» Kerio Control (ex Kerio WinRoute Firewall)

Germanus
убил, ржу
Вообще давно заметил что развитие винроута стало каким то диким, какие то детекторы атак... убогий шейпер, который даже настроить по людски нельзя.

Вопрос - WebFilter проверяет ссылки из своей базы или каждый раз лезит для проверки
на сайд Kerio ?

MARSIANIN
web filter отправляет dns запрос к базе esoft, в ответ получает вердикт(категорию)

Цитата:

web filter отправляет dns запрос к базе esoft, в ответ получает вердикт(категорию)

и заодно свой номер наверное , т.е. IMXO WebFilter c варезными номерками долго не проживет и ждемс
keygen?

Кстати а Orange web filter тоже слал запросы DNS или брал запросы из своей базы?
Какая последняя версия кабана с Orange web filter ломалась?

Насчет Orange web filter понял последняя версия 6.6.0.

Какую версию порекомендуете как наиболее неглючную (с учетов вареза!)
6.6.0 , 6.7.1 , 7.0 ??

в инете есть комп в домене на котром стоит Exchange 2007.
Комп с керио не в домене.
Как нужно настроить, чтобы удаленные пользователи могли по outlookу цепляться к Exchange?
спасибо

MARSIANIN
Два последних поста к программам не имеют никакого отношения. Все это есть в варезной ветке

w2k3 + kwf 6.7.1
при загрузке в логе приложения


Код: Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1053
Дата:        06.09.2010
Время:        18:50:33
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    FOBOS1
Описание:
Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

FL
Все правильно. Керио ставиться и блокирует весь трафик. Пока в правилах не включишь. После установки ничего не будет доступно. Запрещено все, что не разрешено. Смотрим правила трафика.

Хочу испытать kerio на живых users.
Чтоб они меня не прибили (с kerio раньше не работал) народ несколько вопросов

1. Действительно Kerio Control 7.0.1 более сырая/глюкавая версия чем 6.7.1
2. Web filter сильно грузит машину/сеть и еще тоже сырая.
3. Есть ли возможность экспортировать/импортировать в правила керио
(например кучу IP для запрета или все бьется ручками)

XINSIDE
ТП я не публиковал, да. С ТП все хорошо было. В 7.0.1 такой баги нет.
MARSIANIN
Сегодня перешел на 7.0.1. Работает без веб-фильтра. Пока полет нормальный.
webfilter на 6.7.1 работает на отлично, не грузит ничего.
импорт/экспорт нельзя, если хочешь перебросить существующие ТП в другой прокси на тестовую - копируй нужные тебе *.cfg. И делай это с консольного сеанса. После рестарта винроута останется поправить руками вкладку интерфейсов и немного ТП, если было много правил.
Если куча ip бьется ручками, может быть, проще было сделать url_group на них?
7.0.1 с ad дружит, все хорошо подхватило. Скрипт в гпо на автологин народа, соответственно:

kwf_login.js

Код: var oIE = WScript.CreateObject("InternetExplorer.Application");
oIE.Visible = 0;
oIE.navigate("http://PROXY:HTTP_PORT/fw/ntlm/login?NTLM=1");
while (oIE.Busy) WScript.Sleep(9000);
while (oIE.ReadyState != 4) WScript.Sleep(9000);
oIE.Quit();

Ребят подскажите, что за нечисть такая, в логе постоянно:

DROP packet with bad format from INET, proto:6, len:1500, ip:10.16.1.х-> 195.x.x.x, plen:1480

с одной и той же машины, вирусов нет, стоит вин7х32 + касперский (обновляется). Где смотреть?

borisdenis
Трафик полиси + ipconfig /all с клиента и прокси.

Код: from INET

Спасибо всем ответившим.


Цитата:

На прокси всегда можно поставить ethereal/wireshark и смотреть локальный трафик более детально.

У Kerio если проблеиы со сниферами (установленными на той же машине где прокси) в частности на базе WinPcap?

Если не брать в расчет WEB Filter (т.е. совсем забыть/отключить) какие глюки/достоинства по
сравнению с 6.7.1?

