» Kerio WinRoute Firewall (часть 4)

Есть локальная сеть и сервак на котором стоит Керио.
К серверу подвидено 2 сети: интернет и гость.
Требуется сделать:
1. Чтоб скорость интернет и гость делились на всех пользователей в зависимости от загрузки канала (1-вариант: 1 пользователь в сети - весь канал его, 2, 3...10 пользователей канал делится на всех поровну, 2-й вариант: 1 человек качает, другой сёрфит, 1-ый занимает практически весь канал, 2-ой значительно меньшую часть, ту которая необходима для открытия страниц, у первого скорость снижается когда 2-ой открывает страницы. Если второй начиннает качать, то скорость делится с учётом, того сколько может отдать сервер откуда идёт скачка.)
2. Закрыть торрент для пользователей, но оставить возможным скачку с торрентов для сервака.
3. Установить ограничение на скорость скачки для интернет и гость, но с разным значением, т.к. разная пропускная способность каналов.
4. Лимитировать скорость для конкретных пользователей и групп пользователей на определённую сеть.

нужна помощь в реализации задуманного.

2Anderson2004 Именно так. В лонон/логоф скрипты прописать.

NegoroX
fedmun
zx12r
Спасибо, парни!

Други, подскажите, потребовалось по заказу сделать блэклист для KWF. Готового, так чтобы в включить в cfg нет. А в ручную так геморно это забивать. Может где лежит прога какая-нибудь для конвертации из текстового файла, скинте ссылку.

Как настроить если выдает такое сообщение:
"Kerio Winroute Firewall has detected that multiple default gateways are configured on the machine. This is often incorrect as the default gateway should be typically configured onoly on the interface that is connected to the Internet. On all other interfaces it should be left blank. Please review your Windows TCP/IP configuration"
Менять TCP/IP конфигурацию - это в самом керио или в винде?
Может из-за этого блокироваться доступ? Я пробовал устанавливать керио в другой ОС на этом же компе, все работало. Но после перезагрузки снова все заблокировано.

OneHunt
Я как-то написал такого рода тулзу. Программа позволяет импортировать список ссылок в конфигурацию Kerio WinRoute Firewall. Но сразу предупрежу: Kerio очень долго будет запускаться с большим списком в конфиге (до 2-x минут с 30000 записей), т.к. xml - это удобно, но не быстро. Сорцы и скомпилированный проект на Delphi можно скачать здесь (191 Кб).

rdenk1
Неужели не понятно, что написано в ошибке? Только в одином сетевом интерфейсе должен быть прописан шлюз. И этот сетевой интерфейс должен отвечать за Интернет. Настраивать лучше в самой системе.

rdenk1
Это в винде, в настойках TCP/IP обеих сетевых карт. Поле - Default gateway. Только в одной карте можно указать этот параметр. Двух шлюзов по умолчанию винда не понимает. На вторую карту можно указывать маршруты. Route ADD или в Kerio
YuraseK
Спасибо, буду пробовать. Там не столько много строчек. Но все равно геморно. Спасибо.

Проблема может быть связана с маршрутизацией. Двух дефолтных шлюзов у меня нет, у меня одна сетевая получает IP автоматически от прова, а во второй (домашняя сеть из 2-х компов) IP прописан жестко, но там строка шлюза пустая.
Когда интернет не подключен, таблица такая:
0.0.0.0 0.0.0.0 10.50.5.2 10.50.5.113
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1
10.48.0.0 255.240.0.0 10.50.5.2 10.50.5.113
10.50.5.0 255.255.252.0 10.50.5.113 10.50.5.113
10.50.5.113 255.255.255.255 127.0.0.1 127.0.0.1
10.100.12.0 255.255.255.0 10.50.5.2 10.50.5.113
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1
10.255.255.255 255.255.255.255 10.50.5.113 10.50.5.113
78.29.0.0 255.255.254.0 10.50.5.2 10.50.5.113
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1
169.254.7.0 255.255.255.0 169.254.7.101 169.254.7.101
169.254.7.101 255.255.255.255 127.0.0.1 127.0.0.1
169.254.255.255 255.255.255.255 169.254.7.101 169.254.7.101
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1
224.0.0.0 240.0.0.0 10.50.5.113 10.50.5.113
224.0.0.0 240.0.0.0 169.254.7.101 169.254.7.101
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1
255.255.255.255 255.255.255.255 10.50.5.113 10.50.5.113
255.255.255.255 255.255.255.255 169.254.7.101 169.254.7.101

