» Kerio WinRoute Firewall (часть 4)

utp_ss
Тебе зачем 2 нужно? Для чего? Чем конкретно для тебя керио не гибкий?

utp_ss
ну почитайте вы старые темы про винроут, сходите на винфак, это уже десятки раз обсасывалось
не будет это работать и не работало никогда

Цитата:

и не работало никогда

на счет неработало никогда, это не так, отлично работало почти год, до обновления Керио((

могу конечно и ошибатся
но подружит персональный файер с корпоротивнм это круто (но бессмысленно (imxo))

utp_ss
На вопрос зачем тебе 2 не хочешь ответить? Вдруг ты знаешь нечто такое, после чего все захотят 2 поставить Давай проще. Керио у тебя для чего стоит? Только для тебя или ещё как фаерволистый шлюз для компов внутренней сети? Если второе, то не нужно устанавливать больше ничего кроме керио. Если керио для тебя не гибкий, ну замени его тогда ISA что-ли или установи и настрой фрибздю... Если же ты используешь комп с керио только для себя, тогда установи, например, аутпост и снеси керио.

BigBear

Цитата:

а смысл в этом какой?

На самом деле смысл в этом есть и достаточно большой! Особенно для небольших офисов (до20-25 машин). Когда начальство на ВЫДЕЛЕННЫЙ сервер денег НЕ дает, и керио бегает на рабочей станции. Ну, или, если хотите, сервер с керио и раздачей интернета используется и как рабочая станция. А керио НЕ УМЕЕТ закрывать доступ в инет отдельно выбранным программам. А в таких случаях это часто ого как нужно . Так что смысл в этом, безусловно, есть.

Здравствуйте! У меня такой вопрос:
Есть 3 машины в домашней локальной сети, одна имеет серверное ПО, но под WinXP.
Провайдер интернета поставляет свою локальную сеть. С машины "Серва" выход осуществляеться и в инет и в локалку (полный доступ), а с остальных станций только инет.
Вопрос - можно ли с помощью Kerio WinRoute сделать так, чтобы остальные компьютеры сети имели доступ в локальную сеть провайдера (доступ к клиента DC++, CommFort и локальным торрентам).

P.S. По видимому провайдер попросту не пропускает более одного ип (((
Прошу прощения если вопрос глуп или скоректированн неточно, но очень бы хотелось бы услышать советы...

Germanus

Цитата:

керио НЕ УМЕЕТ закрывать доступ в инет отдельно выбранным программам. А в таких случаях это часто ого как нужно . Так что смысл в этом, безусловно, есть.

Ну так за таким компом явно не секретарша сидит. А админу-то чего контролировать программы? Самого себя ограничивать? Да и любая программа может быть закрыта, если закрыть необходимый для неё порт/IP. Так и позновательнее будет, про порты разных программ знать будешь.

niichavo
Я там смайлик не зрая поставил Ну, ОК, скажу открытым текстом. Смалл оффисы в основном пользуются, я бы так сказал, не совсем купленным софтом. А там всякие таблетки... А там желание стучать в нет... А там желание прикрыть. И не всегда известно куда именно стучит.

Germanus
при всем моем уважении к вам (много полезных сообщений ваших прочитал)
так лечить нужно так чтобы не ломились
у меня несколько офисов так сидит и не жужжит
так же правку hosts еще никто н отменял
так же млжно открыть только 80 порт для юзверей о нему никто не стучить
з.ы а еще речше завязываем флейм.
раз человек хочет и у него работало - значит ему это надо

Germanus
аааа дааа, уж... тогда лучше сразу в варезник идти. и ещё искать третий бесплатный фаервол, который бы отслеживал действие первых двух

Цитата:

доступ к клиента DC++

если надо, могу дать настройки на нужные порты TCP UDP чтоб не просто клиент подключался, а еще и файлы гуляли... По поводу 2 фаера - сам хотел но мозг понимает что незя, ибо конфликтов не оберешься. Были случаи, когда в сети установлен варез был и при запуске лез по HTTP проверить свои ключи, которые уже в блэк листах были, соответсвенно софт на этих тачках уже не работал... Решил проблему иначе! Врубаем Кабана, прогой типа TCPView смотрим при выключенной сети или под виртуальной машиной куда лезет софт, тоесть на какой IP или DNS имя. И бахаем красиво доступ к этим ресурсам кабаном! ТАк вот все пашет! Был один раз случай когда Adobe Updater тянул без предупреждения 180 метров обновлений для фотошопа, которые нафиг были не нужна - зато сожрал 340 рублей трафа! ЩАс просто правило для всяких там http://*.adobe.com не пускать траф из сетки, и все гуд! Дома юзаю керио, ибо траф считает отлично и дает проверить ISP тебя обманывает или софт. Как то стянул дрова весио 100 метров для Нвидии, а денег снялось как за 200. Хотел прову намотать педальки, а глянул в керио, он зарегил передачу одного файла по HTTP весом в 200 метров....хотя на выходе 100 метровый инсталятор был, говорят есть такая херня у Nvidia...Вообщем правильно настраиваем Керио, и получаем намного больше бонусов!)))

