» Kerio WinRoute Firewall (часть 4)

exdee

Цитата:

url группа запрещающая просмотр определённых сайтов.....до недавнего времени всё отлично работало, а сейчас перестало.

Вы не первый раз задаете этот вопрос. Скорее всего denial page у вас не появляется потому, что работает не это правило, а какое-то другое. Исходя из предположения, что чудес не бывает, логично сделать вывод, что однажды было что-то испорчено. Но боюсь что, для решения этой проблемы нужно сесть за ваш компьютер. Поэтому предлагаю вам обычный алгоритм поиска проблемы самостоятельно. Пишете отдельный HTTP полис в самом простейшем варианте, для блокировки конкретного сайта. Например на вкладке General ставите Any user, Do not require authentication, URL begins with: *.kerio.com*, Deny access to the web site, Log. Ставите этот полис на самый верх. Идете на сайт Керио и убеждаетесь, что полис его блочит. (включили/выключили полис - убедились). Следующий шаг: на вкладке Advanced проверяете работоспособность всех режимов (Show denial page, show blank page, redirect...). Ну и так далее step by step усложняя правило. В конце концов вы найдете проблему.

vimaret
На счет пустить до контроллера домена логично , но на моей практике получается, что дело в том, что инет по соображению головной конторы должен у нас идти от контроллера домена первого уровня, до которого не всегда связь есть (лучше не спрашивать почему), а дальше идет моя подсеть, которая соединена радио антенной направленной к ним, то есть антенна стоит на моей конторе, а в силе того, что провайдер один только согласился на нашу промышленную зону инет давать на телефон, который расположенн в другом здании, который расположен в двух свитчах от моего контроллера домена второго уровня (а номера, которые у нас в конторе, подключены к АТС провайдера, который не согласился нам давать инет, так как он работает только с нашей головной конторой) , ...то есть в моем случае проблема не только техническая, но в большей степени политическая, и исходя из этой политики приходиться настраивать как есть, то есть шлюз то должен быть один, поэтому у меня один шлюз и один прокси сервер, который находиться в другом здании.
вообщем схема примерно такая
Контроллер домена первого уровня 10,47,2,1 (10,47,2,0 подсеть)
Cisco
радио
точка cisco
контроллер домена второго уровня 10,47,19,2 (10,47,19,0 подсеть)
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : smu2
Основной DNS-суффикс . . . . . . : cmy2.yrsg.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : cmy2.yrsg.local

Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : HP NC320i PCIe Gigabit Server Adapter
Физический адрес. . . . . . . . . : 00-1A-4B-0B-F3-AC
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.47.19.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.47.19.10
DNS-серверы . . . . . . . . . . . : 10.47.19.2
10.47.2.1
Основной WINS-сервер . . . . . . : 10.47.19.2

дальше моя машинка, на которой хотелось бы как нить получить пинг, телнет, smtp, pop3 наружу в инет
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . : cmy2.yrsg.local
Описание . . . . . . . . . . . . : D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Физический адрес. . . . . . . . . : 00-05-5D-74-85-BE
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.47.19.133
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.47.19.10
DNS-серверы . . . . . . . . . . . : 10.47.19.2
10.47.2.1
Основной WINS-сервер . . . . . . : 10.47.19.2

-свитч (уже в соседнем здании)
-свитч (во втором здании, где уже к нему подключена машина с керио)
вот его конфиг:
Internet - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8169/8110 Family Gigabit Ethernet NIC #2
Физический адрес. . . . . . . . . : 00-1A-4D-8B-C7-E2
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.3
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 217.20.82.4
217.20.80.40

