» Kerio Control (ex Kerio WinRoute Firewall)

Помогите сбросить пароль администратора! вариант из шапки не прошел

Все досталось "по наследству", рабочий пароль доменного админа есть
server 2008 64bit
KWF 6 - какая-то
есть домен
редактирование userdb.cfg не приводит ни к чему, выдает ошибку аутенитфикации
еще стоит kaspersky для файловых серверов

переустанавливать боюсь, там куча правил наворочена (со слов предшественника)

Подскажите пожалуйста где в Kerio Control Virtual Appliance для VMware включить SSH?
Я искал, но поиск выдает решение для старых версий - через консоль администрирования. А в версии 7.1.2 build 2333 консоль не предусмотрена - вся конфигурация через web админку...
Или, может быть, можно включить ssh через правку конфигов (если подцепить vmdk к другой linux машине)?

---

Извините, уже сам нашел. (у меня так бывает, пока не задам вопрос на форуме - не могу найти решение )
Решение [на английском]

Nixonftp
опишите подробно, по пунктам, что и как вы делали, и если не трудно запостите сюда кусок файла userdb.cfg, тот кусок который вы редактировали.

sohoman
Огромная благодарность за развернутый ответ!
Будем пробовать ограничить на BSD серваке с помошью pf (параметр max-src-conn number )
Получится веб сервак сам себя сможет защитить, а вот несколько веб-камер так и останутся уязвимыми.

sohoman
правила из группы алерт могут отрабатываться, при том что каждое из этих правил относится к определённому уровню серьёздности, который(уровень), в свою очередь, можно дропать\логировать\пропускать. так что вы немного ошибаетесь, проблема в том, что нет возможности по конкретному правилу настроить блокировку или пропуск. только по группе.

Tihon_one
Нет, это не так. Дропается только то, что в группах правил, имеющих в названии файла _drop. rules. Файлы с приставкой алерт или логируются, или игнорируются вне зависимости от степени т.н. серьезности угроз в соответствии с установленным в консоли флагом для данной группы. Т.е. - указывая группе высокой опасности параметр - дроп и лог, тем самым говорим керио: правила из группы high_drop - drop and log, правила из группы high_alert - log. Ну и далее по аналогии. Огульного дропанья нет.

К тому же, в контексте вопроса о ДОС, совершенно не важно что именно используется для дропанья - отдельное правило (вообще не существующее для ДОС) или группа правил, например - правила из родного файла emerging-dos.rules. При желании совсем несложно перетасовать правила по группам, оставив, для примера, правила для дос emerging-dos.rules в файле kerio_high_drop.rules и включить блокировку для высшей группы опасности, потом выкидывать из этого файла по одному правилу вплоть до самого конца - суть процесса не изменится.

Ну и в отношении использования параметра количество подключений как средства защиты от ДОС - ИМХО, лажа полная. Как-то оно еще можно использовать на хттп\фтп протоколах, но любые веб-сервера и так имеют такую защиту и все знают про ее полную неэффективность (для примера - попробуйте телепортом сдуть главную страницу Яндекса, сунуть ее на свой сервачок и проанализировать генерируемый трафик при обращении клиента - форменный ДОС, а если еще кросс-ссылки указывают на ваш же сервачок - атас ). Трафик любых скульных сетей - самый настоящий ДОС, про пиринговые сети уже и не говорю. Так что для отдельных протоколов какие-то антидос-правила могут быть созданы, универсального правила по параметру количество соединений нет и смысла в нем не будет никогда.

sohoman
да действиетнльо, опростоволосился, предполагал иначе, вы правы.

покопался в конфиге и всё нашел 80)

sohoman
с возвращением.

akurch

Цитата:

несколько веб-камер так и останутся уязвимыми.

практически в любой веб-камере есть параметр, аналогичный ограничению числа подключений. В плане ДОС через страницу входа - волнения напрасны, практически все камеры используют один и тот же пхп-скрипт для входа, его отработка даже при стотысячных подключениях для самой камеры не нагрузка. А керио его просто не заметит за мелкостью объема пакета - запрос на подключение к камере меньше дефолтного размера одного пакета.
Вы легко можете сами в этом убедиться, если запустите десяток экземплов XSpider на вашу камеру в режиме интенсив на порт камеры - спайдер досит серьезнее, чем любой бот - и проверите доступность входа для правильного юзера на этом фоне.
Между прочим - стандартный нелюбимый многми протокол-инспектор керио легко рубит досовские запросы, если указан конкретный тип инспектора: для веб-камеры -хттп.

Цитата:

А подскажите, можно-ли перенести настройки из 6.5 версии в последнюю 7-ю? Скопированные конфиги не принимает - сразу вываливается...

