» Kerio Control (ex Kerio WinRoute Firewall)

GOODmen
У меня работает вот такое правило:

Tihon_one
Конфиг http://ifolder.ru/28701436
Пароль от архива martik

PODs
Цитата:

Тип трафика - "Передача данных большого объема", и режете скорость на скачку

В том то и дело, что он имеет в виду большого размера, от скольки? И правило активно но не на всем работает. Когда определяет что да, он большой - режет, но если просто ЗАГРУЗИТЬ - не рубит.

Вот мой бандвиш

Gremlin_groj
Ну так йопт, правила обрабатываются сверху вниз. Смотрите, у Вас на одну строчку выше правило для НТТР на 8 Мбит и получается, что если юзер начнет что то качать по 80-м порту то у него будет скорость соответственно 8 Мбит, а не 2, как Вы указали ниже

З.Ы. А описание того, что считает Керио за "Трафик большого объема" было в консоле предыдущих 6.х версий. Сейчас по 7-ке можно покурить тут (правда на англицком)

Всем привет! Подскажите такой вопрос. Есть kerio control 7, на нем заведенные пользователи которым присвоен ip. Как сделать так что бы пользователи которые не заведены в пользователях не имели доступ в интернет?

Подскажите кто нибудь в чем могут быть грабли. Последнее время стали периодически появляться большие задержки (от 30-40ms до 300-400-1000 и вплоть до таймаута) при пинании сервера с сабжем из локалки. Из-за этого, естественно, дико тормозит И-нет, и проги, находящиеся на этом серваке.

Заметил, когда большие задержки при пинге из локалки, так же большие задержки пинга DNS серверов провайдера!

Куда и в каком направлении копать? Настройки сетки последнее время не менялись...
Сеть доменная, DNS на PDS, форвардинг c него настроен на IP сервера c керио.
Стоит отрубить правило "Firewall Traffic" - задержки в 1мс. Включаю-обратно тормоз.
Но ведь до этого все прекрасно работало!

Или это в нашей стране (РБ) сделали такой "великолепный белоруский фаервол"?

Версия Керио: 7.2.1.3301, ОС: Win2003EE x64 R2

Ijumper

Вы уже ответили на свой вопрос

Master Bob
Протокол инспектор в правиле для локальной сети включен ?

alexbs
ты издеваешься да?

Добавлено:
Master Bob

Цитата:

Стоит отрубить правило "Firewall Traffic" - задержки в 1мс. Включаю-обратно тормоз.

наводит на мысли что серва либо спамит либо что-то ещё, т.к. тормоза заканчиваются когда ничего отправить в сеть сервер не может, но это пока только догадка, может помониторишь сетевые соединения которые генерирует контрол...

PODs

Цитата:

Ну так йопт, правила обрабатываются сверху вниз. Смотрите, у Вас на одну строчку выше правило для НТТР на 8 Мбит и получается, что если юзер начнет что то качать по 80-м порту то у него будет скорость соответственно 8 Мбит, а не 2, как Вы указали ниже

Как оказывается на практике не всё так просто. Приоритезацию рулов врезал в память еще с шохи. Все юзвери ходят по правилу какое выше "ОБЗОР ВЭБ-СТРАНИЦ".
Тоесть ты хочешь сказать, что если я затулю хттп и хттпс с мой лимитер на 2мб, то кач будет идти на 2 мб? А как же верхний приоитет анлим? Есть пример реально работающего лимитера?

Использую kerio control 7.2.2 Проблема в том что не получается заблокировать потоковое видео, в правила хттп создал, всем заблокировать видео, по типу *video". но пользователи все равно могут смотреть. Kerio filter отключен.

rezik81
Политика HTTP- тип MIME - *video* - запретить.

Цитата:

rezik81
Политика HTTP- тип MIME - *video* - запретить.

Так собственно и настроено, но эффект не достигнут, с сайта вконтакте видос идет

rezik81
По расширению: .flv*
Видео идет не с "вконтакте" а по ссылкам, учтите это.

wwladimir

Цитата:

Протокол инспектор в правиле для локальной сети

Отключен!
в этом правиле: источник <брандмауэр, LAN, VPN>, назначение <брандмауэр, LAN, VPN>, все, все. Инспектор отключен.

Tihon_one

Цитата:

может помониторишь сетевые соединения

хоть и стоит на серваке Wireshark но промониторить входящие практически анрил(
6 мб подключение, которое забивается трафиком под завязку. Как увидеть, кто спамит? Торренты, тем кому они были разрешены - сейчас у всех закрыты. КАК выявить левого - я, увы не знаю...
Выдирать компы из сети - не вариант. Это же не домашняя сетка...

Рестартанул сабж.
Сейчас сижу, слежу за пингом... пока, с большего, относительно нормально... но временами (непредсказуемо), задержки (150-500) и таймауты проскакивают. И это при пинании из локалки

Может кто поделится своими результатами пинга (на протяжении дня и при ширине исх. канала в 6 мб)

Статистика более чем за сутки:
Packets: Sent = 172841, Received = 172616, Lost = 225 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 4462ms, Average = 45ms

Цитата:

Сеть доменная, DNS на PDS, форвардинг c него настроен на IP сервера c керио.

Master Bob стоит убрать лишнее звено в процессе разрешения имен
вместо PDS -> kerio -> prov
сделать PDS -> prov
на DNS PDS сделать форвардинг сразу на DNS провайдера
добавить правило PDS -> [IP DNS prov] -> DNS, Ping -> permit -> NAT
DNS forwarder на керио отключить

Цитата:

rezik81
По расширению: .flv*
Видео идет не с "вконтакте" а по ссылкам, учтите это.

Т.е. типа mime *video* здесь не помогут против вконтакте?

