» Kerio WinRoute Firewall (часть 4)

Big_mazy
Я не дохтур. Я больной из соседней палаты
Настройки ИМХО правильные на сервере *.77 и на клиенте *.41
Спрашивал Вас в ПМ, как клиенты пашут.
Цитата:

неожиданно все интерфейсы отключились в керио. причем пока не перегрузил сервер ничего даже по локалке не пускало. после перезагрузки исчез интернет ваще.

У меня так бывало иногда, приходилось керио или ОС перезапускать. А сейчас перезагрузка раз в сутки назначена. Неужели в журналах керио, системном журнале, %windir%\system32\drivers\kwf*.log никаких ошибок, связанных с сетью или керио?

ArticDT
а как должна выглядеть ошибка?

Нужно организовать авторизацию пользователей автоматически по ИП, именно тех которые есть в списке пользователей, остальных блокировать.
Получается что любой пользователь локалки имеет доступ в инет, если только не указать обязательную аутенфикацию при доступе к вебстраницам. Сеть без домена.
Даже если опция автоматической авторизации в настройках польхователей не активна, они все равно инетом пользуються((


П.С. Неужели выхода так и нет? Нигде не могу найти уведомление пользователей о том что установленный им лимит трафика исчерпан, кериор тупо отключает инет и не открывет страницы, будет куча вопросов от юзеров типа "а что с инетом?". Уведомление их по электронке тоже не катит. Кто то знает как решить вопрос?

короче возврат на 6.4. все вылечил

НАРОД ПОМОГИТЕ!!!
буду очень признателен....

Стоит

Сервер
MS Server 2003 (192.168.0.10)

, а на нем крутится 3 виртуальные машины:

1. MS Server 2008 AD 192.168.0.2
2. MS Server 2003 Kerio 192.168.0.1
3. MS Server 2003 SQL 192.168.0.3

Мне нужно сделать чтобы работал удаленный рабочий стол к серверу 192.168.0.10 (RDP порт:3389)

И подключение к базе SQL 192.168.0.3 (порт:1433)

поставил 2 правила с маппингом, в одном порт 3389 на один серер и порт 1433 на второй сервер.

Проблемма в следующем, работатет только что то одно, а именно что стоит выше! например правило с SQL ставлю первым, неработает RDP и наоборот.

Подскажите в чем может быть дело! Очень буду благодарен. Спасибо!

http://slil.ru/26299223 воткартинка

DenisStrelok

Цитата:

теперь: коннектится к инету (с 2-3 попыток... работает 3 минуты (работает аська и агент, браузер не пашет) и отключается. В чем может быть загвоздка?

У меня была проблема тоже ровно с тремя минутами. Схема была следующая: Удаленный компьютер подключался к инету по PPPoE через ADSL модем (причем PPPoE было настроено в самом модеме, т.е. можно сказать компьютер был постоянно подключен к инету), затем он подключался к головному офису по виндовому VPN и далее входил в базу 1С через Citrix. Вот здесь 1С-ка и отваливалась ровно через три минуты. В чем глюк (конфликт) выяснить так и не удалось, хотя работали над этим. Решить проблему удалось только исключением PPPoE. Т.е. было запрошено у провайдера постоянное подключение через маршрутизацию сети вместо авторизации по PPPoE. Может и вам все-таки имеет смысл поискать другую схему. Я прочитал все ваши посты, чето хрень какая-то натуральная. Мне кажется что, то что предлагал Вам Ruza и уточнил Liderdomofon и будет оптимальным решением. Ну если конечно вы тр-х-сь с этим ради Мазохизма, то флаг в руки. Но зачем флудить форум, найдите решение и отпишитесь.

Вопрос:
Что имеем:
Интерфейсы на роутере:
1 - внутренний интерфейс (local) : IP 172.0.0.1 mask 255.255.255.0
2 - внешний интерфейс (lan): получает IP через DHCP. Выход в районную сеть. Инета нет.
3 - внешний интерфейс (inet1): VPN DialUp через 2-й (lan) интерфейс. IP - назначается динамически.
4 - внешний интерфейс (inet2): Резервный канал. Стрим. IP - динамический.

