» Kerio WinRoute Firewall (часть 5)

Цитата:

Продолжаешь играть в загадки? ipconfig /all с KWF !!!

да не до игр тут(((
что с керио что без ipconfig /all одинаковый!

Код:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : DMSRV
Основной DNS-суффикс . . . . . . : Bnzuz.com
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : Bnzuz.com

Ethernet adapter internet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet сетевой адаптер
Физический адрес. . . . . . . . . : 00-E0-4C-A3-6D-0B
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.50.138(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.50.129
DNS-серверы. . . . . . . . . . . : 192.168.0.100
NetBios через TCP/IP. . . . . . . . : Отключен

Ethernet adapter Local:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8102E/RTL8103E Family PCI-E Fast Ethernet NIC (NDIS 6.20)
Физический адрес. . . . . . . . . : 00-24-1D-96-F8-4D
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.100(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 0.0.0.0 откуда эти нули вылезли не знаю((( в настройках карты шлюз на забит.
DNS-серверы. . . . . . . . . . . : 192.168.0.100
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Kerio Virtual Network:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::5956:3916:563c:7717%18(Основной)
IPv4-адрес. . . . . . . . . . . . : 172.26.167.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 25 февраля 2010 г. 11:34:36
Срок аренды истекает. . . . . . . . . . : 26 февраля 2010 г. 11:34:36
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 172.26.167.2
IAID DHCPv6 . . . . . . . . . . . : 423904595
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-12-EB-E7-9D-00-24-1D-96-F8-4D
DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер isatap.{B9AF8549-A39D-405B-B867-C72D0384BA07}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{3E559BA9-B0FF-4301-A457-82485485C5B3}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{6F015253-5642-4B3B-8E06-466FA5558F3E}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Вот в чём проблема. KWF закрывает неактивные порты.
НО... Есть программа, которая работает с СУБД Firebird. Если программа простаивает минут 10-15, то KWF закрывает порт и программа валится с ошибками. Есть ли в KWF настройка, с помощью которой можно было бы не трогать неактивные соединения?

кто-нибудь сталкивался с программой echolink и настройкой керио для нее? программа для радиолюбителей, проведение текстовых и голосовых конференций
в мануале к программе указываются используемые порты udp5198-5199 и tcp5200, при их открытии список конференций приходит, но подключиться к ним не удается
стоит только керио, без DC, без прокси
доступ к этой проге необходим только для одной машине в сети
видимо нужно сделать перенаправление портов, кто подскажет как это сделать? очень нужно

xstaford
Да ты юморист. Сначала пишешь -
Цитата:

поставил 0.0.0.0

Потом пишешь
Цитата:

Основной шлюз. . . . . . . . . : 0.0.0.0 откуда эти нули вылезли не знаю(((

Раздвоение личности ? Ты уж разберись.

xstaford
Почему у тебя на внешнем интерфейсе стоит внутренний DNS ??? - я понял если бы 127.0.0.1...

X11
Можно время указать на простой - по умолчанию 900 секунд в файле winroute.cfg - выстави больше - и закрытия не будет столько времени.
Кстати - в новой версии (пока бета2) можно уже ниже ставить

777scorpio777
сделай мепинг со входящих на эту машину по этим портам и правило в инет с этой машины по этим же портам.
Отключи PI на этих правилах.

adjuster
так?


energo2 и есть 192.168.0.52

777scorpio777
1. со входящих из Источника удалить пользователя Energo2.
2. На исходящем заменить Евгения на 192.168.0.52.

Иначе вдруг Energo2 пересядет на другую машину - и кричать начнет:"Почему не работает?!!" - ногами топать, слюной брызгаться
Нам то это не нужно - у нас суббота рабочая...
Кстати, на счет чая...

Цитата:

Раздвоение личности ? Ты уж разберись.

Быть может кто обойдется без своего остроумия и реально напишет что нибудь толковое.


