» Kerio WinRoute Firewall (часть 5)

Цитата:

а какие могут быть проблемы?

Ну короч прописал в нате ПОРТ TCP 1024 и вроде скайп подцепился к своему серваку. Вопрос: Там хватит TCP или нужен еще UDP?

kaskad
должен заметить, что запретить скайп способом от 123CZ123 не получится.
На радость DJ_Diablo скайп - удивительная зараза.

Источника назвать не могу (просто уже не вспомню) но суть в следующем:

скайп имеет что-то вроде сервера (вернее - серверов много). Он используется для авторизации, хранения списков пользователей и следит за он-лайном. Подключение происходит по ХТТПС (443 порт).
Процесс разговора скайпа - это прямое подключение двух компьютеров между собой (порт - произвольный из определенного диапазона). Т.е. - пиринговое соединие по сути.

Получается, что если клиенту не разрешить ХТТПС в правилах НАТ, то авторизация не пройдет и пользователь не выйдет в он-лайн. Т.е. получим запрет работы скайпа. Но потеряем защищенные веб-страницы...

Если разрешить ХТТПС, и запретить любые другие порты, то скайп успешно авторизуется и пользователь в он-лайне. При попытке позвонить (или при входящем звонке) скайп раздуплится, что другие порты ему не светят, прямое подключение к компу собеседника не возможно и .... цуко сервер скайпа организует релей.

Выходит ответ сразу на два вопроса:

Для блокировки работы скайпа нужно запретить (или не разрешить) ХТТПС (443).
Это не практично - потеряем шифрованные веб-страницы. По-этому гораздно правильнее "отловить" айпишки всех серверов скайпа и запретить коннект по конкретный айпи. Тут Вам удачи!

Для успешной работы скайпа достаточно разрешить ХТТПС (443).


проверено лично. запретить мне так и не удалось - заморочился ловить сервера. а вот работа по одному ХТТПС реально работает

Нифига подобного - постоянно в нате открыт 80 и 443 порт! Я смотрел TCPView как скайп долбит кучу удаленных серваков по разным портам! Пока не открыл 1024 TCP (где то прочитал), даже не мог зарегаться в скайпе. А скайп мне нужно наоборот разрешить - через сутки будет какаято конференция у Руководителя по скайпу с другими боссами

Не может быть.

мое правило:

НАТ - Локальный_Интерфейс - Инет_интерфейс - ХТТП+ХТТПС - Разрешить - Использовать_НАТ

Скайп работает на ура уже больше года. А порты свыше 1024 - это свободные порты, т.е. не привязанные ни к одному сервису. И его ты видишь именно в следвие попыток скайпа установить пиринговое подключение к собеседнику. Вот на это внимания можно не обращать.




Вот идет разговор в скайпе (наблюдаю с файервола в консоли керио в разделе активные хосты):

Имя правила: NAT web pages
Служба: HTTPS
Источник: 192.168.0.13
Назначение: 79.165.26.174
Порт источник: 2489
Порт назначение: 443


Добавлено:
http://www.skypeclub.ru/skype_faq.htm#138


Код:
Я не могу подключиться к Skype на работе, или из-за файерволла. Какие порты надо открыть чтобы использовать Skype?
Как минимум для работы Skype нужны неограниченные исходящие подключения на все порты больше 1024 или порты 80 и 443 (первый вариант предпочтительней). Если вы не сделаете одно из этих действий Skype вообще может не заработать. Качество связи и другие аспекты работы Skype можно значительно улучшить если вы откроете также исходящие UDP соединения для портов больше 1024 и позволите UDP запросам возвращаться.

Убрал 1024 TCP. Скайп при запуске все порты долбит и в конце коннектица по HTTPS. В настройках проги стоит слушать входящие на 58788 (я понял UDP). Соответственно в керио просто пишу Skype In Calls - Internet - Local IP - UDP 58788 - Nat with MAP to Local IP. Правильно же?