Локальные клиенты: 172.0.0.1/24 , gate - 172.0.0.1, dns - 172.0.0.1
ПО - Kerio 6.5.0

Вообще, всё работает при условии использования либо районной сети либо стрима. Т.е. один из интерфейсов нужно физически вырубать.
Однако в 6.5.0 есть возможность использования одновременно нескольких интерфейсов для доступа в интернет. Но почему-то inet2 всегда неактивен. Догадываюсь что в целом проблема в том что в системе используется несколько DNS и шлюзов и (приобретаемых через DHCP)

help

БЛИН... ИНСТРУКЦИЮ В КАРТИНКАХ СДЕЛАТЬ ЧТО ЛИ?????
А то впн винда....

Добавлено:
если нужно конечно)))


Добавлено:
antonclass
когда ты используешь несколько соединений во внешную сеть у тебя система создает роут... маршрут в виде
ХОСТ
0.0.0.0
маска
0.0.0.0
gate
Такой_то (там обычно шлюз твоего провайдера)
и мерика...
а также интерфейс к которому это правило приминяется... (тут подключение через которое будет идти инет)

ВОобшем тебе нежно создать Самому 2 роута с разными метриками (и интерфейсами тоже....)... одни основной и один резервный тот у кого метрика меньше тот и будет основным... только разброс сделай побольшеееееее.... ну так... основной метрика 10, торичный 1000 что то типо этого....
НО УЧТИ В 6.5 КЕРИО ЕСТЬ ФУНКЦИЯ БАЛАНСИРОВКИ ЗАГРУЗКИ КАНАЛА... ЭТО НЕ ТО ТО Я ТЕБЕ ОПИСАЛ... в указаной конфиге будет работать как основной и резервный канал...

если что непонятно пеши...

Добавлено:
кстати такая функция была и в более ранних версиях... знаю точно работало с первых 6 версий... при условии правильно разруленного trafic polici и rout table

Господа,подскажите как насильно закрыть 80 порт извне на керио?
Стоит ДСЛ модем в режиме роутера

Подскажите пожалуйста.Может кто сталкивался.



Подскажите пожалуйста.Может кто сталкивался.
Как с этим бороться...???? кто сканит млин???

а, и еще одно,как разрешить использовать админконсоль ДСЛ модема 192,168,1,1 - а то приходиться стопить службу керио потом пускает?

MagistrAnatol
про закрытие порта я непонял....
а про консол... там все просто смотри по какому порту он стучиться... и открывай его.... или пропиши отдельный роут что мол на этот хост сервис любой...

Добавлено:
mrkop
нууууу тебя планомерно бомбят... поздровляю.... тут что тосделать сложно... можеш сделать скрин и отправить своему провайдеру... а можеш заблочить весь ХОСТ тобиш правило в trafic polici что мол с этого хоста к серверу (firewall) все запросы drop

Добавлено:
да и правило в самы верх поставить нуно

Labigo4you

хост 85.234.37. 10 это мой айпи.

Я не пойму, сканируют меня??? или я???

Вроде источник мой айпи (судя по описанию керио)

Цитата:

Что имеем:
Интерфейсы на роутере:
1 - внутренний интерфейс (local) : IP 172.0.0.1 mask 255.255.255.0
2 - внешний интерфейс (lan): получает IP через DHCP. Выход в районную сеть. Инета нет.
3 - внешний интерфейс (inet1): VPN DialUp через 2-й (lan) интерфейс. IP - назначается динамически.
4 - внешний интерфейс (inet2): Резервный канал. Стрим. IP - динамический.

Локальные клиенты: 172.0.0.1/24 , gate - 172.0.0.1, dns - 172.0.0.1
ПО - Kerio 6.5.0

Вообще, всё работает при условии использования либо районной сети либо стрима. Т.е. один из интерфейсов нужно физически вырубать.
Однако в 6.5.0 есть возможность использования одновременно нескольких интерфейсов для доступа в интернет. Но почему-то inet2 всегда неактивен. Догадываюсь что в целом проблема в том что в системе используется несколько DNS и шлюзов и (приобретаемых через DHCP)

Цитата:

когда ты используешь несколько соединений во внешную сеть у тебя система создает роут... маршрут в виде
ХОСТ
0.0.0.0
маска
0.0.0.0
gate
Такой_то (там обычно шлюз твоего провайдера)
и мерика...
а также интерфейс к которому это правило приминяется... (тут подключение через которое будет идти инет)

ВОобшем тебе нежно создать Самому 2 роута с разными метриками (и интерфейсами тоже....)... одни основной и один резервный тот у кого метрика меньше тот и будет основным... только разброс сделай побольшеееееее.... ну так... основной метрика 10, торичный 1000 что то типо этого....
НО УЧТИ В 6.5 КЕРИО ЕСТЬ ФУНКЦИЯ БАЛАНСИРОВКИ ЗАГРУЗКИ КАНАЛА... ЭТО НЕ ТО ТО Я ТЕБЕ ОПИСАЛ... в указаной конфиге будет работать как основной и резервный канал...