Цитата:

Почему у тебя на внешнем интерфейсе стоит внутренний DNS ??? - я понял если бы 127.0.0.1..

Поставил внутренний DNS руководствуясь статьей ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!! !

По поводу нулей, как в настройках керио корректно убрать шлюз? Через интерфейс показывает что пусто а в файле winroute.cfg все равно стоят нули,

Код: <listitem>
<variable name="Id">\DEVICE\{B9AS8549-A59D-405B-B968-C22D0384AA07}</variable>
<variable name="Name">Local</variable>
<variable name="Medium">0</variable>
<variable name="Group">Trusted</variable>
<variable name="DownBandwidth">1</variable>
<variable name="DownBandwidthUnit">Megabits</variable>
<variable name="AutodetectDNS">1</variable>
<variable name="DNSServers">192.168.0.100</variable>
<variable name="AutodetectGateway">0</variable>
<variable name="Gateway">0.0.0.0</variable>
</listitem>

xstaford
В реестре:
путь: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{БУКВЕННО-ЦИФРОВОЕ-32ЗНАЧНОЕ-ЧИСЛО}\Parameters\Tcpip\
параметр: DefaultGateway
в качестве значения выставь пустую строку. То есть удали все (в двоичном отображении должно быть 00 00).
"БУКВЕННО-ЦИФРОВОЕ-32ЗНАЧНОЕ-ЧИСЛО" - у каждого свое, но по данному пути их всего несколько должно быть (по числу интерфейсов) и они вверху раскрытой ветки services. Найдешь, думаю. У тебя там (скорее всего) стоит 0.0.0.0, что, впрочем, в API не отображается (отображается пустая строка). Все это новомудрости Win7 линейки. Ещё немало, думаю, предстоит граблей.
Ну и перезагрузка конечно.

Добавлено:
То же самое сделай по пути:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces\{БУКВЕННО-ЦИФРОВОЕ-32ЗНАЧНОЕ-ЧИСЛО} в параметре DefaultGateway
там несколько CLSID-ов. Ориентируйся по IPAddress

Добавлено:
Лучше всего продублировать данную операцию для подветок ControlSet002(3)(4) и т.д. (сколько там у тебя пользователей) и CurrentControlSet

Цитата:

Germanus
Все это новомудрости Win7 линейки. Ещё немало, думаю, предстоит граблей.

Большо человеческое спасибо))))и также всем кто попытался помочь.
Теперь керио показывает так как нужно.

adjuster

Цитата:

777scorpio777
1. со входящих из Источника удалить пользователя Energo2.

так у меня ж на входящих в Источнике только инет... а пользователь в Назначении

Уважаемые подскажите в каком файле хранится URL group, чтобы добавить пару сотен адресов. А то по одному как то не удобно добавлять через админскию морду. И экспортировать тож никак нельзя.

Цитата:

Можно время указать на простой - по умолчанию 900 секунд в файле winroute.cfg - выстави больше - и закрытия не будет столько времени.
Кстати - в новой версии (пока бета2) можно уже ниже ставить

Спасибо, посмотрим.
Было бы здорово указывать время для конкретного правила или для конкретной службы/порта.
Не ужели за столько лет не реализовали такой функционал

Добавлено:

Цитата:

по умолчанию 900 секунд

а может 7200?

Цитата:

<variable name="InactivityTimeout">7200</variable>
<variable name="HostTimeout">900</variable>

777scorpio777
Удали из назначения (это я перепутал)

alexsunn
http://winroute.ru/forum/viewtopic.php?t=3983

X11

Цитата:

а может 7200?

15минут*60секунд = 900 секунд.

adjuster
оставить Интернет и сетевой экран?


а перенаправления всего входящего трафика на этот комп не будет?

я понял, InactivityTimeout - это для "разлогинивания" неактивного пользователя - 120 мин.

есть ли вожможность настроить Vlan на kerio под linux

777scorpio777
Правила правильно настроены - только выключены )))

X11

Цитата:

я понял, InactivityTimeout - это для "разлогинивания" неактивного пользователя - 120 мин.

