» Kerio WinRoute Firewall (часть 5)

maillo

Цитата:

Не подскажешь где это можно посмотреть в эксченже 2003?

Вот тут, например

Добавлено:
ЗЫ. Про Exchange есть другой топик

Цитата:

а ты модем мостом и воткни в шлюз а не свич, на керио DHCP настрой!

и что тогда получится? получится что свитч и 5 ПК (если брать предложенную мной схему) будут сами по себе, а ПК с Керио и модем сами по себе. Еще раз говорю, ПК с Керио имеет одну сетевку.

Обойти Керио конечно можно, меняешь настройки TCP/IP и все. Если только ты администратор...)) Своим юзверям я не даю такой роскоши)

123CZ123
я думаю ты согласишься, что предложенная тобой схема уникальна, так что советовать ее кому-то не имеет смысла. Проще купить вторую сетевку ,чем танцевать с бубном вокруг керио

Цитата:

ПК с Керио имеет одну сетевку.

У Керио даже разрабы пишут в минимальной конфигурации надо иметь два ЛАНА, иначе установка шлюза не целесообразна) http://www.kerio.ru/ru/firewall/requirements Минимум два сетевых интерфейса (включая dial-up подключения) И если все таки вы купите вторую сетевуху, то сможете наконец сами воткнуть в свои настройки и не засорять и так идущую гиганским потоком почту на ящики пользователей!

Цитата:

У Керио даже разрабы пишут в минимальной конфигурации надо иметь два ЛАНА, иначе установка шлюза не целесообразна) http://www.kerio.ru/ru/firewall/requirements Минимум два сетевых интерфейса (включая dial-up подключения) И если все таки вы купите вторую сетевуху, то сможете наконец сами воткнуть в свои настройки и не засорять и так идущую гиганским потоком почту на ящики пользователей!

1. они пишут про нецелесообразность, а не про невозможность. Возможность доказана;
2. при чем здесь почта, я не понял если честно. Разговор про почту это другой разговор.


Цитата:

я думаю ты согласишься, что предложенная тобой схема уникальна, так что советовать ее кому-то не имеет смысла. Проще купить вторую сетевку ,чем танцевать с бубном вокруг керио

Да, она под мою ситуацию. Но учитывая изначальный вопрос, получили конкретный ответ. Да и танцевать вокруг Кери не надо, настройки то есть.
И опять же. Вдруг кому-нить понадобится, а тут уже и ответ есть.

123CZ123
на самом деле от такой схемы надо уходить (даже елси она и рабочая) по след причинам:
1. смешение разных потоков ведет к повышенной нагрузке на сеть |=> падение производительности

2. Провайдер может снифить локалку, а это уже совсем не гууд

Добавлено:
123CZ123
а модем роутером или бриджом?

Выяснил экспериментальным путём. Не дают запуститься сервису керио
ofclient2.cfg и winroute.cfg.
Я поставил чистую керио на другой комп, и подсовывал ему cfg с проблемной машины.
Как исправить старые cfg?

подскажите как должно выглядеть правило
если комп с керио работает как ftp(для внешки), http сервер (для внешки и внутренки)
и чтобы можно было админить этот комп из вне по 5650 порту?

iliuxa

Цитата:

если комп с керио работает как ftp(для внешки), http сервер (для внешки и внутренки)

source = сетевка, которая смотрит в инет (или ппое соединение, у кого что)
destination = firewall
service = FTP,HTTP
allow


Цитата:

и чтобы можно было админить этот комп из вне по 5650 порту?

как понять админить? KWFadmin?

админить через RA или ROM - удаленный раб стол

iliuxa

Цитата:

админить через RA

по умолчанию РА работает на порту tcp 4899
делаеш правило
source = сетевка, которая смотрит в инет/ппое соединение/разрешенные хосты
destination = firewall
service = tcp 4899
allow
можно поменять порт на свой


Цитата:

ROM - удаленный раб стол

эт чо? RDP?

ROM это Remote Office Manager - замена Remote Admin

iliuxa
никогда не работал с ним
но смысл тот же..узнаешь какой порт он слушает и делаеш в керио правило
source = сетевка, которая смотрит в инет/ппое соединение/разрешенные хосты
destination = firewall
service = [порт]
allow

Цитата:

да, кто-то из локалки пытается отправить много писем
убери логирование всех правил кроме smtp-out и посмотри с каких локальных адресов сыпятся пакеты
после чего проверяй найденные локальные адреса на вирусы и т.д.