У меня похожий вопрос. Как перенести накопленные данные по пользователям (AD) и интерфейсам из 6 версии в 7, при условии, что всё это будет работать на другой физической машине?
Для начала со старой машины тупо перенёс каталог 6 версии - загрузка не удалась (выпала с ошибкой). Перенос каталога logs с данными и файлов *.cfg в новый каталог результатов не принесли. Что ещё можно "подкрутить" и где?

Может кто сталкивался с такой проблемой - перестало работать ограничение полосы пропускания (7.1.2). До этого комп с Kerio несколько раз при загрузке выдавал BSOD.

Kerio Control 7.2.0 Beta 2 — June 28, 2011

Legend:
+ Added feature
* Improved/changed feature
- Bug fixed
! Known issue / missing feature

Kerio Control 7.2.0 Beta 2 - June 28, 2011
* Support for Firefox 5 has been added to Web administration
* Improved contextual help for Bandwidth management
* Fixed: Unable to access Internet over ADSL connection with subnet mask 255.255.255.255
* Fixed: Wrong content after re-ordering columns in Policy screens
* Fixed: Active Hosts: connections are not filtered for selected host
* Fixed: Autorefresh doesn not work on Status screens
* Fixed: Scrolled position is kept after editing an item
* Fixed: Cannot choose source for a HTTP rule
* Fixed: Unable to upload files with UTF-8 characters in name using Clientless SSL-VPN
* Fixed: Sophos update does not work via parent proxy with authentication
* Fixed: Unable to stop searching in Logs
* Fixed: Searching a large log causes 100% usage of CPU
* Fixed: Google Chrome: List of items is rescrolled, when clicking on checkbox in the last column
* Fixed: Administrator authenticated over Directory service is not able to delete local user accounts
* Fixed: Unable to logout all users at once in Active Hosts
* Fixed: Limiting bandwidth based on Traffic Type is unstable

Changes since 7.1.2
* Bandwidth can be now managed easily on one place and also traffic rules can be used to fine-tune
* Traffic charts can be activated for Traffic and Bandwidth Management rules
* Support for Google Chrome has been added to Web administration
* Support for authentication in Apple Open Directory has been added
* The Domains and User Login screen has been redesigned
* Several user accounts can be edited at once. Also they can be directly enabled/disabled from context menu
* Upgrade can now be performed by direct upload of an upgrade file via Web Administration
* Usability of status screens, namely Active Hosts and Active Connections, has been improved. More than one row can be selected to perform some operation
* Long lists are listed without paging in Web Administration
* Added column with user rights to the user account list
* List of user accounts displays number of users defined in currently displayed domain
* A specific record in the DNS hosts table can be found easily in the hosts editor
* Debug and Filter log allow to adjust the format of logged packets
* Navigation in list of rules by the Page Up and Page Down keys has been improved
* Usability of long dialogs on smaller screen resolution has been improved
* Debugging messages from Web Administration can be enabled in Debug log
* DHCP leases can be transferred to another machine using the configuration export/import
* Performance of IPS blacklists has been improved
* VPN Client can now verify an SSL chain including an intermediate certificate
* Multiple bug fixes and improvements have been done in Active Directory integration
* Added possibility to force reconnect all VPN tunnels when primary line goes back online in failover scenario
* Old inactive users with no data are now automatically purged from StaR
* Fixed: Some MAC addresses were incorrectly matched by MAC Filter
* Fixed: FTP over HTTP Proxy for URLs containing some special characters
* Fixed: Scrolling in logs overloaded Kerio Control Engine
* Fixed: Erasing a log took up to 1 minute

Цитата:

Changes since 7.1.2
* Bandwidth can be now managed easily on one place and also traffic rules can be used to fine-tune

Вчера глянул на эту фичу, и не поверил своим органам чувства они замутили QOS + шейпер, причём шейпить можно по чему угодно и как угодно, не прошло и 10 лет. но теперь важная фича есть, короче жду релиза 80))

короче жду релиза 80))

что ето значит?

muk_as

Цитата:

что ето значит?

Это бета - не релиз, или ты про смайлик ?

я про релиза 80)))
конкретнее про 80
что с http что то не так?

попутный вопрос как сбросить триал у керио. просто до етого тестил на машине 7.1 триал, прошло много времени, и терь при установке 7.2 пишет валидная лицензия и не дает активировать триал. хотца глнуть новые фишки что добавили.

muk_as


по поводу 80) то это смайл, ну вот так вот сложилось, что он мне нравится а нигде его нет 80)

по поводу сбросить триал, а принципе откати системное время на момент первой установки KWF, должно сработать.

Здравствуйте, знатоки!
Собираемся подрубить второго Прова, для резервного канала и разгрузки основного
Помогите реализовать такую схему:

Пров1
Диапазон всех ипов кроме тех которые у Прова2
Впн1
Впн2

Пров2
Диапазон2
Диапазон3
Диапазон4
Впн3
Впн4
Впн5
Впн6

Я так понимаю что ставить нужно «Обычная Связь с Интернет - Постоянный доступ».
И рулить все в разделе «Таблица маршрутизации».

