Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 4)

Автор: admSpotting
Дата сообщения: 25.09.2008 15:10
Jaguare

те как прокси он работает? с одним сет интерфейсом?
тогда вопрос как? какие настройки нужны чтобы это сделать?
на серваке стоит AD, DNS, DHCP, kerio mailserver, symantec scan engine...
Автор: Labigo4you
Дата сообщения: 25.09.2008 15:15
ээээ впринципе возможно))) только на роутере прдется сконфигить его прокси... а керио так чтоб он пресылал все на него... ну и конечно рабочие машыны.... рбят у меня вопрос.... зачем вы керио ставите сли у вас роутер есть??? подщет трафика??? ну так поройтесь в роутереююю наверняка там есть и логи и доступ по пасам...
Автор: Jaguare
Дата сообщения: 25.09.2008 15:18


Цитата:
    ээээ впринципе возможно))) только на роутере прдется сконфигить его прокси... а керио так чтоб он пресылал все на него... ну и конечно рабочие машыны.... рбят у меня вопрос.... зачем вы керио ставите сли у вас роутер есть??? подщет трафика??? ну так поройтесь в роутереююю наверняка там есть и логи и доступ по пасам..


Да уж куча гемора от Керио возникло меня ещё сёдня начальство ..... Да дело в том что в роутере нет возможности ограничить скачку создать правила куда можно ходить куда нет... а посоветуйте плиз какой лучше маленький проксик бы справился с такими задачами?
Автор: admSpotting
Дата сообщения: 25.09.2008 15:22

Цитата:
только на роутере прдется сконфигить его прокси...

с трудом понимаю данную фразу... аппаратный роутер как прокси?! эт как?


Цитата:
зачем вы керио ставите сли у вас роутер есть??? подщет трафика??? ну так поройтесь в роутереююю наверняка там есть и логи и доступ по пасам...

кэш, более тонкие настройки прав доступа на основе интеграции с AD


Добавлено:
Jaguare

Цитата:
Да уж куча гемора от Керио возникло меня

так получилось настроить KWF как прокси??? хотя бы да или нет (((
Автор: Labigo4you
Дата сообщения: 25.09.2008 15:26
эммм.... вин прокся... или нуно просто граматно настроить керио.. так как я понял пирчину...
---------------
Ряд проблем:
1) Не удаётся открыть доступ Avicom клиентом к серверу
2) открыв все порты и направления я не добился синхронизации сервера Symantec с клиентами (т.е. зелёный шарик не горит у клиентов)
3) Kerio заменяет сертификаты SSL и при заходе на https://mail.mydomen.ru вылазиет ошибка сертификата (победил обновив в ISS сертификат) Потом при заходе на webmail керио подставляет свой SSL-VPN и соответственно не заходит на web exchange.
----------------
точнее первую я не понял...
зачем порты я тоже не понял.... как настроены правила керио?
ну а 3 пункт просто отключи ssl-vpn или смени ему порт... он по умолчанию 80...


Добавлено:
[/q]с трудом понимаю данную фразу... аппаратный роутер как прокси?! эт как?[/q]
эммм.... смотря какой роутер... почти все д линки такое умеют... обычно прошивка много чего умеет)))
Автор: admSpotting
Дата сообщения: 25.09.2008 15:36

Цитата:
эммм.... смотря какой роутер

ZyWall 5 EE... режима прокси у него нет... есть NAT. и чет на длинках я проксевых роутеров не видел... какая модель?
Автор: Labigo4you
Дата сообщения: 25.09.2008 15:39
admSpotting
как проки работает но и как шлюз отже работает... если хочеш чтоб он работал только проксей то... воообщем:
1- разрешаеш, в правах, доступ к нему любые протоколы или же порт прокси, а ему в общию сеть без ограничений...
2- настроеваеш прокси сервер чтоб он передовал все запросы на твой роутер
3- прописываеш клиетам его как прокси) (с помоью GPO если их много и знаеш как))) )


попробуй прошивку в своем обновить
Автор: admSpotting
Дата сообщения: 25.09.2008 15:40

Цитата:
нуно просто граматно настроить керио..

