» Kerio Control (ex Kerio WinRoute Firewall)

progmike
Хорошо. Тогда можете разъяснить, например, по этому разделу из документации
http://manuals.kerio.com/control/adminguide/en/sect-usersinrules.html
В каком порядке применяются правила? Сперва применяется первое правило, разрешающее не ограниченый доступ по http. Соответственно, после совпадения, идет проверка по HTTP policy. После этого проверка должна, по идее, прекратится. НО она продолжается, и снова проверяется по 2-му правилу из Traffic Policy. Поясните алгоритм, не совсем понятно.
И, опять же, проверка идет явно не до 1-го совпадения. Иначе мы бы получили следующее - пользователь ломится по http. Происходит проверка по правилу в Traffic Policy, получаем совпадение, идет проверка в HTTP policy, получаем совпадению по юзеру - его пускает по http. при чем тут тогда второе правило в Traffic Policy?

И еще вопрос. Вот раздел
http://manuals.kerio.com/control/adminguide/en/sect-rulesex.html
В самом низу - Exclusions. Объясните, нахрена второе правило, если первое и так запрещает всем пользователям кроме тех, кто входит в группу Telnet allowed доступ по telnet?

PS Может немного сумбурно - просто пытаюсь разобраться.
PPS Либо я чего-то не понимаю, либо документация по керио написана, как минимум, не однозначно.

требуется ограничить кол-во соединений на всех портах хоста, кроме определенных мной
в керио нельзя указать исключения (или я плохо смотрел?)

мб кто подскажет как решить эту проблему? может поставить какую софтину параллельно с керио

Привет всем!
У меня вот такая ситуация.
некоторые сервера сидят на другом резервном шлюзе
192.168.0.10 12 14 16
255.255.255.0
192.168.0.3

KWF
192.168.0.1
255.255.255.0

когда через VPN KERIO Client подключаюсь, я не могу попасть на сервера, но и не могу убрать их с того шлюза. Может кто подскажет как можно вылечить эту беду?

butch9383

Цитата:

Хорошо. Тогда можете разъяснить, например, по этому разделу из документации
http://manuals.kerio.com/control/adminguide/en/sect-usersinrules.html
В каком порядке применяются правила? Сперва применяется первое правило, разрешающее не ограниченый доступ по http. Соответственно, после совпадения, идет проверка по HTTP policy. После этого проверка должна, по идее, прекратится. НО она продолжается, и снова проверяется по 2-му правилу из Traffic Policy. Поясните алгоритм, не совсем понятно.
И, опять же, проверка идет явно не до 1-го совпадения. Иначе мы бы получили следующее - пользователь ломится по http. Происходит проверка по правилу в Traffic Policy, получаем совпадение, идет проверка в HTTP policy, получаем совпадению по юзеру - его пускает по http. при чем тут тогда второе правило в Traffic Policy?

И еще вопрос. Вот раздел
http://manuals.kerio.com/control/adminguide/en/sect-rulesex.html
В самом низу - Exclusions. Объясните, нахрена второе правило, если первое и так запрещает всем пользователям кроме тех, кто входит в группу Telnet allowed доступ по telnet?

PS Может немного сумбурно - просто пытаюсь разобраться.
PPS Либо я чего-то не понимаю, либо документация по керио написана, как минимум, не однозначно.

все очень просто

по первой ссылке:

первое правило в Traffic Policy дает понять керио, что любой локальный хост может попытаться соединиться с любым веб-сайтом на порту HTTP (80).
когда пользователь запрашивает удаленную страницу (скажем, ya.ru) керио по первому правилу Traffic Policy этот запрос пропускает, но так как это поток HTTP (и Protocol Inspector это знает) в игру вступают политики трафика URL Rules.
Этот же самый поток проходит проверку по политикам HTTP, в которых указано, что его можно разрешить, только если пользователь авторизован и имеет одно из перечисленных имен.
Если в данный момент с запрашивающего хоста пользователь еще не авторизовался на керио, или имеет имя, отлично от списка, первая политика URL не сработает - критерии не соответствуют. Керио продолжит просмотр политик, т.к. соответствий еще не найдено, и дойдет до второй политики.
Во второй политике четко указано: "Кто бы это ни был - отказать". Т.к. пакет полностью соответствует этой политике (поток является трафиком HTTP, исходит от "Кто бы ни был"), то именно эта политика срабатывает, заставляя керио применить Deny.

