» Kerio WinRoute Firewall (часть 4)

Ruza
где брал инструкцию, там варезник... поэтому спрашиваю тут.

подскажите пожалуйста где можно прочитать про настройку kerio в одноранговой сети при схеме lan-модем (pppoe up) - [eth inet...... eth lan] - switch - lan hosts

Цитата:

где брал инструкцию, там варезник... поэтому спрашиваю тут.

"то проблема вареза. тут тебе никто не ответит

Всем привет! Уже 2 дня долбаюсь с этой классной прогой версии 6.52.
Дома ограничение по скорости для указаных хостов настроил вообще без проблем, а на работе скорость оганичивает сразу всем. исключения не действуют. только один раз, как-то чудом, сразботало на практике ограниение и то ненадолго. как заставить его работать? может какие-нибудь опции мешают?
p.s. приследую цель раздавать инет от провадера 2м группам: "максимальная скорость" и "низкая скорость"

Кто-нибудь знает алгоритм работы авторизации по IP в Kerio WinRoute 6.5.2? Дело в том, что в прокси для пользователей указаны IP, по которым выполняется авторизация, а в правилах трафика разрешены соединения по RDP для группы пользователей. Если начинать работу с RPD, пытаясь поключиться к терминальному серверу, доступному в нете, то ничего не получится, но если перед этим открыть любую страницу в браузере, то RDP начинает работать. Так должно быть или это глюк программы?

YuraseK
Убери Protocol Inspector с правила RDP, если не поможет показывай правила...

anf29
Телепатия мне подсказывает что не определены группы исключений и не установлен флаг не учитывать эти группы в квотах...

Братья одмины! Подскажите вот такую вещь... У меня есть две удаленные машины с квф, на них поднят впн-туннель. Версия - 6.2.3. Есть большое желание обновить версию, но нет физической возможности сделать это одновременно на двух машинах. Т.е. сначала локальную машину, а потом нужно садиться, грубо говоря, на трамвай и ехать в новобибуново. до новобибуново ехать долго и тяжко, поэтому вопрос:
Если я обновлю КВФ только на одном узле впн-туннеля, а на другом узле оставлю старую версию, будет ли продолжать нормально работать впн-туннель? Задача - провести обновление без перебоев в работе туннеля.

Заранее благодарю за ответ.

YuraseK

Цитата:

Если начинать работу с RPD, пытаясь поключиться к терминальному серверу, доступному в нете, то ничего не получится, но если перед этим открыть любую страницу в браузере, то RDP начинает работать. Так должно быть или это глюк программы?

Так и должно быть, прокси сервер на керио не работает для RDP протокола, поэтому сначала пользователь должен авторизоваться по HTTP.
Укажите в правилах для RDP не группу пользователей а IP адреса с которых вы разрешаете работу по RDP. Если я правильно понял, пользователей вы тоже привязываете к ним.

Подскажите, кто в курсе, если в трафик полиси создал правило первое по порядку, которое запрещает трафик от группы адресов на 25 порт самого компа с винроутом - должно работать? В группе адресов элементы типа *adsl* а не ип адреса. С ip понятно - работает, а если указывать с маской то не работает, не смотрит винроут в обратные зоны днс.

Вот собственно картинка
Есть Интефейс lokalka и Inet

но Статус -> Подключения
видно вот так (Инет показует как локальный трафик а локалку как внешний)

В разделе Статус -> Актиыные Хосты светиться тока FireWall
_http://img401.imageshack.us/my.php?image=keriolm7.jpg_

как все вернуть на круги своя ???

Притствую вас
У меня задача следующая
Нужно запретить некоторым пользователям в сети к примеру группа "users"
пользоваться torrent
как это можно реализовать?
заранее буду признателен!

AGTH
Пакетный фильтр не может проверять DNS, только IP/mask...

Cosmit
Прокси рулит, не?

Добавлено:
amonra666
Если только для группы то попробуй отключить для них NAT... Если их устроит работа череза прокси либо без доступных портов то тады ой...

Прокси не включен
все раздаеться по NAT

Cosmit
Правила давай...

у меня тоже нат
и вот еще
у меня есть vpn соединение каторое я поднимаю именно на машинке с керио
само сабой через него сейчас покеты не идут
мне надо чтоб шли но только на этой машине?
по поводу запрета торента еще актуально

amonra666

Если не хочешь перевести этих пользователей на непрозрачный прокси и убрать у них нат, то можешь выставить опцию например "при обнаружении p2p банить пользователя на n минут". Обычно минут 10-20 достаточно, чтобы пользователи поняли что p2p пользоваться нежелательно.

