» Kerio Control (ex Kerio WinRoute Firewall)

Посоветуйте пожалуйста лучший выбор.
Заранее простите, если вопросы будут дилетантские.
Несколько лет в качества Internet шлюза в небольшом офисе стоит компьютер с Windows XP+Kerio WinRoute Firewall 6.7.0 Patch 1 Build 6228. Кроме функций шлюза этот компьютер используется для сканирования документом, проверки почти и пр.
В офисе появился достаточно мощный сервер для 1C, терминального доступа и пр.

Возникла идея перевести старый шлюз на Kerio Control Software Appliance.
Вопросы:
1. Самое главное. Какие преимущества я получи по сравнению с Windows XP+Kerio WinRoute Firewall?

2. Можно ли будет на компьютере с Kerio Control Software Appliance организовать RDP доступ к серверу с 1С

3. Можно ли будет на компьютере с Kerio Control Software Appliance доставлять необходимый Linux софт?

Kanev75,
1. Особенных преимуществ не будет.
2. Это запросто можно сделать и сейчас на WinRoute. Причём, советую снаружи подключаться по нестандартному порту (чтобы враги не догадались)
3. Это уже вопрос к ОС. На ХР линуксовский софт просто не поставишь. А что именно надо-то? Не проще виндовский аналог найти?

Цитата:

1. Особенных преимуществ не будет.

Что будет более защищенным вариантом?

Подскажите с решением проблемы по балансировке нагрузки:
у меня два провайдера. На одном провайдере подключен белый ип адрес, на нем висит домен.
Вэб сервера висят в виртуальных машинах и доступ к ним идет через проброс портов.

В керио настроена балансировка нагрузки и правилами реализовано что бы VPN юзвери выходили в инет через "провайдер 1", а виртуалки через "Провайдер 2"

Ситуация такая:
Провайдер 1 ип адрес 192.168.0.0 маска 0.0.0.0
Провайдер 2 ип адрес 91.0.0.0 маска 0.0.0.0 (белый ип адрес)

Посетители у которых ип адрес находится в том же диапазоне что и "Провайдер 1" не могут получить трафик при обращении к белому ИП адресу "Провайдера 2".

У меня сложилось впечатление что керио пытается отдать трафик через ип адрес "провайдера 1"

Нужна помощь в решении этого вопроса.

Цитата:

Что будет более защищенным вариантом?

Ну, чисто теоретически, более новая версия должна быть более надёжной.
Я принципиального отличия KWR и KCA не нашёл. Добавились модули защиты от вторжения, вэб фильтр, Макафи заменили на Софос. А в остальном всё то же.
Если стоит задача с безопасностью, лучше поставь 2 антивируса.
У меня сейчас + к софосу стоит северный Аваст.

Цитата:

Вопросы:
1. Самое главное. Какие преимущества я получи по сравнению с Windows XP+Kerio WinRoute Firewall?

2. Можно ли будет на компьютере с Kerio Control Software Appliance организовать RDP доступ к серверу с 1С

3. Можно ли будет на компьютере с Kerio Control Software Appliance доставлять необходимый Linux софт?

на мой взгляд:
1.
+ не будет никаких проблем от XP по безопасности
+ быстрее загружается и работает на одинаковом железе

2. поднять на компе с Appliance RDP с подключением к другому компу - вряд ли получится. это будет "вещь в себе"

3. там используется сильно урезанная версия linux, поэтому с доп. софтом будут большие сложности.

Здравствуйте!
Имею в наличии Kerio Contol 7.3.2 Linux
Надо подменить MAC-адрес на сетевом интерфейсе (физическом).
Подскажите, как это сделать?

POMAHEHKO - а отмотать пару страниц назад, или воспользоваться поиском религия не позволяет? Обсуждалось уже далеко не один раз, да и в документации очень хорошо расписано.

Приветствую всех.

Может ли сабж решить следующий вопрос:

Пользователь на своем хосте, в браузере, нажимает ссылку, например:

http://get.adobe.com/ru/flashplayer/download/?installer=Flash_Player_11_for_Other_Browsers

сабж отлавливает эту ссылку по маске: *flashplayer/download*

и вместо скачивания с адоба, пользователю будет выдан на скачку файл с локального сервера: \\server\soft\flashplayer.exe

пожалуйста, посоветуйте, как решить данный вопрос?

Jivchic
нет не решит, ты можешь на \\server развернуть web морду, и выложить туда плеер, и уже после этого редиректить запросы на загрузку влешплеера с сайта адоба на web url твоего server, где будет лежать локально хранящаяся копия плеера.

Цитата:

редиректить запросы на загрузку

как реализовать?

Jivchic
через действие редиректа в правилах url, документацию читать не любим что ли?

Цитата:

а отмотать пару страниц назад, или воспользоваться поиском религия не позволяет? Обсуждалось уже далеко не один раз, да и в документации очень хорошо расписано

Я атеист
Я просто забыл указать, что хотелось бы "штатными" средствами, не прибегая к SSH
За ответ спасибо.

POMAHEHKO
ssh это штатный метод. просто смена mac пока не штатная задача 80)

Tihon_one
спасибо, мануал не изучал по причине не понимания в какой области искать ответ...

сабж использую постольку-поскольку

Jivchic
отличный ответ, поскольку-постольку можно зубную щётку использовать или туалетную бумагу, но Интернет шлюз, хоть и для SMB, это круто 8))) (шутка)

Доброго времени суток. У кого нибудь есть VPN клиент под Windows 32 и 64 для версии 7.0.2, на официальном сайте его нет в разделе прошлые версии. Буду благодарен за линк.

ruevgo
а его и не было вообще. качайте любую другую версию.

