» Kerio Control (ex Kerio WinRoute Firewall)

подсказали другое решение вопроса =)

Правила поставил в следующем порядке
1. Local Traffic - Protocol Incpector disabled
2. Mail Access - Protocol Inspector disabled правило доступа только по pop3 и smtp для всех
3. Internet Access - Protocol Inspector default правило доступа в интернет для всех
4. Firewall Traffic - Protocol Inspector default


При этом сделал бесплатным трафик на нужные pop3 и smtp сервера.
Пока пользователь авторизован на страничке http://server_with_kerio_control:4080 он работает по квоте интернета и пользуется нетарифицируемой почтой.
Квота кончилась - все залочилось, юзер опять должен залезть на http://server_with_kerio_control:4080 и разлогиниться. После разлогина почта работает.

VasyaChapaev

Цитата:

Пока пользователь авторизован на страничке http://server_with_kerio_control:4080 он работает по квоте интернета и пользуется нетарифицируемой почтой.
Квота кончилась - все залочилось, юзер опять должен залезть на http://server_with_kerio_control:4080 и разлогиниться. После разлогина почта работает.

Это работает только при аутентификации по логин/паролю. Авторизация по IP здесь не подойдет - не забывай про это.

Добрый день! Проблема такая, не получается открыть порт в KWF 6.7
Нужно открыть порт для одной проги для доступа извне.
Верхнее правило оно. Пробовалразные порты открывать: 4898, 2111, 9091

П.С. на модеме порты тоже проброшены.





П.П.С. Открыт порт для Радмина, для FTP все работает стабильно.

Ткните плз носом, в чем баг.

точно лы там tcp юзается?
на модеме стопудово проброшены?
попробуй его поставить там где фтп и реадмин

Цитата:

точно лы там tcp юзается?

пробовал и TCP и UDP и на модеме и в Керио.


Цитата:

на модеме стопудово проброшены?

стопудово


Цитата:

попробуй его поставить там где фтп и реадмин

пробовал...та же ...ня (((

Ребята, привет.
У меня пара вопросов по керио.
Есть две сетu 10.10.10.0/24 и 192.168.133.0/24 подключены к интернету через разные шлюзы.
Создал я впн соединение. Комп одной локалки успешно пингует локальный IP другой локалки. Всё классно, но как сделать так, чтоб и остальные компы из той локалки запинговались? Подскажите пожалуйста новичку в этом деле.

KERIOWINROUTEKILLER
не совсем понятно... ты подымал туннель между сетками или ты пользуешься kerio vpn клиентом?
если туннель, то при условии что ты всё правильно настроил, сети должны видеть друг друга.

Всем прив!
Есть вопрос: поставил керио 7 на 2008 р2. Политики траффика стандартная по умолчанию (после мастера).
Настроил Керио ВПН. Ситуация, при подключении клиента с виндой 7-кой клиент пингует офисную сеть, с офисной сети же пинга до клиента нет. При подключении клиента XP из офиса до него пинг есть. Фаер на 7-ке выключен. Т.е. если клиент XP, то до него можно достучаться из офиса, если 7-ка - куй

Х.з. уже не знаю где копать...

utp_ss
Отключи PI на этом правиле.

adjuster

Цитата:

Отключи PI на этом правиле.

Тоже пробовал не помогает

rd80
я в одной сети установил керио фаервол на шлюз, а в другой сети kerio vpn клиент не на шлюз, а просто на локальный комп. клиентом подконектился к тому айпи на котором фаервол и эти два компа пингуют локальные адреса друг друга. как я понял в керио фаерволе встроен впн-сервер. Тунель работает =) Так вот, как сделать так, чтоб все компы одной сети пинговали все компы другой сети?

utp_ss

Цитата:

Тоже пробовал не помогает

на машине KWF выполнить такую команду:
telnet 127.0.0.1 4898 - результат сюда.


Цитата:

Так вот, как сделать так, чтоб все компы одной сети пинговали все компы другой сети?

KERIOWINROUTEKILLER
Поднимать тоннель между двумя шлюзами, а не клиент-шлюз.

Цитата:

на машине KWF выполнить такую команду:
telnet 127.0.0.1 4898 - результат сюда.

вот он сбой



только причина мне не ясна

adjuster
Ага! То есть на обоих шлюзах должен стоять именно керио фаервол, а не клиент?

Прошу подскажите как взломать Kerio Control 7.0.0 Build 896, если можно по подробней. что то бъюсь бъюсь а не фига не получается буду благодарен

KERIOWINROUTEKILLER

Цитата:

То есть на обоих шлюзах должен стоять именно керио фаервол, а не клиент?