Цитата:

Цитата:при попытки распечатать отчет по юзеру из статистики отчет выходит на полстраницы A4 и обрезается какбы


Принтер, не?

не думаю что дело в нем

Никто не пробрасывал через KWF клиент-серверного Гаранта?

maispovis

Цитата:

не думаю что дело в нем

Ну как бы проблема только у тебя так что тут либо принтер либо настройки браузера либо извини руки... А для того что бы сказать однозначно надо больше информации, которой в твоём посте не так много.

Dmb_2007
А какая разница что "пробрасывать"? Порты map'ишь и всего то. Если порты не знаеш то снифер в руки... Если же нужен netbios то скорее всего никак большинство провайдеров его обрезают на маршрутизаторах.

уважаемые гуру, подскажите, плиз. есть ли разница где установлен KWF на windows 2003 server или windows xp pro? вроде для xp есть ограничение на 10 одновременных сетевых подключений, т.е. если у меня в сетке 40 юзверей, то одновременно в инете сидит только 10?

заранее спасибо

d01phin

Цитата:

т.е. если у меня в сетке 40 юзверей, то одновременно в инете сидит только 10?

под ХР для снятия ограничений есть TCPIP Patch

Цитата:

А какая разница что "пробрасывать"? Порты map'ишь и всего то. Если порты не знаеш то снифер в руки... Если же нужен netbios то скорее всего никак большинство провайдеров его обрезают на маршрутизаторах.

Вот нашел http://forum.elaw.ru/viewtopic.php?t=7855 :
====
17. Сервер в режиме работы по умолчанию отправляет ответ рабочим станциям на
порт из диапазона с 3600 по 3609 - поэтому если рабочая станция защищена
брандмау-эром (firewall'ом), то нужно разрешить в нем этот диапазон
(3600-3609) для входящих соединений (incoming connections). В некоторых
firewall'ах (например, в firewall из SP2 для Windows XP) можно разрешить
входящие вызовы от определенного приложения на любой порт - в этом случае
открывать целый диапазон не потребуется. См. также пункт 19.
18. Для работы клиента в режиме по умолчанию необходимо чтобы сервер имел
воз-можность устанавливать прямое TCP-соединение по внутреннему IP-адресу
рабочей станции. Это накладывает ограничение на работу с клиентских
компьютеров, распо-ложенных относительно сервера в разных подсетях,
связанных между собой посред-ством NAT или proxy-сервера. См. также пункт 19.
19. (Новое) Существует возможность такого режима работы, который не требовал
бы ус-тановления соединения сервера с рабочей станцией. Для активации этого
режима требуется изменить в серверном и в клиентском garant.ini в разделе
[GCM Params] значение параметра -GCMBiDirectional=. Вместо значения по
умолчанию (0) требует-ся приравнять его к 1. Включение режима BiDirectional
снимает ограничения, изло-женные в пунктах 17 и 18 (не требуется разрешать
на рабочих станциях входящий трафик, и есть возможность работы клиентов из
подсетей, подключающихся через NAT).

===

Ruza

Вот правила
_http://img217.imageshack.us/my.php?image=kerio2xw7.jpg
но тут более чем стандартно !!!

Добрый день.
Есть две конторы, на разных внешних IP, на обоих серваках стоит Керио. Задача сделать VPN канал между ними Сервер-Сервер. Это не проблема.
А вот теперь вопрос: Возможно ли как то узнать будет снаружи что у них VPN, и самое главное что конторы друг друга знают.

Cosmit
Первое правило перенеси в самый низ над Ident... Должно помочь.

TohaDub

Цитата:

Возможно ли как то узнать будет снаружи что у них VPN

Да...

Цитата:

и самое главное что конторы друг друга знают.

А это к чему?

Ruza

Так правило Ident и так в самом низу !!!

Cosmit
Хм... Мож я так не понятно написал...
Первое, верхнее правило (локальный трафик) перенеси вниз и поставь перед Ident. (Правила обрабатываются сверху вниз)

Цитата:

А это к чему?

Надо так сделать что бы и связь между конторами была и что бы никто не знал что эта связь есть.
Каким образом например из Москвы можно узнать что у нас настроен VPN? Непонимаю. Хммм.

ПОДСКАЖИТЕ ПОЖ. КАК НАСТРОИТЬ KERIO WINROUTE FIREWALL 6.0.9 ЧТОБ БЫЛ ОТКРЫТ ПОРТ НА СЕТЕВОЙ МАШИНЕ ДЛЯ РАБОТЫ С КЛИЕН БАНКОМ.

топай на http://www.kerio.org.ua
там смотри раздел "примеры правил"
есть правила и есть порты для клиент-банков (там для украинских)
по анологии узнавай порт у своего банка и делай правило как в примере