» Kerio WinRoute Firewall (часть 5)

TeranT
ИМХО Только если руками добавить это в конфиг файлы (но как это делается на Appliance не подскажу).

1) Сохранить конфиги через веб консоль https://winroute:4081/admin
2) поправить их руками )
3) залить через ту же консоль обратно.

Serg0FFan
Ага, спасибо, разобрался!
В winroute.cfg на каждый сайт надо такую штуку добавлять:

Код:
<listitem>
<variable name="Id">19</variable>
<variable name="Enabled">1</variable>
<variable name="Description"></variable>
<variable name="Name">Search engines</variable>
<variable name="Url">*.google.com/*</variable>
<variable name="Type">0</variable>
</listitem>

А как в рулесах указать порт источника?

Конкрентный пример - торрент, порт 55555 например. Для даунлоада, как я понимаю, должно выглядеть так:
имя torrent download источник any в firewall служба tcp\udp 55555 действие разрешить
и оно работает. А вот для аплоада дожно быть как то так:
имя torrent upload источник firewall:55555 в any служба any действие разрешить
но естественно оно не работает.

Понятно, что проще разрешить весь трафик, но это нужно, что бы в списке подключений, при сортировке по имени правила - соединения для торрентов (а их много, как вы понимаете) были в самом низу.

Altus

Цитата:

Конкрентный пример - торрент, порт 55555 например. Для даунлоада, как я понимаю, должно выглядеть так:
имя torrent download источник any в firewall служба tcp\udp 55555 действие разрешить
и оно работает. А вот для аплоада дожно быть как то так:
имя torrent upload источник firewall:55555 в any служба any действие разрешить
но естественно оно не работает

Нет, должно быть так:
нужно сначала создать службу, напр: torr_up протокол tcp\udp src port = 55555,
а потом создать правило
имя torrent upload источник firewall в any служба torr_up действие разрешить

TeranT
в свое время тоже пытался вписать плохие сайты собирал с помошью admuncher, файл получался большой но после перезагрузки сдувался до ~ 200кб - версия керио была 6.2.3 - вводил руками файл был около 450кб и жил нормально - отчего не хотел вставленное воспринимать так и не понял. (конвертер txt в xml тебе тоже пригодится
отпиши что получилось

vimaret
То что нужно. Огромное спасибо за доходчивое объяснение.

не подскажете появилась ли возможность добавлять пользователей по ip?

подскажите плиз можно ли как-то сделать так, чтобы пользователи импортированные из AD автоматом и логинились? т.е. без привязки их к конкретному ip, т.к. в сети ip раздает dhcp сервер

Добавлено:
p.s. вариант заставить всех сидеть на ie не катит

doc58_81oB0t

Цитата:

не подскажете появилась ли возможность добавлять пользователей по ip?

в смысле? всегда можно было указать пользователю конкретный ip и разрешить логиниться только с него

doc58_81oB0t

Цитата:

не подскажете появилась ли возможность добавлять пользователей по ip?

Начиная с версии 6.х появилась возможность прикреплять пользователей к IP адресам.

RoDikiy

Цитата:

чтобы пользователи импортированные из AD автоматом и логинились?

Без привязки к IP - конечно можно. Но в KWF пользователи смогут аутентифироваться только через браузер.

adjuster

Цитата:

Без привязки к IP - конечно можно. Но в KWF пользователи смогут аутентифироваться только через браузер.

т.е. обязательная аутентификация? в смысле ручками через кериовскую страничку входа?

RoDikiy

ntlm aka sso

http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=46&nav=0,2

(вводишь в домен kerio, на странице пользователи - "параметры авторизации" ставишь галку втоматической проверки подлинности)

IE - уже умеет
FF - http://sivel.net/2007/05/firefox-ntlm-sso/
Opera - http://muffinresearch.co.uk/archives/2006/04/11/opera-and-ntlm-authentication/

Сравнил компы на которых работал Windows Live Messenger, hotmail.com разница оказалась в сервис паках. Накатил SP3 и все заработало.
НО, теперь наблюдаются трудности с открытием почты gmail.com и вообще с https.
В ТП и http policy нет никаких запретов.
Началось все после смены шлюза. Был куплен новый комп, на него установлена w2003s r2 EE sp2 и KWF 6.7.1 Patch 2 Сборка 6544 которому был подсунут конфиг от сборки 6399.
Щас полезу в конфиг, смотреть может где чего напортачено было.

