» Kerio Control (ex Kerio WinRoute Firewall)

Yaromaxx
здарова!!я по тому же вопросу ну никак несмотря на то что почитал мануал там написано что вы можете ограничить лузеров во внешку и начинает описывать методы я их уже всех перепробывал ну никак не идет у меня сейчас лузеры реплицируются с АД ешника на kwf, вот как мне при НАТ сделать так чтобы только избранные ходили во внешку плиз подскажи или линк подкинь где об этом более подробно говорится а то никак не идет, просто видишь я хочу по группам либо аутентифиуированные пользователи но не по пулу адресов?

Заранее спс!

aljarreau создаем в АД группу Internet Users, включаем в нее тех пользователей, кому надо дать доступ наружу, и в правиле для Nat указываем источником не локальный интерфейс, а эту группу. Естественно, при этом пользователи должны авторизоваться на прокси-сервере, иначе будут ходить как хотят.

Raspberry_Jam
ошибся темой, тебе в варезник, в шапке ссылка

Yaromaxx
я так и делаю без проблем он их видит авторизацию они вроде проходят, точнее там есть внизу галочка где написано Аутентифицировать данный домен я ее закрыжил и все, а если по точнее то как они должны авторизовываться т.е. каким образом это происходлит в керио?

Добавлено:
Yaromaxx
возможно то что патч просто карявый оказался на керио у меня версия стоит 6.6.0 build 5729 а патч я использовал KWF_6.6.0.5729_plg_07-04-2009.exe или я что-то не так делаю?

aljarreau
1. Configuration-Users, ставим галки Always require users to be ..... и Enable user authentication automatically performed by web browsers, Enable Kerberos authentication, в следующей закладке Active Directory ставим галки Map users from... и Enable Windows NT authentication..., проверяем настройки подключения к домену;
2. Рестартуем Kerio;
3. Идем в Configuration - Active Hosts - смотрим - авторизуются ли пользователи. Должно все быть ок.
4. Внимательно читаем мануал и пробуем думать, а не флудить на форуме.

сорри тож немного выпал) я скрин перепутиал там где он не активен все норм активно... нет не пробовал на версий 6-ой. Блин в чем же может быть дело?

coder666

WOL пакеты широковещательные, обычно, посему рутёр их не пропускает, и не должен собсна.

unreal 777
Может всетаки DNS надо поднять?

vaniuhaha
ну пинги-то должны и без него ходить. Днс - это уже для полного фарша делается.
Я сам не извращался с керивскими тоннелями, свои филиалы держу на фре, там все пучком и совершенно бесплатно. Понимаю, что это не ответ. Если у тебя есть время повозиться - откати керио на 6.7.1, попробуй настроить на нем

Tihon_one

Цитата:

coder666

WOL пакеты широковещательные, обычно, посему рутёр их не пропускает, и не должен собсна.

Дык версия предыдущая пропускала
И кроме того - в сервисах ВинРотуа есть уже прописанная служба которую можно использовать в правилах. Тока это нифига не дает - как не пропускал так не пропускает. не хочется откатываться на предыдущую версию с другим глюком в протокол-инспекторе

Internet Access Monitor & Proxy Inspector работают на Kerio Control 7.0 и выше ?

MARSIANIN

Цитата:

Internet Access Monitor & Proxy Inspector работают на Kerio Control 7.0 и выше ?

а разве формат логов изменился?

Ребят, подскажите, как ошарашенному пользователю в сети разрешить доступ на абсолютно все?
Дела такие, тип типо надзором занимается, начальство попросило, чтоб он как можно меньше выходил из кабинета, а выходит он последнее время часто из-за того что лезит на P2P cети, за что получает ограничения "BLOCK ALL NETWORK TRAFFIC" с продолжительностью ограничений 2 часа.

Мне бы вот убрать бы время (или сделать меньше) этого ограничения или его одного сделать избранным.
Пробовал просто добавить службу и разрешить доступ, но дело в том, что каждый раз порты этих сетей разные.

И вообще, можно ли его как-то разблокировать? А то задолбает, ей богу.

Добавлено:
оно?



Добавлено:
оно?