Кстати статистику (посещаемых сайдов) в семерке Керио покажет если отключить WEB Filter?

Цитата:

Кстати статистику (посещаемых сайдов) в семерке Керио покажет если отключить WEB Filter?

Если отключить webfilter, то не будут работать "категории сайтов". Статистика через web-интерфейс будет отображаться как и раньше. Для анализа логов винроута есть замечательная программулина wrspy (см.шапку)


Цитата:

У Kerio если проблеиы со сниферами (установленными на той же машине где прокси) в частности на базе WinPcap?

На 6.6.0 и более ранних проблем не замечено. На более старших не было прецедентов ставить winpcap + wireshark/ethereal.


Цитата:

Если не брать в расчет WEB Filter (т.е. совсем забыть/отключить) какие глюки/достоинства по
сравнению с 6.7.1?

у меня переход на 7.0.1 решил проблему с руганью в логах доменной машины при загрузке. (см. мой пост на 26 странице).
На мой взгляд, веб-интерфейс 7.0.1 стал шустрее, нежели 6.6.0. И перестал поддерживать firefox 2.*

Собственно ранее уже задавал вопрос и вроде все разрешилось удачно с помощью adjuster, но возникли изменения, которые вогнали меня в недоумение. Вот ссылки общение ранее:
http://forum.ru-board.com/topic.cgi?forum=8&topic=37426&start=460#11
http://forum.ru-board.com/topic.cgi?forum=8&topic=37426&start=460#12
http://forum.ru-board.com/topic.cgi?forum=8&topic=37426&start=460#13
http://forum.ru-board.com/topic.cgi?forum=8&topic=37426&start=460#15
http://forum.ru-board.com/topic.cgi?forum=8&topic=37426&start=460#16

Вызвано мое новое появление такой проблемкой: с включенным NAT на локальный интерфейс все работает отлично, однако этот метод транслирует все внешние запросы в локальный интерфейс и WEB-сервер №2 получает информацию как бы с IP-адреса локальной сети. Мне необходимо же сделать так, чтобы внешние IP сохранялись в первозданном виде. Почему у меня вызвало недоумение в проблеме? Дало в том, что у меня есть вторая внешняя линяя, запросы с которой идут на WEB-сервер №1. Так вот там NAT на локальный интерфейс отсутствует и при этом все отлично работает. Модемы практически одинаковы и настройки идентичны. Версии керио идентичны как и настройки на них. Где же загвоздка? Как сделать так, чтобы запросы с внешки на WEB-сервер №2 приходили без трансляции в локальный IP (как и на WEB-сервер №1)?

Цитата:

Если отключить webfilter, то не будут работать "категории сайтов". Статистика через web-интерфейс будет отображаться как и раньше. Для анализа логов винроута есть замечательная программулина wrspy

Это (wrspy) чудо работает с версией 7?

Кто нибудь использовал связку керио 7.х и Internet Access Monitor & Proxy Inspector
поделитесь впечатлениями.

pegas1981

Цитата:

с включенным NAT на локальный интерфейс все работает отлично, однако этот метод транслирует все внешние запросы в локальный интерфейс и WEB-сервер №2 получает информацию как бы с IP-адреса локальной сети.

Всё правильно, так НАТ и работает(смотри как расшифровывается NAT).


Цитата:

Как сделать так, чтобы запросы с внешки на WEB-сервер №2 приходили без трансляции в локальный IP (как и на WEB-сервер №1)?

Пользуйся мэппингом - MAP.

sadafaga, я в курсе как работает NAT. маппинг присутствует. мне надо сделать так, чтобы работало как на роутере #1 - без NAT.

