Насколько безглючно (и быстро) работает интеграция kerio ver.7 с AD , или лучше вручную создавать
юсеров и группы?
юсеров и группы?
» Kerio Control (ex Kerio WinRoute Firewall)
а у меня обнаружение вторжений режет попытки моего мдемона - почтового сервера отослать письма на маил.ру
весь лог забит:
[22/Oct/2010 13:31:19] IPS: Packet drop, severity: High, Rule ID: 1:2008411 ET TROJAN LDPinch SMTP Password Report with mail client The Bat!, proto:TCP, ip/port:192.168.1.1:3697 (server2.shop) -> 94.100.176.20:25 (mxs.mail.ru)
весь лог забит:
[22/Oct/2010 13:31:19] IPS: Packet drop, severity: High, Rule ID: 1:2008411 ET TROJAN LDPinch SMTP Password Report with mail client The Bat!, proto:TCP, ip/port:192.168.1.1:3697 (server2.shop) -> 94.100.176.20:25 (mxs.mail.ru)
MARSIANIN
Совершенно нормально работает, вручную создавать нет никакой необходимости.
Hrist
Имхо ложное срабатывание. У самого постоянно с одного компа, где The Bat установлен, блокировало почту, хотя тремя антивирусами комп проверял - все чисто. Я отключил это правило просто, иначе невозможно работать, блокирует почту.
Совершенно нормально работает, вручную создавать нет никакой необходимости.
Hrist
Имхо ложное срабатывание. У самого постоянно с одного компа, где The Bat установлен, блокировало почту, хотя тремя антивирусами комп проверял - все чисто. Я отключил это правило просто, иначе невозможно работать, блокирует почту.
Всем привет
Понадобилось в офисе использовать ВПН соединение типа VPNservice.ru
У нас очень плохая связь с echange сервером а через ВПН почти в 2 раза конект лучше.
Ну так вот
Пытаюсь подключить ВПН через керио, то есть создал соединение впн, в керио использую его как dialUP соединение!
Нужно что бы все запросы на Olamnet.com проходили через впн точку. не получается(((
Также по пробывал перенаправить весь трафик с моего компа через впн! в этом случае у меня инет пропадает!
Приходится работать с керио по совместительству поэтому пожалуйста сильно не пинайте)))
Что я делаю не так?
У нас 2 интернет провайдера! 1-ый постоянный (Internet) adsl и 2-ой запасно (evo) wimax.
domen (отдельная машина)+ машина с керио (ipconfig /all)
все это дело работает! теперь вот ломаю
, пытаюсь еще и впн прикрутить!
Понадобилось в офисе использовать ВПН соединение типа VPNservice.ru
У нас очень плохая связь с echange сервером а через ВПН почти в 2 раза конект лучше.
Ну так вот
Пытаюсь подключить ВПН через керио, то есть создал соединение впн, в керио использую его как dialUP соединение!
Нужно что бы все запросы на Olamnet.com проходили через впн точку. не получается(((
Также по пробывал перенаправить весь трафик с моего компа через впн! в этом случае у меня инет пропадает!
Приходится работать с керио по совместительству поэтому пожалуйста сильно не пинайте)))
Что я делаю не так?
У нас 2 интернет провайдера! 1-ый постоянный (Internet) adsl и 2-ой запасно (evo) wimax.
domen (отдельная машина)+ машина с керио (ipconfig /all)
все это дело работает! теперь вот ломаю
, пытаюсь еще и впн прикрутить!вопрос по vpn серверу
к этой программе по впн только kerio vpn client можно подключится?
т.е. обычным windows vpn не получится или роутером по впн?
к этой программе по впн только kerio vpn client можно подключится?
т.е. обычным windows vpn не получится или роутером по впн?
Aristocrat
Нет, не получится. Только специальным клиентом керио. Впрочем ничто не мешает поднять встроенный впн под виндой на базе pptp или l2tp протокола, и к нему сможешь подключиться и виндовым клиентом и встроенным в роутер.
Добавлено:
xstaford
Если я все правильно понял, то два верхних правила надо объединить в одно и оно будет таким:
Trusted\Local olamnet.com Any Разрешить NAT(vpn#2) Always
Нет, не получится. Только специальным клиентом керио. Впрочем ничто не мешает поднять встроенный впн под виндой на базе pptp или l2tp протокола, и к нему сможешь подключиться и виндовым клиентом и встроенным в роутер.