VAnO_2
честно говоря не понял ваших пожеланий, если вам нуджно иметь две интернет линии без лдинамической разгрузки, то милости просим в доку, в раздел policy routing, и режим подключения однозначно будет несколько подключений к интернет-распределение нагрузки.

Цитата:

интернет-распределение нагрузки

при таких параметрах работает одна лини
а нужно, что бы обе линии работали одновременно
...для чего? потому что провайдеры режут скорость от других провайдеров, а именно впн

VAnO_2
при таких праметрах работают все линии которые у тебя находятся в группе интернет интерфейсов.

Про разрезание скорости не совсем ясно, давайка потрудись и поясни, что же конкретно тебе надо сделать.

Добавлено:
VAnO_2
может тебе наджо задействовать сценарий распределения нагрузки по соединениям а не по хостам?

Цитата:

при таких праметрах работают все линии

пробовал - не пашет

Цитата:

Про разрезание скорости не совсем ясно

режу не я провы, все впны - потери, скорость неочь


нужно разрулить на одного провайдера только часть ип и впн туннелей
а на другого весь диапазон (кроме того что выше) и другую часть впн туннелей

Добавлено:
попозже нарисую для наглядности)))

VAnO_2

Цитата:

пробовал - не пашет

плохой ответ, потому что настроил пашет

короче давай тогда по порядку, ipconfig /all + скрины правил трафика, с детальным пояснение что конкретно надо сделать, возможно с рисунком того что есть сейчас и надо в итоге получить.

sohoman ты ебан!

Ребята
использую обновление snort из шапки.
Под Windows 2008 64 bit файл - sed.exe - только под 32 битную винду. Файл не запускается.
Кто что подскажет делать - все пробывал не получается.
Плиз!

VAnO_2
все проще - режим переподключение при отказе, основным- пров1, на все диапазоны пров 2 пишем пользовательские маршруты.
Про - не пашет, не рулит и не не заню как быть - ответ один: начни с азбуки, тебе Тихон правильно и вежливо указал на твою конкретную глупость и ее реальные проявления.

Всем
про снорт - со вчерашнего дня т.н. скрипт из т.н. шапки не будет работать в принципе - кранты * тиап зачемперм.
Через неделю не будет работать сайт обнов софоса - скорость будет урезана до 1 кбит в сек на каждого холявщика.
Номерки от германиуса скорее всего примут вид персонального и потому музейного экспоната, что очень жаль мне лично и группе моих коллег тоже.
И версия 7.2 всех продуктов - конец холявы, поздравляю всех в этой теме.
А кто не только в этой теме - не печальтесь, не все еще потеряно, хотя я лично недоволен переменами.

Добавлено:
goldsmith
а это значит, что у вас в конторе умный админ, и не более того.
А ты не админ - ты чмо.

Tihon_one Покурил родной ман… Раньше не было «Использовать конкретный исходящий интерфейс».

Цитата:

все диапазоны пров 2 пишем пользовательские маршруты

так и хотел

sohoman
Tihon_one
Спасибо Вам. Направили ход мыслей в правильное русло.
Буду реализовывать )))

Возникла проблека с почтой т.е. почта приходит, Kerio WinRoute Firewall ver 6.4.2. build3672 режит ее и приходит такое сообщение:
Kerio WinRoute Firewall email scanner was unable to check the following file (i.e. corrupted/encrypted zip archive):
    Name:    Unknown name
    Content type:    text/plain
The file was removed.

Отключаю антивирус (плагин VisNetic AntiVirus Plug-in for WinRoute Firewall 4.6.1.7) все работает!!!
в кладке секьюрети такое сообщение Virus: unable to check email From: .... attachment name: Unknown name, antivirus check has failed: External AV verdict: The license key is expired., attachment denied!!! если правильно понимаю истек ключик!!!! типо проблема, и он блокирует, хотя ключик до 2063 года где-то. Можете помочь!!! правда у меня самого антивируса и лекарство нету (осталось в наследство)!!!!!!!!

sohoman
Не могли бы вы просветить источниками вашей осведомлённости касаемо борьбы кериотов с нерадивыми пиратами.

кстати шейпер в 7.2 кто тестил? если резать скорость на правило, а в правиле указать источником опред группу юзеров, то скорость будет резаться какую указал на каждого отдельного юзера в етой группе, т.е. например по 2 мбит на юзера, или же 2 мбит на ВСЕХ юзеров в етой группе?

если на группу то ето так геморно, придеца плодить тыщу правил с источником чисто юзера и ограничивать их...(