» Kerio WinRoute Firewall (часть 5)

Цитата:

источник-любой
назначение--- firewall
служба --- добавляешь свои порты
трансляция--- ставишь внизу галку включить адрес назначения NAT и вписываешь айпишник своего видеосервера

а я поправлю!!!

- нельзя использовать в Источнике ANY - нужно создать разные правила для локалки и для инета.
- включаешь NAT на внутренний интерфейс - никак не по умолчанию! и используешь мепить на конкретный IP видеосервера.

Добавлено:
XCV81

Цитата:

а на втором зависает

то есть с машины Firewall нет доступа на http://ya.ru ??? - проверь в браузере и создавай соответствующее правило

evg1671
в трансляции сделай как написано, только галка внизу

Добавлено:
если включаешь в источнике -любой- то это значит что будет прослушивание портов указанных в правиле с любого интерфейса, в данном случае из локалки один хрен никто не будет обращаться к видеосерверу через шлюз, следовательно в данном варианте не обязательно делать жёсткое разделение локлка-инет

Добавлено:
самый правильный вариант это подставить вместо эни, смотрящий в инет интерфейс и все дела

Цитата:

то есть с машины Firewall нет доступа на http://ya.ru

да нет, с сервера есть доступ к ya.ru, доступа нет если пытаться открыть его с клиентской машины, керио не может случайно фильтровать приложения которые пытаются получить доступ? (пытался настроить komamail там в настройках есть возможность работать через прокси, тоже зависает... но там выбирается тип прокси sock4, sock5 ... а http нету, какой тип прокси у керио? может в этом проблемма?

XCV81
у тебя доменная сеть?

Цитата:

у тебя доменная сеть?

вообще да, но машина которая идёт в нет через непрозрачный прокси не в АД

XCV81
настраивай авторизацию, либо отключи временно запрос авторизации на проксе и проверь на клиенте открытие страниц.

XCV81
socks KWF не поддерживает, а жаль очень жаль.

Цитата:

настраивай авторизацию, либо отключи временно запрос авторизации на проксе и проверь на клиенте открытие страниц.

авторизацию отключил, через браузер настроенный на прокси все работает, а вот если убрать настройки прокси запустить браузер через например фрикап то при открытии страницы происходит "бесконечное" ожидание http://ya.ru, ща попробую переставить керио, может сам уже чегонибуть перемудрил

как у тебя форвардинг сделан,
вообще если по нормальному то:
в керио форвардинг отключаем, на сетевухе которая в инет смотри убираем днсы и прописываем их в днс контроллера домена во вкладке пересылка, на машине которая лезет в инет, первый днс должен стоять днс контроллера

переставил, настройки не скинулись эфекта 0
но вот что еще заметил, если запустить браузер через фрикап то при открытии страницы в керио на вкладке подключения появляется 2 строчки:
1) локальный трафик, служба TCP порт прокси на IP машины с KW
2) трафик межсетевого экрана, служба HTTP, на ya.ru
тоесть если я правильно понимаю запрос до адресата доходит, но почемуто не возвращается ответ

Цитата:

если запустить браузер через фрикап то при открытии страницы

это обзначает, что тебе лень прописать в браузере проксю!!!

Цитата:

это обзначает, что тебе лень прописать в браузере проксю!!!

это обозначает что вы не знаете что такое фрикап и прочие подобные программы, они как раз и нужны для того чтобы не прописывать прокси, а мне нужны для того чтобы пользователь мог без гемора работать с ЛЮБОЙ программой не заморачиваясь на прописывании прокси + нормально работали почтовые клиенты типа The Bat, так как, если Вам известно, данные программы НЕ имеют настройки на работу через прокси (по крайней мере явной)
Так что глубокоуважаемый если Вы не сталкивались с данной проблеммой и не знаете как помочь в её решении то не надо грубить, лучше ничего не пишите
а на браузере я проверяю работает ли ФРИКАП через прокси на керио, а не работает ли браузер через прокси, это даже в детском саду знают и Вы этим никого не удивили, если хотите казаться умным с такими высказываниями вам дорога в ясли группу.
Для тех кто до сих пор ничего не понял уточняю: если я "не поленюсь" и пропишу в браузере прокси то браузер будет работать и без фрикапа и тому подобных программ работу которых в принципе я и пытаюсь наладить, если вам станет от этого легче могу вместо браузера использовать TheBat (в нем, как я уже писал, некуда прописывать прокси) только от этого ничего не меняется....

