» Kerio WinRoute Firewall (часть 5)

Jonny_Grekoff
средствами KWF никак - если разрешил P2P сеть - получай Дыру2Дыру.
Смотреть нужно в сторону программ для контроля трафика skype (если таковые имеются...)

подскажите плз.
у меня на сервере 3 сетевых карты (2 на модемы и одна в хаб).
1 модем-безлимитка динамика, 2 модем-статика.
шлюзы разные и керио ругается и не работают сразу 2 канала, пашут если только отключать какой-нидь.
у кого работает такой вариант объясните как настроить правильней
add:
у меня версия 6.4.2.3672, мож она глючит, скачаю последнюю - попробую

и еще вопрос *на будущее, когда надеюсь будут у меня 2 канала пахать*, как в данном случае указать конкретный интернет канал, если в поле destination стоит конкретный адрес, может в translation?
правило

adjuster
Покопавшись с нете нашел одну ссылочку на сайте МС. Может кому пригодится.
Проверил - работает.

http://social.technet.microsoft.com/Forums/ru-RU/sharedru/thread/f1fa42c5-7901-4afa-9ac1-40c9374b4ac0

snayper7

Цитата:

1 модем-безлимитка динамика, 2 модем-статика.
шлюзы разные и керио ругается

А если оставить один шлюз и для второй подсети прописать маршрут на второй шлюз?

нет, это ведь разные настройки на картах
на статику дали провайдеры
а на динамику че ставить не знаю, но со статики не пойдет шлюз

Цитата:

а на динамику че ставить не знаю, но со статики не пойдет шлюз

ниче не ставь в адресе шлюза. Маршрут на это подсетку пропиши на адрес шлюза, который ты хотел там поставить.
ИМХО, два шлюза на одном компе - плохо.
Какая хоть ОС?

lizun

Цитата:

Какая хоть ОС?

server2003

Цитата:

Маршрут на это подсетку пропиши на адрес шлюза, который ты хотел там поставить.

не понял

Добрый день дорогие друзья!
Подскажите пожалуйста решение вопроса или где "копать":
стоит дома комп у него 2 сетевые карты. одна смотрит в инет, там ip 172.16.100.хх далее к провайдеру. вторая карта смотрит в hub, ставлю адрес 192.168.хх.хх и раздаю инет на бук. всё работает норм) поставил kwf 6.5.0. инет работает. но не могу назначить ip для второй карты, если говорю назначить автоматом - выдаёт, что tcp/ip для данной карты недоступен. если назначаю ip вручную всёравно карта не пингуется и не раздаёт инет. В Керио в интерфейсах этой карты нет( хелп ми плииз. заранне спасибо.

inery
Скрины интерфейсов керио, свойства сетевых подключений виндов (плюс настройки tcp/ip каждой карточки) и политики трафика в керио выложите плиз. Так сказать сложно.

Цитата:

назначить автоматом - выдаёт, что tcp/ip для данной карты недоступен

dhcp поднят (включен)?

Цитата:

если назначаю ip вручную всёравно карта не пингуется и не раздаёт инет

если в политиках трафика не прописано разрешение на эти действия, то ничего и не будет.




Добавлено:
А еще по симптомам пришла в голову мысль. У Вас реально присутствуют все нужные компоненты в свойствах карточки в виндах и т.д. Короче все скрины нужны.

Интерфейсы Kerio


сетевые подключения


карточка которая смотрит в инет


которая смотрит в lan home


политики kerio



Цитата:

реально присутствуют все нужные компоненты в свойствах карточки в виндах

Да. Если сношу kerio всё же работает(

Добавлено:
По моему всё разрешилось!!! Начал по одному выключать компоненты в сетевой карте и вуаля) Отключаю "Планировщик пакетов QoS" и карта увиделась. В kerio появилась!!! Теперь я так понимаю надо прописать правила для того чтобы можно было из lan ходить в инет!!!!

inery
слух походу трабла с драйвером, переставлять полностью kwf пробовал?

snayper7
Ставь версию 6.5.2 и выше с поддержкой 2х и более шлюзов по умолчанию.
inery
DHCP в сервисы загони!!!! - в правилах отсутствует такой протокол.

inery

Цитата:

Теперь я так понимаю надо прописать правила для того чтобы можно было из lan ходить в инет!!!!

