» Kerio WinRoute Firewall (часть 5)

NegoroX Меня никто не любит

Есть юзеры , Называется Юзеры
Есть группа URL , ГруппаURL

Я поставил в трафик Ролиси что Юзеры могут ходит в ГруппаURL . Но им доступ дается на все сайты .

JohnSilver182
1. В http rules создай правило zapret (это правило в самый низ) в нем перечисли группы которым низя ничего - кроме перечисленного в ulr grup razrech
в правиле zapret в строке Ulr begin wich поставь * (звездочку) и естественно перечисли группы и галку на дени ассес ту веб
2. В http полиси на закладке ulr grup создай razrech
в ней перечисли relf pz например *ru-board.*
3. В http rules создай правило razrech в строке is in grup выбери то что создали на ulr grup наше razrech
примерно так дальше перечисленного в razrech те которым низя не шагнут

NegoroX Да я так и сделал
Что с керио не то
Я еле допер , что сайты на которые можно ходить , надо поставить ВСЕМ юзерам .
А если Группе юзеров , то не канает .

помогите решить задачу
есть
1. провайдет с быстрым лимитированым инетом рил ip 10мбит/3мбит
2. второй пров с медленным анлимом дин фейк ip 3мбит/1,5мбит
есть локалка на 25 компов
есть сервак для ftp
надо сделать так чтобы все компы лазали в инет и качали через провайдера 2,
но на некоторые сайты заходили через прова 1( не больше десятка ftp)
из вне люди могли заходить на конторский фтп через провайдера 1
и еще вопрос - по какому принципу работает load network balancing - тупа заполнив первый канал начинает заполнять второй или как то иначе?

Цитата:

из вне люди могли заходить на конторский фтп через провайдера 1

Это точно легко

В правилах
Sourse = ANY на Destination = Интерфейс прова 1 Service = FTP
Можно еще добавить SERVICE = FTPS . Просто на всякий случай .

Уважаемые товарищи!
Дано:
сервер AD, сервер терминала, сервер KWF.
ве настройки IP сделаны правильно, DNS поднят правильно.AD функционирует отлично.
пользователи KWF импортируются из AD
авторизация пользователей ручная
на терминальном сервере через интернет работают несколько пользователей (правило проброски написано, траф инспектор выключен для проброски)
внутри сетки еще много человек на терминалке работают.

проблема:
при логине или разлогине пользователя KWF подвисают все терминальные сессии пользователей которые работаеют через интрентет.

Борюсь с этой проблемой неделю, KWF переустанавливал, сервак переустанавливал, результата нет.

Помогите?!

ЗЫ поиск юзал, ничего путного не нашел.



ЗЗ проблема реше отключением NAT для проброски на терминалку.

Цитата:

надо сделать так чтобы все компы лазали в инет и качали через провайдера 2,
но на некоторые сайты заходили через прова 1( не больше десятка ftp)

правило1 - local - хосты ftp - ftp - пермит - нат на интерфейс inet1
правило2 - local - inet2 - any - пермит - нат

причем в таком же расположении как тут
ИМХО так

NegoroX В керио встроен непрозрачный прокси сервер. вкл он в политике HTTP закладка прокси сервер на порту 3128 пользователи выходят в инет по правилу разрешающему DNS http proxy

Alexean
проще будет, если ты выложишь скрин траффик полиси

123CZ123
спасибо - вроде получилось
а как создать правила для такого варианта?
например чтобы можно было скачивать через prov 2
а заливать через prov 1 ?
на сайте http://kerio-rus.ru - прочитал про правильную настройку интерфейсов
но не совсем понял что делать с dns если провайдеа 2?

Alexean

Цитата:

В керио встроен непрозрачный прокси сервер

Так он там всегда был у тебя так мудро написать получилось что я даже не вкурил.
для блокировки Айсикёров повторю ссылку - не пролезут!
h--p://kerio-rus.ru/index.php?option=com_content&task=view&id=82&Itemid=74

iliuxa
применительно к тем же ftp?

123CZ123
ага именно к ним
тоесть весть инет идет через ISP 2
download с ftp тоже ижет через ISP2
upload на ftp идет через ISP 1
и 2 компа download и upload ftp идут через ISP 1
сетка простая, одноранговая без домена - поделена на 4 раб группы
ip выдаются по DHCP керио, но все стат компы зарезервированы на свои IP

правило 1 - локальные хосты двух ПК - хосты ftp - ftp - нат на интерфейс inet1
правило 2 - local - хосты ftp - ftp - пермит - нат на интерфейс inet2
правило 3 - хосты ftp - local - ftp - пермит - нат на интерфейс inet1
правило 4 - local - inet2 - any - пермит - нат

сам не пробовал, но мне кажется что так

123CZ123
а под local подразумевается локальная сетевуха или доверенные/локальные?
можно как то перенести настройки керио с одного компа на другой?

iliuxa
local - интерфейс смотрящий в локальную сеть

Все настройки хранятся в файлах *.cfg в корневом каталоге Керио.