Если хочешь связать Подсеть-Подсеть, то - да.

adjuster
А подскажите вот ещё что. Установил на шлюзах керио фаервол, а куда там дальше тыкать, чтоб два этих фаервола соединились? Или это делается при помощи клиента, что-то не могу понять?

3wc24r
тебе сюда http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=47321&start=140#lt

Добавлено:
KERIOWINROUTEKILLER
вот почитай
http://winroute.ru/winroute_sbs_guide/ch03s01.html
http://winroute.ru/winroute_sbs_guide/ch03s02.html

обрати внимание на 'fingerprint'

rd80

Брррр....отложим в сторону VPN, он работает

Проблема не в том, нужно открыть наружу любой свободный порт, он не открывается, смотрим мое первое сообщение...

в кратце: на модеме пробрасывались разные порты: 4898, 2111, 9091....они же открывались и в Керио...безрезультатно

П.С.Конечная цель чтобы юзеры стучались на определенный порт, а керио их рулил на 80 порт, у меня там web интерфейс FTP сервера (serv-u) (в правилах MAP, временно убрал, до момента разруливания проблеммы с портами)

utp_ss
сорри запутался с ответами...
в первом вашем посте для правила FTP_web4898 вы использовали порт TCP 5940 потом вы его изменили на 4898, я правильно понял?
попробуйте поставить правило FTP_web4898, ниже правила Локальный трафик

rd80
Огромнейшее спасибо!

grB
телнет на 80 порт ходит?
проверь настройки HTTP-фильтрации, они в отдельный раздел вынесены.
Добавь там с самого верху строку "всем юзерам разрешить URL *, авторизацию не просить"
отключи кэширование.
в настройках юзеров отключи запрос пароля.
потом закрутишь всё обратно, когда поймёшь, где дыра *)

На крайняк сноси файл конфига и конфигури заново.
Мне приходилось так делать *(

utp_ss
короче проще всего, повесь ftp-к на другой сервак и через маппинг прокинь на него нужные порты и всё будет работать

Проблема решена!!! Надо было сразу включить MAP, т.е. получилось что порт был открыт в никуда)

getlost
Попробуй на 7-е запустить брандмауер и в его настройках разреши входящие подключения и проверь будет ли пинг идти.

Подскажите пожалуйста. Есть две сети. В одной шлюзом служит сервер на котором керио. В другой сети шлюзом является аппаратный роутер. Есть ли возможность обьединить эти две сети? Я имею ввиду, чтоб все компы, что за сервером пинговали все компы, что за аппаратным роутером? На пример поставить впн-клиент на машину , что за аппаратным роутером, подконектиться керио впн-клиентом к к керио впн-серверу, который в другой сети и прописать маршрут на аппаратный роутер, что мол хосты с локальными адресами доступны, через шлюз, что на роутере. Такое прокатит? Просто хочу, чтоб хаоть один хост из сети, что за сервером пинговал все хосты, что за роутером. Для мониторинга очень хотелось бы. Можно такое замутить, как думаете? Или может какую другую конфигурацию, только чтоб хосты за аппаратным роутером запинговались.

KERIOWINROUTEKILLER
как вариант, ставишь на машины, что за аппаратным роутером radmin, коннектишься через vpn клиент к KWF, и с сервака также через radmin получаешь полный доступ к машинам в сети за аппаратными роутером.

utp_ss

Цитата:

вот он сбой

А тож )))


Цитата:

Конечная цель чтобы юзеры стучались на определенный порт, а керио их рулил на 80 порт, у меня там web интерфейс FTP сервера (serv-u) (в правилах MAP, временно убрал, до момента разруливания проблеммы с портами)

сначала добейся чтобы Firewall мог стучаться на этот порт - потом только правило создавай.

rd80

Цитата:

Попробуй на 7-е запустить брандмауер и в его настройках разреши входящие подключения и проверь будет ли пинг идти.

Да, получилось (странно, что при выключенном виндовом фаерволе на клиенте (остановленым через службы) он продолжает резать. Помогает или явное разрешение на вход пингов, или отключение фаервола для разный типов сетей (доменная, домашняя, общественная)

getlost
попробуй ещё так

Цитата:

На компе с Windows 7 в настройках "Центра управления сетями" поставьте тип сети "Сеть предприятия". Проверьте, чтобы брандмауэр Windows был выключен во всех сетевых профилях (профиль домена, частный профиль, Общий профиль).

Служба "Брандмауэр Windows" должна быть включена, тип запуска "автоматически", даже если брандмауэр как таковой отключён.

Также посмотрите, чтобы было включено сетевое обнаружение: Заходите в "Центр управления сетями и общим доступом", слева ссылка "Изменить дополнительные параметры общего доступа". В профиле "Домашний или рабочий (текущий профиль)" должна стоять галочка "Включить сетевое обнаружение".