Ну типа да.
А если Вы новичек в Керио, то снести его нафиг со всеми конфигами! и поставить заново. Он предложит визард, который Вам на первое время сам настроит хождение в инет. Дальше уже можно затачивать под свои потребности.

snayper7

Цитата:

Цитата:
Цитата: Маршрут на это подсетку пропиши на адрес шлюза, который ты хотел там поставить.

не понял

Цитата:

Прописываешь маршруты что-то типа
route -p add 192.168.1.0 mask 255.255.255.0 192.168.1.1 IF 1
route -p add 10.1.1.0 mask 255.255.255.0 10.1.1.1 IF 2

snayper7 писал, что ось 2003 сервер. Тогда это не граммотно. Открываем оснастку маршрутизация и удаленный доступ и там пишем маршруты. Это ж не рабочая станция, хотя и так будет работать

adjuster
так и думал, щас качну последнюю версию
lizun
у меня одна сеть и 2 интернет канала

можно ли как-то фильтровать определенные пакеты -- TCP пакеты с флагом RST?

Kerio 6.2.3
Два интерфейса - внешний со статич. ип (допусти 173.173.173.173 )и внутренний 192.168.1.1
Включен нат, все пашет

Как мне теперь этим керио воспользоваться снаружи (вторая точка), что использовать его в качестве прокси-сервера?
Во "второй точке" открыт порт 25, вот его и хочу использовать.
Сделано в связи с тем, что во второй точке много закрыто.

правило пытаюсь сделать такое:
source - ип второй точки
destination - firewall
service 25 port
nat - outgoing interface
а вот что писать в port mapping?
80 порт и ипшник исходящего интерфеса (173.173.173.173 ) с керио? Так не работает.

А на браузере соотв. во второй точке надо ставить прокси-сервер 173.173.173.173 и 25 порт
не работает.
Куда копать?

adjuster

Цитата:

Ставь версию 6.5.2 и выше с поддержкой 2х и более шлюзов по умолчанию.

что-то новенькое, kwf не поддерживает два шлюза по умолчанию, может ты что-то другое имеешь ввиду?

Mystical

Цитата:

snayper7 писал, что ось 2003 сервер. Тогда это не граммотно. Открываем оснастку маршрутизация и удаленный доступ и там пишем маршруты. Это ж не рабочая станция, хотя и так будет работать

тут такое дело, что с включенным RRAS керио работать прямо не будет. луче отключить его и юзать route

Tihon_one
Я имею ввиду, что поддержка двух шлюзов на интерфейсах появилась в KWF начиная с 6.5.0 версии (или 6.5.2 - запамятовал). А если версия ниже, то KWF, видя в винде 2 интерфейса с шлюзами, начинает дико кричать: "ППЦ начальника!!! Вырубай второй шлюз и перезапускай KWF". Часто такое сообщение админы вырубают при первом же появлении.

Добавлено:

Цитата:

правило пытаюсь сделать такое:
source - ип второй точки
destination - firewall
service 25 port
nat - outgoing interface
а вот что писать в port mapping?
80 порт и ипшник исходящего интерфеса (173.173.173.173 ) с керио? Так не работает.

А на браузере соотв. во второй точке надо ставить прокси-сервер 173.173.173.173 и 25 порт
не работает.
Куда копать?

1.Начинай копать в сторону Protol Inspectora - именно он контроллирует пакеты по протоколам. Пока его не отключишь на правиле - ничего не получится. Так как по ег осоображению ты пытаешься загнать HTTP пакет в SMTP пакет....
2. Тупость ставить NAT и порт мепинг на исходящий интерфейс.
3. Что за ИП второй точки? - где относительно KWF находится этот комп? в локалке?

adjuster

Цитата:

ППЦ начальника!!! Вырубай второй шлюз и перезапускай KWF".