Подключение по локальной сети 3 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Физический адрес. . . . . . . . . : 00-05-5D-74-6B-B5
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.47.19.4
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 10.47.19.2
а трафик полис оставил самый простой
1. фаирвол - Интернет / днс, фтп, пинг, поп3, смтп телнет, хттп /разрешить / НАТ по умолчанию
2. аутентифицированный пользователи - Интернет / днс, фтп, пинг, поп3, смтп телнет, хттп /разрешить / НАТ по умолчанию
3. Локальный трафик
фаирвол - локальная сеть все разрешить
локал - фаирвол
HTTP Police оставил по умолчанию, пока никакие урлы не вводил

vimaret
Попробовал всё. Созданное правило отрабатывает, но не появляется сама страничка с текстом который я вбиваю. Чистая страница и редирект обрабатываются нормально, а вот страница с текстом который вбиваешь сам нифига не отображается, просто выдаёт ошибку в адресе.

exdee
1. Конфигурация -> Дополнительные параметры -> Веб-интерфейс / SSL-VPN -> задай Имя сервера WinRoute.
Например my.сompany.com.
2. Галки так:

3. В Windows\System32\Drivers\Etc\hosts пропиши строку:
xxx.xxx.xxx.xxx my.сompany.com
вместо иксов - IP керио, ну, и как ты там написал в 1м пункте вместо my.сompany.com.
И наступит счастье.

exdee
Germanus
Еще, пожалуй, нужно проверить чтобы было правило разрешающее вход на файервол из локалки хотя бы по портам 4080, 4081, а лучше конечно ANY.


Добавлено:
HotBeer
Я не понял из вашей схемы где находится IP 10.47.19.10, который есть дефолтовый гейт для локалки. А также почему на компе с керио на внешнем интерфейсе IP 192.168.1.3 ?
За каким роутером он стоит и как он связан с 10.47.2.1, который должен быть основным шлюзом в инет (....инет по соображению головной конторы должен у нас идти от контроллера домена первого уровня...)?

Germanus
vimaret
Спасибо всем помощь...проблему решил след образом. На скрине Germanusa в имене сервера прописал доменное имя шлюза и с рабочих станций начала показываться страничка запрета. Если прописать другое имя то болт.

vimaret
1. да инет должен идти от контроллера домена первого уровня простой проксей ( в теории у меня инет свой не предполагается )
2. 10,47,19,10 "железка" циско , которая стоит на чердаке моей конторы, где и стоит контроллер домена второго уровня и соответственно где стоит антенна
3. " А также почему на компе с керио на внешнем интерфейсе IP 192.168.1.3 "
просто она смотрит в сетевой DSL модем у которого стандартный адресс 192,168,1,1


Добавлено:
vimaret
1. да инет должен идти от контроллера домена первого уровня простой проксей ( в теории у меня инет свой не предполагается )
2. 10,47,19,10 "железка" циско , которая стоит на чердаке моей конторы, где и стоит контроллер домена второго уровня и соответственно где стоит антенна
3. " А также почему на компе с керио на внешнем интерфейсе IP 192.168.1.3 "
просто она смотрит в сетевой DSL модем у которого стандартный адресс 192,168,1,1


Добавлено:
vimaret
1. да инет должен идти от контроллера домена первого уровня простой проксей ( в теории у меня инет свой не предполагается )
2. 10,47,19,10 "железка" циско , которая стоит на чердаке моей конторы, где и стоит контроллер домена второго уровня и соответственно где стоит антенна
3. " А также почему на компе с керио на внешнем интерфейсе IP 192.168.1.3 "
просто она смотрит в сетевой DSL модем у которого стандартный адресс 192,168,1,1

Добавлено:
vimaret
1. да инет должен идти от контроллера домена первого уровня простой проксей ( в теории у меня инет свой не предполагается )
2. 10,47,19,10 "железка" циско , которая стоит на чердаке моей конторы, где и стоит контроллер домена второго уровня и соответственно где стоит антенна
3. " А также почему на компе с керио на внешнем интерфейсе IP 192.168.1.3 "
просто она смотрит в сетевой DSL модем у которого стандартный адресс 192,168,1,1

Как подружить IE с керио?
В опере и мозиле все странички открываются нормально.
В IE некоторые страницы вместо того чтобы показать - предлагает сохранить файл

Adobe flash player установлен.

