» Kerio WinRoute Firewall (часть 5)

andrejvb

Цитата:

Естественно. Все, что явно (80 порт) не разрешено, то запрещено.

имелась ввиду полная блокировка (типа черного листа), включая и открытый 80-ый.


Цитата:

Поэтому оно не может самостоятельно принять решение о бане по ИП

а мог бы
в некоторых делах лучше перестрахуваться, чем наоборот.
Вообщем - с тех давних пор когда юзал мало что в логике добавили

adjuster

Цитата:

не заблокирует - даст сканеру определить открытый порт 80, к сожалению

ч.т.д.

5555555

Цитата:

имелась ввиду полная блокировка (типа черного листа)

Ты с Оутпостом, ака персональным файером, не перепутал, не?

Цитата:

в некоторых делах лучше перестрахуваться

А вот не уверен. Ты сам прикинь: за сабжем немаленькая корп.сеть, и ему что-то привиделось, (пива нанюхался, например ), и оно доблестно начало блокировать ИПы и подсети. Админ повесится (а вернее, его начальство, по жалобе юзеров, повесит), тока и дел будет, шо разбаном занимаццо. Повторяю - скан портов - иногда совершенно штатное поведение внешнего клиента! При хакинге тока полные удоды занимаются сканом огромных диапазонов портов (при определении которого и можно повесить событие бана), а профи, которых и следует опасаться, долбят тока конкретный порт. Например, 445

SHEVRSV
Консоль - Логи - Дебаг - Правой, сообщения - Активируем все галки связанные с VPN/ Собираем лог минут за 20 и кидаем сюда, желательно что бы обрывы попали в этот временной промежуток.

andrejvb

Цитата:

Ты с Оутпостом

да нет. Аналоги хотя бы имеют возможность например тормознуть атакующего (сознательно или бессознательно) на определенный регулируемый срок.
По крайней мере если обсуждать софт текущей ветки разработчикам практически ничего не стоило бы добавить данную фигу и предоставить выбор юзеру - юзать фичу или нет.

Цитата:

А вот не уверен.

Никто не может оспаривать личного мнения

Цитата:

ему что-то привиделось

Привиделось - значит есть повод разобраться. Лучше ключи от квартиры утопить в Марианской впадине и сменить замки, чем у тебя их вытащат из кармана и "навестят".

Цитата:

тока полные удоды занимаются сканом огромных диапазонов портов

По личному опыту (мое устоявшееся мнение), на самом деле в подавляющем большинстве те, кто сканят, даже и не подозревают делают это. Это как правило владельцы соответствующих подхваченных вирусов, точно также как и спамогонщики.

5555555
Посмотри Kerio Control (идёт на смену Winroute) там есть система IDS.
http://www.kerio.com/betas/control

Добавлено:
Я поюзал мне понравилось =)

Народ, что никто не подсобит с переустановкой?

MagistrAnatol
Задавай вопросы - поможем )

MagistrAnatol
руками по реестру

adjuster
удаляю керио - до конца не удаляется - вываливается с ошибкой, через "Windows Installer Clean Up" грохаю, пробую поставить по новой - доходит до установки дров нижнего уровня и капец ?

MagistrAnatol
Необходимо удалить все записи в реестре, связанные с KWF.
Еще нужно почистить драйвера от KWF -на офф сайте вроде есть утилита, которая этим занимается.

Error.log


Код:
[15/Mar/2010 13:28:28] (0) Failed to send DNS query to server xxx.108.248.xxx: 10049
[15/Mar/2010 13:28:28] (4503:10049) Socket error: Failed to forward DNS query to xxx.108.248.xxx.
[15/Mar/2010 13:28:31] (2:3) Out of free NAT ports: Unable to handle connection 192.168.1.2:4008 -> 213.184.232.42:9000.
[15/Mar/2010 13:51:33] (2:3) Out of free NAT ports: Unable to handle connection 192.168.1.3:2721 -> 89.187.1.165:80.
[15/Mar/2010 13:51:33] (4503:10049) Socket error: Failed to forward DNS query to xxx.108.248.xxx.
[15/Mar/2010 13:51:33] (4503:10049) Socket error: Failed to forward DNS query to xxx.108.248.xxx.
[15/Mar/2010 13:51:33] (4503:10049) Socket error: Failed to forward DNS query to xxx.108.248.xxx.
[15/Mar/2010 13:51:35] (2:3) Out of free NAT ports: Unable to handle connection 192.168.1.2:4052 -> 213.184.232.42:9000.
[15/Mar/2010 13:51:37] (2:3) Out of free NAT ports: Unable to handle connection 192.168.1.20:3684 -> xxx.207.122.42:80.
[15/Mar/2010 13:51:39] (2:3) Out of free NAT ports: Unable to handle connection 192.168.1.20:3692 -> xxx.207.123.42:80.

adjuster
а чуть подробнее об утилитке - чет я на сайте ничего не нахожу,кроме проги и антивирусных плагинов

Cosmit
А Вы уверены, что проблема в Керио? Такое поведение характерно для АДСЛ коннекта с проблемны DSLAM провайдера. Соединение просто "замерзает", т.е. оно-то есть, но через него пакеты не идут. Бывает при несовместимости оборудования (модем с dslam прова), при плохой линии и т.д. Снесите (отключите) KWF, поднимите соединение вручную и проверьте, через некое время, есть ли пинг или работает ли nslookup. Если все very good, то Вам в Варезник.