Вот что получилось:
[20/Jul/2009 17:14:44] [ID] 206574 [Rule] SMTP out [Service] SMTP [User] DC1 [Connection] TCP dc1.domen.local:29188 -> mail172.messagelabs.com:25 [Duration] 17 sec [Bytes] 144/120/264 [Packets] 3/3/6

DC1 это почтовый сервер... Через него шлют?

вот сейсчас так пробую - всели правильно?

iliuxa
у тебя 2 канала???

У кого нибудь было такое, что после ограничения bandwıdth не возвращается обратно полная полоса после отмены (снятия галки)??? OS XP.

noloved

да - 2 прова
один анлим дешевый, но не очень быстрый и не самый стабильный - YOTA
второй лимит дорогой, но с лучшей стабильной скоростью - RMT

maillo

Цитата:

Вот что получилось:
[20/Jul/2009 17:14:44] [ID] 206574 [Rule] SMTP out [Service] SMTP [User] DC1 [Connection] TCP dc1.domen.local:29188 -> mail172.messagelabs.com:25 [Duration] 17 sec [Bytes] 144/120/264 [Packets] 3/3/6

DC1 это почтовый сервер... Через него шлют?

ай, не так, прости я ошибся...
у тебя из локалки юзеры обращаются к почтовому серверу минуя керио (напрямую), так что керио не сможет логировать обращения.
тебе надо както "заставить" пользователя обращаться к почтовому серверу через керио, таким образом керио будет логировать все обращения.

можно сделать так:
настраиваешь клиентские почтовые клиенты на ваш внешний (или на вообще левый ип адрес)
н-р 77.77.77.77
а в керио делаешь правило
source = LAN (сетевка, которая смотрит в локалку)
destination = 77.77.77.77
service = ANY (или POP3,SMTP)
ALLOW
MAP to 192.168.1.15 (локальный адрес почтовика)

т.е. аутлук будет ломиться на 77.77.77.77 , а керио его будет мапить на 192.168.1.15, что равносильно, если сам аутлук будет ломиться на 192.168.1.15
+ ставишь логирование пакетов на это правило

ну как то так







Добавлено:
iliuxa
тогда не совсем так
н-р твое правило

как керио узнает на какой интерфейс (а у тебя их два) возвращать ответные пакеты?

я бы это правило разбил на два:
1. source = YOTA
остальное как у тебя
+ добавить NAT(YOTA)

2. source = RMT
остальное как у тебя
+ добавить NAT(RMT)

т.о если пакет приходит с интерфейса YOTA то и ответ уйдет на этот же интерфейс
тоже самое и про RMT
как то так

Не подскажете какой алгоритм хеширования паролей применяется в KWF
хеши паролей хранятся в UserDB.cfg
например для 1 он
<variable name="Password">SHA:1a55c5f7f0628570e63b17d7f90539 a179a2005432dd94588bb4f8fb</variable>
вот нужен код на пхп(алгоритм хеширвоания) для преобразовния пароля в хеш

mukas
за последние 2 дня на нескольких форумах в нескольких темах видел это собщение...
зайди на другой форум, на котором ты уже писал..та есть тема - общение с разработчиками, там 2 представителя керио тусуются, можешь им напрямую задать ну или в личку

Товарищи, как закрыть RDP внутри локалки для всех, кроме двух нужных хостов? Политики трафика таковы...

1.создаешь группу ALLOW_RDP_HOSTS, куда помещаешь список хостов, которым надо разрешить RDP

2. создаешь правило
source = ALLOW_RDP_HOSTS
destination = Firewall (или ANY)
service = RDP
allow

3. создаешь правило
source = ANY
destination = Firewall (или ANY)
service = RDP
drop

поместить эти правила выше правила "Лакальный трафик"

noloved
Спасибо, работает.

VIP858 велкам

Всем доброго.
Такая проблема: при отправке писем (44 шт.) с одного компа, вылезла ошибка в логе WinRoute:

Mail server: WinRoute Pro 4.2.4 at #######.by
Error description: message could not be delivered, server replied:
450 4.7.1 Error: too much mail from 195.222.85.241
Original message is attached.

Я так понял, что в настройках где-то стоит лимит. Как и где его изменить?

c06p

Цитата:

при отправке писем (44 шт.) с одного компа

Ты что спамер ?

Хм... Спамер со своим винроутом? Не плохо! Попрошу по делу, срочный вопрос.

c06p

Цитата:

450 4.7.1 Error: too much mail from 195.222.85.241

Это ответ принимающей стороны, которая и накладывает ограничения.

c06p
а причем тут квф?? смотрите настройки почтового сервера