» Kerio WinRoute Firewall (часть 5)

sanchower2
Пользователи - закладка параметры аутентификации. Читай там с самого верха и ставь галки.
Те кто не прошел аутентификацию будут посланы Если все грамотно настроишь. Т.е. тем пользователям кто у тебя есть сопоставлены айпишники, а если кто то "чужой" влез, то упс! У него вылетит окошко для авторизации.

Serg0FFan
этого нет и не будет, поскольку товарищи из керио разумно предполагают, наличие некоторой криворукости пользователей, которая может вызвать критические сбои.
В общем, уже многим известная комбинация ctrl-2, для текстовой консоли, НЕ ЯВЛЯЕТСЯ ДОКУМЕНТИРОВАННОЙ, делайте всё на свой страх и риск, производитель эти действия, совершаемые пользователями, НЕ ПОДДЕРЖИВАЕТ.

Tihon_one
у меня от твоей фразы брызнул моск на монитор. Я ЕЩЕ РАЗ ПОВТОРЯЮ я за керио 2 день, нихера в нем не шарю

протоколы\debug, ПКМ по окну где сообщения лога, в контекстном меню пункт "сообщения", в открывшемся окне ищи что я написал, отмечай, далее кнопку "ок", воспроизведи отправку сообщения и логи сюда пости.


А поповоду второго дня, какого тогда не читаешь мануал, там это всё ЕСТЬ.

Tihon_one
Особенности в Alt+F1, Alt+F2,... Alt+F6 нет никакой
Это особенность Linux я бы сказал.
Ну все же могли бы нарисовать хотя бы какой то мануал. С большим предупреждением в начале что не несем ответственности за последствия.

Serg0FFan
вы знаете линух, тогда вы знаете что такое busy box, и знаете как правильно с ним общаться, вам не составит труда найти все модули winrout там, а всё остальное как и везде, это же стандарт.
Ещё раз повторю, ВОЗМОЖНОСТЬ ДОСТУПА К ФАЙЛОВОЙ СИСТЕМЕ ApE НЕ ДОКУМЕНТИРОВАНА. Какое из этих слов непонятно, мне непонятно.


P.S.>>ничего личного, просто тут, по моему всё предельно ясно должно быть.

Tihon_one
Я его знал в 2002 году еще, а сейчас мои познания на уровне ламера, давно не сидел под линем, всеобщая виндовизация (во загнул), затупила мозг

Сорри за оффтоп.

Serg0FFan
лан это офтоп, но ты лучше скажи что конкретно тебе надо сделать с ним, может смогу подсказать.

sanchower2
Проблема в ТП!!!

Привет ребята,

установил и успешно пропатчал винроуте 6.7.1-6544.

Проваидер 250кБаитов/с уплоад.

Если включаю HTTP-инспектор, то тутже падает уплоад гдето на 130кБаитов/с.
Выключаю HTTP-инспектор, тутже 250кБаитов/с.

В старих версиях также было.

Мне HTTP-инспектор нужен, чтобы сыну разрешать интернет толко в определённое время.

Можете мне дать совет?

kasjak2000

Проблема скорее всего в том, что когда вы включаете инспектора, керио начинает работать с трафиком, и где-то, может bandwidth limitere e или еще где, у Вас стоит ограничение.

Цитата:

Проблема скорее всего в том, что когда вы включаете инспектора, керио начинает работать с трафиком, и где-то, может bandwidth limitere e или еще где, у Вас стоит ограничение.

Bandwidth limiter не трогал.

Антивирус отклячин тоже.

Задача:
конкретному пользователю запретить всё, кроме сайта ya.ru (для примера)

как делаю:
1) в трафик полиси - по дефолту, как мастер настраивает.

2) в URL-группах создаю группу "test", куда вношу разрешаемые адреса:
- *ya.ru*

2) в HTTP-правилах создаю 2 правила:
- это юзеру разрешить ходить на сайты из HTTP-группы "test"
- этому юзеру запретить все URL начинающиеся с *

что имею в результате:
юзер не может открывать ничего, КРОМЕ сайтов, домен которых оканчивается на ya.ru - т.е. mail.ru не откроется, зато откроется ya.ru, my.ya.ru, xernYA.RU и fignYA.RU

а мне хочется что бы открывались только ya.ru и my.ya.ru и прочие поддомены ya.ru


если же в шаге 2 я вношу в группу test
- *.ya.ru*
не грузится ничего


что я делаю не так?
OS WinServer2003SP2
Kerio 6.7.0 / 6.6.0
специально проверил на двух разных компах эту ситуацию

Serg0FFan

Цитата:

Пользователи - закладка параметры аутентификации. Читай там с самого верха и ставь галки.  
Те кто не прошел аутентификацию будут посланы Если все грамотно настроишь. Т.е. тем пользователям кто у тебя есть сопоставлены айпишники, а если кто то "чужой" влез, то упс! У него вылетит окошко для авторизации.