Какие есть соображения на счет gmail.com?

на сервере стоит KAV 6.0.4.1424 для windows servers

Помогите пожалуйста разобраться!

В офисе подключено 2 интернет провайдера 1-основной для всех - 512kb,unlim - "internet"
2- Временный для шефов (когда скорости малo) -1mb,limited "evo"


Тоесь трафик все время идет через основной провайдер, нужно правило что бы некоторые пользователи(компы) переводились на второго провайдера! Создал правило "Evo" (ниже на картинке), 192,168,0,30 это мой комп.

После включения этого правила происходит что то не понятное))) С моего компа (192,168,0,30) появляется доступ на модем второго провайдера (т.е если в браузере набрать 192,168,1,1 то попадаю в меня модема) НО если выключить правило "NAT" то интернет у меня пропадает хотя доступ ко второму модему есть, и интернет у него тоже работает(проверял в обход керио). А также скорость не превышает скорость основного провайдера! хотя должны быть мегабит!

что делаю не так!?????

Керио 6.7.1 ломанная без вебфильтра(пишет разбивка по категориям откл.) но он мне и не нужен. Сам керио с одним провайдером работает стабильно!

attaattaatta
о, спасибо большое, то, что надо, про IE знал, но он почти не используется

Помогите

Добавлено:
Помогите пожалуйста настроить kerio Winroute Firewall для 3 интернет каналов (балансировка) в одну локальную сеть! Написано много у вас в форуме но такого случая не встречал! Интересно тут есть кто то кто сможет помочь?

xxxdnua

Цитата:

kerio Winroute Firewall для 3 интернет каналов (балансировка) в одну локальную сеть!

Для этого лучше воспользуйтель MikroTik Router OS, а после него можете и керио воткнуть, если понадобиться, например кабана или авирь поднять, или статистику по юзерам вести. Это будет куда более эффективное решение. Я уже более полугода юзаю эту связку и... рекомендую.
Вот ссылка на руборде http://forum.ru-board.com/topic.cgi?forum=8&topic=13675&start=2100

RoDikiy

Цитата:

т.е. обязательная аутентификация? в смысле ручками через кериовскую страничку входа?

Начиная с 6.4.2 (ниже не проверял) через IE точно можно аутентифицироваться (без ввода логин/пароля).
Но учти, что пока пользователь не откроет любую страницу в инете у него не начнут работать аськи/шмаськи.
Это правило будет работать только в том случае, если ТП настроены должным образом (вместо Доверенных будут стоять Аут. пользователи).

xstaford

Цитата:

Создал правило "Evo"

В этом правиле в Назначении вместо EVO укажи Internet.

xxxdnua

Цитата:

Помогите пожалуйста настроить kerio Winroute Firewall для 3 интернет каналов

Создай ТП мастером - проблем не должно быть.
Не забудь в настройках Интерфейсы указать Балансировка/несколько каналов.

adjuster
Я так и сделал, но балансировка почему то не работает! Модемы работают как роутеры то есть настроены на PPPOE. Возможно их нужно было в режиме бриджа настроить? Получается ситуация когда модем теряет сессию с провайдером керио не раздупляется что связи нет и подвешивает на мертвый модем клиентов сети! Как тут быть?

xxxdnua

Цитата:

модем теряет сессию с провайдером керио не раздупляется что связи нет и подвешивает на мертвый модем клиентов сети! Как тут быть?

Но связь KWF с модемом то остается- так как KWF не знает о том, что дальше нет инета...
нужно сделать проверку по внешнему IP,
Либо настраивать модемы в бриджи и переводить PPPoE на KWF.

Но у нормального провайдера VPN не должен рваться.

xxxdnua

Цитата:

нужно сделать проверку по внешнему IP

пингуй внешние шлюзы а не внутренние ip своих железок.

Посоветуйте пожалуйста стабильную версию для обеспечения NAT и port-mapping, остальные функции по возможности...

xstaford
Таблицу маршрутизации покажи.

Добавлено:
Vituskosoy
Актуальная версия тебе подойдёт. ГО в варезник.

Цитата:

В этом правиле в Назначении вместо EVO укажи Internet.