даже и не думал что скайп на столько мудреный о_О

Поделитесь, кто и какой шейпер подружил с Kerio WinRoute Firewall.

Стоит задача делить входящий трафик по пользователям (группам пользователей)
желательно динамически. Желательно и по типам трафика (FTP, POP, HTTP? Torrent и прочее )
Как я понял встроенный в KWF шейпер позволяет применять правила только к одной группе
пользователей

Помогите пожалуйста разобраться с ВПНом Керио.
На машине на которой стоит керио есть 2 сетевухи, одна смотрит в инет, другая в локалку. Которая смотрит в инет стоит шлюз провайдера, которая в локалку без шлюза.
Поднят ВПН на керио пользователям назначаются адреса из диапазона 172.27.178.0
user соединяясь по ВПН с сервакрм не пингует локальную сетку, пингуется только локальный ip сервака с керио.
если сделать route print на тачке userа, то доступ к локальной сети стоит через шлюз 172.27.178.1 и интерфейс 172.27.178.2.
в керио в политиках трафика прописано правило "локальный трафик", где в оба конца разрешён любой трафик для впн, firawall и доверенного/локального.
Что сделано не так? Почему не могу пробиться в локальную сеть?

т-т у тебя есть правило

Source Destination
локальній трафик все впн клиенты
все впн клиенты локальній трафик
Firewall Firewall
Dial-in Dial-in

DJ_Diablo

вот смотри. ты разрешаешь вход на порт 58788, получается, входищие могут подключиться к твоему скайпу напрямую. При этом ты закрываешь 1024 порт для исходящих прямых подключений.

Не совсем логично.

Про порт ХТТПС я имел ввиду, что это достаточный минимум.

Но для повышения качества рекомендуется дать возможность прямого подключения.
Т.е. открыть исходящие подключения по 1024 ТСП/УДП порту и входящие по 58788 ТСП/УДП порту.


А если внимательно почитать статейку с хакерс.ру, получается что при таком раскладе любой другой пользователь скайп с узким каналом связи сможет использовать твое подключение как промежуточную точку. Отсюда могут получиться излишние траты трафика.. К тому же, имхо, чем больше открыто портов - тем больше соблазна в них залезть.

Мой совет - если у тя хоть мегабит скорости есть - оставь лучше один ХТТПС...

voffka1984
в правиле для локального трафика должна быть указана группа "Все ВПН клиенты" с обоих сторон (и на них, и от них)

Добавлено:
voffka1984
т.е. не адаптер подключения ВПН, который создал при установке керио, а именно группа.

Добавлено:
или диапазон адресов 172.27.178.0

у меня вот так:

Source Destination
локальній трафик локальный трафик
все впн клиенты все впн клиенты
все впн туннели все впн туннели
Firewall Firewall

и не работает, народ ((((

Добавлено:
добавил в оба конца сеть/маску (172.27.178.0/255.255.255.0) и тоже не работает

Подскажите, можно ли каким-нибудь образом пользователей, работающих в терминале, пустить в инет не через кериовскую проксю, а через НАТ? Желательно с авторизацией (хотя это уже наверное, перебор )

voffka1984
покажи ipconfig /all с сервера и клиента
покажи tracert с клиента на комп локальной сети за впном

бум думать...

VovikK
можно. керио и терминал серв - один комп?
если один - прокся вообще не нужна, правилом для файервола все выйдут в инет
если разные - сделай правило нат с хоста терминал сервера на интернет

в обоих случаях учти, что керио авторизует пользователей по хостам (т.е. в его понимании один хост - один юзер). если тебе нужно учесть трафик нескольких юзеров с одного хоста - ТОЛЬКО прокси + анализатор логов

У меня такая ситуация - на сервере база на оракле, к нему подлючается VPN клиенты через винрут и работают с базой. Недавно с сервером произошла некоторая встряска и после этого винда стала работать немного нестабильно. А затем уже появилась проблема с задержкам при передачи данных. Соответственно клиенты базы данных тупят и тормозят на всех точках. Я пытаюсь понять проблема ли это в винроуте или самой базе? Потому что пинги и данные типа передачи файлов ходят как надо, а тут раз и задержки, причем у всех. Может кто-то с таким сталкивался? Может помочь переустановка файрворола на более новую версию?

