» Kerio WinRoute Firewall (часть 5)

:D столько букаф, а толку нуль, короче ждём автора с разъяснениями.

Tihon_one
да уж... надо бы получше вникнуть в сию шайтан-структуру

Для ясности, еще раз приведу конфигурацию:

Машина с KWF - шлюз без DC - с двумя сетевыми хвостами.
192.168.210 - отдельная машина с DC+DNS

Цитата:

mrCrowley
в шапку сколько можно тыкать? ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!

DNS и сетевые интерфейсы настроены один в один в соответствии с шапкой и в частности в соответствии с пунктом: 2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute; Форвардинг в KWF отключен, на DNS сервере включена пересылка на DNS провайдера.
На интернет-интерфейсе netbios over tcp/ip отключен.
С разрешением dns имен проблем вообще нет - все хорошо..
Меня смущает только одно! Инет на клиентах может работать быстро достаточно долго, пол-дня или даже больше, потом без видимых причин скорость резко падает и все клиенты начинают еле-еле ползать. На шлюзе и DNS-сервере при этом - скорость без изменений.
Причем как выяснилось скорость может быть медленной и с утра и после обеда и в любое время суток, т.е. нагруженность трафика здесь не при чем.
Совершенно аналогичная ситуация наблюдалась и на мультихомном домене, когда KWF стоял на DC. Мультихомность устранили, а проблема осталась.
Теперь взор обращен, собственно в сторону KWF..
KWF кстати, без лицензии..

mrCrowley
Все у тебя элементарно решается - меняй на внешнем интерфейсе DNS сервер на тот, который провайдер выдал. - где хоть такого начитался про DNS

Добавлено:

Цитата:

KWF кстати, без лицензии..

Триал истек??
ломануть религия не позволяет??

mrCrowley

Цитата:

DNS и сетевые интерфейсы настроены один в один в соответствии с шапкой и в частности в соответствии с пунктом: 2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute

вот тут как раз данная инструкция расходится с инструкцией на PCSecurity, где сказано:

Цитата:

2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;

Настройки не очень отличаются от предыдущего варианта, в принципе все тоже самое, только:
2.1 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес компьютера с Winroute:
2.2 Настройки клиента:
ip 192.168.0.2
mask 255.255.255.0
gate 192.168.0.1 - в качестве шлюза указываем IP-адрес компа с Winroute
dns 192.168.0.100 - в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC)

то есть всё один в один с одноранговой схемой, разница только в настройке клиентов и пересылке запросов с DNS-сервера. Только тут они пересылаются на KWR, а в другой инструкции - на DNS-сервер провайдера.
Отсюда вопрос: а разрешено ли хождение с 192.168.10.210 в инет службы DNS с трансляцией? О чём, собственно, и сказано в пункте 2.2:

Цитата:

(и не забыть добавить правило в Traffic Policy, разрешающее контроллеру обращаться на DNS-сервер провайдера). Форвардинг в винроуте тогда нужно выключить.

Добавлено:

Цитата:

На интернет-интерфейсе netbios over tcp/ip отключен.

ipconfig говорит обратное

Добавлено:
adjuster

Цитата:

Все у тебя элементарно решается - меняй на внешнем интерфейсе DNS сервер на тот, который провайдер выдал. - где хоть такого начитался про DNS

действительно, забавно. Сам много раз видел эти инструкции по настройке DNS и только теперь заметил, что они разные в плане пересылки запросов. Что ж, сия схема тоже имеет право на жизнь, но, естессно, с учётом правильной её настройки. Либо нехай делает по схеме с ретрансляцией на серв прова.

имеется w2k3
dns на bind'е под ним-же
kwf 6.7.1.6339
имеется 2 канала от разных провайдеров завернутых в балансировку
в качестве dns на интерфейсах указан 127.0.0.1

в логах бинда по 10-20 запросов в секунду от своего-же внешнего интерфейса (если один внешний прикрыть правилом, то начинает фигачить через второй) на ризолв IP->Name т.е. постоянно PTR'ы обратной зоны запрашиваются, притчем постоянно одни и те-же, такое впечатление, что он их не кэширует, и зачем он с такой частотой их постоянно запрашивает - не понятно
может кто в курсе чем он обижен бедняжка, что сам "себя" ддосит так сказать

обратки запрашиваются хостов, к которым через него натятся пара соседних машщиной или он, плюс обратки по IP этих самых машиной внутренней сети вида 10.х.х.х

dvsx
прошу прощения - ты завернул ему хобот в Опу, как в том анекдоте про вечный кайф.

