» Kerio WinRoute Firewall (часть 5)

Доброго времени суток!
Есть Win2003 R2 на котором стоит Kerio Winroute 6.4.1 (b3519), поставил NOD 32 antivirus 4 (4.0.474.0) Bussines version.
Пробую подключить проверку трафика в KWF, но никак не могу это сделать. KWF отвечает, что AvPlugin failed to initialize: error loading scanner DLL (126). Куда хоть копнуть?

Цитата:

Доброго времени суток!
Есть Win2003 R2 на котором стоит Kerio Winroute 6.4.1 (b3519), поставил NOD 32 antivirus 4 (4.0.474.0) Bussines version.
Пробую подключить проверку трафика в KWF, но никак не могу это сделать. KWF отвечает, что AvPlugin failed to initialize: error loading scanner DLL (126). Куда хоть копнуть?

копнуть в сторону версии квф, поддерживающей 4-у версию НОДА
(для справки: вплоть до версии 6.7 квф поддерживал только НОД версий 2.хх)

Цитата:

http://forum.ru-board.com/topic.cgi?forum=8&topic=32663&start=1380#3

Спасибо. Я подозревал, но нигде не мог найти. Переустановить KWR сейчас невозможно - нет физического доступа к серверу. Переустановил нод 32. Поставил версию 2.7 - всё работает.

Есть ли возможность средствами керио отдавать канал определенному трафику, а по окончанию определенного трафика отдавать канал под оставшийся трафик? В мануале что такого не нашел.
Так понимаю нужно копать в сторону динамического шейпера. Какие программные решения по этому поводу имеются совместимые с керио?

А сколько у кого Керио кушает памяти??? а то у меня где то 1 гб. 200 мб в сумме!!!
это где то 700 оперативки и 500 подкачки!!!
Нормально ли это? и как если что ограничить???

SM8Yozhig
канал отдавать нельзя - нужно его себе оставлять (так надежнее будет).
Если речь шла об окончании квоты и переключении на другой канал, то это можно организовать через квоту+ТП.

Никто не сталкивался с любителями послушать музыку на mail.ru (http://my.mail.ru/my/audio-top)? Правило для блокировки есть?! Но музыку они пока слушают безнаказанно .

VOVANCHIK9
Для нормально работы на 2-5 мегабитах достаточно 1ГГц проц, 1Гб ОП, и 8гб(для кеша и прочей служебной информации)

В общем производительность сервера должна зависеть от ширины интернет канала.

Подскажите что это за соеденения?
У меня их 600 где то...
http://img1.openfile.ru/100967/fv/1009671001271253308493.jpg

Спасибо.

Nikitosik19
Local7 это сервер или рабочая станция?
П.С. Исходя из моих предположений наверно у вас там запущен Скайп?! Или нет проверьте.

Помогите плиз с укрощением KWF_v6_6_0...
Есть комп с двумя сетевыми (PC_KWF), на нем Beeline VPN интернет на сетевой Network 100Mbps и локальная Network 1Gbps, есть второй комп (PC2) рабочий, подключен к PC_KWF на сетевую Netowrk 1Gbps... Поставил KWF_v6_6_0, настроил правила... инет, локальные ресурсы Beeline работают, все работает... кроме пока что одного Не могу соединиться с PC2 на VPN сервер удаленный через инет С PC_KWF могу законектиться к VPN PPTP серверу, а с PC2 не получается - ошибка 619 (порт закрыт). При этом всем с PC2 могу соединиться с другим VPN PPTP сервером... если к PC2 подключить например ADSL инет - все работает, соединяет на оба сервера... если через Kerio - на второй сервер не выходит, ошибка 619...

Вопрос: что нужно добавить в правила чтобы с PC2 можно было соединять VPN PPTP на второй сервер ?

В инет разрешены пока все порты и службы... Не соединяется с определенным сервером
Буду оч признателен за помощь...

P.S. Обнаружено еще одно неудобство - Download Master не может проверить обновление, выдает "Получен неверный ответ от сервера..." а с PC_KWF работает нормально...

Nikitosik19
P2P программа.

nbrx
а правило точно верно настроено? - прокси используется?