XCV81

Цитата:

что вы не знаете что такое фрикап

Я знаю, что фрикапы используют в обход проксе, когда нет доступа к шлюзу.
У тебя же есть возможность включить NAT - и пользоваться полной функциональностью KWF.

freecap + KWF = 0 , так как KWF не поддерживает socks на проксе/

Продолжай в том же духе - и я тебя пошлю читать мануалы по Основам создания сетей.

Цитата:

Я знаю, что фрикапы используют в обход проксе, когда нет доступа к шлюзу.
У тебя же есть возможность включить NAT - и пользоваться полной функциональностью KWF.

freecap + KWF = 0 , так как KWF не поддерживает socks на проксе/

Продолжай в том же духе - и я тебя пошлю читать мануалы по Основам создания сетей.

хорошо, пусть будет по вашему, подскажите тогда пожалуйста мне чайнику как имея KWF на сервере ограничить канал 1-го пользователя до 20% от общего канала чтобы при этом на остальных пользователей не налагалось никаких ограничений и чтобы у этого пользователя работал TheBat (это необходимый мне минимум)

Помогите плиз.
Имеется - два компа, один (главный) - под Windows 7 (32 bit), второй - XP SP3.
На первом компе установлен Kerio Winroute 7.0. Керио используется только для "раздачи" интернета на втором компе.
Проблема - интернет то есть, то его нету (на обоих компьютерах). Короче, сбоит.
Я понимаю, что вариантов масса, но скорее всего, это связано с Керио (при выключении Керио все работает стабильно).
Еще один нюанс - при установке Керио была снята галочка "отключить UPnP в системе". Может ли в этом быть причина пропадающего интернета? Если да, то как исправить?
Спасибо

XCV81

Цитата:

ограничить канал 1-го пользователя до 20%

А вот шейпер у KWF слабый ((( и никак это не относится к проксе и NAT.
(Можно воспользоваться сторонними программами для нарезки скорости.)
Так что смело можешь следовать инструкциям и переводить пользователя на NAT. (не забудь шлюз у пользователя прописать)

McKlavishnikov
версия 6,7,0 ?? - меняй - не стабильная она...

adjuster
Цитата:

версия 6,7,0 ?? - меняй - не стабильная она

на какую версию? старшую или младшую?

adjuster
Да, таки 6.7.0. Присоединяюсь к предыдущему вопросу - а на что менять???

Добрый день. Второй день бьюсь. Наверняка чтото очень простое.

В кратце. Win XP SP3 Pro. Kerio 6.7.0.

Комп: 2 сетевых карты. Внешний интерфейс. Прямое кабельное. Внешний белый IP.

Мастером создал правила типовые. Типа всем все разрешено.

Сеть одноранговая. Никаких доменов нет.

Проблема: не выходит в инет с localhost по http.

Т.е. ping работает. ДНС тоже номрально резолвиться. В принципе правила работают, к примеру если разрешить 4899 то радмин работает. Запретишь - не работает. Т.е. сам керио функционирует нормально.

Но вот через браузер не хочет открывать страницы. В логах пишет:
[15/Jan/2010 11:06:09] DENY "Трафик Межсетевого Экрана" packet to Интернет, proto:TCP, len:48, ip/port:82.162.141.26:3130 -> 89.111.181.71:80, flags: SYN , seq:2716446102 ack:0, win:65535, tcplen:0
[15/Jan/2010 11:06:11] DENY "Трафик Межсетевого Экрана" packet to Интернет, proto:TCP, len:48, ip/port:82.162.141.26:3130 -> 89.111.181.71:80, flags: SYN , seq:2716446102 ack:0, win:65535, tcplen:0
[15/Jan/2010 11:06:17] DENY "Трафик Межсетевого Экрана" packet to Интернет, proto:TCP, len:48, ip/port:82.162.141.26:3136 -> 89.111.181.71:80, flags: SYN , seq:3455960033 ack:0, win:65535, tcplen:0
[15/Jan/2010 11:06:20] DENY "Трафик Межсетевого Экрана" packet to Интернет, proto:TCP, len:48, ip/port:82.162.141.26:3136 -> 89.111.181.71:80, flags: SYN , seq:3455960033 ack:0, win:65535, tcplen:0

Хотя правило явно показывает что все разрешено.