только что поставил квф6.7.0-1-6228 на домашний комп вин7100 для учёта трафика

1)чем отличаются галочки в правилам "записать в лог" и в конфигурации в разделе "учёт" глаочка "вести статистику"..

2) возможно ли создать правило например "картинки резать - только текст" ?

3) оправдано ли держать квф для учёта трафика.. раньше ставил трафик-инспектор но он в вин7 не ставится

4) пугали что сразу же после установки всё заблокируется пока не разрешишь.. ничего не заблокировалось - всё работает.. это нормально?

voooov
1. галочки в ТП - в основном для настройки, а галки в статистике - сам понимаешь для учета статистики и контроля пользователей.
2. возможно - это в hTTP политиках
3. если для Юр лица - то оправдано - по цене/качеству.
4. все работает = это нормально. Не нормально, когда все отдыхает.
Согласно правилам по умолчанию - открыты только исходящие соединения+ входящий пинг и на KWF приблуды.

adjuster ясно спасибо
а лог-файлы не разбиваются по дням что ли?
если нужно годами вест то как? они не "раздуются"? если переустановить нужно систему то как слить их в один файл?


Добавлено:
какой самый-самый анализатор логов? есть ли портабле, есть ли фрее?

Цитата:

Цитатаи не забыть добавить правило в Traffic Policy, разрешающее контроллеру обращаться на DNS-сервер провайдера). Форвардинг в винроуте тогда нужно выключить.

Вот тут бы подробнее..


Цитата:

На интернет-интерфейсе netbios over tcp/ip отключен.


ipconfig говорит обратное

Отключил уже после выполнения ipconfig. Кстати, вот после этого все забегало. Не хочу обольщаться уже - понаблюдаю несколько дней...

Цитата:

а лог-файлы не разбиваются по дням что ли?

нет.
Только с помощью самописных скриптов.


Цитата:

если нужно годами вест то как?

в настройках статистики можно указывать срок цикла - день/неделя/месяц/ - либо 25 дней и т.д.


Цитата:

если переустановить нужно систему то как слить их в один файл?

никак - вручную сделаешь копию.


Цитата:

какой самый-самый анализатор логов?

Самый-самый - это ИМХО самый-самый.
А так есть попроще:
Proxy Inspector for KWF (платный)
Winspy (бесплатный - спец. для KWF написанный)
Internet Access Monitor (платный)

dvsx
Kerio резолвит ip->name для отображения активности и при записи в журналы
можно отключить:

ReverseDNSLookupType setting в winroute.cfg

<table name="Misc">
<variable name="ReverseDNSLookupType">0</variable>

0 - не резолвить IP в имена хостов в журнале connection:
TCP 10.7.1.4:1818 -> 7.88.21.60:80

1 - резолвить только IP source

2 - резолвить IP source и destination в имена хостов

Цитата:

dvsx
прошу прощения - ты завернул ему хобот в Опу, как в том анекдоте про вечный кайф.

только теоретически....бинд настроен на рекурсивную обработку запросов со всех своих клиентов и себя в том числе, с чем он справляется идеально и отдаёт ответы на ура
(тут проблема не с получением ответа)


Цитата:

Kerio резолвит ip->name для отображения активности и при записи в журналы
можно отключить:

ReverseDNSLookupType setting в winroute.cfg

а это вариант (если иного не получится - то будем его пользовать), но все-же интересно "зачем постоянно запрашивать одни и те-же хосты" не кэшируя их, хотел-бы таки его угомонить менее жестокими средствами

объединением лог файлов при переустановке системы никто не занимался?
как решаете такие моменты?
можно ли просто ручками склеить файлы?

Цитата:

можно ли просто ручками склеить файлы?

