» Kerio Control (ex Kerio WinRoute Firewall)

Цитата:

а вот кстати когда в источнике "аутентифицированные пользователи" окошко логина автоматом не появляется, только если вручную зайти и авторизоваться. это очень неудобно.

1) сделать домашней страницей у всех страницу логина керио
2) проверить галочки на закладке "домены и аутентификация"
3) привязать учетки к ip - если пользователи сидят всегда за своими компами

gtxfnybr
у всех свой любимый браузер и своя страничка (если только в закладки), галочки стоят, пользователей 150 штук и адреса динамические. так то статистика идет, но все равно стабильно откуда-то берутся неавторизованные юзеры (сейчас в правилах источник - локальный интерфейс)

GOODmen
таки проверить галочки по варианту 2 и запретить доступ в инет неавторизованных пользователей.
плюсом проверить под каким именем сам шлюз идет в инет и возможно сервера?

gtxfnybr
проверено сто раз, сервера привязаны к ip и тоже фигурируют в статистике. в целом я забил на этих непонятных юзеров (в общей доле трафика они мизер) но все равно как-то не комфортно...

GOODmen

я Вам же уже описывал свою систему авторизации. При таком исполнении неавторизованных в статистике вообще нет.

http://forum.ru-board.com/topic.cgi?forum=8&topic=37426&start=1080#8

Как-то все равно не пашет
Прилагаю то что есть:





т.е. Все вроде работает как как задумано:
Не авторизованные пользователи при попытке открыть страницу , перенаправляются на страницу авторизации, авторизуются. Получают доступ к разрешенным службам, но трафик все равно падает в неопознанных пользователей

alexeykalinin а у вас почему аутентифицированные ниже локальных интерфейсов по HTTP уходят в инет?
если я не путаю, то правила сверху вниз применяются.
и зачем вам доступ по HTTP для всех, без авторизации?

Я полагал так:
с локальных интерфейсов, пользователь обращается по http, это разрешено,далее полиси http его перебразывает на авторизовалку, там он авторизуется и далее как авторизованный работает.
Все это есть. НО, трафик падает в неопознанных!!!

alexeykalinin тогда у вас назначением у первого правила HTTP должен быть не интернет с натом а керио, если вам надо на нем авторизоваться, нет?

возможно, попробую чуть позже, отпишусь

gtxfnybr

Работать не будет, проверено.
Подумайте сами, почему

Подскажите лучше как сделать что бы заработало....

alexeykalinin

для начала запустить мастер правил. Потом прыгать уже от тех правил которые создаются по умолчанию. Мастер правил довольно неплохая штука позволяющая подготовить Керио для начальной работы.

alexeykalinin

Для начала поменяйте местами правила вот так

Аутентифицированые -> Inet, какие можно. НАТ.
Доверенные -> Inet, только HTTP(S), нат/ненат.

Как минимум начнет считаться по пользователям, а там разберемся дальше

Starshark2007
про то что первое правило стоит не на своем месте, я писал 12/03.
и у меня работает как надо, мне тут думать не о чём.

Добавлено:

Цитата:

всё в общем работает как надо, но один сайт 59.ru очень долго загружается - минут 5 (с гавной переходы на внутренние - так же долго)
пробовали с разных машин в сети и с разных браузеров - результат один.

если кому интересно "решение", то вот ответ тех. поддержки (запрос отправил 12/03
ответ получил 13/03):


Цитата:

Данный сайт находится водном из чёрных списков системы IDS.

Вы можете настроить исключения, для конкретных правил, которые блокируют доступ к интересующим вас ресурсам.

Для этого перейдите в протокол security и найдите сообщение которые соответствуют событиям блокировки интересующих вас интернет ресурсов.

В данных сообщениях есть параметр Rule ID: 1:3000003 две цифры после двоеточия есть цифровой идентификатор правил, вам необходимо скопировать их и перейти в следующий раздел конфигурации в консоли администрирования Керио: конфигурация\политика трафика\предотвращение вторжения.
На данной странице нажмите кнопку "дополнительно" и потом кнопку "добавить" вставьте идентификатор правила, и нажмите "ок"\"применить".

прошу помощи по работе DNS
KWF стоит на win XP в рабочей группе без домена
он же является DNS сервером для локальной сети

стала какая-то нестабильная работа, раз в неделю инет перестает работать в локалке, помогает иногда перезапуск служб Керио, иногда и перезагрузку приходится делать

в
в логе warning
вот такие ошибки иногда пишет

Цитата:

[01/Mar/2012 15:52:05] (3501) DNS forwarder: Got response with same ID, response discarded. Cached name 030034313262376365383633623836336363343838373361393537323062.326631320131633839613165396365306362356661306362663633656263.64633, response has name 030034313262376365383633623836336363343838373361393537323062.326631320131633839613165396365306362356661306362663633656263.646336393835370236363939313062326465326334626335623630653263.64666237376439343736.lbl8.mailshell.net, client 192.168.203.100:18105 id=8411, fid=47553, resp_id=8411.
[01/Mar/2012 15:52:06] (3501) DNS forwarder: Got response with same ID, response discarded. Cached name 030034313262376365383633623836336363343838373361393537323062.326631320131633839613165396365306362356661306362663633656263.64633, response has name 030034313262376365383633623836336363343838373361393537323062.326631320131633839613165396365306362356661306362663633656263.646336393835370236363939313062326465326334626335623630653263.64666237376439343736.lbl8.mailshell.net, client 192.168.203.100:18105 id=2519, fid=47554, resp_id=2519.
[01/Mar/2012 15:52:07] (3501) DNS forwarder: Got response with same ID, response discarded. Cached name 030034313262376365383633623836336363343838373361393537323062.326631320131633839613165396365306362356661306362663633656263.64633, response has name 030034313262376365383633623836336363343838373361393537323062.326631320131633839613165396365306362356661306362663633656263.646336393835370236363939313062326465326334626335623630653263.64666237376439343736.lbl8.mailshell.net, client 192.168.203.100:18105 id=59669, fid=47555, resp_id=59669.
[01/Mar/2012 15:52:08] (3501) DNS forwarder: Got response with same ID, response discarded. Cached name 030031653730393566633561303466333362363364303739353432326366.393535330238363833663736343439356130316130393730373065346535.30363, response has name 030031653730393566633561303466333362363364303739353432326366.393535330238363833663736343439356130316130393730373065346535.30363566663532.lbl8.mailshell.net, client 192.168.203.100:18105 id=20317, fid=47558, resp_id=20317.