Что еще копнуть?

Помогите, пожалуйста, настроить Kerio 6.5
Проблема с аутлуком настройки на керио пока что стоят по умолчанию
ситуация такая аутлук принимает сообщения но не отправляет, почтовый хостинг не локальный , каравановский.После отправки сообщениz на какой либо адрес маиловский, яндексовский. приходит сразу на ящик такое письмо

Сообщение не было получено одним или несколькими получателями.

Тема:    
Отправлено:    03.03.2009 19:54

Сообщение не получили следующие получатели:

'pupkin@mail.ru' 03.03.2009 19:54
550 authentication required


искал в чём проблема очень долго и на форуме и в гугле ни чё не помогает , мож кто что подскажет
Заранее Спасибо.

а ещё если отправлять на свой ящик с которого отправляю, или любой другой в своём домене всё нормально отправляется и приходит.

mli4board

Цитата:

В IE некоторые страницы вместо того чтобы показать - предлагает сохранить файл

Свойства обозревателя-дополнительно-установи обе галки на настройке HTTP 1.1

NegoroX
в керио в сервисах отключи протокол инспекторы на почтовых сервисах

SHRIKE74

Цитата:

в керио в сервисах отключи протокол инспекторы на почтовых сервисах

Наверное адресат kriptonvip

Доброу утро...такой вот интересный вопрос. У кого стоит кис (касперский интернет сикъюрити) поймут сразу На их оф. форуме. есть чёрный и белый списоки url адресов. Так вот, если вбить эти адреса в керио, то получится приблизительно также бороться с баннерами и всплывающими окнами как кис? Общая идея поста - борьба с всевожномыми баннерами, флешками и другой рекламой. Поделитесь опытом пожалуйста. Заранее благодарен.

exdee - интересная идея. Присоединяюсь. Хотелось бы составить большой список таких сайтов.

Список есть...вопрос в том как его быстро можно закинуть в керио. Создать также url группы Black и White и кинуть туда black@white листы касперского. Просто руками 21000 с лишним url black листа каспера прописывать в керио не вариант... и синтаксис каспера думаю не будет на 100% совпадать с керио.

NegoroX
Да нет понятно что pupkin@mail.ru это не настоящий адрес , пробывал на несколько своих адресов на маиле и яндексе такую фишку пишет инспекторов протоколов выключил и у попа и у смтп всё равно не хочет ни в какую отправлять письма. ХЕЛП))

HotBeer
Ну давайте подведем итог. Из вашей локальной сети сделано два выхода:
1. Выход через киску 10.47.19.10 долее по эфиру еще одна киска, далее КД первого уровня 10.47.2.1 . Все отсюда выхода в инет нет.
2. Выход через два свитча для удлинения эзернета на керио 10.47.19.4, с другого интерфейса керио (192.168.1.3) на АДСЛ модем 192.168.1.1. Который стоит в режиме роутера с поднятым в нем РРРоЕ, далее в инет.
Все так?
Вот если сеть построена так, то контроллер домена первого уровня, равно как и второго вообще здесь никаким боком. Они служат лишь для авторизации ваших юзверов внутри домена, причем тут выход во внешнюю сеть? Инет у Вас идет через керио, неважно прокси он или только НАТ, или и то и другое. Поэтому дефолтовым гейтом на всех компах локалки должен быть 10.47.19.4 Вот тогда пойдут пинги, а все остальное уже настроете правилами. Контроллеры домена, оба у вас в локалке, но в разных сегментах. Любой комп из локалки будет их обнаруживать не зависимо от правил керио и от дефолтового гейта. Однако для обнаружения вашего "лишнего" КД 10.47.2.1 нужно прописать на всех компах локалки статический маршрут на него. т.е. маршрут в сеть 10.47.2.0 255.255.255.0 через гейт 10.47.19.10
Попробуйте для начала на своем компе, и посмотрите таблицу маршрутизации на нем, все должно получиться.