Можно: Total Commander

mrCrowley спасибо.. а файлы с расширениями .идх можно смело удалять как я понимаю?

Гуру, помогите.
Можно ли в керио сделать следущим образом.

У меня стоит лимит скачанного - 50метров. После достижения лимита обрезается скорость до 10кило.

Хотелось бы сделать следущим образом - при достижении лимита HTTP перестает быть доступным(или обрезать скорость), а протоколы POP3 и SMTP остаются активными, для корпоративной почты.

Kerio 6.5.2 билд 5172
Win 2003 x64

Fenimor
не получится по протоколам скорость разносить = не умеет этого KWF. Разработчики не научили.
Может тебе релей почтовый на KWF поставить?

Доброго времени суток, Господа.
Подскажите, как правильно настроить политики на фаере Керио так, что бы у меня было:
локальная сеть
Интрент
арендованый ВПН канал
?????????????????????????

локальная сеть 192.168.0.0 (ходит в инет)
Удаленная сеть 192.168.1.0
- интерфейс провадера 192.168.100.100 (шлюз), мой 192.168.100.1
- интренет изернет

как мне попасть из сети 0.0 в подсеть 1.0 ????
---
создал сети
сеть 1 - 0.0
сеть 2 - 100.1
интернет
создал правило
разрешить сеть1 - сеть1 любой
фаервол - фаервол
разрешить сеть2 - сеть2 любой
фаервол - фаервол
разрешить сеть1 - сеть2 любой нат
сеть2 - сеть1
Добавил маршрут
сеть1 - шлюз прова арнедованного ВПН (...100.100)
-----
сети не пингуются.
в чем может быть причина?
Как мне эту задачку разрешить?

Johny_x3mal
вот чего не понимаю, так это смысла аренды VPN-канала. Kerio весьма ловко позволяет "строить" VPN-туннели без сторонней помощи. Ну а настройка оного отлично описана на http://www.internetaccessmonitor.com/rus/support/docs/winroute/

стоит керио на единственной машине..

нужно ли в этом случае бровзеры настраивать через прокси керио ? будет ли польза и смысл?

Господа, так надо, что была своя сеть. Грубо говоря - типа резервного канала в доменом лесе по всей стране нашей
не в этом суть.
Конкретно представлена ситуация, я хз почему не работает, может быть это у прова проблемы .... только сейчас уже поздно ему звонить

есть ли возможносность создавать в политиках содержимого (Configuration / Content Filtering/ HTTP Policy, Фильтр контента, Content filter options, возможно в другом месте) правила запрещающие картинки.. там я вижу слова типа image но как с ними обращаться не знаю..

voooov
кеширование на HTTP проксе использовать можно.

А зачем тебе картинки резать - типа родительского контроля?
Да есть возможность резать - через HTTP политики можно.

Johny_x3mal
проблема либо в правилах на другом конце, либо в маршрутизации - без фотообоев не обойтись.

adjuster
что тебе необходимо ?
нафотографирую что смогу

adjuster
Цитата:

А зачем тебе картинки резать - типа родительского контроля?- через HTTP политики можно

спасибо разобрался получается.. резать чтобы ускорить загрузку сайтов и трафик экономить...
а что такое прозрачный прокси и непрозрачный прокси? какой из них включать?



Добавлено:
время от времени появляется оповещение(в статусах)
"обнаружен клиент файлобменной сети" и в активных хостах(в статусах)
"возможно на клиентском компьютере используется п2п-сеть"

как сказать керио что это нормально?

Johny_x3mal

Цитата:

нафотографирую что смогу

Мне нужен проф фотограф, который будет готовить фото для сайта - оплата по договоренности (оффтоп)

voooov
прозрачный = NAT
не прозрачный = HTTP прокси.


Цитата:

как сказать керио что это нормально?

ничего не нужно делать.

Johny_x3mal
в твоём случае, тебе скорее всего просто надо маршрутик статический прописать в ту сеть куда доступ надо дать, правилами тут особо не нарулишь, только один момент ты через какой интерфейс туда имеешь доступ с самого шлюза.

Как исключить из протоколирования в журналах web и http определенные ip-адреса?