Основной шлюз: 10.50.5.2

После подключения интернета (VPN) таблица такая:
0.0.0.0 0.0.0.0 10.50.5.2 10.50.5.113
0.0.0.0 0.0.0.0 80.255.81.108 80.255.81.108
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1
10.48.0.0 255.240.0.0 10.50.5.2 10.50.5.113
10.50.5.0 255.255.252.0 10.50.5.113 10.50.5.113
10.50.5.113 255.255.255.255 127.0.0.1 127.0.0.1
10.100.12.0 255.255.255.0 10.50.5.2 10.50.5.113
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1
10.255.255.255 255.255.255.255 10.50.5.113 10.50.5.113
78.29.0.0 255.255.254.0 10.50.5.2 10.50.5.113
78.29.3.33 255.255.255.255 10.50.5.2 10.50.5.113
80.255.81.108 255.255.255.255 127.0.0.1 127.0.0.1
80.255.255.255 255.255.255.255 80.255.81.108 80.255.81.108
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1
169.254.7.0 255.255.255.0 169.254.7.101 169.254.7.101
169.254.7.101 255.255.255.255 127.0.0.1 127.0.0.1
169.254.255.255 255.255.255.255 169.254.7.101 169.254.7.101
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1
224.0.0.0 240.0.0.0 10.50.5.113 10.50.5.113
224.0.0.0 240.0.0.0 169.254.7.101 169.254.7.101
224.0.0.0 240.0.0.0 80.255.81.108 80.255.81.108
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1
255.255.255.255 255.255.255.255 10.50.5.113 10.50.5.113
255.255.255.255 255.255.255.255 80.255.81.108 80.255.81.108
255.255.255.255 255.255.255.255 169.254.7.101 169.254.7.101

Основной шлюз: 80.255.81.108

Доступа к интернету с сервера при этом нет, со второго компа тем более. Что можно сделать?

Skype...
Подскажите как сделать... куда чего прописать (перечитал несколько тем, и не только здесь - о скайпе - очень мало)
Имеется Kerio Winroute 6.6 на отдельно стоящей машине с Windows Server 2003 SP2
два интерфейса один в локалку другой в интернет
все нормально работает и хоть какую то статистику выдает и ведет
У руководства возник бзик со скайпом
Я понимаю что эта фигня (скайп) ломится в любую дырку и ответных серверов у нее много, но открывать ради одной программки что ни попадя не хочется...
Подскажите на какой порт и на какой протокол-инспектор настроить вновь создаваемую службу
(не нашел я в KWF 6.6 сервиса Skype, не нашел!) и как и в какие стороны прописать в Traffic Policy правило

alexgolubov
Сделай отдельное правило для машины со скайпом, поставь писать пакеты и соединения. Выйди в скайп, поговори, закрой скайп. Потом куришь логи и делаешь свою службу в дефининэйшинах.
Еще отца российской демократии может спасти ссылка: http://www.skype.com/intl/ru/help/guides/firewalls/technical.html

Добавлено:
rdenk1
можно попробовать после соединения с инетом сделать так:

Код: route delete 0.0.0.0 0.0.0.0
route add 0.0.0.0 metric 0.0.0.0 80.255.81.108

у мну такой вопрос... решил посмотреть вес логов керио (напрягло, что proxy inspector очень уж долго логи подгружает).
зашёл и слегка, так сказать, офигел... filter.log весит 70 ГБ. на серваке С: на 125 ГБ, практически пустой был, поэтому я и не заметил...
блин, я ещё удивлялся, чойта у меня в консоли самого керио лог фильтра не открывается...
Поставлен керио был а октябре 08г.
собственно вопрос: если я просто удалю этот filter.log, керио ругаться не будет? или просто создаст новый файл?

да, и ещё... http.log и connection.log весят 1.3 и 0.9 ГБ соответственно. Нормально это или нет? как раз их PI долго и подгружает...

стоит последний kerio поднимает 2 pppoe соединения

и их балансирует (суммирует)


но некоторым сайтам это не нравиться например ссылку на ожидание получили с одного IP а качать по ней начинаем с другого

есть ли возможность для списка адресов жестко закрепить какой канал использовать ?
PS переключаться на нагрузку для хоста очень не хочеться - torrent начинает только 1 канал использовать

SAURONoff
В папку с логами кидаешь кмд-файл тип :
Код: c:
cd "Program Files\Kerio\WinRoute Firewall\logs"
"c:\Program Files\winrar\winrar" m -ilogc:\backup.log -m5 -md4096 -mt2 -agYYMMDD logs.rar "C:\Program Files\Kerio\WinRoute Firewall\logs\*.log.?"