DeMoN_iDA
нарисуй картинку - и ТП в студию

nbrx рабочая станция. стоит только utorent

Nikitosik19
Тогда это еще и мало , в настройках Utorrent-а, можно уменьшить(увеличить) этот параметр

Nikitosik19
я тебе уже ответил
Цитата:

P2P программа.

- это и есть твой торрент.

Стоит керио на вин 2003. проблема в том что постоянно обрывает связь. большие файлы не возможно закачивать, ICQ постоянно скачет.
что может быть?

adjuster
добавил в сообщение свое изначальное...

adjuster
Через NAT

Правило:

Может ли кери ислючать обсчитывать трафик для некоторых сайтов(внутрение рессурсы) при подключении к провайдеру через PPTP ?

народ, вопрос такой... у меня висит веб сервер IIS... как разрешить народу из интернета заходить на него? не могу понять где загвоздка
версия винрута 6.7.1

Приветствую форумчане!

Планирую поставить Винроут на Вин2003. В винроуте разбираюсь не очень хорошо, но руководство сказало надо

Хотелось бы использовать DHCP и DNS у самого Керио, могу ли выключить службы DHCP server и DNS server от Виндовс или же Керио их использует в своей работе? Не могли бы подсказать, что еще надо отключить в Вин2003, чтобы не было глюков и конфликтов?

Заранее большое спасибо!

Viewmax
лучше используй днс,дхцп виндовые (я так понимаю на этом же хосте контроллер домена?) а в керио эти фичи отключи

в чем фишка:

дхцп виндовый при выдаче очередного адреса новому компу создает запись в своем же виндовом днс

к тому же: днс в керио - просто кэш , днс в винде - полноценный сервер

если у тя действительно котроллер домена тут же - днс виндовый те ваще отключать нельзя - АД упадет) в этом случае днс керио как раз нужно выключить - конфликт будит...

а дхцп... я пробовал (и получилось) отключать виндовый и вмыкать керио... особых плюсов нет. разве что более удобный вид внешний.
а так - один раз настроил и годами не смотрю туда - пофик как-то

у меня работают виндовые днс, дхцп...

___________


А терь вопрос более умным)

поставил Software Appliance... все настроил (не первый раз как бэ), все пашет. последняя миля - прозрачная НТЛМ авторизация пользователей на прозрачном прокси (НАТ)

что имею: контроллер домена 2008 Р2 на отдельной тачке
в винроуте (как и полагается) правила трафика:
вся локалка - интернет - ХТТП/ХТТПС - разрешить - НАТ
в политиках ХТТП два правила:
авторизованные_пользователи - все хосты - разрешить
не_авторизованные_пользователи - все хосты - запретить - показать страницу отказа

в настройках пользователей (ессно) настроена привязка (НЕ ИМПОРТ) к домену (в списке пользователей вижу доменных)
в параметрах авторизации стоят галки всегда_требовать_аутентификацию и разрешить_автоматическую_аутентификацию_браузером

на клиентах:
ИЕ (хост с керио занесен в местную интрасеть с минимальными параметрами безопасности)
фаэрфокс (у которого в эбаут:конфиг разрешена НТЛМ и прописан хост с керио)

что имеем:

юзер заходит на страницу, керио перекидывает на авторизацию - ... - думает и выдает страничку с просьбой ввести имя и пароль (если правильно ввести - все норм)

получается, НТЛМ не проходит.

идем в консоль керио - отчеты - дебаг. строка:
[01/Feb/2010 02:09:30] {auth} NTLM: authentification has failed. - NA NT_STATUS_PIPE_DISCONNECTED
или
[01/Feb/2010 02:04:44] {auth} NTLM: authentification has failed. - NA NT code 0x00000721

при этом каких-либо других ошибок по поводу АД или НТЛМ нету
в справке этого Software Appliance написано, что поддержки авторизации НТ-доменов нет (т.е. доменов вин-2000) - только Актив Директори (собственно, на странице настроек домента, в отличие от керио под винду, нет строки с именем домена НТ) - не спорю. НО у меня вин-2008 Р2!! и режим работы домена соответствующий... НТ и не пахнет

лазил по ГП... вспомнил про
Сетевая безопасность: уровень проверки подлинности LAN Manager - но что правильно туда поставить, и то ли это?

