» Kerio Control (ex Kerio WinRoute Firewall)

Привет всем!
Нужен ваш совет по решению задачи. Надо сделать так что бы пользователи набирая имяопредленногосайта.by шли через прокси:3128. Т.е. клиент->прокси:3128>сайт

Т.е. сейчас есть:
1)клиент комп(192.168.1.2)
2)kerio(192.168.1.1) на нем же поднимается vpn соедиение
3)прокси который стоит у провайдера 10.10.0.1:3128
4)сайт (https:\\10.10.0.2 и который имеет внешний айпишник)

Пока вопрос решил через настройку firefox - указываю ssl proxy:10.10.0.1:3128. Т.е. когда пользователь набирает имя сайта (4), фаерфокс определяется что для https надо юзать прокси с портом 3128 и прокся уже перекидывает на конечный сайт.
Как реализовать такое перенаправление в kerio что бы не прописывать в каждом браузере перенаправление? Или надо копать в сторону squid и с помощью kerio сделать невозможно?

Роутер IP 192.168.1.1
Сервер на котором установлен Керио внешний IP 192.168.1.2
внутренний IP 192.168.10.1
Внутри сети установлен майл сервер, работающий по MX, IP 192.168.10.250

Вопрос: как настроить правило чтоб заработал 25-й порт из интернета на внутрисетевую машину и обратно?

bagol
На роутере пробросить 25 порт на 192.168.1.2 соответственно.
А на керио создать правило, по 25 порту MAP:192.168.10.250

krylou
Думаю, что не получится так. Одно дело сделать NAT и просто перенаправить, а другое - это нужно http-запрос видоизменить, т.е. более серьезная модификация IP-пакетов. керио может только NAT/MAP - это из того что я знаю.
Ну а как альтернативное решение можно попросить у провайдера дополнительный впн-канал с выходом в интернет. И потом, в политиках трафика направить все соединения на этот сайт через это соединение.

Romeo_sh

Цитата:

Nthnsq
Есть.
Учет->Исключения->Исключить указанных пользователей

Фигня получается - полностью перестает считать трафик. А мне нужно - чтобы не было детализации, а подсчет трафика шел.

Romeo_sh

Цитата:

На роутере пробросить 25 порт на 192.168.1.2 соответственно.
А на керио создать правило, по 25 порту MAP:192.168.10.250

не работает, подскажите где ошибся
Внутри сети почтовик telnet-ится.

кто юзал фильтр по MACу, подскажите в чем проблема: есть терминальный сервер с Kerio WinRoute Firewall 7.0.1, и есть домашний комп подключенный через роутер к инету. Когда включаю фильтр по маку на том интерфейсе, к которому подключаюсь через RDP, отмечаю "Разрешить доступ к сети только перечисленным компьютерам" и добавляю MAC-адрес своей сетевой, и теперь при подключении уже выдает ошибку, что подключение не возможно.
Пробовал добавлять MAC-адрес роутера, не помогло. MACи вводил точно правильные
Подскажите, как можно узнать MAC-адрес подключенного к серверу клиента? Или может есть в Kerio control 7.0.1 просто фильтр по IP?

bagol
Да вроде все правильно, только лучше указывать Service как SMTP. А на каком этапе не идет коннект? Если к роутеру подключить еще один комп и зателнетить сервер? А если на серваке поставить простенький smtp-сервер, отключить керио, и попробовать из инета телнет? - станет понятно, где не пускает, тогда можно будет разбираться либо с керио либо с роутером.

Nthnsq
Да, фигня. Тогда не знаю, как по-другому сделать.

На машине с KWF 6.7.2 patch 2 build 6544 в Windows создано VPN-соединение, в его свойствах галка "Использовать шлюз в удаленной сети" снята. В KWF для этого соединения указываю "always keep line connected". KWF сам дозванивается - и меняет шлюз по умолчанию, как если бы галка была установлена. Если дозваниваться из KWF вручную, по кнопке Dial, то всё ОК. Кто-нибудь сталкивался с подобной проблемой?

извиняюсь за возможно глупый вопрос

как в керио настроить / должен работать заявленный upnp ?

всю жизнь порты открывал/маппил, а тут дай, думаю, попробую...
в utorrent галочку "использовать upnp" поставил, порт какой был указан - те же циферки оставил, в керио персональное правило для торрента убрал (галку снял) - перезапустил и то и другое на всякий случай - чпок, не работает. Вроде как порт автоматом не открылся по просьбе торрента. Какое-то другое правило мож добавить ?.. или еще что ?