Само собой при отключении kerio - интернет начинает нормально работать.

Особенных настроек вроде не делал. Скажите куда копать в первую очередь?

Заранее спасибо.

lypky

Ну все верно он Вам говорит в логах, так как стоит галка "всегда использовать авторизацию при доступе к web страницам", а вот почему он на эту самую страницу не перенаправляет надо разбираться, либо можете создать юзера и поставить галку на автоматической авторизации на хосте межсетевого экрана.

скрины:

attaattaatta
Спасибо за совет уважаемый, но сейчас я отключил в службах инспектор http протокола и вроде бы все заработало и на локалхосте/firewall и на другом компьютере.

Ну и для справки пока не стоит целей авторизировать пользователей. Наоборот. Приветствуется чистый назамутненный НАТ + логирование кто куда зачем.

а зачем кстати нужен http инспектор?

Цитата:

хорошо, пусть будет по вашему, подскажите тогда пожалуйста мне чайнику как имея KWF на сервере ограничить канал 1-го пользователя до 20% от общего канала чтобы при этом на остальных пользователей не налагалось никаких ограничений и чтобы у этого пользователя работал TheBat (это необходимый мне минимум)

я уже писал: ставим очень маленький лимит нужному гаврику и предел скорости при превышении лимита. Это работает.

добрый день, уважаемый All

дано: маленькая конторка на 12 компов, сидят на быстром канале с жестоким лимитом траффика
стоит керио 6.4.2, которая считает квоты по NTLM-сессиям

вопрос: как сделать, чтобы по выбиранию квоты у пользователя блокировался весь траффик кроме POP3 и SMTP, потому как почта у хостера

а то приходится каждые пару дней увеличивать пользователям квоты (для почты), которые они радостно тратят на http и прочее

lypky
версию фтопку - меняй.

Более стабильная 6,7,1 с паком 1. Либо, если внешний канал 1, то можно 6,4,2 - проверена годами.

Цитата:

А вот шейпер у KWF слабый

не знаю по мне нормальный ток прикрутить его не получается (на прозрачном он у меня всех режит, а не 1-го, а непрзрачный нормально не работает) имхо здесь проблемма в прокси, а не шейпере, шейперу нехватает прямого ограничения по скорости (можно включить ток при превышении лимита трафика), ноэт не критично

Цитата:

(Можно воспользоваться сторонними программами для нарезки скорости.)

Какими? (желательно чтобы они работали на сервере, а не клиентской машине)

Цитата:

Так что смело можешь следовать инструкциям и переводить пользователя на NAT. (не забудь шлюз у пользователя прописать)

как прозрачный настраивается я знаю (настроено и работает)

Цитата:

я уже писал: ставим очень маленький лимит нужному гаврику и предел скорости при превышении лимита. Это работает.

так в том-то и дело, что это, по крайней мере у меня, получается сделать только на непрозрачном сервере (который сопсно и не могу настроить), а на прозрачном все подключившиеся идут как один пользователь... может можно сделать авторизацию на прозрачном?

Цитата:

может можно сделать авторизацию на прозрачном?

у меня компов не очень много, поэтому статические IP и авторизация по адресу.
В принципе, можно выкрутиться и при DHCP - обычно всегда есть возможность для определенных mac-адресов зарезервировать особый адрес или диапазон адресов.

Цитата:

авторизация по адресу.

подскажите пожалуйста где и как это настроить

Цитата:

авторизация по адресу.

подскажите пожалуйста где и как это настроить

Список пользователей - изменить - IP адреса - Заданные IP адреса (или группа)

Скажите пожалуйста, стоит ли отключать системный UPnP при установке Керио и чем это чревато (для системы (Windows 7 32 bit) и для Керио (6.4.2))???
Спасибо

Korsar
спасибо огромное!!! всё работает!!! даже лучше чем хотел!!! авторизация проходит (одному можно и статический адрес поставить) шейпер режет канал превосходно, все программы работают!!! ещё раз спасибо!!!