2 SAURONoff

Kerio позволяет выставить период за который он будет хранить логи - по умолчанию там выставлено 24 месяца, если не ошибаюсь
ручками поменяй на сколько нужно...
если логи уже не актуальны - то можно прибить на диске, керио их сам снова создаст

Цитата:

rdenk1
можно попробовать после соединения с инетом сделать так:

Код:
route delete 0.0.0.0 0.0.0.0
route add 0.0.0.0 metric 0.0.0.0 80.255.81.108


Если после этого инет появится - отпиши сюда, подумаем дальше

Я пробовал удалять лишний маршрут по умолчанию. Первый раз когда я это сделал заработало, но нестабильно (проработало минут 10, а потом ни в какую). Я перезагружал сервер, проводил те же самые манипуляции с удалением лишнего маршрута, но не помогало. А сегодня с утра включил - и заработало сразу, даже без правки таблицы маршрутизации. И не понятно, надолго ли.

rdenk1

Цитата:

255.255.255.255 255.255.255.255 10.50.5.113 10.50.5.113
255.255.255.255 255.255.255.255 169.254.7.101 169.254.7.101

А какой из двух, твой шлюз? Мне здается, что керио ругается на последний. Откуда он?

dvk54, alexgolubov: Спасибо, получилось. теперь, когда фильтр заработал, я смог посмотреть в него, выяснилось что весить он столько стал изза того что я указал в traffic rules вписывать в логи правила NAT и Firewall. Он вписывал в журнал filter строки со значением PERMIT, и их там до 50 штук в секунду появлялось.
Лог этих правил отключил, и включил лог правила all all all drop. в связи с этим следующий вопрос: в журнале фильтра видно, что ктото постоянно пытается подключиться ко мне на порт 49068, притом с кучи разных айпишек...

[more=вырезка из лога фильтра][04/May/2009 12:25:23] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:118.172.158.251:13398 -> [мой IP]:49068, udplen:103
[04/May/2009 12:25:25] DROP "Default traffic rule" packet from dsl, proto:UDP, len:134, ip/port:207.148.179.165:52752 -> [мой IP]:49068, udplen:106
[04/May/2009 12:25:26] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:212.13.105.143:31849 -> [мой IP]:49068, udplen:103
[04/May/2009 12:25:33] DROP "Default traffic rule" packet from dsl, proto:UDP, len:126, ip/port:222.69.163.108:45544 -> [мой IP]:49068, udplen:98
[04/May/2009 12:25:39] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:92.16.25.69:58432 -> [мой IP]:49068, udplen:103
[04/May/2009 12:25:46] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:76.16.75.69:41994 -> [мой IP]:49068, udplen:103
[04/May/2009 12:25:49] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:88.148.87.63:13247 -> [мой IP]:49068, udplen:103
[04/May/2009 12:26:00] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:74.87.83.4:36458 -> [мой IP]:49068, udplen:103
[04/May/2009 12:26:02] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:86.63.221.33:26724 -> [мой IP]:49068, udplen:103
[04/May/2009 12:26:07] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:114.128.35.5:18693 -> [мой IP]:49068, udplen:103
[04/May/2009 12:26:19] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:78.32.185.57:30620 -> [мой IP]:49068, udplen:103
[04/May/2009 12:26:23] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:81.36.143.211:55269 -> [мой IP]:49068, udplen:103
[04/May/2009 12:26:25] DROP "Default traffic rule" packet from dsl, proto:UDP, len:134, ip/port:87.110.27.95:61633 -> [мой IP]:49068, udplen:106
[04/May/2009 12:26:26] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:118.17.166.196:52207 -> [мой IP]:49068, udplen:103
[04/May/2009 12:26:34] DROP "Default traffic rule" packet from dsl, proto:UDP, len:597, ip/port:202.97.238.239:53950 -> [мой IP]:1026, udplen:569
[04/May/2009 12:26:35] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:88.148.207.59:22209 -> [мой IP]:49068, udplen:103
[04/May/2009 12:26:46] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:77.198.155.171:57894 -> [мой IP]:49068, udplen:103
[04/May/2009 12:26:57] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:90.18.250.4:4444 -> [мой IP]:49068, udplen:103
[04/May/2009 12:26:58] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:124.120.164.167:10036 -> [мой IP]:49068, udplen:103
[04/May/2009 12:26:59] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:130.234.192.198:49145 -> [мой IP]:49068, udplen:103
[04/May/2009 12:27:03] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:80.229.8.6:48837 -> [мой IP]:49068, udplen:103
[04/May/2009 12:27:05] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:81.203.81.133:6881 -> [мой IP]:49068, udplen:103
[04/May/2009 12:27:13] DROP "Default traffic rule" packet from dsl, proto:UDP, len:134, ip/port:80.136.193.41:62632 -> [мой IP]:49068, udplen:106
[04/May/2009 12:27:25] DROP "Default traffic rule" packet from dsl, proto:UDP, len:134, ip/port:24.45.94.65:59446 -> [мой IP]:49068, udplen:106
[04/May/2009 12:27:29] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:68.93.183.124:51762 -> [мой IP]:49068, udplen:103
[04/May/2009 12:27:39] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:98.27.149.127:23031 -> [мой IP]:49068, udplen:103
[04/May/2009 12:29:38] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:60.52.13.145:13444 -> [мой IP]:49068, udplen:103
[04/May/2009 12:29:38] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:74.250.215.14:50962 -> [мой IP]:49068, udplen:103
[04/May/2009 12:29:39] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:200.116.29.243:23041 -> [мой IP]:49068, udplen:103
[04/May/2009 12:29:40] DROP "Default traffic rule" packet from dsl, proto:UDP, len:131, ip/port:85.85.25.207:19853 -> [мой IP]:49068, udplen:103[/more]