HotBeer
И еще, для упрощения маршрутизации, лучше, как я уже писал, добавить третью сетевуху в керио и к ней подключить киску 10.47.19.10. Естественно адрес подсети поменять, например 10.47.20.1 на киске и 10.47.20.2 на сетевухе. Прописать в керио статический маршрут в сеть 10.47.2.0 255.255.255.0 через гейт 10.47.20.1, ну и добавить этот интерфейс в правило для локалки. Тогда на компах маятся с маршрутами не понадобится.

привет

поставил сегодня впервые Kerio на сервер раздающий доступ в интернет людям;) Прокси UserGate, сеть одноранговая, без домена. Настройки сетевых интерфейсов произвел согласно f.a.q. на офф сайте.

Парочка вопросов возникло:

днс в керио устанавливается в меню
переадресация днс
пользовательская переадресация
а там вбить имя и сервер и ип адрес одинаковые чтоль, то есть ип адрес данный провайдером?
не конфликтует ли Kerio c UG? и там и там днс форвардин, сетевые интерфейсы, правила и тд. может надо что-то подправить в UG? Пока тьфу тьфу работает..

Странная ситуация с логами у Kerio.. Замечательная статистика, но по ип адресам следить не может, как выяснилось не предусмотренно пока.. а жаль. осталось лишь удобно на схемке смотреть за самыми часто посещаемыми ресурсами.
может можно как-то правило создать для 'неопознанные пользователи', чтоб в последствии можно было правило применять на них?

пока в процессе тестирования делаю так, может не корректно. поправите.
создаю в Группы адресов список компьютеров. далее создаю правило и через дополнительное, верно для.. указываю группу ип-адресов для которых разрешить или запретить доступ на определенные сайты.

Возник такой вопрос.
Есть последний KWR, юзвери ходят через его проксю с авторизацией по просторам инета.
У каждого юзера своя квота.
Есть списочек сайтиков, при выходе на которые, остаток квоты не считается (настроено в разделе Учет). Т.е. работа с данными сайтами идет без учета трафика.
Все хорошо, но при достижении 100% квоты, выход в инет по любым правилам и протоколам для данного юзера прекращается. Все, что не связано с http, продолжает работать только после разлогивания данного юзера. С http на те сайты-исключения все равно не выйдешь, пока не добавишь квоту хоть на 1%.
Авторазлогивание по времени стоит, но ситуацию все равно не решает.

Вопрос: можно ли достичь расклада, чтобы пользователи блокировались по превышению квоты только на сайтах, не указанных в исключениях, а последние работали всегда и везде?

exdee
А что Вам мешает добавить blacklist в DND Forwarder в hostfile?
У меня допустим стоит Spybot - Search & Destroy, которая сама обновляет этот файл, а Керио просто его подтягивает! На сегодня в черном списке:

проблема решена мой косяк))

Здравствуйте все!!!
у меня такая трабла... есть 2 физических сервака, на одном из них на виртуалке висит домен.... для распределиния инета поставил керио? инет раздаю через NAT,юзвери не особо шустрые, поэтому нужна аутентификация по доменному имени, т.е. как только заходят под своим логином, у них есть то что им разрешно(полный доступ в инет, только аська, только почта и тд. и т.п.) Кое что я уже сделал и у меня есть база пользователей из домена, но она не используеться должным образом.То есть просто не работает...=((
Вопрос куда надо тыкнуть что бы при логине на комп под нужной учеткой сразу был инет. Заранее спасибо!!!

alex_zelenskiy

Цитата:

А что Вам мешает добавить blacklist в DND Forwarder в hostfile? .....а Керио просто его подтягивает!

