» Kerio WinRoute Firewall (часть 5)

Tihon_one
наверное даже достаточно будет начать только с ipconfig'а

Я для этого настроил Зону обратного просмотра на DNS сервере.
Все заработало на ура.
Еще есть в Определения--Дополнительные параметры---Веб Интерфейс--название сервера Kerio

Cheerful_a_bear
в целом, настройки "по умолчанию" DNS сервера ставящегося с настройкой AD, достаточно для корректного резолва имени машины входящей в домен. Может так случится, что молодой человек настроил некорректно сетевые адаптеры в кериве, раз уж он использует выделенный DNS сервер.

Возможно.
Я пришел в организацию, зона обратного просмотра настроена не была "по умолчанию", и пришлось все сделать ручками... Только после этого заработало...

Cheerful_a_bear
вобщем ждём ответов от вопрошающего.

Cheerful_a_bear
а при чём тут, простите, зона ОБРАТНОГО просмотра?
она нужна для выдачи DNS-имени по IP-адресу, а у гражданина всё наоборот.

Tihon_one


Зона обратного просмотра на DNS настроена корректно.
трафик полиси:

Заметил, что когда правило нат опускаешь и выше него другое правило ставишь, то у многих перестает работать интернет.... Раньше такого не встречал. Очень странно.


Код: C:\Documents and Settings\root>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : gate
Основной DNS-суффикс . . . . . . : kfs.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : kfs.local

Local - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VIA Rhine II Fast Ethernet Adapter
Физический адрес. . . . . . . . . : 00-1B-FC-4C-0B-A0
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.2

Wan - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : SURECOM EP-320X-S 100/10M Ethernet PCI Ad
apter
Физический адрес. . . . . . . . . : 00-02-44-72-70-98
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 88.204.255.98
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 88.204.255.97
DNS-серверы . . . . . . . . . . . : 192.168.0.2
212.19.149.178
NetBIOS через TCP/IP. . . . . . . : отключен

Kot_RRR
а по http://gate.kfs.local:4080 ( http://gate:4080 )
а по https//gate.kfs.local:4081 ( https//gate:4081 )
видя префикс http:// браузер автоматом ломится на 80 порт, так что указать надоть.
или у тебя там есть веб-сервер на 80 порту?

Ещё есть косяки в конфигах интерфейсов:
Для LAN карты DNS должен быть тот же, что и IP (тихо сам с собою )
Для WAN - основной он же.
В KWR естессно включить переадресацию DNS
И конечно же пересылка DNS запросов с DNS-сервера на KWR

см. пункт DNS на http://pcsecurity.net.ru/forum/viewtopic.php?t=1373


Косяк в правилах:
DNS - 192.168.0.2 находится ЗА шлюзом. Почему тогда правило хождения в инет без трансляции?

AlOne
Я керио настроил на 80 и 81 порт соответсвенно.

У меня... Сейчас все проверю....
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;

Мое почтение.
Никто не сталкивался с такой ситуацией:

На компах стоят IE6,IE7,IE8. Установленные с самой системой. NTLM авторизация керио работает.
Сделал через WSUS обновление на всех компах на IE8.

Авторизация NTLM перестала работать.

Ничего в голову не приходит, где и как крутить.
Помогите разобраться. Сенкс.

Добавлено:
Стоит Керио 6.4.0 b3176.

Kot_RRR
я конечно хз, лень вникать сейчаС, но ты скажи а зачем на локальной адаптере в квф ты прописал днс? без него всё великолепно работает, и ещё, нахера ты в одном правиле оперируешь интерфейсами, а в другом группами интерфейсов, работай с чем-нибудь одним, а то путаницы много.

Tihon_one
Потому что на винроуте ру в теме "Правильная настройка интерфейсов" было показано именно так, что нада указать внутренний ДНС сервак.
Исправил.

Правила пофиксил. Нет теперь строчки ДНС.

Kot_RRR
стучи в личку, тут тереть флуда много будет.

Приветствую.

Коллеги, помогите с проблемой.

Сабж стоит уже 2 года - проблем не было, работает в локальной сети. К сожалению сейчас конфиг выложить не могу - так как сабж "лежит", а я нахожусь удаленно

Суть проблемы в следующем - работал все ок, после ребута служба "повисла" и начала уверенно жрать память тазика (дуал коре, 4 гб, рейд 1, 2008 сервер) когда сожраная память доходит до 320 метров, сабж запускается и начинает работать, при этом пинг на локальный интерфейс доходит до 5К, аналогично и на инетовый.