согласно мануалу на керио ему нужно 2 сетевухи! отсюда вопрос к тем кто это делал или точно знает, что можно и как это сделать, а не к тем кто предпологает, что в случае граматной настройки существует не нулевая вероятность наличия позитивного окончания конфигурирования данного програмного продукта фирмы KERIO
Автор: Jaguare
Дата сообщения: 25.09.2008 15:42

Цитата:
1) Не удаётся открыть доступ Avicom клиентом к серверу

поясняю - это софтина клиент-сервер запросы посылает на MS-SQL


Цитата:
зачем порты я тоже не понял.... как настроены правила керио?

ну так я где то вычитал....





Автор: Labigo4you
Дата сообщения: 25.09.2008 15:46
admSpotting
жестоко ты меня....
ну да ладно.... работает точно... делал 2 раза...
но луше его использовать как шлюз....
про длинк сори называется это чюдо... DFL-800 ... и есть для этого монстра прошивочка которая добовляет функционала...

Добавлено:
Jaguare
эмммм ну ты звееееееерьььь...
насколько я понял НИЧЕГО НЕ ПАШЕТ! да?
я правильно понял что эта машинка стоит обособленно у неё одни интерфейс и задача её работать прокси???? если да то ты пошел интересным путем.... вопревых разреши доступ с твоей ситевухи да файрвол... хотя нет.... в локальный трафик включи её...


Добавлено:
этим ты добьешся доступ из локальной сети к машине и доступ машины в локалку)))..
далее идем в настройки прокси...
Автор: Jaguare
Дата сообщения: 25.09.2008 16:03
ок сделал .. NAT я так понимаю нигде не врубать...

p.s. Это я срубил уже все свои настройки в ноль.. что б настроить с вами как надо))


так .. что в настройках прокси?
Автор: Labigo4you
Дата сообщения: 25.09.2008 16:06
если есть доступ к машине из сети и наоборот то идем дольше...
что мы видем сейчас?
далее ставим порт прокси и говорим что б он пересылал все жто добро на твой роутер...
Автор: Jaguare
Дата сообщения: 25.09.2008 16:12
Правила :



прокси



Добавлено:
Друг ну ты куда пропал то?(
Автор: admSpotting
Дата сообщения: 25.09.2008 16:38
Labigo4you

Цитата:
жестоко ты меня....

сорри если что ))) просто я эту тему на трех форумах запостил. в итоге ни одного конкретного ответа никто не дал, а только рассуждения типа : зачем, а тебе это нужно... а може воткнуть две карты и тд... чуток бесит )))

я уже сам разобрался... ответ можно и довольно просто. надо было сразу поставить а не в мануале искать ответ "можно ли"... но не хотелось на контроллер ставить что-то не зная заработает ли
но все работает и всем спасибо )))
Автор: rstar1979
Дата сообщения: 25.09.2008 16:39

Цитата:
ПОМОГЛО!!! спс!!!
тока выключить пришось и на шттп чтоб в инет выйти можно было


Помогло да не совсем


в пассивном режиме не работает
выдает 425 Cannot open data connection.
как только выключаю на серваке керио, естественно все работает

В системе с двумя сетевыми таких приколов нет, вот и вопрос если всеже поставить вторую сетевую это что-то даст???
Автор: Labigo4you
Дата сообщения: 25.09.2008 16:39
извени работать зааставляют... переодресащия на родительский прокси... указываеш адрес роутера с портом хттр...

Добавлено:
вообщем должен работать....
Автор: Jaguare
Дата сообщения: 25.09.2008 16:54
Угу ясно, спасибо большое
Автор: Liderdomofon
Дата сообщения: 25.09.2008 21:44
Ребята, вдумайтесь, что вы делаете: керио, в первую очередь, корпоративный фаервол, а все остальное уже потом. Не надо его ставить на контороллер домена, надо его ставить в промежутке между сеткой и серверами, и дальше уже наруливать. Все остальное вылезет боком не в одном месте, так в другом. Сетевух всяко больше надо ставить, чем одна, а может, больше и чем 2, страшного в этом нет ничего - если компьютер будет работать как выделенный для керио, то мощность нужна минимальная, будут работать только правила, роутер, проксик, и, возможно сканер. А вот как раз когда в один комп соберете кучу всего, то и по начальной настройке гимор (если вооще заработает), и по последующему администрированию, и комп вероятно будет в постоянном перегрузе. Тем более контроллер домена- смысл экономики противоречит логике ))
Автор: Frose
Дата сообщения: 26.09.2008 09:44
Всем привет, у меня два вопроса:
1. В связи с выходом новой версии , что работает не сомневаюсь, а вот заинтересовала в истории такая вещь как + Link Load Balancing, как эту балансировку ??
2. НУжно юзверю создать правило, что бы он ходил на определенные сайты без учета трафика, выключить протокол инспектр для этого правила??
Автор: Starshark2007
Дата сообщения: 26.09.2008 10:35
Liderdomofon