несочти за назойливость, а какая разница? указываю ли я группу или напрямуб интерфейс? в следуующем правиле"Nat" это же работает.

После указания в правиле 'Evo" в назначение Internet, теперь на моей машине доступ к модему есть а интернета нет! (повторюсь, интернет работает проверял в обход керио)


Цитата:

faust72rus
Таблицу маршрутизации покажи.

После перезагрузки компа где установлен керио, теперь при включенных двух интернет соединений интернет керио не выдает! как только выключить второй модем или саму сетевую карту "Evo"интернет появляется! Мне кажется проблема как раз в маршрутизации. только я в ней ничего не понимаю(((



Хотел бы также уточнить у нас сеть с доменом (отдельный комп) и соотвествено с ДНС сервером. добавил в "Пересылку" днс адреса второго провайдера, результата никакого(

Ребята, скажите, есть ли возможность в Kerio WinRoute Firewall добавить в Internet Interfaces соединение VPN типа PPTP (инет от Билайна через локальную сеть города)?
Сейчас уже есть АДСЛ (модем настроен роутером, идет в отдельную сетевуху), все работает, но мала скорость отдачи, поэтому хочется взять ещё один симметричный по скорости тариф и сделать балансировку, если я правильно понимаю.
Интересует вопрос, может ли керио сам поднимать vpn-сессию и поддерживать её в случае сбоев или придется докупать какое-то железо именно для этого?

Цитата:

несочти за назойливость, а какая разница? указываю ли я группу или напрямуб интерфейс?

Не сочту.
Большая разница - читай фак.
У тебя из-за кривых правил и маршрутизация то не работает...

lizun

Цитата:

Ребята, скажите, есть ли возможность в Kerio WinRoute Firewall добавить в Internet Interfaces соединение VPN типа PPTP (инет от Билайна через локальную сеть города)?

А почему же нет - конечно можно.

Цитата:

и сделать балансировку, если я правильно понимаю.

Начиная с версии 6.5.х данная функция доступна.


Цитата:

может ли керио сам поднимать vpn-сессию и поддерживать её в случае сбоев

Начиная с версии 6.3.х доступно, но есть свои тонкости в настройках. Особенно это касается винды Vista-2008

Цитата:

У тебя из-за кривых правил и маршрутизация то не работает...

а в чем кривизна? читаю))) дело в том что правила создавал не я теперь мне приходится за всем этим следить((( извеняюсь если гдето откровенно туплю)))

Переделал правила Ево и нат сделал через группы!


Сейчас при активном втором провайдере 'EVO' Маршрутизация выгдядит так

интернета нет,

если выключить второго прова, из маршрутизации исчезает "0,0,0,0 0,0,0,0 192.168.1.1 Evo 20" и инет появляется.

xstaford

Цитата:

а в чем кривизна?

Первая кривизна: быстренько, пока никто не заметил, меняешь в правиле Firewall Traffic Назначение Internet на Internet, как в правиле NAT.
Вторая кривизна: быстренько, пока не допер своим умом, включаешь верхнее правило (галку на нем поставь).

И все будет работать.

Цитата:

пока не допер своим умом, включаешь верхнее правило (галку на нем поставь).

я конечно благодарен тебе за то что хотя бы пытаешься помочь, но пожалуйчта давай без резких фраз!!!
Если бы все так просто было я бы сюда не писал!
Во первых на данный момент если включить второго провайдера перестает работать первый! Тоесть в офисе пропадает интернет
Во вторых если включить то самое верхнее правило то на моем компьютере с адресом (192,168,0,30) появляется доступ к модему да и только! Интернета нет!
поэтому пока что вырубил второго провайдера что был инет в офисе и выключил правило что бы на моей машине был интернет!


Цитата:

меняешь в правиле Firewall Traffic Назначение Internet на Internet,

поменял, но это правило к данной проблеме вообще никак не относится.

xstaford

Цитата:

я конечно благодарен тебе за то что хотя бы пытаешься помочь, но пожалуйчта давай без резких фраз!!!

Если грубовато получилось - то прошу прощения. Но я говорю то, что думаю


Цитата:

появляется доступ к модему да и только! Интернета нет!

Вот это уже не понятно.... - что ты подразумеваешь под "Инета нет"??? Поясни