До этого аналогичных проблем небыло
сабж выполняет раздачу инета прибл. 100 юзверям
есть проброска портов, установлен виснетик.

пробовал:
ставить сабж версии 6.7.0 - не помогло - симптом аналогичен

Мысли:
здохла сетевуха локального интефейса
ошибка в правилах, хотя недавно (месяц) ничего не менялось.

Вообщем мистика, поиск по форуму не помог. прошу совета.

народ, у меня есть файл html для юзеров, где написано "доступ запрещен бла бла бла....."
при перенаправлении не могу указать локальную директорию, есть варианты какнить прописать?

поставить иис или апач?

Realmagnum

Цитата:

Помогите разобраться. Сенкс.

Проверь настройки прокси, если использовал.

B0POH

Цитата:

ставить сабж версии 6.7.0 - не помогло - симптом аналогичен

Проверь папку winroute на вирусы.

Добавлено:
Realmagnum

Цитата:

Помогите разобраться. Сенкс.

Проверь настройки прокси, если использовал.

B0POH

Цитата:

ставить сабж версии 6.7.0 - не помогло - симптом аналогичен

Проверь папку winroute на вирусы.

Tihon_one

Цитата:

поставить иис или апач?

в KWF есть уже свой веб сервер - достаточно правилами HTTPполитик перебрасывать на указанную страницу.

adjuster
да затупил, но это не "политкорректное" решение. хотя вполне возможное конечно.

надо будет попробовать у себя так поступить.

adjuster


Цитата:

Проверь папку winroute на вирусы.

Проверил подключив веник к другому компу с АВП - чисто.

Мой моцк в оффлайне.

newhk
клади свой html файл в директорию \webiface\internal\ и клепай урл в параметрах редиректа http://kwf.domain.local:4080/internal/mypage.html сработает

adjuster
спасибо за раскрытие глаз

еще вопрос, у меня есть группа которой запрещено все кроме аськи, т.е. запрещены все URL, как мне разрешить аську чтобы она нормально работала?
я указат так:
oblom *.icq.*
oblom *.*
аська проходит авторизацию, но не работает


Добавлено:
спс большое =)

хз ты глянь ipы асикушных серверов их много.

Добавлено:
может у тебя режется в ПТ что-нибудь?

хз, у меня правило разрешить все направления для ICQ

Приветствую!
Таки проблема у меня осталась прежней - у юзеров много сайтов не открывается, хотя я перелопатил уже все настройки KWF. Выглядит примерно так: у юзера сайт не открывается и не пингуется, я открываю в консоли hosts, добавляю там ip и hostname - юзер начинает работать. Сказать, что геморно - не сказать ничего! В терминале гейта всё открывается ок, то есть проблема связана только с KWF. Какие настройки сообщить уважаемым гуру для анализа проблемы? Что это вообще может быть?

Цитата:

о есть проблема связана только с

может быть dns ?

AndrewAks
dns не резолвит имена, в локалке нету отдельного днс сервера?

AndrewAks

Цитата:

у юзера сайт не открывается и не пингуется,

ipconfig /all с машины пользователя покажи

по вопросу об аське...
мне необходимо закрыть все кроме аськи для определенной группы, я это осуществил через группы URL, там же разрешил аську *icq*, *.icq.*, icq.*
что еще надо чтобы аська работала?
аську поставил над запрещением

Добавлено:
я тут нашел сервера ICQ, ввел их, так же добавил *qip*, работает наполовину... авторизацию проходит и все

Цитата:

Tihon_one
dns не резолвит имена, в локалке нету отдельного днс сервера?

Нет, он и не нужен, т.к. локалка маленькая - 5 клиентов ХР и один терминал-сервак и гейт в одном лице 2003. На KWF поднят форвардинг.


Цитата:

NegoroX
ipconfig /all с машины пользователя покажи

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Sklad2
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139
Физический адрес. . . . . . . . . : 00-21-85-64-33-D3
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.0.6
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.0.0.1
DNS-серверы . . . . . . . . . . . : 10.0.0.1

В принципе, сейчас я проблему решил, прописав первичным DNS провайдера, а вторичным шлюза, то есть смысла в DNS-форвардинге теперь просто нет. Но всё равно, хочется нормального кэширования DNS-запросов.

AndrewAks
а что не стандартные адреса (типа 192.168.ххх.ххх) для локалки?
опиши кратко сетку+картинку с керио там где интерфейсы и ipconfig /all с машины с керио.