» Kerio Control (ex Kerio WinRoute Firewall)

Цитата:

AASukhanov

Ставьте 730, там вроде какие-то ошибки интеграции с AD правили.

На него у меня лицензии нема. Пока полумерно решил переносом интересующих меня групп (на основе которых строятся TП) в OU Users. С этой организационной еденицы группы подхватываются на ура! Теперь правда беспорядок в структуре AD, но как полумера думаю сработает.

AASukhanov
Как полумера - попробуйте создать учётку простого пользвателя в конкретном дереве АД и мапить пользователей ей. Админ домена - это конечно вариант, но не айс
П.С. Всётаки может накручены права на доступы к конкретным OU?
П.П.С. Если уж решили откатывать, идите по шагам до той версии, где это будет работать

Добавлено:
butzo
Если с сервера, то попробуйте через localhost, если с рабстанций - по IP/
Также в настройках может быть включено только по https, а также может быть самим керио запрещён доступ в правилах на его вёбморду. Проверьте порты. Проверяйте.

myf
Цитата:

проверь, есть ли ограничение трафика у данного клиента, у меня так было, что трафик закончился...

В принципе было ограничение скорости этому IP, когда трафик превышал определенное количество мегабайт... Убрал, ничего не изменилось, периодически идет коннект/дисконнект:

Код: [29/Feb/2012 11:27:31] VPN client 'alena' connected from 10.24.1.120
[29/Feb/2012 11:32:01] VPN client 'alena' connected from 10.24.1.120
[29/Feb/2012 11:32:32] VPN client 'alena' disconnected, connection time 00:05:01
[29/Feb/2012 11:49:26] VPN client 'alena' connected from 10.24.1.120
[29/Feb/2012 11:50:01] VPN client 'alena' disconnected, connection time 00:18:00
[29/Feb/2012 12:04:51] VPN client 'alena' connected from 10.24.1.120
[29/Feb/2012 12:05:27] VPN client 'alena' disconnected, connection time 00:16:01

Цитата:

AASukhanov
Как полумера - попробуйте создать учётку простого пользвателя в конкретном дереве АД и мапить пользователей ей. Админ домена - это конечно вариант, но не айс
П.С. Всётаки может накручены права на доступы к конкретным OU?
П.П.С. Если уж решили откатывать, идите по шагам до той версии, где это будет работать

Этот вариант тоже пробовал, считывал из AD под разными учетками.
Если бы права доступа были слишком накручены то предыдущая версия Керио думается не мапила бы корректно! Плюс к этому домены все настроены идентично, но часть работает корректно, часть мапится некорректно.

Доброе время суток. Подскажите какие порты использует антивирус drweb для настольного пк...дело в том что после обновления на версию 7.2.2 керио стал блокировать обновления антивируса...(

P.S. Заранее благодарен.

stoun
А это точно вопрос по керио ?
http://wiki.drweb.com/index.php/%D0%A7%D0%B0%D0%92%D0%BE:_%D0%9E%D0%B1%D1%89%D0%B8%D0%B5 - здесь есть следующее
Начиная с версии 4.32 Dr.Web® использует свои настройки прокси. Доступ к ним осуществляется через меню сканера. Можно также использовать утилиту обновления с ключами:
/PURL:proxy:port /PUSER:proxy_user_name /PPASS:proxy_user_password

И если посмотреть файл drwebupw.log - там протокол указан - HTTP, а заодно и причина неудачи...

Цитата:

заманался второй день ковырятся... подскажите как правильно сделать правила по керио... сначало делаю визардом по умолчанию... народ когда открывает броузер и лезет в инет вылазит что нуна авторизоваться... но есть проблема в том что до авторизации все равно пашет аська и торенты... и этот трафик фигачит на неавторизированного пользователя... бррр... менял уже как только можно...

присоединюсь к вопросу

Добавлено:
предыдущее победил.
немного видоизменю вопрос:
доменные пользователи, окно авторизации вылазит, авторизуюсь, ходу в инет, но трафик весь падает на неопознанных пользователей.

Привет!