что это может быть?

Цитата:

255.255.255.255 255.255.255.255 10.50.5.113 10.50.5.113
255.255.255.255 255.255.255.255 169.254.7.101 169.254.7.101

А какой из двух, твой шлюз? Мне здается, что керио ругается на последний. Откуда он?

Последний не знаю откуда. У меня такого адреса нет ни в локалке, ни в интернете (который по VPN). Но kerio же не всегда ругается. Только когда VPN поднято.

SAURONoff
ВОЗМОЖНО некая служба предлагает указанным сайтам соединение, указывая свой входящий порт. Попробуй воспользоваться мониторингом исходящих UDP на интернет. И утилитами tcpview и ProcessExplorer. Искать тут: http://technet.microsoft.com/ru-ru/sysinternals/default.aspx

rdenk1

Цитата:

Только когда VPN поднято.

А какими средствами поднимается VPN? Клиент или сервер? При помощи Керио или что-то другое?

2 SAURONoff
или тут (как продолжение к dvk54)
http://forum.ru-board.com/topic.cgi?forum=35&topic=13979#1

SAURONoff

У тебя антиспуфинг включен или выключен?

подскажите пожалуйста появилась ли в Керио авторизация пользователей IP+MAC?

Добавлено:
подскажите в керио появилась авторизация IP+MAC? знаю что раньше не было, но обещали

Цитата:

А какими средствами поднимается VPN? Клиент или сервер? При помощи Керио или что-то другое?

Средствами винды на самом сервере. А как при помощи kerio поднять VPN?

dvk54, не возможно, а так и есть...
чот я протупил... у меня этот порт в uTorrent для входящих указан...

2moverast

в последней нету - только по IP

rdenk1
в настройках интерфейсов поднимаешь ВПН сервер в керио, перезагруэаешься, делаешь правила вроде "Всем разрешить керио впн" "всем разрешить пинг", с клиента ставишь программку с сайта керио. вводишь ИП сервера и имя с паролем и проверяешь пинг.

Как в Керио организовать запрет поиск по определенным словам в поисковых системах, допустим хочет юзер найти в Яндексе, "порнушка" ?
Я так понял что в - политиках HTTP - запрещенные слова? И что что такое "вес" в тех же настройках, каким он должен быть чтобы блокировать подобные запросы?

utp_ss
пусть в тексте есть слова "сиськи","соски" и "горячие"
у тебя стоит вес сисек - 20, сосок - 30, горячие -10
а максимально разрешенный вес - 55.
Такая страница будет запрещена. Только укажи этот момент в хттп полисях.

З.Ы. Ключевые слова добывай сам со страничек, см тег "keywords". странички ищутся в яндексе по слову "порнушка".

Добавлено:
Вариант 2: запрет списка УРЛов типа *порнушка.
Это сначала список делаешь в "Группы URL" в дефинейшинах. Потом эту группу запрещаешь в ХТТП полиси.

А лучше оба способа + логи на стол начальнику. Чудесно подавляет либидо....

подскажите может кто встречался, простая хттп авторизация без домена, юзер пытается зайти на страничку какуюнить, окно просто висит (независимо от браузера) пока юзер незакроет окно и откроет его заново, после этого инет "пошел",кстати при первом открытии странички вижу что юзер логинится.
Этот глюк наблюдаю везде, т.е. глюк такой что при изменении чего то, конект к серверу падает.....
Если изменить некоторые настройки в керио удаленно, то после сохранения соединение падает, приходится переподключаться, бывает захожу чз radmin, наберу строку в браузере делаю переход и опять диск-кт, при переподкл уже захожу и вижу открытую страницу..

PS:OC 2k3, kerio 6.4.2 недавно обновился, до этого стояла другая, глюк остался...