Да, и кстати один из клиентов работает с сервером через локальную сеть, но тоже имеет такие проблемы. Значит по логике все таки база или нет?

Shestipaliy

Цитата:

Значит по логике все таки база или нет?

М-м-м-м, странная логика ) Фаер-то наверняка и локалку блочит ) Так что не факт. Вот была бы возможность отключить фаер и проверить - можно было бы сказать наверняка.

Цитата:

покажи ipconfig /all с сервера и клиента
покажи tracert с клиента на комп локальной сети за впном

бум думать...

ipconfig c сервака:

wan - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-530T V.B1 Gigabit Ethernet Ada
pter
Физический адрес. . . . . . . . . : 00-1C-F0-D0-50-B0
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 77.247.212.146
Маска подсети . . . . . . . . . . : 255.255.255.128
Основной шлюз . . . . . . . . . . : 77.247.212.129
DNS-серверы . . . . . . . . . . . : 77.247.208.70
77.247.209.2

lan - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Atheros L2 Fast Ethernet 10/100 Base-T Co
ntroller
Физический адрес. . . . . . . . . : 00-1F-C6-BF-91-49
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.24.1.15
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 10.24.1.10
10.24.1.20

Kerio VPN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-D2-F8
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 169.254.55.239
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 169.254.55.238
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 10 июля 2009 г. 9:46:09
Аренда истекает . . . . . . . . . : 10 июля 2009 г. 9:49:09

C:\Documents and Settings\Администратор>


ip config c тачки, которая ломится по впн:

Kerio Virtual Network - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 172.27.178.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 172.27.178.1
DNS-серверы . . . . . . . . . . . : 10.24.1.10
10.24.1.20
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 10 июля 2009 г. 9:49:40
Аренда истекает . . . . . . . . . : 11 июля 2009 г. 9:49:40

wan1 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Server Adapter
Физический адрес. . . . . . . . . : 00-1B-21-0A-A1-EA
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 89.179.227.152
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 89.179.227.145
DNS-серверы . . . . . . . . . . . : 195.14.50.21
195.14.50.1

C:\Documents and Settings\Administrator>

tracert с этой тачки до машины за ВПН в локальной сети:

C:\Documents and Settings\Administrator>tracert 10.24.1.12

Трассировка маршрута к 10.24.1.12 с максимальным числом прыжков 30

1 30 ms 30 ms 30 ms 172.27.178.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.

как видно всё затыкается на на впн шлюзе...
мож route print ещё каких-нить тачек выложить?

voffka1984

Цитата:

ip config c тачки, которая ломится по впн:

Kerio Virtual Network - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 172.27.178.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 172.27.178.1
DNS-серверы . . . . . . . . . . . : 10.24.1.10
10.24.1.20
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 10 июля 2009 г. 9:49:40
Аренда истекает . . . . . . . . . : 11 июля 2009 г. 9:49:40

а де шлюз?

покажи route print с этой тачки при подключенном впн

в керио ДХЦП сервер включен?