Добавлено:
xstaford
Если я все правильно понял, то два верхних правила надо объединить в одно и оно будет таким:
Trusted\Local olamnet.com Any Разрешить NAT(vpn#2) Always
Цитата:
Нет, не получится. Только специальным клиентом керио. Впрочем ничто не мешает поднять встроенный впн под виндой на базе pptp или l2tp протокола, и к нему сможешь подключиться и виндовым клиентом и встроенным в роутер.
да мне как раз нужно на windows xp home, а там только 1 впн...
Есть сервер, где установлен Kerio Control и Kerio Connect.
Для Kerio Connecta из вне прокинуты порты, маппингом. Для локальной сети сделал правило:
источник - Local
назначение - Firewall
служба - SMTP
действие - разрешено
Это, чтобы могли отправлять почту те кому нету выхода во внешку. И все равно пока не залогинешься на контроле, фиг дает отправить почту.
Для Kerio Connecta из вне прокинуты порты, маппингом. Для локальной сети сделал правило:
источник - Local
назначение - Firewall
служба - SMTP
действие - разрешено
Это, чтобы могли отправлять почту те кому нету выхода во внешку. И все равно пока не залогинешься на контроле, фиг дает отправить почту.
Цитата:
Для локальной сети сделал правило:
источник - Local
назначение - Firewall
служба - SMTP
действие - разрешено
значит выше этого правила есть другое, в котором явно задаются пользователи
Цитата:
Если я все правильно понял, то два верхних правила надо объединить в одно и оно будет таким:
Trusted\Local olamnet.com Any Разрешить NAT(vpn#2) Always
Так вот при таком правиле olamnet перестает пингваться! Т.е как только перенаправить через впн то инет пропадает, при чем не видно даже ип адрес сервера этого впн .
в чем может быть проблема?
Цитата:
значит выше этого правила есть другое, в котором явно задаются пользователи
По данному протоколу нету такого парвила. есть парвило с натом, но на других юзверей.
или ты имееш ввиду, вообще любое возможное правило?
Привет всем ! Установил керио все ок ! создал пользователей все ок траффик считается ! в статистике отдельная строка неатаризированные пользовател и когда я захожу на сервак керио с radmin через инет он начинает считать этот траффик! как мне сделать что-бы керио смог определять что за юзер?
Цитата:
да мне как раз нужно на windows xp home, а там только 1 впн...
Aristocrat
От этой напасти существуют патчи... Правда о легальности тогда можно позабыть...
Добавлено:
lexm434
Надо чтобы траффик с самого сервера тоже шел от имени какого-то пользователя. То есть создай например юзера админ, и в свойствах его поставь галочку во вкладке IP адреса - автоматическая регистрация - межсетевой экран
Цитата:
вообще любое возможное правило?нужно посмотреть правила, например на предмет любимого многими слова ANY. А вообще есть основные принципы построения правил и один из них, за очень редким исключением, это - правило "локальный трафик" должно быть самым первым, тогда ваше вообще не понадобится.
и еще по поводу авторизации: NTLM авторизация происходит в браузере, естественно при наличии HTTP трафика, ни по какому другому протоколу она не работает.
Цитата:
Aristocrat
От этой напасти существуют патчи... Правда о легальности тогда можно позабыть...
а ты не путаешь? вроде в любой xp только 1 входящий впн возможен?
Aristocrat
Я же говорю - есть патч, убирающий данное ограничение. Сам использовал однажды...
Я же говорю - есть патч, убирающий данное ограничение. Сам использовал однажды...
Здравствуйте, не пойму почему не работает балансировка. Вижу только две причины.
1. Неправильно настроены сетевые интерфейсы
2. Таблица маршрутизации
Весь инет сейчас идет по internet. Сделал правила по определенному протоколу и одному пользователю через второе соединение (по второй инструкции http://kerio-rus.ru/forum/showthread.php?t=4146&page=12), у этого пользователя нет инета.
Почему в интерфейсах статус у второго не активный?
Не понятна ситуация с таблицей маршрутизации, почему метрика 20 проставляется после перезагрузки, хотя ставил 1 для двух соединений???
Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute (192.168.5.99)
2ppoe соединения – от одного провайдера
На DC (192.168.5.55) установлена пересылка на ДНС провайдера: 213.177.96.1 и 213.177.97.1
Машина c Kerio
Код: Ipconfig \all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : pomoika
Основной DNS-суффикс . . . . . . : SILVA.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : SILVA.local
office - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8169/8110 Family Gigabit Ether
net NIC
Физический адрес. . . . . . . . . : 00-1A-4D-39-6B-58
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.5.99
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.5.55
internet2 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-530T V.B1 Gigabit Ethernet Ada
pter #2
Физический адрес. . . . . . . . . : 00-21-91-90-6B-FF
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.123.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 213.177.96.1
internet1 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-530T V.B1 Gigabit Ethernet Ada
pter
Физический адрес. . . . . . . . . : 00-21-91-8F-1C-5C
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.100.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.100.1
DNS-серверы . . . . . . . . . . . : 192.168.5.55
Kerio Virtual Network - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.253.109.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 10.253.109.2
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 30 октября 2010 г. 14:29:18
Аренда истекает . . . . . . . . . : 31 октября 2010 г. 14:29:18
1. Неправильно настроены сетевые интерфейсы
2. Таблица маршрутизации
Весь инет сейчас идет по internet. Сделал правила по определенному протоколу и одному пользователю через второе соединение (по второй инструкции http://kerio-rus.ru/forum/showthread.php?t=4146&page=12), у этого пользователя нет инета.
Почему в интерфейсах статус у второго не активный?
Не понятна ситуация с таблицей маршрутизации, почему метрика 20 проставляется после перезагрузки, хотя ставил 1 для двух соединений???
Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute (192.168.5.99)
2ppoe соединения – от одного провайдера
На DC (192.168.5.55) установлена пересылка на ДНС провайдера: 213.177.96.1 и 213.177.97.1
Машина c Kerio
Код: Ipconfig \all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : pomoika
Основной DNS-суффикс . . . . . . : SILVA.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : SILVA.local
office - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8169/8110 Family Gigabit Ether
net NIC
Физический адрес. . . . . . . . . : 00-1A-4D-39-6B-58
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.5.99
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.5.55
internet2 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-530T V.B1 Gigabit Ethernet Ada
pter #2
Физический адрес. . . . . . . . . : 00-21-91-90-6B-FF
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.123.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 213.177.96.1
internet1 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-530T V.B1 Gigabit Ethernet Ada
pter
Физический адрес. . . . . . . . . : 00-21-91-8F-1C-5C
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.100.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.100.1
DNS-серверы . . . . . . . . . . . : 192.168.5.55
Kerio Virtual Network - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.253.109.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 10.253.109.2
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 30 октября 2010 г. 14:29:18
Аренда истекает . . . . . . . . . : 31 октября 2010 г. 14:29:18
Чем можно переиндексировать логи в керио? сабж 642, после "чего то там" в логах у очень большого куска сбито форматирование, т.е. строки одна за другой без переносов, в самом файле лога - всё нормально.
Переформулирую проблему:
Модель сетки и результаты пинга:
раз http://img294.imageshack.us/img294/2293/problem1az.jpg
два http://img193.imageshack.us/img193/1222/problem1by.jpg
настройки Керио: http://img821.imageshack.us/img821/8515/keriosettings.jpg
(inner - 192.168.54.x, outer - 192.168.1.x)
Собственно проблема: как настроить комп 1 чтобы он мог посылать запросы в другую подсетку и имел доступ в интернет?
Если на компе 1 гейтвей(ГВ) 192.168.1.10 то запросы в другую сетку идут но нет интернета. Если ГВ 192.168.1.1 то инет есть но запросы в другую сетку не идут
Если настроить на компе 1 два ГВ (1.10 и 1.1) то идет время пока выберется нужный ГВ - то инет долго грузится, то запросы в 2ю подсеть не идут. Можно сделать так чтобы инет брался через 192.168.1.10 и настроить керио соответственно но хотелось бы чтобы инет шел напрямую через 192.168.1.1
Модель сетки и результаты пинга:
раз http://img294.imageshack.us/img294/2293/problem1az.jpg
два http://img193.imageshack.us/img193/1222/problem1by.jpg
настройки Керио: http://img821.imageshack.us/img821/8515/keriosettings.jpg
(inner - 192.168.54.x, outer - 192.168.1.x)
Собственно проблема: как настроить комп 1 чтобы он мог посылать запросы в другую подсетку и имел доступ в интернет?
Если на компе 1 гейтвей(ГВ) 192.168.1.10 то запросы в другую сетку идут но нет интернета. Если ГВ 192.168.1.1 то инет есть но запросы в другую сетку не идут
Если настроить на компе 1 два ГВ (1.10 и 1.1) то идет время пока выберется нужный ГВ - то инет долго грузится, то запросы в 2ю подсеть не идут. Можно сделать так чтобы инет брался через 192.168.1.10 и настроить керио соответственно но хотелось бы чтобы инет шел напрямую через 192.168.1.1
Цитата:
Настройки - http://img80.imageshack.us/img80/2096/kerio.png
Не могу пропинговать с одной подсетки (А) комп с другой (В).