Вопщем - сбился... чё делать - хз Подскажите, ежели кто знает...

arov
Не замахивайся на публикацию IIS через KWF - не тот уровень... (пока решение не найдено - работы ведутся).

progmike
Согласен - если есть возможность, то лучше использовать виндовые службы DNS и DHCP.

А теперь о вопросе: ты куда и откуда пытаешься выйти то??? -кстати, правила не совсем верные - согласно правилам твои юзверы могут выходить в инет не авторизовавшись.

progmike
Цитата:

конфликт будит...

а где видно что конфликт произошол?

voooov
одна из копий служб не стартанет - порт займет тот, кто первым запуститься. второй не сможет открыть порт и завершит работу. потом попробует сделать рестарт... и ищо раз... и ищо... холивар)

а вот с ДНС и АД - круче. АД не сможет найти сама себя в сети если отключить встроенные ДНС, поскольку виндовый ДНС - сервер, и хранит в себе зону домена, а керио ДНС - просто кеш - чё через него прошло то и храниться... а чё не проходило - того и нету.

вот и выйдет, что службы контроллера домена не смогут запуститься вообще.

adjuster
не. не_авторизованные не могут при таком раскладе выйти в нет через НАТ
1) в политике ХТТП первое правило для не_авторизованного не примениться т.к. относиться к авторизованным
2) в политике ХТТП второе правило примениться к не_авторизованным и пошлет на страницу авторизации
3) в настройках пользователей стоит галка всегда_требовать_авторизации

а
Цитата:

ты куда и откуда пытаешься выйти то???

честно говоря не понял вопроса.... вродь все подробно расписал...

просто байда такова, что с виндовой версией керио винрута на точно таких же параметрах прозрачная НТЛМ авторизация проходит на ура!
с одной оговоркой - в виндовой версии есть поле для ввода имени домена_НТ ... и виндовый поддерживает авторизацию в доменах НТ
чего не поддерживает апплиансе

________
дополнение

наріл в дебаг-логах "больного" следующее:

[01/Feb/2010 12:19:45] {user_db} UserDomains: Detected NT domain for 'tcm.local': 'TCM'
[01/Feb/2010 12:19:45] {user_db} UserDomains: NT Domain for 'tcm.local' updated:'TCM' => 'TCM'

возник вопрос: я правильно понял строку из мануала керио


Код:
If WinRoute is installed on Windows, it is possible to allow authentication compatible with older systems (i.e. authentication via the Windows NT domain). This option is required if the domain server uses Windows NT or if any of the clients in the local network uses Windows of older edition than Windows 2000. In Software Appliance / VMware Virtual Appliance, this option is not available (authentication in Windows NT domain is not supported).

progmike

Цитата:

1) в политике ХТТП первое правило для не_авторизованного не примениться т.к. относиться к авторизованным
2) в политике ХТТП второе правило примениться к не_авторизованным и пошлет на страницу авторизации
3) в настройках пользователей стоит галка всегда_требовать_авторизации

А кто тебе сказал, что твой неавторизованный трафик валится с HTTP/HTTPS протоколов???
может у тебя юзвери в аське сидят... а ты даже и думать об этом забыл???

adjuster


Цитата:

в винроуте (как и полагается) правила трафика:
вся локалка - интернет - ХТТП/ХТТПС - разрешить - НАТ
в политиках ХТТП два правила:
авторизованные_пользователи - все хосты - разрешить
не_авторизованные_пользователи - все хосты - запретить - показать страницу отказа

описанные правила регулируют только ХТТП/ХТТПС

для прочих сервисов работает правило трафика

Пользователи_домена - интернет - [перечисление сервисов] - разрешить - НАТ

и пока пользователь не авторизуется и не будет представлять из себя Пользователя_домена - никаких других сервисов не получит


а вообще вопрос пока остается открытым...

progmike
Цитата:

одна из копий служб не стартанет

ясно спасибо.. а если винда 7ка без АД.. тоже лучше керио отключить? и днс и дсчп

voooov

хм... если винда 7ка, без АД... то там нет своих ДНС и ДХЦП серверов...

если они тебе не нужны - отключить в керио. если нужны - включить

progmike
показывай ТП картинкой и фул.