почему нет шлюза на Kerio Virtual Network не знаю.. мож так и должно быть?
DCHP не включено в керио. у меня в АД ток служба поднята.
вот route print с тачки, которая ломится по ВПН:

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...44 45 53 54 4f 53 ...... Kerio Virtual Network Adapter
0x20004 ...00 1b 21 0a a1 ea ...... Intel(R) PRO/1000 MT Server Adapter
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 89.179.227.145 89.179.227.152 10
10.24.1.0 255.255.255.0 172.27.178.1 172.27.178.2 1
77.247.212.146 255.255.255.255 89.179.227.145 89.179.227.152 1
89.179.227.0 255.255.255.0 89.179.227.152 89.179.227.152 10
89.179.227.152 255.255.255.255 127.0.0.1 127.0.0.1 10
89.255.255.255 255.255.255.255 89.179.227.152 89.179.227.152 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.27.178.0 255.255.255.0 172.27.178.2 172.27.178.2 20
172.27.178.2 255.255.255.255 127.0.0.1 127.0.0.1 20
172.27.255.255 255.255.255.255 172.27.178.2 172.27.178.2 20
192.168.1.0 255.255.255.0 172.27.178.1 172.27.178.2 1
224.0.0.0 240.0.0.0 89.179.227.152 89.179.227.152 10
224.0.0.0 240.0.0.0 172.27.178.2 172.27.178.2 20
255.255.255.255 255.255.255.255 89.179.227.152 89.179.227.152 1
255.255.255.255 255.255.255.255 172.27.178.2 172.27.178.2 1
Основной шлюз: 89.179.227.145
===========================================================================

удивительно... у тебя все верно...

шлюз на ВПН адаптере не должен быть указан. тут правильно. ДХЦП нипричем ...


остается только керио. рекомендую сделать так:
в таблице правил керио, самое нижнее правило (запрещающее) в колонке Журналирование включи регистрацию пакетов.

далее устанавливай ВПН подключение с клиента и запусти вечный пинг с клиента на:
1. адрес ВПН адаптера на сервере (172.27.178.1)
2. адрес локального интерфейса сервера (10.24.1.15)
3. адрес любого компа в сети (например 10.24.1.20)

и смотри в керио протокол filter. по идее будешь видеть все свои пинги со словом DENY. а там уже смотри откуда они приходят и почему адрес-источник не попал в разрешающие правила

Hi All

А как тут можно разрулить . Стоит Kerio 6.6.0. build 5729 , Я на ЭТОМ компе указываю в FireFox , прокси , а запрос на ЛОгин не происходит . Я так понимаю что бы я не указал , Аутентификация будет как FIREWALL .

Прошу помощи: после обновления с 6.4 до 6.6 упал сервер статистики. Сохранил конфигурацию, после чего сделал чистую установку и подменил старые конфиги. Проблема: раньше пользователи заходили в инет автоматом (в учетках привязка по IP), но сейчас после установки 6.6 при входе требует вводить логин и пароль!

alex_zelenskiy
гы буду знать )) что пока нестоит обновляться,

парни вот этот вопрос меня преследует уже давно, поисками занимался...

1)вот юзаю керио 3 года и незнаю как сделать так чтобы юзеры после того как закончился их лимит видели! что он закончился, а не страницу page not found )
стоит 6.4.2, вообще "странно" (глупо, тупо и т.п.)очень это... что есть уведомление только по почте
2)Блокируем порнушку, ставим в правеле вести лог, а вот где смотреть на какой он сайт пытался зайти ? смотрю в логах web - user "Access denied - Kerio WinRoute Firewall" http://server:4080/nonauth/deny.php?dest=aHR0cDovL3d3dy5kb3dubG9hZC53aW5kb3dzdXBkYXRlLmNvbS9tc2Rvd25sb2FkL3VwZGF0ZS92My9zdGF0a
WMvdHJ1c3RlZHIvZW4vYXV0aHJvb3RzdGwuY2Fi&ID=MTQgNg==&DBL=

PS: Вообще за 3 года юзаня за**пся с керио..... чего только небыло с ним.... его "гибкость" вообще неощущается )) подумываю поставить юзер гея 5 ))

Цитата:

alex_zelenskiy
гы буду знать )) что пока не стоит обновляться,

+1
Не даром интересовался как проходит обновление..