<table name="PeerToPeerNetworks">
<variable name="Ports">411-413,1214,3531,4661-4665,6345-6348,6881-6889</variable>
<variable name="MinConnCount">5</variable>
<variable name="MinSureConnCount">1</variable>
<variable name="AlertPeriod">720</variable>
<variable name="Action">blockall</variable>
<variable name="InformUser">1</variable>
<variable name="BlockInterval">120</variable>
</table>

insyo
Дополнитеьные параметры - фильтр P2P
ну или действительно правишь этот блок

Нафига править вручную файл если все есть в консоли?

Polovov
и как же я сразу это не увидел, дундук блин =)
спасибо!

coder666
Это ты о какой такой службе? Есоли работало раньше, то включай лог дропнутых пакетов и смотри лог внимательно.

WakeOnLan Broadcast UDP 7,9 port
Это в службах

Раньше все работало простым правилом между локалкой и файрволом все разрешено

Вопрос к профи, потому, что уже даже не знаю где читать, есть много наподобие статей, но такую тупо не нашел.
Есть Сервер Win2K3 с двумя сетевухами. 1я. от провайдера с выделеным IP, без VPN и т.п. просто приходит с провайдера инет и все..., 2я. в локальную сеть 192.168.0.0 маска 255.255.255.0 . На сервере стоит Kerio 7.0 В сети домен и рабочая группа. Так, все работает. Но есть Но. иногда приходят "очень Ценные" посетители соответственно с ноутами и им подавай инет, не просто с провода, а с обязательно. есть WIFI USB свисток, типа D-Link DWA-125, который позволяет, как бы, раздавать полученный инет.
Попробовал уже почти все: воткнул сам USB свисток, поставил драйвера, перегрузился, добавил интерфейс в доверенные сети, запустил утилиту настройки, настроил в режиме Switch to AP mode, создал точку доступа, получил внутренний адрес 192.168.123.0. Пробовал и добавлять настройки в ручную и автоматом (Шлюз ДНС и все такое)
Эта заразина еще и инет пробует сама шарить, Керио при этом матерится - снял шару непосредственно с интерфейса, в итоге вроде пишет что интерфейс работает, ноут его обнаруживает, просит пароль и в итоге говорит, что сервер не доступен и все тут... а вообще инет тут же пропадает и на сервере с керио и в локалке и ви-фи тоже собственно ничего не видит. Даже пробывал в Керио в ДНС добавлять подсеть 192.168.123.0/255.255.255.0 не помогает тоже. Потом пробовал ставить утилиту от Райлинка по совету кого-то из блогеров о просто расшаре инета без керио, говорят так лучше работате в домашних условиях... но ни так и никак вообще!
Пробовал ставить просто на комп. тоже не выходит... Зависает на моменте разрешения ICS и все. далее не идет просто.
это беда какаето.
Помогите, уже извелся совсем... Или тыкните туда где описано такое же если кто уже видел такое...

reanews
Я бы сделал так. Свисток бы засунул в... упаковку.
Купил бы Wi-Fi роутер, воткнул его в локальную сеть. Прописал какой-то IP (не суть), включил бы встроенный в него DHCP сервер, выдал бы ему некий пул адресов, который, конечно же, надо исключить из пула уже имеющегося DHCP (192.168.0.150-200, например). Для этих IP, которые будет выдавать наш новый Wi-Fi роутер, сделал бы правило в Керио
Источник (диапазон IP) - Назначение (Интернет)- разрешить все. нат. В зависимости от того, есть ли у тебя авторизация или нет, настроить учетки. Или автоматом авторизировать какую-то одну учетку на всем диапазоне вайфайных IP - смотря по тому, надо ли их учитывать. Это уже тонкости.
Цена вопроса - 40 уе
А со свистком ты можешь до нового года играться.

unreal 777
Спасибо конечно за ответ, но просто хотел именно так сделать. Поскольку без керио "свисток" с данной функцией нормально справляется и он уже есть в наличии, а тут неожиданно такой результат. хочу разобраться. А на счет диапазонов, это идея. Сразу в голову как - то не пришло добавить источник свисток, получатель инет, NAT и разрешено все... а авторизации у меня нет, прозрачный прокси стоит.

reanews
А твоя штука умеет что ли работать как DHCP? Или у нее там NAT встроенный? Как ты собрался раздавать через нее и-нет??