Стоит понимать, что действие Deny и Drop - разные вещи. По команде Drop пакет просто удаляется без объяснения причин. В браузере это выглядит как "не могу отобразить страницу". А вот по команде Deny керио запрещает передачу пакетов И выполняет переадресацыю для браузера на свою собственную страничку с описанием причин (там же и есть кнопочка "Авторизоваться").

Таким образом, получаем:

- только что включенный локальный хост, еще не авторизован и пытается получить доступ к ya.ru
- срабатывает первое разрешающее правило Traffic Policy и вторая запрещающая политика URL rules - пользователь получает страничку с текстом отказа (что-то вроде, "Вы не авторизованы") и имеет возможность авторизоваться прямо на этой странице.
- при успешной авторизации керио выполняет вторую переадресацию с исходным запростом (т.е. введи имя и пароль на странице отказа, следующей загруженной страницей для пользователя будет ранее запрошенная - ya.ru)
- после авторизации керио чОтко знает, кто за компом, поэтому для всего последующего трафика HTTP будет срабатывать первое правило Traffic Policy и первая политика URL rules. Для всего остального трафика (ICQ, mail, ... ) будет срабатывать второе правило Traffic Policy.



По второй ссылке.

Тут немного путаница в словах вышла... Первое правило вовсе ничего не запрещает, только разрешает выбранной группе доступ по телнет. Все, кто не входит в эту группу, и выполнят попытку подключения попадут на самое нижнее правило Traffic Policy, которое по умолчанию имеет действие Drop.

Когда к пакету применяется действие Drop, приложение, отправившее этот пакет не подозревает, куда он делся и ждет его возвращения до тайм-аута. Естественно, не получив ответа многие программы выполняют повторную попытку (и даже не одну). Как итог - при действии дроп программа, создавшее эти пакеты, "подвисает" на некоторое время.
Если же к пакету применено действие Deny, то программе возвращается пакетик TCP с, грубо говоря, сообщением о запрете. В этом случае программа сразу понимает, что ничего не получится и останавливает запросы.

Так вот, второе правило в этом примере действительно избыточно - в нем нет особой необходимости. Но действие по правилу - Deny - более "гуманно" поступает с пакетами.
Telnet, при потере пакетов при Drop, реально подвисает. Зато при Deny сразу дает ошибку подключения.

progmike
спасибо, отлично объяснил Теперь все понятно.

vaniuhaha
у тебя что-то получилось? С понедельника я хочу развернуть тестовый стенд, один крупный филиал перевести на керио, и сделать между ним и ЦО туннель. Если получится, поделюсь. Если не получится ) , будем добивать проблему с двух сторон.

Добавлено:
Вобщем, тоннель установился с полпинка. Все компы за обоими роутерами пингуются, по доменным именам видятся. Даже не знаю, какие у тебя возникли проблемы. Давай сначала

В керио, есть такая фишка Активные хосты, где отображается только хосты сервера, другие компьютеры видны, но их хосты нет, кто знает в чём дело?

SERIOUS2
ты сам-то понял что написал?

Tihon_one
ну примерно да. Ладно лучше скрин наверно
http://keep4u.ru/full/d795d11864da2fc9c44c54e5a633e8eb.html
те что красным, по ним не статистика подключения и ничего нету, а вот тот один красый он всё нормально, по нему видны подключения и трафик учитывается. Как можно сделать чтобы по остальным тоже учитывался?

SERIOUS2
у тебя шлюз прописан на локальной сетевой карте убирай его от туда и всё будет в норме. вообще читайте мануал блин, с одной и той же болячкой ходите.

Добавлено:
SERIOUS2
а вообще кидай сюда листинг ipconfig /all и route print со шлюза и с любого компа в локалке.

