» Kerio WinRoute Firewall (часть 5)

ryanblack
Переделывай правила согласна руководству!!!

SibD

Цитата:

Может что-то настраивать надо для работы этих уведомлений пользователей?

Необходимо настроить SMTP релей в Дополнительно.

Господа Админы, дайте конкретный ответ, пжалста...

есть 2 кери, поднят туннель между ними - все настроено и шуршит...
VPN клиент одной кери через VPN туннель стучится по HTTP на сервер, расположенный за другой керёй.
Этот сервак контролирует походу IP адрес клиента и либо пускает либо нет...

Дык вот вопрос - какой адрес видит этот сервер:
- VPN клиента
- VPN сервера 1
- VPN сервера 2
- IP адрес создаваемый керей, при поднятии туннеля(такой тоже появляется...)

Ясно одно, что это не IP адрес сетевого интерфейса машины, на которой установлен VPN Client - этот адрес прописан в качестве разрешенного на сервере.(А мне отказано в доступе)

Посмотреть логи на сервере - нет возможности...

И возможно ли сделать с туннелем манипуляции в кере, чтобы до конечного сервера доходили пакеты, в IP заголовках которых был именно адрес сетевого интерфейса машины, на которой установлен VPN Client

Спасибо

Подскажите насчет срока действия SSL сертификатов для VPN туннелей, созданных в Kerio.
У них срок действия 1 год. Потом необходимо генерить заново?
Или достаточно, что они опознаются по отпечаткам (certificate fingerprints)?

Germanus
Спасибо за наводку, как я понял таким образом можно не допустить запуска Kerio монитора под определенным пользователем?

vladimir oz
не допустить запуск данного монитора можно штатным образом, без стороннего по.

Добавлено:
fedmun
отпечаток это отпечаток, сертификат это сертификат. сертификат истечёт и все клиенты начнут ругаться. что он истёк, но стоически будут подключаться.

Tihon_one
Меня больше сертификат на подключение сервер-сервер интересует.
После истечения срока подключаться будет?

vladimir oz
Под любым. Watchman я не очень знаю, хотя, он как бы более продвинутый. Говорят даже по сети можно управлять возможностью открытия окон. Но я так и не разобрался как. А Watchcat действует очень просто - создается правило касающееся определенного окна интерфейса, или программы целиком и далее указывается при его срабатывании что делать - дать доступ после ввода пароля, сворачивать или тупо закрывать. Плюс ещё несколько возможностей. И сам Watchcat паролируется. Так что не зная пароля ничего не сделаешь. К тому же есть возможность его скрывать и вызывать только по назначенному сочетанию клавиш.
Впрочем это не отменяет возможности пользователя убить его через диспетчер задач. Но так же ничто не мешает и сам диспетчер задач не позволить открывать

buhhunyxster

Цитата:

Спасибо

HTTP сервер видит IP из VPN подсети - и это IP удаленного KWF.

Germanus
СПАСИбо ЗА rejector.ru
я чем дальше тем больше влюбляюсь в него
он мне не только днс разгрузит и обработку хттп моих правил
но и решит давнюю проблему - у меня два компа прокси на два канала (на самом деле на три)
теперь одни филтры будут на оба компа в одном месте - что избавит меня
единственно придется некоторые оставить правила отдельным компам где вообще запрещено все кроме некоторых правил

Доброго времени суток уважаемые. Помогите разобраться с проблемой.
Есть сеть с шлюзом, на котором установлен KWF 6.7.1 Build 6399.
В ТП нет никаких запретов на Messenger, но он упорно не хочет коннектиться (Error code: 80048820, пробовал делать все что нашел в инете по этой ошибке, результата нет).
В чем может быть трабл, где чего не так сделал?
ТП


P.S. Картинку исправил.

1XTR
Что то скрин мало различим совсем.

Hrist
На самом деле, все благодарности пользователю nikolaevsergey
Его была инициатива. Я только подхватил и нахвалил

1XTR
включи логирование пакетов на самом нижнем правиле и смотри при подключении, чего не хватает.

adjuster, что самое интересное, на одном компе в сетке все работает, т.е. Messenger коннектится и сайт почта hotmail.com открывается.

народ, можно как-то одному пользователю ограничить кол-во пакетов?