Спасибо. Но мне бы конечно хотелось использовать БАЛАНСИРОВКУ!

mrkop
ммм... правила маршрутизации выложиш???
да кстати маскировщик.... стирай послед цыфры... а то ип адреса в диапозоне 1 до 254...
иии дааа... посмотри какие приложения стоят... был случай когда паленый НОД стучался невесть куда...

mrkop
Сканируешь ты поизучай запущенные приложения, а также возможны трояны...

antonclass
балансировка... чесно говоря еще не использовал.. в пятницу буду обновлять шлюз... так что если хочешь отпишусь о результате)
но когда смотрел там врод все довольно просто было.... выбираеш режим работы, задаеш пропусную способность и работаеш...

Labigo4you

Это точно...после того как картинку выложил подумал и ужаснулся...Фокус не удался факир бы пьян.


antonclass

Блин Nod3 стоит..даже и намёка нет давал на черво-вирей


Пиппец запустил я "TcpView" .... И увидел 1200 конектов большая часть которых была от керио и нода
очень много конектов на эти вот хосты:
rio.sweb.ru
fe53-1.hc.ru

Парни, помогите с настройкой kerio winroute firewall 6.4.2 build 3672

Задача такая: пользователи при достижении своего лимита (не важно суточного или месячного, у кого как установлено) должны переставать получать доступ к сервисам и сайтам, кроме определенных (рабочих). Желательно при этом авторизоваться при доступе к www логином и паролем.

Для начала пробовал делать так: в traffic policies прописывал что все пользователи могут иметь доступ ко всем сервисам (через NAT), но по www могут ходить только на рабочие сайты (через NAT!!!). И следующее правило - авторизованные пользователи могут иметь доступ ко всем остальным сайтам через www proxy (непрозрачный прокси). Соответственно поднимал непрозрачный прокси параллельно с натом, у пользователей прописывал использовать прокси...... и ставил галку "не использовать прокси для следующих адресов" и перечислял рабочие адреса. Соответственно при моей задумке все могут работать даже без авторизации, а при попытке пойти на севые сайты обязательная авторизация по логину и паролю должна запросить доступ к www proxy (непрозрачному прокси). Затем при достижении лимита доступ к сайтам, не относящимся к работе должен отрубиться, а все остальное, плюс рабочие сайты должны работать. Однако работает это коряво: при достижении лимита отрубаются намертво все сервисы. В крайнем случае можно зайти на страницу kerio, разлогиниться и после этого вроде рабочие сайты работают. т.е. проблема в том, что введя один раз логин и пароль он его зопоминает надолго, а мне нужно чтобы при каждом доступе к сайту, неотносящемуся к работе запрашивался пароль. Контингент пользователей такой, что специально заставить их ходить на страницу kerio чтобы разлогиниться не катит

Сейчас все работает отлично с авторизацией по ip, однако не могу реализовать все что нужно. Идеально было бы, если бы была возможность при достижении лимита пользователем не только урезать ему скорость и отрубать все, но и перемещать в другую группу, соответственно с другими правами. Было бы очень гибкое решение.....


Пока подумываю поставить сторонний непрозрачный прокси, и отрубать доступ к нерабочим сайтам с его помощью, но обидно используя вроде как мощную гибкую софтину делать это....


И вдогонку: возможно ли сделать так, чтобы на странице статистики пользователей, у них не отображались разрешенные и запрещенные сайты, куда доступ им ограничен?

Приветствую. Я вроде поиском поискал но ничего не нашел.
Проблема у меня такая.
У нас определенная текучесть кадров, поэтмоу уже накопилось в статистике часть пользователей, которые уже не работают.
Хотелось бы избавиться от их отображения в статистике STAR.
Доменный пользователь удален, в админке все упоминания о нем удалены. но в статистике он остается.
Как вообще можно админить данные в STAR.
Спасибо.

