» Kerio WinRoute Firewall (часть 5)

Цитата:

при установке можно поставить галку - удаленная установка и появиться правило все для всех

Либо достаточно создать правило:
сурс ANY
дест Firewall
протокол RDP
пермит.

Поставить это правило в самый верх и спокойно начать установку, без страха, что связаться с KWF не получится.

Realmagnum

Цитата:

adjuster
И Опера, и Фаерфокс запрашивают сначала пароль своимим диалогом, если ввести данные, то авторизация проходит. Если нажимать отмена на диалоге браузера, открывается страница с полями ввода рег.данных Керио.
Пробовал менять адрес переадресации в самом Керио: Не помогло.

В Винде есть какие нить настройки по поводу NTLM? Может там где собака порылась. Или какие нить параметры в реестре...

В ФФ сделай about:config отсортируй по NTLM добавь в эту строку «network.automatic-ntlm-auth.trusted-uris» название хоста "KWF.mydomain.local", ребутни ФФ проверь.


P.S.>>в опере ntlm не работает, а то что у тебя ломается всё при IE8 то тут где-то у тебя порылась собака, у меня на 8ке всё отлично работает, возможно хост с kwf вылетил из зоны локальной сети в настройках безоасности?(http и https интерфейсы туда добавь если обы они включены в настройках самого KWF)

sadafaga
прошу прощения, пропустил, а Kerio WinRoute Firewall Software Appliance для чего?
спс...

и еще вопрос, начиная с версии 6.7.0 появилась возможность экспорта/импорта конфы...
где она находится?никак не могу найти...чет то ли лыжи не едут, то ли я обулся не по сезону...
спс...

Dasky
вопрос 1:

Software Appliance это ОС+KWF готовый к работе на базе Ubuntu

вопрос 2:

https://kwf.domain.local:4081/admin и там на титульной странице, увидь импорт\экспорт настроек.

Tihon_one
спс...
а я блин экспорт/импорт в консоли квф ищу=(

В Конфиге КFW есть такие строки ( это часть отвечающия за переключение каналов интернета, в случае падения основного канала) Помогите понять что за значения ???

<table name="InternetConnectivity">
<variable name="ConnectivityMode">Failover</variable> # Резервный канал
<variable name="UseProbeHosts">0</variable> # проверять пингом хосты (0-нет, 1-да)
<variable name="ProbeHosts">194.87.0.50</variable> # сами хосты
<variable name="ProbeIntervalNormal">20</variable> # ??? Интервал проверки хостов ???
<variable name="ProbeIntervalIfStateChanged">1</variable> # ??? кол-во интервалов проверки хостов до переключения ???
<variable name="ProbeTimeout">5</variable> # ??? максимальное время ожидания ответа (ping) ???
<variable name="ProbeCountThresholdForStateChange">5</variable> #
<variable name="OnDemandInterface"></variable> #
<variable name="FailoverPrimaryInterface">\DEVICE\{6E1C967F-87A6-47F2-A350-738CF37BD328}</variable> # основной интерфейс
<variable name="FailoverSecondaryInterface">\DEVICE\{21D1B078-F81A-4953-8730-34F528F9B877}</variable> # дополнительный интерфейс
<variable name="BalancingHostLinkBindingTimeout">600</variable> #
<variable name="FailoverGracePeriod">30</variable> #
</table>


огромное спасибо все откликнувшимся, зарание)))

Ребят, нужна оперативная помощь.
adsl modem > inet serv > users (45 чел)

inet serv - 2 сетевые, одна к дсл модему, вторая сетевуха - с сервака в свитч.
Т.е. тупо 2 интерфейса, соединение pppoe поднимается на модеме - соотвественно нет "тупо" пропускается через машинку. Казалось бы всё банально и просто.
WinServer 2003 r2, маршрутизация и удалённый доступ отключены, фаерволов нет, нод 4ый - только антивир.
В качестве инспекторы выбран - kerio winroute 6.7.0. . Основное его назначение будет - управлять каналом инета ( ограничение скорости). На сетке домена не стоит и не хочется ставить, способ контроля - "тупое" добавление машин и установление им "скорости".

В чем беда - я керио вижу 2ой раз в глаза, но то как настроить вроде бы узнал.
Объясняю проблему.
Ставлю керио, все как положено, ребут, подключаюсь под админом, запускаю мастер настройки - соединение для инета выбирается нужная сетевуха ( которая на адсл модем идёт), пару раз ок, впн настройки галки сняты.
Все, мастер всё создал - аська, скайп, пинги, трацерты , все пашет.
http - НЕТ.
Ни с одного компа, ни с компа на котором керио на странички не пускает ВООБЩЕ, но пингует и трацерт пускает.
Перелопатил всё, люди, очень срочно нужна помощь, где шило зарыто.
У пользователей Шлюз и днс-ы вручную, на INET SERVER всё вручную, на плате которая ведёт к модему - тоже всё вручную.

Я понимаю что может где-то есть настройка, о которой я не знаю в силу неопытности, но как инет ходит, о 80ый порт лежит.
Пробовал через непрозрачную проксю по 3128 порту пойти - тоже тупняк,не пускает.

GrAtski
политики трафика

GrAtski
Для начала снеси NOD, либо читай ФАК, как подружить NOD и KWF.
Также у тебя не работают 25 и 110 порты.
telnet на 80/25/110 порты в инет тебе об этом скажут.