Стоит Kerio Software Appliance - 6.7.1 build 6399.
Две сетевые карты - одна локальная сеть, вторая интернет интерфейс. Интернет через PPPoE.
Локальная сеть 95 машин. WebFilter активен.
Проблема №1.
Когда на клиентской машине включают торрент, либо DC++ клиент через некоторое время интернет затыкается и при этом Kerio сервер перестаёт пинговаться. Сама машина с Kerio при этом не зависает, консоль работает и т.д. Ошибок в логах нет. Помогает перезагрузка. После перезагрузки появляется некий интерфейс ppp0, которые неактивен. Удаляю его. Если не запускать торренты или DC++ клиент - работатет вечно. Кто сталкивался с такой проблемой?
Конфигурация машины - Celeron 3.33GHz, 2Gb RAM, 80Gb винт.
Проблема №2.
Машина с Kerio не пингуется по имени, только по IP. Хотя имя сервера прописано корректно.

andrejvb
линию протянул провайдер (Dsl) - на ней телефона нету
модем тоже предоставил провайдер !!!

марка модема СT-507
вот он

Что может быть за прикол на серваке керио тест скорости 7,9 Мб а на локальной тачке
4,8 Мб???

Добавлено:
на локальной тачке 7 винда

Cosmit
VMWare на машине стоит?

Cosmit

Цитата:

линию протянул провайдер (Dsl) - на ней телефона нету
модем тоже предоставил провайдер !!!

И что? Для меня тут информации 0.
Проверьте то, о чем я писал выше. Если знаете как, зайдите на WEB-интерфейс модема и посмотрите значения Local SNRMargin и Remote SNRMargin (уровни шума линии in\out). Приведите результат команд ipconfig /all и route print с хоста с Керио при нормальной работе и "замерзании".

Kpuco

Цитата:

Если не запускать торренты или DC++ клиент - работатет вечно.

Похоже количество одновременных подключений забивает этот торрент.

MagistrAnatol

Цитата:

Что может быть за прикол на серваке керио тест скорости 7,9 Мб а на локальной тачке
4,8 Мб???

Это нормально для ломанных KWF.

adjuster
так ето неверное отображение, или керио режет канал?
Да, по поводу удаления дров керио - чем?, а то нашол пару прог а они и близко не видят их

Germanus
VMWare нет на машине

andrejvb
на модем нет возможности зайти - нет ни логина ни пароля
кроме того там какая-то модная прошивка стоит на основе Unix
конектиться токо по ssh и telnet
все это у провайдера

MagistrAnatol

Цитата:

так ето неверное отображение, или керио режет канал?

Верное.. KWF не совсем режет... это особенность его PI ломанного... Еще могут влиять не правильные ТП.
На счет дров: ща придет Tihon_One - он скажет, где эту прогу взять...
Кстати - напиши ему в личку.

Добрый день подскажите пожалуйста в чем проблема:
Имеем сервер с 2-мя сетевыми картами.
1. локалка
2. удаленный комп через вторую сетевуху
3. не работает TCP по второму каналу
не работает TCP:3389 через второй канал рубит керио, порт этот в керио открыт! Вопрос где подвох??

Pf210

Цитата:

орт этот в керио открыт!

ТП в студию, и проверь, действительно ли RDP разрешен на этой машине...
telnet {ip сервера} 3389 с клиента.

Вообщем было сделано следующее:
telnet {ip сервера} 3389 с клиента - при отключенном керио подключается
telnet {ip сервера} 3389 с клиента - при включенном керио выдается невозможно подключиться по порту 3389.
Правила были все отключены кроме локального трафика

кто решал вопрос, не могу авторизовать пользователей автоматом которые находятся не в подсети 192.168.0.0\255.255.255.0, т.е 192.168.213.0 уже нужно обязательно после ребута сервера залогинится http:\\proxy:4080

Pf210

Цитата:

Правила были все отключены кроме локального трафика

у тебя в правилах нет нужного, чтобы по 3389 к Firewall могли конектиться.

Цитата:

у тебя в правилах нет нужного, чтобы по 3389 к Firewall могли конектиться.

поясню: через первую сетевуху из локалки коннектится через удаленный доступ человек. А вот со второй как раз засада почему то происходит!

в списке интерфейсов - обе сетевухи указаны как локальные/доверенные?

Korsar
спасибо огромное проблема была именно в этом!!!