Привет всем.
Помогите настроить. Есть сервер с KWF к нему подключена локалка и интернет. В локальной сети есть Web сервер, как сделать так чтобы он был виден из интернета?

puhin
ну наверное создать в трафик полиси (политика трафика) правило разрешающее проходить пакетам по 80 порту (на нём твой веб сервер висит?) с внешней сетевухи в локалку. Ну например:

Источник: Интернет
Назначение: Firewall
Служба: HTTP
Действие: Разрешить
Трансляция: MAP ай.адрес.твоего.локального.веб.сервера

Ну или можно воспользоваться кнопкой "Мастер" внизу справа, там почитай внимательно что спрашивает тебя керио, на одном из шагов он спросит про службы которые у тебя есть в локальной сети и к которым нужно сделать доступ. Укажешь HTTP и айпишник локального сервера.

people хачу иконку в трее а её почему то нету ?

Интересно, кто-нибудь пытался разобрать керио под линукс и вставить туда iproute2 со своими правилами шейпинга?

vladislavovich
c:\Program Files\Kerio\WinRoute Firewall\wrctrl.exe подойдёт?

abask
Извращение?

Цитата:

Источник: Интернет
Назначение: Firewall
Служба: HTTP
Действие: Разрешить
Трансляция: MAP ай.адрес.твоего.локального.веб.сервера

Так я сразу попробовал, только не получается.

faust72rus я малеха запарился: vpn client без иконки подрубается. а вот сетeвое подключение kerio vpn client отображается

abask

Цитата:

Интересно, кто-нибудь пытался разобрать керио под линукс и вставить туда iproute2 со своими правилами шейпинга?

За дубль ведь и наказать могут. Тут обсуждается работа, а не "вскрытие" программы


Добавлено:
puhin
Скрин правил выложи сюда.

1XTR
Сравнивай тогда настройки сети у клиентов, у которого работает и у которого не работает.

MagistrAnatol

Цитата:

народ, можно как-то одному пользователю ограничить кол-во пакетов?

Нельзя - надеемся, что данная функция появится в скором будущем. (если речь идет о кол-ве конекшенов)


Добавлено:
puhin

Цитата:

Так я сразу попробовал, только не получается.

Не получается потому, что нет ответного правила для веб сервера в Инет по HTTP.

Тогда просто включи NAT на локальный интерфейс в указанном выше правиле.

такой вопрос: в тех поддержке провайдера сказали, что возможно из-за kwf при высокой загрузке канала (у нас 16 Мбит/с) при скачивании на максимальной скорости происходят провалы в скорости закачки (например качаю через µTorrent на 1.5 Мб/с, потом провал до 60 Кб/с, через пару минут снова восстанавливается до 1.5 Мб/с), типа керио глючит при такой нагрузке, установлен керио последний, встроенный антивирус отключен, стоит нод 4.0 с отключенной защитой доступа в инет, может ли быть причина в керио?
и еще в моменты этих провалов кип отваливается (учетки кипа, аськи и мыла)

Добавлено:
1XTR
антивирус какой установлен на шлюзе?

RoDikiy
По моему самым разумным было бы, в такой ситуации, отключить керио и посмотреть на поведение. Если провалы продолжатся, искать виновного далее. Если уйдут, искать другую версию керио, либо альтернативы.

RoDikiy
Kerio 6.6.0, канал 40 Мбит/с, антивирус встроенный+visnetic. Никаких провалов.
Но железо мощное.

Цитата:

в тех поддержке провайдера сказали, что возможно из-за kwf при высокой загрузке канала (у нас 16 Мбит/с) при скачивании на максимальной скорости происходят провалы в скорости закачки (например качаю через µTorrent на 1.5 Мб/с, потом провал до 60 Кб/с, через пару минут снова восстанавливается до 1.5 Мб/с)

можно поискать на форумах торрент-трекеров: "пила" в графике скорости исправляется после отключения UDP протокола.

Preferences / Advanced, bt.transp_disposition выставить в 5 и перезапустить uTorrent

Всё перекопал, но никак не нашёл.
Возможно ли оптом добавить в Керио в "Группы URL" большой список сайтов? Или только по одному вбивать?
ЗЫ. KWF 6.7.1(6544), Appliance.

всем спасибо, буду пробовать