Не вьехал, как предлагаемый механизм работает, можно подробнее.

vimaret


Цитата:

Ну давайте подведем итог. Из вашей локальной сети сделано два выхода:
1. Выход через киску 10.47.19.10 долее по эфиру еще одна киска, далее КД первого уровня 10.47.2.1 . Все отсюда выхода в инет нет.
2. Выход через два свитча для удлинения эзернета на керио 10.47.19.4, с другого интерфейса керио (192.168.1.3) на АДСЛ модем 192.168.1.1. Который стоит в режиме роутера с поднятым в нем РРРоЕ, далее в инет.
Все так?

все верно


Цитата:

И еще, для упрощения маршрутизации, лучше, как я уже писал, добавить третью сетевуху в керио и к ней подключить киску 10.47.19.10. Естественно адрес подсети поменять, например 10.47.20.1 на киске и 10.47.20.2 на сетевухе. Прописать в керио статический маршрут в сеть 10.47.2.0 255.255.255.0 через гейт 10.47.20.1, ну и добавить этот интерфейс в правило для локалки. Тогда на компах маятся с маршрутами не понадобится.

я прекрасно понимаю, что это наиболее правильный и рациональный вариант будет ,а не бегать как эни кейщик по компам и настраивать, и так до этого придумали динамически адресса присваивать, дыг вот только не могу я поставить в это здании машину с керио, так как инет провайдер дает только туда, где он сейчас стоит через два свитча, а чтобы номер перебросить, мне столько гемора нужно,...так что я как понял, либо нести машину с керио себе в северную, либо бегать и постоянный маршруты прописывать ((

Извиняюсь за офтоп. Никто не в курсе когда следующая версия выйдет? И что там ожидается. Где можно почитать?

Alex Zaguzin

Цитата:

Никто не в курсе когда следующая версия выйдет? И что там ожидается. Где можно почитать?

Тут всё написано:
http://forums.kerio.com/
http://www.kerio.com/beta_section.html

doc58_81oB0t

Цитата:

не конфликтует ли Kerio c UG? и там и там днс форвардин, сетевые интерфейсы, правила и тд. может надо что-то подправить в UG?

А ср@ть на одном унитазе вдвоём удобно?
Зачем такая сложность - оставь что то одно. Программы практически одинаковые по назначению, правда керио ИМХО удобнее.

faceltd

Цитата:

Вопрос: можно ли достичь расклада, чтобы пользователи блокировались по превышению квоты только на сайтах, не указанных в исключениях, а последние работали всегда и везде?

Можно... Логично предположит что для захода на рабочие сайты нужно обезличить юзера т.к. у него блокируется трафик по достижению квоты.
Решение:
Правило трафика (выше чем общее для пользователя) :
localnet - www.site.com - http - permit - nat - Log Off - PI off
В http policy нужно разрешить заходить на рабочие сайты сняв галку обязательной авторизации и поставив правило выше чем правило требующее авторизации для всех сайтов.

olaf89

Цитата:

Вопрос куда надо тыкнуть что бы при логине на комп под нужной учеткой сразу был инет.

Тыкнуть в небо...
Сразу инет это как?

Имеем Kerio Winroute Firewall 6.5.2, необходимо понять, почему у меня с завидным постоянством слетает лицензия на ISS Orange Filter (скрин прилагаю)? Крякал строго по инструкции... Где пробоина, подмогните найти Заранее пасип.

kaskad

Цитата:

Крякал строго по инструкции...

Ну и кто ты после этого? Вроде Silver Member а таких простых вещей как правила форума не знаешь...

Приветствую!
Подскажите как настроить Online Вещания с сайта smotri.com через proxy?
ролики идут а вещание нет, у них сказано:
Вы не используете proxy-сервер для подключения к сети интернет, а если используете, то на нем должны быть открыты порты 1935, 443 и 80. При использовании proxy-сервера (при закрытых указанных портах) будет не доступным не только создание вещания, но и просмотр (вместо трансляции вы будете видеть белый экран и постоянную надпись "Переподключение..."

Спасибо.