» Kerio WinRoute Firewall (часть 4)

[14/Aug/2008 13:52:43] [ID] 581936 [Rule] New rule [User] alusheva [Connection] TCP 192.168.7.50:1610 -> 195.7.162.234:9091 [Duration] 16 sec [Bytes] 253/200/453 [Packets] 5/4/9
а вот что в логах после того как прописал мапинг... по идее коннектится к нужному порту по нужному ip, а результата ноль ((

Значит сделай следующее в настройках:
source adress = 192.168.7.50
source port = any

destination adress = 195.7.162.234 (или можешь доменное имя банка прописать)
destination port = 9091

allow

и включи NAT

поставь это правило первым в списке и посмотри - должно работать

смотри в чём дело.... я пробовал коннект через другую, через неё соединяется, там в логах увидел, что он стучится к:
ssl://ibank.socgorbank.ru:9091
т.е. не просто ip и порт, а ещё этот долбаный ssl. в керио я не могу прописать мапинг к
ssl://ibank.socgorbank.ru:9091, он ругается, говорит некорректный формат, просто ibank.socgorbank.ru:9091 можно, а вот с ssl нет, получается керио не пропускает этот безопасный https... вот как мне эту беду вылечить?!

а коннект происходит следующим образом:
открываю https страницу, там нажимаю кнопку что-то типа ibank, выскакивает java приложение... из всех настроек это ключ бухгалтера и адрес прокси через которую коннект и по какому порту.
я сделал коннект по порту xxx, на проксе создал правило, что если пользователь коннект к ней по xxx, она мапит на ibank.socgorbank.ru:9091
смотрю логи, до ibank.socgorbank достукиваюсь.. всё кул... но нужно с этим грёбаным ssl

забудь про ssl. Поверь, это к делу особо не относится. Важен ПОРТ. коли ты его праивльно определил, то это 9091
Если ты сделал, как я сказал в перыдущем посте, то когда откроешь Клиент-Банк, НЕ прописывай прокси-сервер. Должно заработать.

PS вместо IP в destination address лучше прописать ibank.socgorbank.ru <-- именно так, без всяких там ssl и т.п.

в том же правиле не забываем НАТ указать, ато ответы на проксю придут...

sNAlexis
какие ответы? от банковского сервера?
прошу прощения, но они придут на внешний адрес Керио, а не на прокси. А вот как он их разрулит - это уже и настраивается.

Но с
Цитата:

не забываем НАТ указать

согласен.

без прописки прокси работать не будет, т.к. керио прописан не шлюзом, а как прокси (т.к. шлюзом является маршрутизатор), после того как прописал правило которое которое описывалось выше ничего не изменилось ( вот лог...

[14/Aug/2008 15:30:17] [ID] 658791 [Rule] Local Traffic [User] alusheva [Connection] TCP 192.168.7.50:1916 -> kerio.forafarm.lan:8080 [Duration] 16 sec [Bytes] 293/168/461 [Packets] 6/4/10

даже когда я делал мапинг, я видел что он достукивается до нужного ip и нужного порта, может всё таки дело в ssl ??

Цитата:

шлюзом является маршрутизатор

а вот здесь поподробнее. Т.е. сначала маршрутизатор, а за ним машинка с Керио идет, так?
Не рубит ли маршрутизатор соединения по не стандартным портам?


Цитата:

может всё таки дело в ssl ??

Нет. Точно не в этом. Это просто название протокола.

нет, не рубит, т.к. я пробовал не через керио, а через др прогу и она соединяла (
Это просто название протокола..... так может этот протокол тоже прописать как-то надо?

Цитата:

так может этот протокол тоже прописать как-то надо

не надо. Название протокола всего лишь указывает клиенту на каком стандартном порту идет соединение с сервером. Порт ты и так знаешь.

Ну а по вопросу
Цитата:

Т.е. сначала маршрутизатор, а за ним машинка с Керио идет, так?

что скажешь?

рабочие тачки и сервак керио в одной подсети, но общаются через маршрутизатор

Ну если всё так, как ты описываешь, то пропиши всё-таки на машине с клиент-банком в качестве шлюза Керио, и не включай прокси. Пробуй.

Ребята.

Кирюха пишет еррор:

Служба "Kerio WinRoute Firewall" завершена из-за внутренней ошибки 1 (0x1).

Никто не в курсе, в чем дело??

Добавлено:
Решил проблему. Удалил обновления для вин2003, которые ставил перед этим Так что знайте ))

Подскажите, как справиться с проблемой?

Имеется Windows Server 2008 x64 SP1 (DNS, AD, DC) и KWF 6.4.2 x64

KWF -> Administration Console -> DNS Forwarder -> DNS Forwarding
"Enable DNS forwarding" снял, потому что на этом же самом компе работает DNS сервер.

KWF -> Administration Console -> Users -> Active Directory -> Active Directory Mapping
"Map user accounts from the Active Directory domain to Kerio Winroute Firewall" поставил
всё остальное тоже заполнил.

KWF -> Administration Console -> Users -> Active Directory -> Domain Access -> Advanced... -> Security
"Use encrypted connection to access user database":
если эта галка выключена, то выдаёт "Error: Strong Authentication Required"
если эта галка включена, то выдаёт "Unable to connect to domain server."