MagistrAnatol

Цитата:

как разрешить использовать админконсоль ДСЛ модема 192,168,1,1

Обычно она по HTTP работает, просто нужно разрешить HTTP для этого адреса отдельным правилом. Или разрешить все на 192,168,1,1, (НАТ включать не нужно!!!), поэтому правило для выхода в инет здесь не годиться.

mrkop
что то я непонял... к чему этот роут??? всмысле зачем выложил?

Добавлено:
utp_ss
посмотри http polici и нетрогай трафик полиси
там тебе нуно прописать правила... в таком порядке

1. разрешающее правило инета.
тут ты указываешь группу или пользователей который могут ходить в инет.
ниже URL begins with: * (всмысле ставиш звездочёту), это знаыит что все юзеры в списке могут ходить по протоколу хттп куды им вздумается
ну и дествие "галочка" тобиш allow
2. вторым правило запрещающие инет
в юзерах ставишь "any" и галочку "do not require..."
URL begins with: * (ставиш звездочёту), это значит что все юзеры в списке могут ходить по протоколу хттп... не куды они ходить немогут...



должны стоять в таком порядке т.к. привила выполняются с верху вниз...
в итоге ты получаешто все кто в группе (всетаки создай группу, если кто то новый добавится просто добавиш его в неё...), а привязывать все таки более правильно к группе, имеет доступ в инет все остальные нет...


ну а чтобы юзеры автоматом аунтифицировались тебе нуно просто прописать их ип в их аккаунтах... там на последней вкладке

Добавлено:
vimaret

Цитата:

MagistrAnatol

Цитата:
как разрешить использовать админконсоль ДСЛ модема 192,168,1,1

Обычно она по HTTP работает, просто нужно разрешить HTTP для этого адреса отдельным правилом. Или разрешить все на 192,168,1,1, (НАТ включать не нужно!!!), поэтому правило для выхода в инет здесь не годиться.

эммм поясни... я не понял...
без ната работать будет только если он подключается с машины непосредственно перед мадемом... тобиш керио....

Labigo4you
Мне недо закрыть 80 порт для доступа из интернета

эммм а ты его разрешал??? скин trafic policy выложи, просто по дефолту из нешней сети доступно 2 сервиса https и kerioVPN

win serv 2008
Version 6.5.1.5000
2 сетевых (локальных)
1 сетевой на дсл модем
настраивал так же как и старые варсии но возникла проблема (
режет трафик по http (компы не могут страници открыть хотя аська работает)
в експлоуре пишет типа нет подключения
в логе пишет
[06/Nov/2008 13:16:05] PERMIT "NAT" packet from Подключение по локальной сети 2, proto:TCP, len:48, ip/port:192.168.99.15:1072 -> 74.125.79.99:80, flags: SYN , seq:1091532081 ack:0, win:65535, tcplen:0
[06/Nov/2008 13:16:05] PERMIT "NAT" packet from Подключение по локальной сети 2, proto:TCP, len:48, ip/port:192.168.99.15:1072 -> 74.125.79.99:80, flags: SYN , seq:1091532081 ack:0, win:65535, tcplen:0
[06/Nov/2008 13:16:06] PERMIT "NAT" packet from Подключение по локальной сети 2, proto:TCP, len:48, ip/port:192.168.99.15:1072 -> 74.125.79.99:80, flags: SYN , seq:1091532081 ack:0, win:65535, tcplen:0

может кто подскажет в чем проблема?

PS/ вопрос решися, не дружилось с нод 32 версия 3 (был установлен до керио)
после удаления и установки усе заработало

Я его закрыл на модеме,просто для себя нтерестно,сначала у меня модем был бриджом,ну и на всяк случай надо бы знать правило

эммм... ПРОКСЯ???

Вот

Labigo4you

Цитата:

mrkop
ммм... правила маршрутизации выложиш???

Вы же сами просили...или имели ввиду трафик полис?

Labigo4you

Цитата:

эммм поясни... я не понял...
без ната работать будет только если он подключается с машины непосредственно перед мадемом... тобиш керио....

А из-за НАТа , нельзя попасть на адрес 192,168,1,1 -он локальный. Но папасть на него можно с любого локального адреса сети 192,168,1,0/24 , т.е с самого файервола, но на внешней сетевухе обязательно должен быть адрес 192,168,1,х. И также с компов локалки напр. 192,168,0,0/24 . в этом случае файервол будет работать как роутер. Ну и конечно нужно правило резрешающее ходить из 192,168,0,0/24 в 192,168,1,0/24.