Использую Kerio Control 7.2.2 build 3443, он установлен на машине с настроенным PPPoE соединением (WAN), которое при подключении получает у провайдера динамический внешний IP-адрес. WAN добавлен в группу интерфейсов Internet Interfaces.

В керио я удалил все правила, кроме стандартного блокирующего весь трафик и добавил 1 правило для выхода через WAN на DNS сервера провайдера.



После подключения к провайдеру, Керио в интерфейсах показывает полученный внешний IP и говорит о том, что данный интерфейс включен (Up), но при попытке обратиться к DNS серверам в логе Filter я вижу, что все соединения исходящие с IP адреса WAN на адреса DNS серверов провайдера (по порту 53) блокируются стандартным правилом Block Other Traffic. Я так же пробовал вместо Internet Interfaces, указывать конкретный интерфейс WAN, результат тот же.

Данное правило прекрасно работает, если вместо Internet Interfaces или WAN я забиваю в качестве источника Firewall или полученный при соединении внешний IP.

Никто не сталкивался? В чем может быть дело?

Спасибо

indb
Провайдер должен обращаться к Вашему внутреннему DNS серверу, я правильно понял ?
Нет ? Ваш внутренний комп хочет разрешить чье-то имя в IP через DNS сервер провайдера... Тогда источник и назначение меняем местами, т.к. инициатор обращения наружу по 53 порту находится в Вашей внутренней сети, а раз адрес внутренний и его необходимо транслировать наружу, то в правило добавляем NAT.
Или сам керио служит ретранслятором DNS (тогда он источник, а назначение-сервер DNS в интернете) ?
А есть еще случай работы DNS-server&DNS-server...

wwladimir

Цитата:

Ваш внутренний комп хочет разрешить чье-то имя в IP через DNS сервер провайдера

Да именно так, т.е. это просто банальный запрос адреса, например, браузером при открытии сайта. Первое что ему приходится делать - обращаться за IP-шником к ближайшему DNS серверу, т.е. к провайдеру.


Цитата:

Тогда источник и назначение меняем местами, т.к. инициатор обращения наружу по 53 порту находится в Вашей внутренней сети, а раз адрес внутренний и его необходимо транслировать наружу, то в правило добавляем NAT.

Брррр! А NAT-то зачем?

Ведь если я заменяю в правиле Internet Interface на свой IP, полученный от провайдера при установке соединения, все прекрасно работает без него и всегда работало, как Route так и в Bridge соединении. Кроме того в Filter's логе фиксируется блокировка по направлению

Мой IP -> IP_DNS_server_провайдера:53,

но никак не наоборот, поэтому менять местами, я полагаю, не имеет смысла.

Вся загвоздка в том, что Kerio отказывается работать при использовании подстановки Internet Interface (или конкретизированный интерфейс WAN) в правиле, но прекрасно работает если там мой IP или ключевое слово Firewall.

indb
Так на вашем рисунке соурс-интернет (а реально источник запроса внутренний адрес) а дистенейшн-все. "перевожу" с "языка" керио -всем из интернета можно ходить куда угодно по 53 порту.
Запустите встроенный "визард" и посмотрите как он сам делает правила.


Ну и http://manuals.kerio.com/control/adminguide/en/sect-traffmanual.html

а здесь русский и с картинками - http://www.windowsfaq.ru/content/view/320/46/1/2/

Странная проблема. Может кто сталкивался?
Комп с вин2к3, керио контрол 7.2.1 build 3301.
Электричество кончается, комп выключается. Электричество пришло, комп автоматом включается, но керио не запускается, хотя в службах выставлен автоматический запуск.
Что думаете, господа телепаты?

wwladimir
На моем скриншоте источник не интернет, а internet interfaces, т.е. интерфейс, который смотрит в интернет. Этот тот интерфейс, которому мой провайдер присваивает внешний IP, когда я подключаюсь к инету посредством PPPoE соединения.