скрины разных роутеров:
правила роутера #1


правила роутера #2

У меня почему-то срабатывают правила трафика с временными ограничениями в версии 7.0.0.896. Я создал правило, которое разрешает определённым пользователям без ограничения по службам пользоваться Интернет в нерабочее время. В нерабочее время входят поддиапазоны: праздники, выходные и буднее время после 19.00 и до 8.00. Так вот это правило срабатывает в то время, когда оно не должно срабатывать, тем самым разрешая выход в Интернет. В чём может быть заморочка?





pegas1981
В правилах на первом скрине интерфейс с IP адресом 192.168.0.1 не на прокси случайно ли? Если так, то не удивительно, что всё работает без NAT. Я бы порекомендовал модем настроить в режиме бриджа, а подключение к нету организовать с прокси. В таком режиме будет меньше заморочек и картина будет нагляднее.

YuraseK, нет. маппинг верный - на веб-сервера. Прокси - не вариант, не все утилиты с которыми мы работаем имеют возможность корректной работы через прокси.
YuraseK, источник у тебя только группой задан, а интерфейс с которого происходит направление на Интернет - не понятно. еще важен порядок расположения правил. если у тебя несколько групп с определенными настройками по времени - надо делать правило для каждой, а остальные тогда будут блокироваться последним правилом.

я бы попробовал сделать например так:

Users Audit Rule | Local Interface, UsersGroup | Internet Interface | HTTP, ICQ | Allow | | NAT | Work Time
Admin Audit Rule | Local Interface, AdminGroup | Internet Interface | Any | Allow | | NAT | No Work Time

pegas1981
Я под прокси имел ввиду пк с kerio. IP 192.168.0.1 - это IP адрес интерфейса на машине с kerio или в сети? Чем всё-таки отличаются модемы?

Касательно моего вопроса: у меня используется распределение нагрузки по соединению, т.к. у меня два подключения к Интернет, поэтому не видно используемого интерфейса, но это не важно, т.к. правило срабатывает в тот промежуток времени, в который не должно.

тачки с керио - 192.168.0.2 и 192.168.0.102. тачки 192.168.0.1 и 192.168.0.100 - это веб-сервера

модемы Zyxel Prestige 660R-61C и Zyxel OMNI ADSL LAN EE. настройки на модемах практически идентичны (различия только в IP)

pegas1981
С которым из модемов маппинг в Kerio работает без включения NAT (смею предположить, что это Zyxel OMNI ADSL LAN EE)? Чем вызвана такая необходимость, чтобы маппинг работал без NAT?

А можно ли подключиться к серверу с Kerio WinRoute Firewall через мобилку с Windows Mobile?

Цитата:

А можно ли подключиться к серверу с Kerio WinRoute Firewall через мобилку с Windows Mobile?

Помойму никак на прямую к админ консоли. Как вариант по RDP (использовать клиент для winmobile) к серверу, а на нем запуск админ консоли.

pegas1981

Цитата:

мне надо сделать так, чтобы работало как на роутере #1 - без NAT.

Если тебе надо, чтобы работало как на №1 - сюрприз - сделай как на №1.
Т.е.
1)отключи НАТ
2)оставь МАР

sadafaga
pegas1981 же объяснил, что во втором случае не работает как в первом.

Цитата:

Чем вызвана такая необходимость, чтобы маппинг работал без NAT?

YuraseK, необходимость я уже описал в первом своем сообщении, но могу повторить. C включенным NAT на локальный интерфейс все работает отлично, однако этот метод транслирует внешние IP-адреса в IP-адрес локального интерфейса роутера #2 (192.168.0.2). Мне необходимо же сделать так, чтобы WEB-сервер #2 получал информацию о внешних IP-адресах.

Цитата:

С которым из модемов маппинг в Kerio работает без включения NAT (смею предположить, что это Zyxel OMNI ADSL LAN EE)?

правильно предположили. думаете в модеме проблема?

Цитата:

Как вариант по RDP (использовать клиент для winmobile) к серверу, а на нем запуск админ консоли

А есть клиент для winmobile? На сайте тока:
Kerio VPN Client - Linux (DEB)
Kerio VPN Client - Linux (DEB)
Kerio VPN Client - Windows (32-bit)
Kerio VPN Client - Windows (64-bit) .

И что за запуск админ консоли?
Люди купили мобилу HTC с 4,3' экраном и хотят в дороге подрубаться к серваку. Очень хотят. А я даже свой смарт использую тупо как мобилу.