Добавлено:

Цитата:

Сразу в голову как - то не пришло добавить источник свисток, получатель инет, NAT и разрешено все... а авторизации у меня нет, прозрачный прокси стоит.

И при таких раскладах машина с керио тебе вообще не нужна. Поставь железячку типа DIR-300 или DIR-615 и забудешь обо всех проблемах. Зачем жизнь усложняешь себе

coder666
странно, что bcast у тебя рутился, может что-то ещё делали? а в целом погляди дропнутые пакеты в debug логе думаю решишь проблему.

unreal 777
там, я так понял програмно реализуется NAT и DHCP и так и раздается... но как этим хозяйством управлять я и сам не понимаю, если честно. ок. буду через ДИР-300 решать вопрос. А керио всетаки нужен, там куча правил написано, да и основная масса компов инет получает именно от Керио. Хотел изначально как еще один сетевой интерфейс установить, т.е. как третью сетевую карту и через нее раздавать инет тоже по требованию, тем кто пароль знает, ну еще можно там, точно есть опция такая, по маку фильтровать. В "железном роутере типа того же дир-300" все более цивильно конечно прописано и DHCP роутера тогда не потребуется, будет силами Керио и так, раздаваться... Спасибо.

Народ, поставил последний Kerio Control.
Есть 2 локалки - 1 ГБит и 100 МБит
Когда по локалке 1 ГБит\с качаю файлы (через фтп), после установки фаерволла скорость просела на 50-70 % и нагрузка на центральный процессор просто неимоверная - 30 % что для меня очень много (только не говорите про железо, с ним все впорядке).
Когда качаю с 100 МБит\с сети то процессор нагружает до 10-15 %
От чего так? Очень приятный, интуитивно понятный интерфейс и легко настраиваемый фаерволл, вот одно большое НО которое по моему мнению ставит крест на этом фаерволле керст - это высокая потребность в ресурсах. Прожорливый просто ппц.

Что можно поделать с этим? Это как то лечится?
Отдельную машину в качестве маршрутизатора нет возможности поставить, компьютер где стоит фаерволл используется еще и для других сильно потребляемых и капризных ресурсов.


До этого ставил lan2net firewall. Вот в плане производительности - очень порадовал этот программный фаерволл-маршрутизатор (при скачке файлов на скорости примерно 1 ГБ\с - процессор совсем не нагружался или нагружался только на 1-2 %), а вот со стороны интерфейса - тут плакать хочется, до конца добить программу не хватило ни сил, ни терпения. Уж очень замудрили с настройками. Вот с удовольствием купил бы эту программу если сумел реализовать то, что реализовал в Kerio.

Вобщем в одной программе не хватает одного, в другой другого.


Помогите пожалуйста, лечится ли прожорливость Керио?
Спасибо.

lola21ru
отключит инспектор протоколов для FTP протокола, он тебе режет скорость по FTP, т.к. может выдать не более 100 мегабит

Если туплю заранее извиняюсь.
таблетку для Kerio Control 7.0.1 Build 1098 где можно найти?

Tihon_one
Где это отключается? Не подскажете?
У меня скорость режется не только по фтп протоколу, но и вебка например.

А с нагрузкой что? Почему он такой прожорливый?

Добавлено:
alsergeich
В первом посте есть ссылка на тему в варезнике

lola21ru
обе сетевухи локальные, не выход в интернет?
если да, то отключи инспектор на правиле локального трафика.

всего 4 сетевухи
(3 от провайдеров (по 100 Mbit\s - чистая локалка) и одна домашняя (1 Gbit\s состоит из двух компов: где сам фаерволл и другой комп, ради которого я и использую NAT в керио) )
в интернет выхожу через сетевуху провайдера при помощи PPTP или L2TP (провайдер оба типа поддерживает).

Мне из функций Kerio нужны только:
1) NAT от домашней локалки к 3-м провайдерам и еще к инету
2) Как фаерволл, закрывать неиспользуемые порты и протоколы, ограничивать доступ с каких либо подсетей
и все, в других функциях Керио я не нуждаюсь.