indb не нужно упрямится wwladimir все объяснил.
У любого продукта есть своя специфика и ее следует принимать если желаешь этим продуктом пользоваться. В данном случае у кериотов такой объект в правилах как интерфейс (внутренний или внешний) означает любой трафик полученный сетевой картой (но не отправленный, потому что отправитель это не карта а сетевое устройство в котором эта карта стоит) поэтому и правило "New Rule" означает любой трафик пришедший из интернета на внешний сетевой интерфейс фаервола с любым адресом получателя и портом назначения 53 -пропустить, следовательно:
если на самом фаерволе поднят DNS - он будет доступен из интернета
если в вашей домашней провайдерской сети есть злоумышленник знающий локальный адрес скажем вашего контроллера домена с поднятым там DNS он добавит себе нужный маршрут и получит доступ со всеми вытекающими последствиями
А вот то ради чего это правило писалось работать не будет ибо запросы на разрешение имен могут поступать от локальных компьютеров (а значит источник получается или группа локальных адресов или локальный интерфейс) или от самого фаервола тут источник объект "фаервол"

Valery12
Да я согласен следовать правилам ПО, просто мне не понятно было почему я не могу использовать псевдоним для динамического IP, который я априори не могу знать заранее. В том же FreeBSD'шном pf можно задействовать подобное правило, если заранее не знаешь IP. Был уверен, что нечто подобное есть и в Керио и именно этой цели служат разделения интерфейсов на Trusted Local и Internet Interfaces.

Теперь мне все понятно, большое спасибо за нормальный ответ по существу.

indb
Если Вам так понятней, то правило у Вас написано так:
pass IN inet proto tcp from to any port 53

а надо OUT...

P.S. И я с Вами спорить не хочу, Вы так считаете и это Ваше право.
Но! Вы спросили, я постарался ответить.
В надежде, что когда я спрошу, помогут и мне.

indb

Цитата:

Да я согласен следовать правилам ПО, просто мне не понятно было почему я не могу использовать псевдоним для динамического IP, который я априори не могу знать заранее.

Почему не можете? Запросто. Только называется этот псевдоним - FIREWALL. И в источнике должно быть именно "FIREWALL". Ясное дело, что для правил с источником "Firewall" НАТ не нужен. Но вероятнее Вам нужно "Thrusted Local" -> "INet" тогда нужен НАТ.

Люди добрые объясните кто кого сканирует ???

[03/Mar/2012 18:29:20] PORTSCAN firewall="ns.domain.ru" hostip="192.168.10.10" hostname="192.168.10.10" log="protocol: TCP, source: 192.168.10.10, destination: 200.11.219.83, 70.84.207.147, 80.33.180.228, ..., ports: 25897, 19881, 19882, 19883, 19884, 64684, 19885, 19886, 19887, 19890, ..." time="Sat Mar 03 18:29:20 2012" username="not logged yet"

SultanovR
я думаю что у тебя все заработает, если ты в свойствах сервиса керио пропишешь конкретно пользователя под каким будет сервис запускаться... админа например...

covex11
Спасибо за внимание.

Так вы имеете в виду?

Господа, доброго времени суток.

есть установленый Control 7.2.0 build 3028

в правилах трафика созданы правила маппинга (всё работает, всё хорошо)... но есть одна трабла, может кто сталкивался ?! если в источнике в правиле задан ip хоста или "любой" правило отрабатывается на ура , но если задать имя пользователя или группу пользователей то правило не срабатывает до тех пор пока пользователь со своего компа не откроет любую страничку в инете ...

как я понимаю имеет место быть какаято ерунда с авторизацией, пользователи в базе забиты ручками и привязанны к ip шникам...

есть какие нить идеи или если нет идей поможет ли мне обновление версии ? есть возможность у кого нить затестить на более свежей версии?

stegan
установлена ли "птица" -"всегда требовать аутентификации..."?


arzumanyan
Возможно произошел разрыв соединения и некий клиент в вашей внутренней сети пытается поддержать канал.
Но возможно и зараза какая пытается сообщить своему хозяину о удачном заражении в Вашей сети.
Мне например адреса показались подозрительными -Испания, Мексика и штаты. (хотя может скайп ?)
И днс имя вашего керио какое-то странное ns.domain.ru, ваш внешний действительно 62.213.78.22 (или это "пример") ?

wwladimir
Сейчас не стоит, но пробовал и включать ... результат тот же ...

stegan
Просто возможно логика срабатывания правил такая -
неавторизованные (или все) -выполняем
группа авторизованных (а они авторизацию не прошли, никто не требовал)-нет авторизованных -не выполняем.