Master Bob
Загрузка камня, памяти, дисковая система... Тип сетевой карты и древность (!!!, Scalable Networking ) ее драйверов,протоколы установленные на сетевухе( уберите WinPcap когда не пользуете ).
Valery12 правильно подсказывает, на керио днс оставить только в одном месте- на внутреннем интерфейсе и только доменный.

Цитата:

По расширению: .flv*
Видео идет не с "вконтакте" а по ссылкам, учтите это.

Не помогло

Tihon_one
config - http://ifolder.ru/28746979
Пароль martik

камрады, подскажите
появилась задача организовать за керио на компьютере в локальной сети ftp-сервер

добавил правило ниже локального трафика:
Интернет, Доверенные - ФВ - FTP - Разрешить - MAP IP - ИП

конекчусь через клиент - бородит
поднимаю в самый верх - робит, но боюсь неправильно это

скрины правил
http://s018.radikal.ru/i526/1202/02/449318054f14.png
http://s018.radikal.ru/i502/1202/0e/df6023320bfe.png


Добавлено:
на FTP-сервере (FileZilla) включен пассивный режим, указан IP машины, порты шарить не стал, читал, что достаточно стандартного


Добавлено:
на машине с Kerio так же в FTP-Filters прописано правило:
Всем на 192.168.0.130 - FTP - разрешить

Valery12
wwladimir
Спасибо Большое! Путь ДНС сократил.

Но! Как оказалось, дело скорее всего было в KAV workstation - в нем по дефолту установлено обновление КАЖДЫЕ 2 ЧАСА! *60 машин = офигитительная периодическая пиковая загрузка запросами. Что в полное мере соответствует той проблеме, что была (тьфу-тьфу - более чем пол дня-полет нормальный).
Произошло это из-за того, что случайно в ДНС прописался другой адрес с сервером касперского и станции его потеряли. И пошли сразу все ломиться в И-нет.
Вот такие вот чудеса на виражах

Master Bob
Не в тему керио, но при 60 машинах давно пора- Kaspersky Security Center или Kaspersky Administration Kit http://support.kaspersky.ru/ksc9?level=2 -и удобно, все под контролем и трафик уменьшится...

вроде решение нашел, хотя так уже делал

http://forum.ru-board.com/topic.cgi?forum=8&topic=23388

завтра попробую

Цитата:

если фтп сервер внутри локалки то для начала нодо пробросить порты 20 и21 на машинус с фтп, но будет только доступ активный, чтоб работал и пассивный надо в Serv-U указать твой внешний айпишник и прописать порты для пассивного доступа в диапазоне например 60000-60010 и на фаере их тоже промапить на локальную машину

вопрос по фразе "указать твой внешний айпишник"
всё же, в настройке ФТП-сервера в пассивном режиме IP пишется самой машины, на которой поднят ФТП или же пишется именно внешний IP, выданный провайдером (машины с керио)

wwladimir
Админ кит то как раз то и стоит. Обновляться с И-нета может он. Станции- нет. В DNS, что на PDC записался неверный адрес сервака админкита. Как итог - рабочие станции из-за невозможность обновиться с сервака админкита стали сильно спамить - ломанулись на шлюз Керио, дальше которого им выхода небыло. Из-за этого долго отвечал локальный сетевой интерфейс.
З.ы. Сейчас вспоминаю, когда-то у кого-то мелькала проблема именно с админкитом - забиванием спамом сетки.


И не в тему керио еще раз ) Kaspersky Security Center - красиво, но по моему еще пока что сыровато. Дождусь выхода CriticalFix2 - CriticalFix3

wwladimir
прочитав около страниц 40 здесь, я понял, что вы в этих делах не так недавно -)
можете по моим соображениям что-то прокомментировать? те же правила, к примеру -)

insiki
Sorry, я Ваш вопрос не понимаю и проблему тоже...
Вот "маркс" по публикации сервера FTP http://manuals.kerio.com/control/stepbystep/en/sect-sbs-ftprules.html
Вот с картинкой книжка, результат работы встроенного мастера - http://manuals.kerio.com/control/adminguide/en/sect-traffwizard.html

У Вас проблема-то в чем ??? Какая "каменная чаша" не выходит ?

Впрочем подскажу, в консоли снизу есть журнал, debug называется...
И если в нем правой лапой мыши притопнуть, меню будет.
Чекбоксим, что интересует, а затем читаем до посинения просветления.
Мне иногда помогает...

P.S. У меня сервер FTP "опубликован" одной строкой, как на картинке у разработчиков.

Master Bob
Я перешел на Kaspersky Security Center, есть там "вкусности". Вот КЕС, тот доставил (или достал немного).
Так вот, про керио...- пробросил порты сервера касперского, сделал преднастроенную инсталяшку, раздал в свои филиалы.
Теперь через винроут "держу руку на пульсе" противовирусной деятельности.

wwladimir
про журналы я вкурсе, давно уже освоил, не совсем балбес )

по 2ой ссылке, что вы мне дали, увидел то, что нужно, у меня так и есть и все работает
смущало то, что правило FTP находится в самом верху, но уже дошло почему так

У клиента не ставится VPN клиент.
Xp sp3
Пишет что не возможно установить службу.

Комп в порядке, всё остальное работает, FW отключен.


Что может быть причиной..?

с группами вроди бы разобрался.....в новой версии в настройках правил URL столбец "источник", в котором и выбирается нужная группа IP-адресов выключен по-умолчанию.
ситуация следующая:
есть настройки:






есть задача:
разрешить всем IP из группы elite беспрепятственный вход в интернет через NAT, а остальным через прозрачный прокси-сервер с применением правил URL.
что не так сделал, ума не приложу(
заранее благодарен.