угу
к выходным буду переставлять, отпишусь

Цитата:

.Начинай копать в сторону Protol Inspectora - именно он контроллирует пакеты по протоколам. Пока его не отключишь на правиле - ничего не получится. Так как по ег осоображению ты пытаешься загнать HTTP пакет в SMTP пакет....
2. Тупость ставить NAT и порт мепинг на исходящий интерфейс.
3. Что за ИП второй точки? - где относительно KWF находится это

1. протокол инспектор я уже давно отключаю - слишком много глюков с ним связано.
2. А что тогда делать?
3. Ип второй точки - другой внешний реальный.

В общем, мне надо чтобы со второй точки, где злой админ прикрыл много чего, но оставил открытым 25 порт, человек мог ходить браузером через мой винрут, мой ип.

adjuster

Опять не понял, это же говорят и версии 6,6,0 и 6.7.0. В системе не должно быть двух шлюзов по умолчанию, KWF и без них прекрасно трафик разгружает по внешним интерфейсам.

Всем доброго времени суток!

Перечитал мануалы с факами, но так и не нашел....


Давным-давно у меня в домене на шлюзовой машинке стоял керио версии, по-моему, 6.3.0...
Авторизация работала по НТЛМ (т.е. заходишь браузером на http://gateway:4080 - без логинов/паролей прошла прозрачная авторизация и, согласно правилам трафика пользователь либо лез в инет, либо нет). В старт-апе стоял скриптик, который при входе пользователя создавал невидимое окошко эксплорера, открывал в нём страничку керио, тот в свою очередь авторизовал пользователя, на этом окошко эксплорера уничтожалось. при выходе пользователя - аналогично, но наоборот.

Так вот. Система эта иногда давала сбои - то авторизация не прошла, то шлюз упал, то еще что-то... В общем получалась ситуация, когда пользователь получался не авторизованным у керио.
Точно помню (еси б не видел - не говорил), керюха срабатывал следующим образом: если работает НТЛМ, но пользователь по какой-то причине еще не авторизован, а уже просит страничку яндекса, например, срабатывал редирект на страницу авторизации керио, проходила авторизация и сразу же редирект на запрашиваемую пользователем страницу (яндекс в моем примере).
Получалось, что если по какому-то глюку пользователь не авторизован - авторизация происходила тупо автоматом - двумя редиректами.

Далее. С той самой старенькой версии в какой-то момент было произведено обновление до 6.6.хх Именно ОБНОВЛЕНИЕ - т.е. файлы конфигов были сохранены и НЕ ИЗМЕНЯЛИСЬ после установки новой версии.
НО эта система с редиректами пропала. Где и как её включить - ума не приложу, а описаний такого чуда в нете как-то не встретил...

Сегодня обновился до версии 6.7.0-р1 с робкой надеждой чудесного появление этой полезной фичи - фонарь

Может кто чего подскажет?


Немного о том, что у меня сейчас настроено:
(утрированно)
5 доменных пользователей
2 доменные группы
в группу РАЗРЕШЕНО входят пользователи 1, 2, 5 - им должно быть доступно всё
в группу ПОЧТА входят пользователи 3, 4 - им только почтовые протоколы ПОП3 и СМТП
кроме того ВСЕМ пользователям (авторизованным) разрешено асько

в политиках трафика кирюхи:
Аська - Авторизованные - Инет - АСЬКА - РАЗРЕШИТЬ - НАТ
НАТ - РАЗРЕШЕНО - Инет - ХТТП/ХТТПС/ПОП3/СМТП - РАЗРЕШИТЬ - НАТ
Почта - ПОЧТА - Инет - ПОП3/СМТП - РАЗРЕШИТЬ - НАТ
Фаервол - Фаервол - Инет - РАЗРЕШИТЬ
Локалка - Фаервол/Локалка - Фаервол/Локалка - РАЗРЕШИТЬ
ДЕФАУЛТ - Все - Все - ЗАПРЕТИТЬ

в настройках пользователе:
МАП юзеры/грыппы с ЛДАП сервера (АД)
Всегда требовать аутентификации пользователей при доступе к веб-страницам
Включить автоматическое выполнение аутентификации веб-браузером
Включить аутентификацию домена ВинНТ

в политиках НТТП:
только одно правило на основе веб-фильтра (ранее кабанчик, щас керио веб-фильтр)


ну-с вроде все... если че-то еще не хватает - допишу облизательно

Заранее благодарен за идеи/подсказки

progmike
слух ну дело-то в имени хоста kwf, этот самый редирект и есть механизм автоматической авторизации NTLM просто проходит он обычно быстро, так что пользователи не замечают этого редиректа. собсна посмотри какое имя хоста квф у тебя отображается на "дополнительные параметры- вкладка web интерфейс" и это самое имя добавь в зону интрасети твоих клиентских IE.