Не помогло к сожалению.
http://my.jetscreenshot.com/2396/20100407-wiwl-78kb
меняю айпишнек на тот, который не привязан ни к одному юзеру и все равно пускает

sanchower2
Кажется там что то еще надо в правилах HTTP сделать. Не помню уже, т.к. не использую такую фишку. Поищи в мануалах, или тут http://kerio-rus.ru/forum/

Наверное вот так будет правильно - http://my.jetscreenshot.com/2396/20100407-fptm-83kb
Вечером опробую

sanchower2

Цитата:

Наверное вот так будет правильно - http://my.jetscreenshot.com/2396/20100407-fptm-83kb

Само собой правильно.
Но, если в ТП указывать не внутренний интерфейс, а созданную группу IP адресов, для которых разрешен выход в Инет, то тоже будет верным.

А так выходи с любого IP в Инет - бери, что хочешь.

GhoolVandal

Цитата:

что я делаю не так?

Проверил разрешение ya.ru - странно KWF обрабатывает данное имя - ни в какую не хочет с ним работать.
Могу предложить разрешить по IP через ТП, только не понятно, зачем разрешать на поисковую строку, если воспользоваться ею не получится? Ведь Ya.ru перекинет запрос на Yandex.ru при нажатии кнопки Найти....

здравствуйте, не подскажете как сделать так чтобы vpn клиентам выдавались статические ip?

Добрый день! Сегодня уже 3 день, как я борюсь с этим зверем! Суть проблемы следущая:
Имеется сервер Windows Server 2003R2 + Active Derictory + Kerio WinRoute 6.7.1 все это в домене (AD нужен только для раздачи прав на папки и домен не нужен, но не об этом!) В керио завел пользователей (и брал их из AD и отключал и чё я с ними только не делал) но появляется таинственный пользователь!!! НЕЗАРЕГЕСТРИРОВАННЫЙ ПОЛЬЗОВАТЕЛЬ и весь трафик идет через него!
Как сделать чтобы все было нормально?!
ЗЫ! Ногами не бить не пинать, много чего прочитал, а кто сделал и у кого получилось подробной инструкции не оставили((((

DizzJK
Создай юзера Gate, привяжи его к IP KWF и вздохни облегченно

Спасибо огромное!!! Это надо каждого пользователя привязать к ip?

DizzJK
скрин скинь со страницы настроек авторизации, и детальные скрины каждого сетевого интерфейса в kwf.

Tihon_one
Делаю скрины

Добавлено:
http://xmages.net/show.php/1266780_11.PNG.html
http://xmages.net/show.php/1266781_1.PNG.html
http://xmages.net/show.php/1266782_2.PNG.html
http://xmages.net/show.php/1266783_3.PNG.html
http://xmages.net/show.php/1266784_4.PNG.html
http://xmages.net/show.php/1266785_5.PNG.html
http://xmages.net/show.php/1266786_6.PNG.html
http://xmages.net/show.php/1266787_7.PNG.html
http://xmages.net/show.php/1266789_9.PNG.html
http://xmages.net/show.php/1266790_10.PNG.html

riotrod
в настройках пользователей указываешь привязку к VPN IP адресу.

DizzJK

Цитата:

но появляется таинственный пользователь!!! НЕЗАРЕГЕСТРИРОВАННЫЙ ПОЛЬЗОВАТЕЛЬ и весь трафик идет через него!

Значит твои ТП не для авторизованных пользователей, а для интерфейса Local.

adjuster
а подробнее?

DizzJK
Так, а кто вам сказал, включить принудительную аутентификацию для непрозрачного прокси-сервера? Уберите эту настройку и насладитесь "правильной" работой

так же физический интерфейс провайдера перенесите в группу "другие интерфейсы"

DizzJK
Переадресовать родительскому прокси, в закладке прокси-сервер, тоже надо снять галку, нафиг её ставить если адрес переадресации не указан?

Serg0FFan,Tihon_one Спасибо!!! Всё работает!

DizzJK
Кстати, если не прозрачный прокси сервер на 3128 порту не используется, то его можно отключить.

Народ, помогите. Обновляю IE до 8 Версия, перестает работать прозрачная авторизация доменных пользователей.

Пользователь запускает IE и у него вылезает страница авторизации, стоит нажать F5 (обновить) или нажать кнопку "Вход в систему" как авторизация проходит. Откат на IE6 возвращает нормальную авторизацию без лишних вопросов. Хост винраута находится в группе "локальные"