Tihon_one
на какой из двух мне его убирать?
На той которая смотрит в интернет или на той которая смотрит в сеть?
Спасибо лёг был сервер, я убрал после этого методом тыка, и всё заработало.
Нужно убирать было с той которая в локальную сеть смотрит, и статистика красиво начала рисоваться.

SERIOUS2
извините конечно, но это пиз**ц

Подскажите как мне можно настроить маршрутизацию "белых" (свободномаршрутизируемых) IP, для хостов клиентов находящихся за KWF ? Провайдер ведет вещание выделенной подсети IP адресов на мой WAN IP. Каком образом настраивать KWF ?

spat0820
честно говоря не понял задачи, что куда вещает ваш провайдер?

spat0820

Если у клиентов своя подсеть, отличная от вашей внешней, то как на любом маршрутизаторе. Присваиваете сетевухе смотрящей в Лан адрес из диапазона их "выделеной подсети Ip адресов" и говорите его клиентам в качестве "шлюза по умолчанию". Маршрут керио пропишет сам.
Если же подсеть одна, то imho только через "мапинг". Клиентам раздаете "ручками" серые адреса, а в керио биндите все рабочие адреса на внешний интерфейс, а в правилах пишете всё что приходит на внешний адрес "мапить" на определенный "серый". Не уверен, но там есть Full Cone NAT.
А вообще-то RTFM и ещё раз RTFM.

Керио 6.7.1 . порт smtp замаплен на хост в нутренней сети, МХ запись прописана на фаервол и с интернета все хорошо отправляют почту на наш сервер. А вот из внутренней сети, если клиент предположим приехал в офис, то отправить почту не могут : Telnet <smtp.mydomain> 25 ,- "Не удалось открыть подключение к этому узлу, на порт 25: Сбой подключения. " Что нужно сделать на Керио чтобы обращения на порт 25 из внутренней сети мапились на нужный внутренний сервер?

Помогите пожалуйста разобраться с DHCP сервисом. У меня есть физический сервер+виртуальный сервер (оба 2003 винда). На физическом 2 интерфейса (1 интернет, 2 сетка). На виртуальном сервере AD+DNS+DHCP (он работает на VMWare Server). Kerio ставлю на физический сервер, правила по стандарту.
Проблема заключается в том, что компьютеры из сетки не хотят получать адрес когда включен Kerio. Подскажите какие правила и настройки нужно применить, чтобы компьютеры могли достучаться до DHCP.

alexsht
Для отправки почты из офиса <smtp.mydomain> должен резолвиться как "хост в нутренней сети".
То есть:
из интернета nslookup <smtp.mydomain> должен вернуть 1.2.3.4
из офиса nslookup <smtp.mydomain> должен вернуть 192.168.0.10 например.

Для этого используй внутренний DNS или правь hosts на машине с керио.

Vasar
Больше подробностей надо.
Где хотя бы находится виртуальная машина отсносительно шлюза? Я надеюсь не на самом шлюзе?

2freewood
Вот так вот:
1 физический сервер: 2003 винда, 2 физических интерфейса (интернет, и сеть -> свитч), Kerio, VMWare Server
1 виртуальный сервер (VMWare Server, который на физическом): 2003 винда, AD, DHCP, DNS
1 физический комп: XP винда, - вот он получить адрес не может никак у виртульного сервера, который установлен на физическом сервере на котором установлен Kerio.

Если я неправильно делаю, посоветуйте пожалуйста выход из ситуации, чтобы и Kerio работал и DHCP.

Vasar
Конечно зависит от размеров сети, но я бы для начала посоветовал бы вставить 3-ю сетевушку специально для виртуалки.
Банально правило разрешить все отовсюду делали?

Какие только правила не делал, не помогло. Может лучше переместить DHCP AD и DNS на физический сервер?

Starshark2007

Цитата:

Если у клиентов своя подсеть, отличная от вашей внешней, то как на любом маршрутизаторе. Присваиваете сетевухе смотрящей в Лан адрес из диапазона их "выделеной подсети Ip адресов" и говорите его клиентам в качестве "шлюза по умолчанию". Маршрут керио пропишет сам.