Про маппинг только непонятно, давайте свое правило сюда.

в пользователях Vlad привязан к IP -шнику что на экране

stegan
Признаться я себе NAT и тем более конусный NAT как-то по другому представлял...

Т.е этим правилом Вы хотите, что-бы только пользователь Vlad мог обратиться к почтовому серверу по 25 порту и только тогда, когда его почтовая программа будет отправлять запрос SMTP но на порт 1225 и по адресу "керио" ??? (ну хоть отлуку-то об этом сказали ?).
Я думаю такое событие (запрос на порт 1225 по адресу "Брандмауер") просто никогда не происходит.

Объясните, что должны делать эти правила и я предложу, например, свое решение.

И нижние скорее-всего просто пропускаются.
Добавьте в колонку "действие" еще и "запись пакетов" и внизу в логе проверьте записи с именами этих правил.

правила у нас по идее "слушают" от определённых пользователей (ip-шников) порты и если порт совпадает с 1211 например то его просто пробрасывают через наружный интерфейс (telegraf) на определённый сервер/порт ...

пример с одним пользователем дабы не загромождать, вообще тут пользователей гораздо больше и для упрощения манипуляций с ними созданы группы.

конкретно данное правило работает с почтовыми программами в которых соответственно в адреса почтовых серверов и порты забиты ip-шники данного керио ну и в зависимости от того smtp или pop соответствующий порт (1225 и 1211).

а вот с логами как раз странная засада почему то в отчёт попадает только положительные результаты .. те установленные соединения а отказы не попадают ... хотя до этого когда я работал с версиями 6,5 и 6,7 таких косяков не замечено

wwladimir вопрос не скромный а вы сами какой версией пользуетесь ?...

stegan
У меня в "хозяйстве" сейчас 3 экземпляра керио (два 7.3.0, один 7.1.0 ).
Проблем ни с одним нет.
Есть еще настроенный мной лет 5 назад 6.4.2, и с ним все нормально.
Провайдер на одном тоже "телеграф, центральный".

С правилами все-равно что-то не так (проброса порта пользователя не бывает !!!).
И смысл подмены порта? Просто дате "владу" протокол SMTP к "спайсвеб", будет обычный НАТ и авторизация.
Есть еще лог-debug, там по правой кнопке можно настроить нужное. Например smtp или отброшенные пакеты.

Здесь правильный и понятный перевод мануала лежит http://www.redline-software.com/rus/support/docs/winroute/ch05s03.php.

Цитата:

правила у нас по идее "слушают" от определённых пользователей (ip-шников) порты и если порт совпадает с 1211 например то его просто пробрасывают через наружный интерфейс (telegraf) на определённый сервер/порт ...

попытка повторить функционал юзергейта? В принципе удобно тем что при переходе на другой сервер не нужно перенастраивать клиентов, но зачем конусный нат а не обычный
а по поводу
Цитата:

но если задать имя пользователя или группу пользователей то правило не срабатывает до тех пор пока пользователь со своего компа не откроет любую страничку в инете ...

с группами точно не сработает, потому что правило с группой применяется к уже авторизованным пользователям но само авторизацию не запускает, а вот с пользователем привязанным к IP по идее должно.

stegan
Возможно мы все забыли про правую колонку...
А протокол инспектор-то отключен ? тогда это и происки встроенного "снорта"
могут быть, например...

И еще "есть мнение", что авторизация работает только на внешних интерфейсах, а для локального (коим у вас является локальный адрес керио) не требуется и не применяется.
Доказательство- в консоли хост становится активным (авторизованным по IP) только после выхода за внешний интерфейс, с самим брандмаурэм хоть "изсоединяйся"... Но здесь я могу быть и не прав.