Вобщем, по-любому у меня KWF не может установить соединение с AD.
Что можно сделать, и где это нужно делать?

Koichi
тебе нужно просто импортировать юзверей из домена или что?

Koichi
У тебя на контроллере домена KWR стоит? Оч. нехорошее решение, ооочень! ...Да и без скринов трудно разобраться, какие у тебя там ещё настройки есть, а каких нет.

Главное, чтобы там же ещё и шлюз не находился...

Сегодня возник вопрос по блокировке мейл агента. Ни кто не подскажет, какие айпи/порты нужно закрывать?

Цитата:

Сегодня возник вопрос по блокировке мейл агента. Ни кто не подскажет, какие айпи/порты нужно закрывать?

110 и 25, если конечно майл агент не настроен на другие порты

Возможно, ещё и на 443 Блокировать эти порты - не выход. Как почту забирать? Может, существует в природе список серверов, по которым его можно заблочить как аську?

Koichi
1. niichavo прав
2. на сколько я читал полной поддержки Server 2008 керио 6.4 не имеет!

Такой вопрос, запустии второй канал в компе 3 сетевухи
1 - внутренняя
2 - 1ый канал
3 - 2ый канал

ТАк вот, по умолчанию используем 1ый канал, а в случае сбоев как максимально быстро переключаться на второй?

Используйте Connection faultover (вроде так называется) эта закладка...

В настройках используй Connection failover.

Если в кратце, то настраиваешь основной канал, дополнительный и указываешь какой сервак пинговать. При пропадании пинга Керио автоматом переключится на резервный канал.

добрый день!
не гоните в поиск...был там...
только что поставил Winroute 6.4.2 вроде все работает...но есть ряд проблем:
1.в настройках(Winroute) прописана прокся,но пускает без нее(т.е. в настройках браузера можно не прописыватть проксю)
2.пользователь авторизовывается только один раз,а потом может заходить в инет без логина и пароля
где я мог накосячить...если можно по подробнее
AD,DNS, Winroute 6.4.2 стоят на одной машине,машина WIN2003 имеет 2 сетевухи 1-смотрит в локалку,2-на роутер

mic59

Цитата:

1. ... прописана прокся,но пускает без нее ...

Возможно, причина в правиле с NAT. Поставь вместо сетевого интерфейса, смотрящего в локалку, группу "Authenticated users"

Цитата:

2. пользователь авторизовывается только один раз,а потом может заходить в инет без логина и пароля

А тебе что нужно, чтобы всё время спрашивали логин/пароль? При каждой сесии? Тогда ставь галку "Users - Authentication Options - Force non-transparent proxy server authentication". Если тебе нужна прозрачная аутентификация, тогда выбери оптимальный промежуток времени - "Automatic Logout", по истечение которого неактивный пользователь будет "выкинут". Поставь ещё галку на "Always require users to be..."

Цитата:

AD,DNS, Winroute 6.4.2 стоят на одной машине

Ужоснах!

Используйте Connection faultover -

То есть настроить такие же правила как и для Primary в трафик полисе(Можно просто в SOURCE внести вторую сетевуху верно?)

default gateway это что такое?

Где можно поподробней почитать?

Народ, помогите немного, такая проблема:
Керио пользуюсь уже года 4 никогда особых проблем не было, сейчас возникла необходимость соседу инет (ADSL) продавать через локалку, но ступил при покупке ммодема-роутера, вообщем есть комп домашний (Старый, но безшумный, всегда включён) думал поставить Керио и забыть про все проблемы - не тут то было.
Вообщем у керио на моей машине какойто глюк с подсчётом соединений. В опере открываю поиск в гугле фразы "1234", а керио тут же ругается мол превышен лимит подключений и инет еле пашет. Вирусов / троянов на машине нету, керио просто регистрирует около 1000 потоков оперы которые в одну и туже секунду щимятся на сервак гугля, причём сисинтерналс портмон показывает 1-2 потока (в зависимости от наличия картинок на странице). Пробовал версии керио 6.4.2 6.3.0 6.2.3 6.1.2 6.0.6 везде одна и таже фигня уж и не знаю где собака зарыта. Пробовал другие браузеры в мозиле и лисе тоже самое. Все настройки в керио дефолтные, правило 1 : Фаервол - Ани - Ани - Ани - Премит.

Пропадает инет у пользователей, при выключение и включение соеднинение все появляется обратно, и так переодический, лимитов вроде нет, как исправить?

Попробуй отключить протокол инспектора на главное правило интернета. Так же не помешало бы проверки ради отключить антивирусный плагин в Керио.

Добавлено:

Цитата:

Все настройки в керио дефолтные, правило 1 : Фаервол - Ани - Ани - Ани - Премит.

извиняюсь за глупый вопрос, но зачем тогда Керио? Открыты все порты, сорцы и дестинейшены. Снесите просто фаервол и получится то же самое.
Если же нужно только считать трафик, то я не стал бы на вашем месте микроскопом гвозди заколачивать.

Цитата:

AD,DNS, Winroute 6.4.2 стоят на одной машине

Ужоснах!

я знаю....но начальству побоку ))))


Добавлено:
niichavo
спасибо,помогло....только почта стала как то странно теперь ходить ((((