Проблема решилась: автоматическая авторизация не работает через прозрачный прокси, через прописанный - все работает!
Кстати на счет кабанчика: есть пользователь который зарабатывает на кликах ходя по сайтам (думаю все в курсе). Как заблокировать его активность: не для того чтоб он по сайтам не ходил, а не смог ходить на сайты которые за это платят (всякие там партнерки). Не уже ли нельзя это сделать автоматом? И как посмотреть список сайтов которые входят в каждую категорию ISS OrangeWeb Filter? (его кстати скоро поменяют на Kerio Web Filter).

dumpert
По поводу 1-го: я тоже этого не понимаю, ведь реализовать такую функцию довольно просто. Была где-то разработка, чтобы каждому пользователю ставить программку специально разработанную под Керио (она висит в трее и постоянно считает трафик) но там тоже было не все гладко.

Добавлено:
Вот нашел эту програмку Kerio-Syslog
http://kerio-rus.ru/forum/showthread.php?t=2217

alex_zelenskiy

да слышал о ней... но не глупо ли прикручивать такую фишку к прокси серверу самому ? я считаю что это должно уже быть в любом прокси.

PS:честно говоря на этот форум мне нехочется идти, я как говорил уже с керио около 2-3 лет, поэтому там бывал иногда, ответа я там редко находил, в основном я читал воду...т.е. ничего путного они непишут кроме как посылают или умничают на албанском, темы приводить небуду ) тока правила )....а так там сидят какието упыри.. почитав недавно их "правила" я ужаснулся... это какието обиженые жизнью одмины или прогеры
_http://kerio-rus.ru/forum/announcement.php?f=302&a=3 прочитал как то сутра.. настроение себе испортил...хотелось выбить эту дурь из них..
теперь у меня ассоциации с naliman'om и т.п. когда с керио вожусь... переставлю везде прокси на...

На windows 7 не получилось настроить , почему то блокирует траффик и интернет при включенном межсетевом экране не работает...

У кого нибудь получилось?

Цитата:

_http://kerio-rus.ru/forum/announcement.php?f=302&a=3

прочитал два абзаца и быстро закрыл, чтобы также не начать думать про снос Кери

bartenev
Кто кого блокирует? Как настроен? И т.д. и т.п. Нужно конкретнее
ИМХО, Windows 7 все еще не настолько стабилен и доработан, чтобы можно было бы четко сказать где проблема..

Цитата:

Кто кого блокирует? Как настроен? И т.д. и т.п. Нужно конкретнее

Да не понятно кто кого - вроде бы все разрешено в трафик полициях - но инет не работает в логах тоже тишина , пакеты в filter тоже не пишутся (((
Мне вот тоже кажется что еще нету совместимости полной... Вот что нашел :

Цитата:

Version 6.7.0 Release Candidate 1 - June 18, 2009

New features:
+ Web Administration (URL address: https://<firewall>:4081/admin)
+ Configuration Export/Import
* ISS OrangeWeb Filter replaced by Kerio Web Filter
+ Mac OS X Snow Leopard preliminary support
+ Microsoft Windows 7 preliminary support

Changes since Beta 1:
+ Kerio Web Filter White List
- Several minor bug fixes

Download and more information:

Ситуация забавная...
ЦУ от начальства - бан аськи.
баню в правиле - *.blue.aol.com
Смотрю в подключениях - ВИСИТ подключение!
методом экспериментов выяснил что template* отрабатывается нормально, а *template вообще игнорируется как будто!
и в HTTP Rules и в Trafic Policy.

Кто нить сталкивался с таким, либо * обрабатывается коряво?

Добрый день ВСЕМ!!! Помогите пожалуйста! Ситуация следующая: есть программулина из банка для получения выписок, ей необходим порт 24555, его нужно открыть. В политике прописываю
"выход" LAN>Internet>24555>Permit>translate IP adress outgoing interface
"вход" Internet>LAN>24555>Permit
Керио не пускает, телнетом пробую зайти на банковский порт, безрезультатно....