+100

admSpotting

У тебя встал Винрут с одной сетевой?

Frose

2. Accounting -> Exception -> Exclude selected users
Автор: acode
Дата сообщения: 26.09.2008 17:32
В связи с переходом с версии 6.42 на 6.50 хочется послать луч поноса группе авторов керио.
(пятиминутка ненависти начинается)
А авторам идеи разбить интерфейсы на группы "локальные" и "интернет" от чистого сердца желаю разбить свои дурные головы, выкинуть мозг и натолкать туда ваты.
В новой версии настроить переключение на резервный гейт в сети "локальная сеть" стало возможным только переведя ее интерфейс в группу "интернет". Со всеми вытекающими последствиями в виде кривой статистики, невнятной таблицы правил и прочего. Выводить гейт (адсл-модем) из локальной сети и оформлять его отдельным интерфейсом на винроуте -- то если физически подохнет сам роутер, резервный гейт останется "за" дохлым роутером...
В общем молодцы, гаденыши, все грамотно испортили
(пятиминутка ненависти закончена)
Автор: mukas
Дата сообщения: 26.09.2008 19:05
в ТИ можно исползовать не просто доверенная зона или интернет, а непосредственно сами физические интерфейсы, и кривости в ТИ и не будет, а не резервным как там хз
Автор: ev_robert
Дата сообщения: 27.09.2008 22:29
признаться честно не читал предыдущие вкладки, может кто подскажет как проще обновтся с версии 6.4.2 до 6,5 без переустановки и перезабивки настроек - пользователей, потитик безопапасностности, сетевых адаптеров?
Автор: Ruza
Дата сообщения: 27.09.2008 23:18
acode

Цитата:
Выводить гейт (адсл-модем) из локальной сети и оформлять его отдельным интерфейсом на винроуте -- то если физически подохнет сам роутер, резервный гейт останется "за" дохлым роутером...

Вот попытался понять смысл сего изречения но возможно он скрылся за потоком эмоций... Если можно подробнее особенно о "физической смерти" шлюза и кто где останется...
Если честно я сам отказался от использования kerio, но по несколько другим причинам и не так эмоционально. Но тема всё равно представляет для меня интерес т.к. kerio фактически самый распространённый корпоративный firewall ИМХО.

ev_robert
Просто поставить по верху, у меня настройки в своё время сохранились.
Автор: kliv1
Дата сообщения: 28.09.2008 12:51
ev_robert
на всякий случай сделай резервную копию и , как Ruza говорит, накатывай поверх, в большинстве случаев нормально воспринимает все настройки
Автор: Ruza
Дата сообщения: 28.09.2008 18:34
ev_robert
kliv1

есть одно но! при обновлении 6.5 устанавливает обновлённый низкоуровневый драйвер, и при откате могут возникнуть проблемы с установкой старой версии...
Автор: kliv1
Дата сообщения: 28.09.2008 20:44
Ruza
спасибо за инфу, на старых версиях я как-то откатывал нормально, тогда надо бэкап всей системы сделать
Автор: Hrist
Дата сообщения: 29.09.2008 10:12
угу
причем откат очень вероятен... 6.5 сырая очень - есть примеры глюков с авторизацией и марщрутизацией..
Автор: Labigo4you
Дата сообщения: 29.09.2008 13:25
с интерфейсом беда... согласен, я неувидел не одного существенного плюса обновления
Автор: BULLDOG
Дата сообщения: 29.09.2008 15:24
Здравствуйте. Сегодня поставил Kerio 6.5, а у меня в DIAL-IN нет некоторых соединений RRAS, почему? Можно их туда добавить

Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768

Предыдущая тема: realtek rtl8169 and vlan


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.