У клиетов своя подсеть, отличная от моего wan IP.
Собственно пробывал так сделать, но ничего не вышло. Задача усложняется тем что за маршрутизатором KWF ещё присутствует сеть с серыми IP, но он выведена на другой интерфейс (другая сетевая карта). Каким образом должно выглядеть правило, для маршрутизации белых ip? Если ставить источником выделенную подсеть, назначением <интернет>, по всем службам-портам, с трансляцией NAT получается картина что клиенты выходят в сеть с моим WAN IP, без трансляции не работает вообще. В чем я допускаю ошибку? Должны ли быть открыты какие либо порты на wan интерфейсе для провайдера, который ведет вещание выделенной подсети на этот интерфейс ?

Привет ребята, нужны советы по актуальному вопросу.

У меня Kerio Control 7.0.1 1098 на Windows Server 2008R2.

Есть домен, в нем есть соотв группы и возможность ими управлять.
Доменная аутентификация пользователей настроена и успешно работает в Kerio STaR.

Встала необходимость создать некоторое количество ''vip'' пользователей, туда будут входить директора и т.п, около 10 человек.

Для членов этой группы должны выполнятся следующие условия (сейчас это временно делает старая прокся на squid):

1. Отсутствие шейпов (сейчас для всех у меня стоит 125кб/с);

2. Отсутствие логов (настроил но еще не проверял);

3. ..и главное, отсутствие фильтрации URL.

Например у меня есть правила запрещающие доступ к категории "Социальные сети" и т.п.

Я создал правило "Без ограничений", поставил его выше запрещающих:
http://i.piccy.info/i5/09/18/1561809/07.png

В это правило я добавил:
- Группу "vip" из домена %group_name%@%domain_name%
- Пользователя из домена %user_name%@%domain_name%
- Пользователя из локальной базы Керио %kerio_local_name%

Вот настройки правила:
http://i.piccy.info/i5/54/18/1561854/04.png
http://i.piccy.info/i5/55/18/1561855/05.png
http://i.piccy.info/i5/57/18/1561857/06.png

В итоге это правило работает только для пользователя из локальной базы, доменный и другие из доменной группы так и не могут зайти на любимые одноклассники.

Что нужно сделать чтобы выполнить эти 3 (шейпы, логи, фильтрация) условия?

Заранее огромное спасибо!

ent
Ответ понятен, спасибо.
Там долблю вопрос дальше http://forum.ru-board.com/topic.cgi?forum=62&topic=19955#lt

iron9999
вопрос ка настроили отсутсвие логов, и по каким правилам трафика ходят ваши доменные и локальные пользователи?

spat0820

Я бы порекомендовал начать с простейшего.
Источник - Интернет-интерфейсы, DMZ
Назначение - Интернет-интерфейсы, DMZ
Разрешить всё.

DMZ - Интерфейс смотрящий к клиентам. Обращу внимание, именно интерфейс (со значком сетевухи).

Это будет "сквозняк". Если надо фильтровать - то разделяем правило на 2 (отдельно внутрь и наружу) и фильтруем.

Убедись что в правилах маршрутизации присутствует нужный маршрут.
Серая сеть мешать не должна.

Народ, тут озадачился вопросом...kerio appliance классная штука..но иногда интернет-шлюз используется в качестве файлового сервера и ftp...думаю что совместить это можно, но опыта общения с линуксом практически нет. Поэтому прошу помощи, может быть кто уже реализовывал на одном компе kerio appliance, файловый сервер, ftp.
Спасибо

Starshark2007
Спасибо, всё получилось.


Цитата:

Это будет "сквозняк". Если надо фильтровать - то разделяем правило на 2 (отдельно внутрь и наружу) и фильтруем.

А вот сейчас действительно встал вопрос как эти хосты можно контролировать, в списке активных соединений их нет, трафик по ним никак не считается, лишь можно увидеть отображение в логах (если поставить соответствующую настройку в правиле). Особо интересует возможность зарезать скорость при скачивании больших объемов и торрентов, благо такая возможность в KWF имеется, но как я понял хосты с реальными IP под эти правила не попадают. Разделение "сквозного" правила на два, результата не принесло. Прошу помочь в этом вопросе, если это осуществимо впринципе.