п.с. поискал в "версии для печати" на этих 40+ страничках, по ссылкам из шапки - найти не могу ответа

версия 7,1
скажите, как изменить порт web-интерфейса?
Web Interface доступен по адресу: 4080
Администрирование доступно по адресу:4082
Хочу сделать так - зайти на :4080, залогиница, после этого могу зайти на :4082 и администрировать.
==============
И 2й вопрос.
В Error-логах пишет
IPS Error: Unable to open rules file "snort\etc\snort/rules/used.rules": No such file or directory. (1)
как исправить?

MiKmikMiK
если 7 версия, то Конфигурация > Параметры безопасности > Разное

Сам и отвечаю:
Порт меняется в winroute.cfg ( <variable name="WebAdmPort">4080</variable>)
Но вот как разграничить Web Interface и Администрирование????
====
по поводу ошибки snort:
скачал правила, распаковал в c:\Program Files\Kerio\WinRoute Firewall\snort\, перегрузил керио и вроде ошибок нет

Добрый день после обновления KERIO Winroute Firewall в Статус - Активные хосты
в пункте общий перестал показывать информацию о подключенных Веб страничках.
Во вкладке подключения пишет подключения с используемыми правилами.
Находил информацию о такой ошибке со следующими словами нужно удалить DefaultGateway в реестре по пути HKLM\SYSTEM\ControlSet001\services\цифры\Parametres\Tcpip\ чтобы в двоичном отображении DefaultGateway было 00 00. Так оно и есть но не отображаются открываемые сайты. Какие варианты еще могут быть?

leosart
от надо ж работает! спасибо большое

Zhainbay

Цитата:

В Конфиге керио winroute.cfg поправь строчку

<variable name="DefaultTcpTimeout">40</variable>
выставь нужный параметр

Хорошо...поставлю...но можно еще уточнить..
извиняюсь за ламерство
Этот параметр судя по моему случаю в минутах измеряется, это так ?
И можно ли его настроить через консоль администрирования (а не через конфигурационный файл) ?

Romeo_sh
Спасибо.

anticoors
Пожалуйста.
Видимо я направил вас на путь истинный и все получилось

Evg8000
Да, это минуты. Насколько я знаю эти параметры меняются только через winroute.cfg.

Romeo_sh
спасибо за ответ, буду наверное смотреть в сторону squid

Привет Всем!!!
Стоит керио 6.4. Время от времени у некоторых(каждый раз по разному) пользователей пропадает интернет. После перезагрузки керио все становится нормально.
интернет раздается по методу: подключись к сети и введи шлюз в браузер.
Подскажите в чем проблема.


Добавлено:
в керио в разделе ворнинг пишет: Connection limit of 600 outbound connections reached for host
ЧТО озночает, и он ли блокирует некоторых пользователе?

ofj
торренты используете? %)

Добавлено:
ofj
торренты используете? %)

Romeo_sh
честно говоря я не блокировал торрент и не проверял у пользователей. скорость инета 1,5мб на вход и выход
1. а как он может повлеять на инет нескольких из многих? у некоторых инет работает а у некоторых нет, после перезагрузки керио все ОК

ofj
Ну он же вам русским языком пишет: Превышен лимит в 600 исходящих соединений. Вот пара самых распространенных причин создания такого количества соединений:

1. Торрент-клиенты устанавливают большое количество соединений.
2. У вас в сети возможно вирус, а точнее целый ботнет который и спамит в интернет.

Из-за этого забивается канал и керио не может принять новых клиентов.

ofj
А машина с Kerio при этом недоступной не становится?

GCRaistlin
нее

Romeo_sh
Спасибо за стук.
и еще если можно как блокировать торрент закачки?

ofj
Что, у вас весь офис лил, а вы не знали? ))
Конфигурация-Доп.параметры-Фильтр Р2Р

Romeo_sh
Я уже давно ставлял галку на Заблокировать траффик и разрешить только не Р2Р подключения
и это чтоли не работает.

ofj
Так а все же вы точн выяснили, что это торенты? А то может еще что-то.


Цитата:

Я уже давно ставлял галку на Заблокировать траффик и разрешить только не Р2Р подключения
и это чтоли не работает.

Опять же не весь Р2Р-трафик керио может опознать правильно, т.е. часть он отсекает, а часть проходит, поэтому лучше ставьте блокировать весь трафик в случае, если замечено, что пользователь качает Р2Р, так их быстрее приучите к порядку.

спасибо Zhainbay и Romeo_sh за подсказки, кажется все заработало

Доброе время суток. Насколько реально заблокировать skype через блокировку p2p трафика....как я понял скайп своего рода пиринговая сеть....?

P.S. Заранее благодарен.

stoun
почти нереально, почти потому что, частично можно постараться но не через p2p

вообще как я понимаю блокировка скайпа, это такая общая головная боль у разработчиков приложений интернет шлюзов. т.е. по сути никто ещё не написал полноценного инспектора протокола для данного приложения.

Добавлено:
kkkeagla
скриншотик глюка выложи плз