помогите организовать авторизацию NT на прокси...

сервер 2003 AD
у меня права урезаны, могу лишь править учетки в своем OU

kerio 6.5 WRF

текущее состояние...
авторизация у меня вообще ни какая...
сделал импорт из AD
кому необходимо - подключил учетку
кому не нужен инет - отключил

в итоге все это бесполезно...
в мониторе сессий показывает лишь IP без логина
(хотя, кстати, так и не понял почему, но у меньшего числа пользователей авторизация проходит, то есть в мониторе сессий видно не только IP но и логин AD)
от сюда вырастает еще вопросик: как сделать что бы в логах и просмотрах сессий был не IP а имя ПК, т к у меня DHCP айпишники раздает хаотична...

я чайник в этом, так что плиз по-подробнее и меньше терминов...
необходимую информацию (скрины, логи, трасы) дам если надо...

Добавлено:
вот еще такое дело есть, правда не знаю, сюда ли я пишу, но скорее всего это связано между друг другом...

подсеть примерно в 160ПК + 10 серверов
сама сеть насчитывает миллионы (Федеральная структура)
иногда возникает задача отыскать пользователя в сети
на примере утилиты NBTSTAT или NBTSCAN
но вот не задача, что узер моей подсети залогинелся на ПК под учеткой AD, а утилиты его не видят
я предполагаю что косяк связан с настройками локальной политикой безопасности (не глобальной точно т к не у всех такие траблы)
т е я знаю точно что пользователь вошел в систему под своими уч.данными (AD) - является администратором ПК - но утилиты сканирования не видят его...

Возможно и из-за этого у меня не получается настроить авторизацию на прокси

dyndns кто настроил??
у меня на внешней сетевой стат.адрес 192.168.1.34,
так вот updater dyndns который встроен в керио, при обновлении хватает этот адрес! а не присвоенный провайдером адрес на модеме. хелп плз.

так может надо прямо на модеме настроить dyndns - во многих эта функция есть

iliuxa
наверно так и сделаю
а как лучше на модеме или на керио?
как надежней?

думаю на модеме так как в твоем случае модем это 1ый NAT
+ надо на самом модеме пробросить порты на kerio а с него уже в локалку
а то запрос на соединение модем примет, а куда его направлять ???
либо модем надо заводить в режим моста( если не путаю) и тогда в керио настраивать dyndns

подскажите такой вопрос относительно load balancing
имеется w2k3 с 2мя независимыми интернет-соединениями (VPN)
справится-ли керио с задачей, чтобы сервер одновременно отвечал по обоим интерфейсам (т.е. пришел запрос на VPN1 и ответ уходит по этому-же интерфейсу, пришел запрос на VPN2 и соответственно ушел обратно ответ через VPN2) для http и ftp протоколов.
бонусом распределение нагрузки между двумя интерфейсами - это конечно плюсом будет огромным, но основная задача сделать доступным оба интерфейса извне для обработки запросов, чтобы вслучае проблем у одного из провайдеров связь с миром не терялась извне.

пока из всего, что смог найти по подобному вопросу - умерший проект RainConnect. а тут случайно наткнулся на то, что и керио вроде как может. так-ли это.

Не подскажете какой алгоритм хеширования паролей применяется в KWF
хеши паролей хранятся в UserDB.cfg
например для 1 он
<variable name="Password">SHA:1a55c5f7f0628570e63b17d7f90539 a179a2005432dd94588bb4f8fb</variable>
вот нужен код на пхп(алгоритм хеширвоания) для преобразовния пароля в хеш

dvsx
может. по крайней мере схему которую ты описал реализовать возможно

При попытке авторизоваться выдает ошибку:
"Невозможно установить соединение с Kerio WinRoute Firewall на 'localhost'. Серверное приложение не запущено."
Статус в панеле задач: "Kerio WinRoute Firewall is stopped."
Возникло это после того как комп-роутер завис, я его перезагрузил.
Что делать?

Zud
стартани руками службу и смотри что появится в системных событиях, потом сюда выложи

Zud
нужно запустить службу Kerio в Пуск - Панель управления - Администрирование - Службы

Не понял правда про
Цитата:

комп-роутер

123CZ123
буду телепатом, скорее всего имелся ввиду комп-ШЛЮЗ

Подскажите пожалуйста, как настроить winroute для одного компьютера?
Имеется один комп подключенный к интернету (через локальную сеть), создаю правило:
source dest
firewall Internet
lan firewall
Ничего не работает!

Пускаю руками службу Kerio, ползёт запуск и останавливается, пишет stopped.
В Event Viewer - System этого события не регистрирует.

Система win server 2003 eng.
(комп-роутер - комп с WinRoute)