).. Подскажите пожалуйста это вообще реально?

p.s. задача ограничить траффик, установить правила на скачку файлов видио музыки и т.д. учёт статистики по траффику.

Jaguare
Всё реально. Только на прокси надо будет добавить сетевую карту и завести на неё провайдера. А вообще лучше под прокси отвести отдельную машину.

Это то всё понятно, вопрос был именно на таком конфиге т.е. не ставя отдельный шлюз и не прокидывая провайдера к серверу... что с роутера также как было раздавался инет.

Добрый день!
Стоит Kerio 6.
Меряю скорость скачивания файла до фаервола и после. Скорость после фаервола падает в два раза. Пробовал ставить более мощный компьютер, результат тот же.
Подскажите, какое может быть решение и в чем причина?

Jaguare

у меня тот же вопрос, точнее очень похожий...
собственно можно ли настроить KWF работать в режиме прокси с одной сетевой картой.
конфиг сети такой: есть два сервера, AD, keriomail, обычные компы и роутер (zywall), который смотрит в инет. На сервере соответствено один LAN сетевой интерфейс. хотелось бы KWF на сервере настроить как прокси (с ОДНИМ сет интерфейсом который смотрит в LAN)... возможно ли это?

Цитата:

у меня тот же вопрос, точнее очень похожий...
собственно можно ли настроить KWF работать в режиме прокси с одной сетевой картой.
конфиг сети такой: есть два сервера, AD, keriomail, обычные компы и роутер (zywall), который смотрит в инет. На сервере соответствено один LAN сетевой интерфейс. хотелось бы KWF на сервере настроить как прокси (с ОДНИМ сет интерфейсом который смотрит в LAN)... возможно ли это?

Полностью поддерживаю вопрос...... Вообщем что мне удалось: сделал успешно импорт пользователей из AD, настроил авторизацию (и тут проблема ... в статистике появились 3 юзера, а по хостам активным их 15 и траф считает судя по всему весь и локальный в том числе) хотя через прокси заходит и HTTP нормально пробрасывает.
Ряд проблем:
1) Не удаётся открыть доступ Avicom клиентом к серверу
2) открыв все порты и направления я не добился синхронизации сервера Symantec с клиентами (т.е. зелёный шарик не горит у клиентов)
3) Kerio заменяет сертификаты SSL и при заходе на https://mail.mydomen.ru вылазиет ошибка сертификата (победил обновив в ISS сертификат) Потом при заходе на webmail керио подставляет свой SSL-VPN и соответственно не заходит на web exchange.


Огромная просьба к гуру Kerio выложить примерные настройки Traffic police ... я хоть как то посмотрю сравню что не так ..

Jaguare

Цитата:

Керио я поставил на серваке Win2003 serv с AD( также на нём стоит сервер Exchage, Symantec Endpoint, Avicom - использует MS SQL)

Я бы попросту не рускнул бы ставить туда ещё и firewall. Ввиду возможных задержек из-за драйвера kerio. Да и из-за блокировок...

Цитата:

p.s. задача ограничить траффик, установить правила на скачку файлов видио музыки и т.д. учёт статистики по траффику.

А на счёт задачи то да можно но не шлюзом, а прокси.
Но в таком случае я не вижу необходимости в керио... уж проще обычный проксик поставить, типа squidNT/proxy+/etc. (не реклама). Без глубокого внедрения драйверов и NAT.