Цитата:

в настройках пользователе:
МАП юзеры/грыппы с ЛДАП сервера (АД)
Всегда требовать аутентификации пользователей при доступе к веб-страницам
Включить автоматическое выполнение аутентификации веб-браузером
Включить аутентификацию домена ВинНТ

Вот два этих скрина покажи, юзать надо только вкладку Active Directory для организации подключения к домену и NTLM аутентификации.

Tihon_one

Цитата:

Опять не понял, это же говорят и версии 6,6,0 и 6.7.0. В системе не должно быть двух шлюзов по умолчанию, KWF и без них прекрасно трафик разгружает по внешним интерфейсам.

Я не проверял на новых версиях (продолжаю сидеть на 6.4.2), поэтому не могу поспорить на счет сообщения от KWF про 2 шлюза.
Но начиная с 6.5.х версий появилась возможность баланса нагрузки на каналы и одновременной работы 2х и более инет каналов.
Можно извратиться и добиться работоспособности 2 каналов и на 6.4.х версии, но зачем изобретать велосипед, который будет с квадратными колесами, если можно просто обновить версию и получить готовенький скутер?

Novich

Цитата:

В общем, мне надо чтобы со второй точки, где злой админ прикрыл много чего, но оставил открытым 25 порт, человек мог ходить браузером через мой винрут, мой ип.

Тогда нужно сделать так:
у себя включаешь прокси на 25 порту. У пользователя в браузере прописываешь твой ИП и порт 25.

Лезешь в сервисы ( в KWF) и отключаешь на SMTP и HTTP|HTTPS(на этих 2- не уверен, возможно не понадобится отключение) протоколах PI (Именно через сервисы).
Создаешь правило:
сурс удаленный комп
дест firewall
протокол TCP=25
пермит.

progmike

Цитата:

Сегодня обновился до версии 6.7.0-р1 с робкой надеждой чудесного появление этой полезной фичи - фонарь
Может кто чего подскажет?

Я подскажу: начиная с 6.5.х версий (точно с 6.6.х) kerio убрали некоторые страницы из веб интерфейса, поэтому твой скрипт перестал работать.
Необходимо переделать скрипт под обновленную версию (возможно уже есть в инете).

Цитата:

Я не проверял на новых версиях (продолжаю сидеть на 6.4.2), поэтому не могу поспорить на счет сообщения от KWF про 2 шлюза.
Но начиная с 6.5.х версий появилась возможность баланса нагрузки на каналы и одновременной работы 2х и более инет каналов.
Можно извратиться и добиться работоспособности 2 каналов и на 6.4.х версии, но зачем изобретать велосипед, который будет с квадратными колесами, если можно просто обновить версию и получить готовенький скутер?

Конечно. Но требование указывать лишь один шлюз по умолчанию осталось.

Tihon_one

Цитата:

Но требование указывать лишь один шлюз по умолчанию осталось

Пути программистов не исповедимы )).

версия 6.4.2

Как сделать так чтобы каждый седел под собой для статистики?
Аутентификация в браузере через ввод пароля с логином не подойдет




Все пересмотрел и перепробовал.
Все пользователи в домене сидят через прокси kerio. пользователи не могут сидит по мимо прокси в интернете. В kerio прописано

стоит галочка > enable user authentication must be configured properly
стоит галочка > enable windows NT domen authentication
не стоит галочка > always reqire users to be authenticaticated when accessing web pages

ultimatums

Цитата:

Аутентификация в браузере через ввод пароля с логином не подойдет

Без привязки к IP - только ISA сервер.

Ты бы лучше ipconfig /all с KWF показал.