С подсетки А комп имеет в настройках днс и гейтвей - комп с керио и 2008
На картинке не видно какие сервисы ты разрешил. Должен быть разрешен ICMP
Народ, спецы по Керио, подскажите. Есть настроенный Kerio Firewall. Юзеров для керио имортируют из AD. Для того чтобы попасть в Инет нужно авторизоваться в Керио. Подскажите как это сделать из командной строки (скрипта) linux/unix (НЕ ИЗ БРАУЗЕРА)?
Подскажите плиз, как разрешить icq при превышении квоты?
PS: Ограничение полосы пропускания, не предлагать?
PS: Ограничение полосы пропускания, не предлагать?
Есть вопрос к специалистам стоит Керо 7 версии
проблема такая: учет трафика не могу настроить, по ip адресам, и просто по аутентификации через браузер, статистика по скаченному не точная если по ip если через браузер то может совсем не отображаться, пользователи не из домена !!!
хотелось бы чтобы статистика привязывалась непосредственно к пользователю а не к ip адресу возможно ли ....
проблема такая: учет трафика не могу настроить, по ip адресам, и просто по аутентификации через браузер, статистика по скаченному не точная если по ip если через браузер то может совсем не отображаться, пользователи не из домена !!!
хотелось бы чтобы статистика привязывалась непосредственно к пользователю а не к ip адресу возможно ли ....
Подскажите как изменить внешний вид веб-интерфейса окна для входа в систему для Kerio Control 7.0.1, пару строк дописать или картинку поменять? Или ткните куда глянуть.
Короче, к этой бредятине по имени Керио подключится теоретически можно так:
curl --cookie-jar cookies.txt -k --referer "https://kwf_server:4081/nonauth/login.php?NTLM=0&internal=0" --data "kerio_username=user&kerio_password=password" "https://kwv_server:4081/internal/dologin.php?internal=0"
Только что-то не пашет ни фига...
curl --cookie-jar cookies.txt -k --referer "https://kwf_server:4081/nonauth/login.php?NTLM=0&internal=0" --data "kerio_username=user&kerio_password=password" "https://kwv_server:4081/internal/dologin.php?internal=0"
Только что-то не пашет ни фига...
Ребят, подскажите, как седлать идентификацию пользователя в Керио (в моём случае 6.7.1) сразу после входа пользователя в АД. Перечитал кучу тем - не нашёл.
ROMANOFF74
KERBEROS
KERBEROS
Привет Всем!!!
У меня стоит Керио 6.4 помагите плиззз.
1. Как в нем поставить лимит по трафику(кроме почти, только за интернет) на пользователя?
2. Как настроить траффик полис, чтоб инет шел только группе Инет а почта всем остальным?
3. Возможно ли по скорости ограничить пользователя, если да то как.
Заранее Всем СПС.
У меня стоит Керио 6.4 помагите плиззз.
1. Как в нем поставить лимит по трафику(кроме почти, только за интернет) на пользователя?
2. Как настроить траффик полис, чтоб инет шел только группе Инет а почта всем остальным?
3. Возможно ли по скорости ограничить пользователя, если да то как.
Заранее Всем СПС.
1. В свойствах пользователя влепи квоту в опеределённое кол-во мегабайт
2. Создай группу "Почта" набей их юзверами, сделай правило источник: Эта группа Назначение: Интерфейс смотрящий в инет Слубжы: pop smtp imap Действие: разрешить.
3. Вкладка "Огораничение полосы пропускания", ограничение загрузки\отдачи, будет работать после превышения пользователем квоты
4. Читай мануалы.
2. Создай группу "Почта" набей их юзверами, сделай правило источник: Эта группа Назначение: Интерфейс смотрящий в инет Слубжы: pop smtp imap Действие: разрешить.
3. Вкладка "Огораничение полосы пропускания", ограничение загрузки\отдачи, будет работать после превышения пользователем квоты
4. Читай мануалы.
друзья, порыл я хомяк короче, так и не вкурил - WEB фильтр в ККонтроле нынешний это все таки кобан? (ну тот что ISS куплен был и оранж-ем обозван) или что то свое?
оч. надеюсь что первое. ибо вроде как лучший алгоритм (сайты с поревом например по оттенкам кожи помню отличать умеет с почти 100% верным результатом) ну и лучшая база аналитики на планете, как то читал про них.
оч. надеюсь что первое. ибо вроде как лучший алгоритм (сайты с поревом например по оттенкам кожи помню отличать умеет с почти 100% верным результатом) ну и лучшая база аналитики на планете, как то читал про них.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108
Предыдущая тема: Автоматическое удаление папок и файлов старше x дней
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.