Угу, и этот парамер можно через админку менять.

сегодня к своему удимвлению обнаружил что статистику керио перестал считать
по нулям и за месяц и квота соответсвенно

и судя по всему в феврале то же люди качали сколько хотели и ничего не считалось

благо безлимитка

зы. рахобрался. с какого то бодуна внес ип сетки в исключенные. а там не только назначения но и источник исключается.

Господа подскажите такой вопрос
Есть несколько серверов с керио апльянс, все соеденены между собой впн тунелями.
но есть два сервака, на которых инет не пропадает, все работает за исключением того, что
что трафик через впн тунель не проходит,
как будто блокируется,

после перезагрузки все начинает работать на ура


кто нибудь сталкивался с таким.

версии легальные 6.7.1

Господа, возникла проблема - нужна ваша помощь.
Стоит Kerio 6.2.2, работает года 3, устраивает полностью. Трафик раздается по группам внутренних IP-адресов. Если укрупнить выглядит так:
ip_group_1 -- internet(интерфейс) -- список_доступных_портов -- NAT(default outgoing interface)
Все ip-адреса (внутренние и внешний) статические.
Короче это все работает. Теперь купили у провайдера еще один внешний айпишник. Поставил сетевуху, прописал ip, шлюз, dns. Пытаюсь выпустить одну из групп на новый интерфейс - не идет трафик. Правило аналогичное:
ip_group_1 -- internet-2(интерфейс) -- ANY -- NAT(default outgoing interface)
NAT(default outgoing interface) менял на трансляцию на новый интерфейс и на трансляцию на определенный ip - все равно не выходит через него трафик.
День бьюсь, результат нулевой. Может есть в чем хитрость.

Вечером вспомнил, что при настройке vpn интерфейса ip-адреса должны быть из разных сетей. Может это распостраняется и на второй интерфейс интернета. У меня оба внешних адреса в одной подсети и настройки днс, шлюза соответственно идентичные.
Как быть?

керио версии 6.2.2 не поддерживает распределение трафа по интерфейсам
надо обновить

Это точно? Тогда какую версию использовать, какая более стабильная? Нововведения не интересуют, только разделение на два внешних провайдера.

господа а можете прокомментировать использование бэтты керио? она также работает месяц как и триальная и ее нельзя зарегистрировать на большее время для тестов?

Awests

Цитата:

NAT(default outgoing interface)

Не должен он смотреть в стандарт - назначь ему смотреть в WAN2

n978143

Цитата:

господа а можете прокомментировать использование бэтты керио? она также работает месяц как и триальная и ее нельзя зарегистрировать на большее время для тестов?

Да, так и есть - работает триалка ровно месяц - при установке так и пишет... еще в ней нет возмонжности сливать обновления Kerio контента (блок по социалкам и т.д. типа бывшено оранжа).

Hi All
1) Подскажите как можно настройки в 6.X перебросить на другой комп (Или хотя бы список юзеров)
Кажется понял что надо перенести *.cfg

2) В HTTP POLICY я поставил группе ВСЕ , ходить на такие то URL без афторизации , но KERIO МАНИАКЛЬНО спрашивает логин и пароль . Хоть вводиш ЕРУНДУ логин 1, пароль 1 , тогда успокаиваетса !!!!

Есть ли доступный анализатор логов для WinRoute кроме IAM v3.1 ?

Сорри, если уже поднималась тема.

JohnSilver182
по первому - перенести все .cfg, .ini.
по второму - снять галку "требовать аутентификацию", иначе никак

gp7
WinRouteSPY анализатор да ещё и бесплатный

Господа, а как запретить/разрешить трафик определенному mac-адресу в сетке?
Может плохо искал?

SHRIKE74
WinRoute Spy для логов от 6.7 не завелся, толи верно что он для 5.Х, толи я не верно делаю

flayx
KWF с маками не дружит - виндас