Вопрос знатокам! Повырубал у себя Anti-Spoofing и лимит подключений. ПРосто на серваке с керио, который не DC даже, лежит куча софта и файлов... При скачьке больших файлов вечно обрывы и ошибки...ДУмал может из за этих настроек...Свитч стоит 48 портовый TrandNet Гигабитный за 33000р. Все линки на 1 Г/с по локалке.... Скажите, какой толк а Антиспуфинге, реально на практике спасает ли он от DDOS и прочей бяки!)

Цитата:

На самом деле смысл в этом есть и достаточно большой! Особенно для небольших офисов (до20-25 машин). Когда начальство на ВЫДЕЛЕННЫЙ сервер денег НЕ дает, и керио бегает на рабочей станции. Ну, или, если хотите, сервер с керио и раздачей интернета используется и как рабочая станция. А керио НЕ УМЕЕТ закрывать доступ в инет отдельно выбранным программам. А в таких случаях это часто ого как нужно . Так что смысл в этом, безусловно, есть.

Как в воду глядишь! А нужен собственно для блокирования доступа различным программам на машинах юзеров в инет. Хотя порты собственно в Керио и закрыты, как то некоторые выходят,
типа анонимайзеров, можт по 443 и 80 портам, вот тут то и можно было их прибить

DJ_Diablo

Цитата:

смотрим при выключенной сети или под виртуальной машиной куда лезет софт, тоесть на какой IP или DNS имя. И бахаем красиво доступ к этим ресурсам кабаном!

Ух ты! Интересно. Но непонятно. Как это бахаем кабаном? Он же прибивает по категориям. И есть только белый лист. Или я чего-то не понял.


Цитата:

какой толк а Антиспуфинге, реально на практике спасает ли он от DDOS и прочей бяки!

Ну... в принципе да, спасает. Проводили с товарищами эксперимент как-то между двумя удаленными оффисами. При выключении антиспуфинга на удаленной машине, она ложилась буквально сразу. С другой стороны этим эксперимент и закончили, Так что нет уверенности что это именно антиспуфинг и именно на керио, и при любых вариантах подключений...

utp_ss

Цитата:

А нужен собственно для блокирования доступа различным программам на машинах юзеров в инет.

ИМХО для этого гораздо правильнее (да и удобнее) использовать встроенные виндовые файрволы непосредственно на сашинах клиентов. Вариантов много. Групповыми политиками, локальной настройкой и запретом доступа, с помощью DamrWare NT Utilites. На выбор. Но перекладывать это на сервер, практически бессмысленно, как мне самому, в свое время, объяснили.

Germanus

Групповыми политиками было бы проще всего, но у меня сеть без домена, а на каждой машине закрывать каждую прогу установленным софтом очень уж непривлекательная перспектива))

Цитата:

Он же прибивает по категориям. И есть только белый лист. Или я чего-то не понял.

Вот мой пример http://minjust.kamchatka.ru/upload/Kerio.JPG Кабан это или нет, но все работает!)))

Господа, ситуация такая, есть машина с Kerio WinRoute Firewall, на неё приходит два канала ADSL и "домашняя сеть" вида 192.168.х.х и 172.х.х.х (местный провайдер с сетью между абонентами). Так вот вопрос такой, как настроить чтобы интернет шел только через ADSL, а через "домашнюю сеть" работало DC и локальный ретреккер, да и ещё чтобы интернет раздавался на мою локалку вида 192.168.201.x (не используется в "домашней сети").
Выходы в интернет организуются: на ADSL через PPPoE, на "домашней сети" через VPN причем чтобы получить доступ к локальной сети "домашней сети" всё равно надо подключить VPN.

PS зачем всё это надо: на ADLS'е довольна широкий канал и безлимитный, а на "домашней сети" "лимитный" и дорогой, зато есть ретреккер и куча HAB'ов

PPS понимаю что телепатов нет, если что переспросите. ОЧЕНЬ НАДО.

DJ_Diablo
Понятно. Это не кабан, а просто http rules. Но то о чем речь выше была так просто не перекроется. Иногда именно любой доступ вполне конкретному софту нужно перекрыть.

BigBear

Цитата:

zeusXz
попробуй отключить кабана

Имеется ввиду ИССОранджВеб фильтр? такто я его и не влючал.

в чем есче может быть дело? сегодня с утра опять штормило.

Цитата:

[/q][q]av

niichavo
А ну спасибо за советы =)

Помогите настроить kerio для uTorrent. Я делаю так:
1) создаю службу uTorrent с протоколом TCP/UDP с портом источника любым и портом назначения тем, который прописан в самом uTorrent'е. "Случайный порт при запуске" в torrent'е отключен.
2) Добавляю правило, разрешающее эту службу.
3) На всякий случай включаю UPnP
4) Ставлю галку "не блокировать никакой P2P трафик"
5) Ограничение подключений отключаю совсем
6) шейпер не включен

В результате получаем вот что: торрент пишет что сеть якобы в порядке, горит зеленая галка, но ничего не работает: файлы не скачиваются, а отдача если и идет, то только со скоростью ~0.5 Кб/сек.

Пробовал также добавлять еще одну службу, где порт источника - торрентовский, а порт назначения - любой. Не помогает.
Все остальное на компе работает.
Версия kerio - 6.6.0. Торрент (версии 1.8.2) пытаюсь настроить на том же компе, на котором находится kerio, т. е. на сервере.

rdenk1
Мой пример настройки для двух пользователей uTorrent в локальной сети (у одного жёстко задан порт 10000, а у другого - 20000):