Народ помогите плз )) 2 компа на одном инет , подрубил главный комп ко второму
айпи 1-го 192.168.0.1
айпи 2-го 192.168.0.2, указал шлюз 192.168.0.1, DNS указал тот-же, что и у первого компа, пингует , но как сделать чтобы инет пахал на втором? Вин роут установил но половину не втыкаю (6.7.х)

хелп )

Ребят, обязательно проверю с нодом инфу.
По 80\25\110 .. что первый не пашет,Это я и так понял... в целом в пояснение не совсем доехал про порты и как это решить. Пока снесу ради забавы нода.. что я оч. сомневаюсь, что что-то изменит.

Добавлено:
snayper7 поясни плиз....
все было по дефолту, убран непрозрачный прокси,соединения согласно "топологии".

SVAT279
а тебе надо инет раздовать именно через KWF, если нет такой необходимости то можно обычным общим доступом инет отдать

Лучше полностью напиши как ты хочешь раздовать инет полностью или частично

Добавлено:
GrAtski
Нод можешь не сносить если установлен только файловый антивирус.
У меня на сервере установлен KavWK только с файловым антивирусом и все пашет, так что не в Ноде дело

Насколько я понимаю ты хочешь раздовать полный инет всем пользователям, но только резать скорость???

GrAtski
настоятельно рекомендую, ознакомься:
http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=54&nav=0,2

Добавлено:
SVAT279
накой фиг тебе kwf для этого конфига?!?!? Юзай ICS.

FaTRuS
Фактически да, основная задача это контроль инета и всё.
Никаких доменов и т.д.

Tihon_one
Хм, интересная штука, попробую.


Отпишусь по результатам.

Tihon_one
GrAtski

Цитата:

Фактически да, основная задача это контроль инета и всё

С помощью ICS (виндового) можно выполнять вот такие задачи?

adjuster
нет, но ставить для двух тачук такое решение, изврат.

имхо.

Могу посоветовать бесплатную прогу для физических лиц http://RusRoute.ru/ - аналог шапки. Не привычен интерфейс, но работать можно.

ну да либо купить рутёр за 2-3к и настроить ограничения на нём.

ребят , огромнейшее спасибо.
Дело было в Антивирусном пакете nod4 , убрал контроль портов http и контроль почтовых портов, все тру!!

FaTRuS

У меня тупо 2 домашних компа я хочу разрешит полный доступ к интернету ,ко всем файлам одного и второго компа только внутри моей сети... вот

как мне это сделать?))

SVAT279
Тогда ICS тебе в руки, что за траблы я не пойму, зачем для таких целей городить KWF?!

FaTRuS

у меня тупо 2 домашних компа и я хочу их соеденить в сеть и проветси ко второму инет , резрешить все действия с файлами на том и на другом .

Вот я и гемороюсь)) как лeчше это сделать ?) есть установленный KWF (6.7.0)

SVAT279
для ics достаточно установленного windows xp, проще и ровнее всё работать будет для сетки из двух пк.

Добавлено:
SVAT279
а если хочется гимора, то милости прошу в мануал.

СОри у меня лаги )) я думал не отправилось , поэтому 2 раза написал))) Tihon_one спс )) на все посты отвечаешь) + тебе))

Доброго всем.

А вот можно ли как-то на KWF сделать DHCP Relay? Кто-то делал?

RemComm
Сомневаюсь, что получится на данном продукте, но попробуй:
настроить порт-мепинг в обе стороны по UDP= 67-68 портам с NAT на противоположный интерфейс.
При этом стоит отключить на машине KWF любой DHCP сервер.

угу... фиксед значится - под KWF кладется RRAS и его DHCP Relay Agent идет в ход.

Тогда посерьезней вопрос: много проксей работают на 80 порту. На том же 80 порту сидят ВЕБ сервера. Хочется зарезать проксируемый траф и при этом не затронуть обычный HTTP через 80 порт. Как-то ничего не придумывается арсеналом KWF. Кто-то делал?

Добавлено:
adjuster
Спасибо - уже решил с DHCP. простой маппинг не поможет - надо giaddr правильный ставить а не то DHCP ерунду отвечать станет.

RemComm
Молодец, что уже проверил
То есть ты хочешь закрыть доступ к внешним открытым проксям? - будет трудно настраивать через HTTP политики.
Рекомендую в таком случае закрыть через NAT выход по 80 порту, а всем пользователей выпустить через свою прокси.

adjuster
Нельзя. Одно из условий задачи - отсутствие локальных проксей. Для такой задачи надо общирный deep-анализ. Когда пакет можно по запчастям разобрать. Например простое условие WEB_SITE_IP <> DST_IP уже зарубит почти весь проксированный трафик. В этой задаче решается вопрос о блокировке IM через 80 порт и по протоколу HTTP. Рубануть сервера - не проблема, но клиенты умеют ходить через прокси, а они - могут сидеть на 80 порту. Пример - аська. А у KWF нет инспектора для протоколов класса IM.

Столкнулся с такой проблемой.
Надо соеденить 2 офиса по VPN. В одном оффисе полнят ВПН сервера не Kerio.
В другом создаю ВПН соединение по средства Виндоуза. Но керио не пускает дальше Проверки Логина и пароля. Потом вылазит ошибка 721.
Kerio 6,6,0, Правило настроены.
Без керио пускает нормально.
В чем возможна проблема.?

Керио настроен как шлюз.
Спасибо