Сегодня заметил, что в керио появился какой-то странный хост...
3a.1f.be.static.xlhost.com C ip 209.190.31.58...
Что это такое подкажите и что делать.
Спаибо

Лезет хост сюда:
icqopenauthstg-dtc-a.evip.aol.com
icqopenauthstg-dtc-b.evip.aol.com

Обращение на сервера АОЛ аськи. Что не так?

А почему не от пользовательского хоста, а типа отдельным хостом???

Есть ли в kerio что-нибудь типа таймера, как в тулзе винды, где смена разрешения экрана.
Типа, применил какое-нибудь правило фильтрации - выскакивает морда, в которой если кнопку ок не нажать в течении 15 сек, то новопримененное правило упразняется. идет откат.
было бы иногда удобно для удаленного управления.

под никсами это решаемо многими путями. cron тот же. или путем "wait" через скрипт/комстрочку.
у себя так с ifconfig и с pf поступил.

dariusii
Новые версии Керио довольно интеллектуальны и прежде чем применить правило, проверяют-не обрубите ли Вы себе удаленное управление и об этом предупредит.
Но если очень нужно-в "определения" в разделе "интервалы времени" создайте нужный, а в правилах в предпоследнем столбце используйте созданный Вами временной интервал.
(пол дня правило работает, пол нет, например).

ммдаа.
дык, правило же должно всего-лишь измениться, а не включиться-выключиться.

Еще, не совсем ясна логика этой программы.

Пример:
Источник "любой", назначение "мой внешний интерфейс". Разрешить, скажем, 3389 порт.
Логично, если будет разрешен доступ на этот порт извне. Но, не для kerio.

В нем назначение должно быть "firewall".

То есть, на любое внешнее сетевое устройство, а их может быть несколько и не всегда нужно, что бы доступ был именно на них на все.

firewall - подразумевает под собой все сетевые интерфейсы сервера
если надо указать доступ к какому-то конкретному - выбираем нужный сетевой интерфейс

Цитата:

если надо указать доступ к какому-то конкретному - выбираем нужный сетевой интерфейс

и получим затык

пример:

"any" "any (или firewall)" "any service" "allow" - работает.
"any" "internet" "any service" "allow" - не работает.

в "internet" внешний интерфейс.
вместо "internet" можно подставить именно внешний интерфейс. без разницы.

лог:
DROP "Default traffic rule" packet from Подключение по локальной сети, proto:TCP, len:64, ip/port:86.19.204.182:56200 -> 103.0.32.101:3389, flags: SYN , seq:2476218697 ack:0, win:65535, tcplen:0

86.19.204.182 - машинка, октуда шел заход на rdp порт машины, где стоит керио (103.0.32.101).

внешние адреса условные, но суть это не меняет. разрешен любой исходящий трафик.

внешним интерфейсом выступает именно карточка, на которой адрес 103.0.32.101

Поэтому получается, что у керио свои мысли на этот счет.

dariusii

Мущщина, где-то Вы глючите.


Цитата:

"any" "any (или firewall)" "any service" "allow" - работает.
"any" "internet" "any service" "allow" - не работает.

В первом правиле разрешено все (в скобках все до файрволла) - почему оно должно не работать?
Во втором правиле разрешено все ИСХОДЯЩЕЕ в инет - почему при этом ДОЛЖЕН работать ВХОДЯЩИЙ rdp? Он и не работает, логично.

Цитата:

Цитата: Помогите советом пжлста:
было = стоял КВФ 6,7,1 (NAT) исключительно чтобы распределять скорость по каналам и хостам (несколько подсетей)
стало = после бед-блок-офф-хдд настроил ККонтрол 7,3,1(4142) и теперь не могу распределить скорости и каналы и подсети, ток мал-мал распределил по % занятости канала.

То есть требуется:
1) настроить различные скорости по 3м подсетям (ну допустим мой пров, моя страна, ру + уа)
2) дополнительно порезать скорость п2п (а не просто запретить)
3) ограничить по скорости загрузку больших данных (не из этих 3х подсетей) динамически - те чтобы скорость по мере скачивания снижалась
// тк пров предостявляет различную скорость для разных подсетей
итого надо - органичение ширины пропускания + группы ип-адресов = скорость как?
------------
или в новом КК уже по возможностям кое-чего не будет?

зы
ТИ 2й не предлагать, тк там все умею - трубуется и на самом сервере контролировать скорость и прочее

Цитата:
Цитата:

Вы в шейпер заходили?, там есть что вам нужно

помогите старичку скриншотом хотя бы с одним правилом

+

Цитата:

Цитата: ***

СКРИН показали - ОДНАКО не увидел там подсети(!) и ипы и скорость на них(!!)

Помогите люди добрые рабочим решением пжлста, ламеров прошу не беспокоиться

Starshark2007

Цитата:

В первом правиле разрешено все (в скобках все до файрволла) - почему оно должно не работать?
Во втором правиле разрешено все ИСХОДЯЩЕЕ в инет - почему при этом ДОЛЖЕН работать ВХОДЯЩИЙ rdp? Он и не работает, логично.

ок. покажите, пожалуйста, правило, что бы на внешнюю карточку из мира можно было бы зайти только по опр. порту.