хочу понимать что происходит и почему

gtxfnybr


Цитата:

alexeykalinin тогда у вас назначением у первого правила HTTP должен быть не интернет с натом а керио, если вам надо на нем авторизоваться, нет?

Вообще-то я Вам отвечал по поводу этого совета. Файрволл НЕ ДОЛЖЕН служить назначением в первом правиле, вот я Вам о чем предлагал подумать. Ибо пользователь, открывая броузер, пытается открывать сайты снаружи (в подавляющем большинстве случаев), а не страницу логина. Или у Вас страница логина стоит домашней у всех пользователей? Тогда - ОЙ.

Добавлено:
Maza777

Вам стоит выключить кэш, очистить его, очистить логи и перегрузиться.
Бывают у керио проблемы с файловой системой или с внутренней индексацией, фиг его разберет.
Если хотите почитайте форум керии, там было что-то о таких ошибках.

Starshark2007 я с вами согласен.

Цитата:

Или у Вас страница логина стоит домашней у всех пользователей? Тогда - ОЙ

кстати сделать домашней страницу статистики очень даже неплохо

Цитата:

Вам стоит выключить кэш, очистить его, очистить логи и перегрузиться.
Бывают у керио проблемы с файловой системой или с внутренней индексацией, фиг его разберет.
Если хотите почитайте форум керии, там было что-то о таких ошибках.

попробую спасибо,

только что подходил к клиенту, жалобы что интернет страница открывается 30 минут, сажусь пытаюсь открыть инет страничку, действительно ожидает и все, скайп при этом работает, пинги на шлюз идут без потерь и задержек. настройки получает по DHCP, настройки правильные. тыкал тыкал, ничего не понятно. Вытянул LAN кабель ,воткнул обратно. Заработало нормально
Вот в чем трабл? причем примерно такая же ситуация случается и на других рабочих станциях.
Может и ни в DNS ошибка, я вообщем незнаю в чем точно

Добавлено:
еще от это проблемного клиента не идет пинг, комп в сети включен ,по радмину заходит, а пинг ответов нет

Maza777

Проверить наличие/отсутствие прокси в обозревателе. Наличие шлюза по умолчанию и отсутствие левых маршрутов в таблице рутинга.
Наличие, настроеность файерволла, блядского касперского, проксомитронов, адмунчеров итд итп.

На DHCP все стандартно? Никаких особых настроек, укороченных сроков лизинга итп?

Если ничего не помогает - winsockfix, смена сетевухи, переустановка операционки.

Если нет пинга - это пиздец. ПИНГ ДОЛЖЕН БЫТЬ. Это первооснова.

Добавлено:
Valery12

Может быть, но бывают корпоративные правила, обязывающие иметь домашней страницей внутренний или внешний портал компании, к примеру.

Цитата:

Проверить наличие/отсутствие прокси в обозревателе. Наличие шлюза по умолчанию и отсутствие левых маршрутов в таблице рутинга.
Наличие, настроеность файерволла, блядского касперского, проксомитронов, адмунчеров итд итп.
 
На DHCP все стандартно? Никаких особых настроек, укороченных сроков лизинга итп?
 
Если ничего не помогает - winsockfix, смена сетевухи, переустановка операционки.
 
Если нет пинга - это пиздец. ПИНГ ДОЛЖЕН БЫТЬ. Это первооснова.

прокси в браузере проверял первым делом.
DHCP вроде проблем нет, 30 остальных клиентов нормально же работают.
Таких клиента сейчас два. у одного решилось прописанием вручную IP адреса у второго передергиванием кабеля. Спасибо за WinSockFix возьму ее в набор-аптечку.
Почему от них нет пинга, незнаю, раньше точно был.

Такой вопрос, есть ли у DHCP пункт для прописки второго (альтернативного) DNS? Подскажите, куда капать)))

VAnO_2 помоему они там пишутся просто через ";"

VAnO_2

Емнип, в опции 006 (DNS-сервер) как в виндовом так и кериевском DHCP можно вносить несколько DNS-серверов, разделенных точкой с запятой (;)

Starshark2007
Valery12
Спасибо, что-то ступил)))

Доброго всем времени суток!
Уважаемые знатоки данного файервола, прошу Вашей помощи в настройке. Не как не могу разобраться с правилами и т.д, т.к новичок в этом деле! Готов отблагодарить того, кто настроит файервол. Готов предоставить доступ по средствам Team Viewer. Пишите в личку или в icq 5277792

давай доступ по RDP

Имею FTP-сервер (FileZilla) за KC 7.2.2.3443. WAN-интерфейс шлюза с KC подключен к роутеру, который, в свою очередь, подключен к Интернету (т. е. NAT за NAT). На роутере сделана проброска портов 21, 44551, 44552, 44553 (номера последних трех портов условны) на шлюз с KC. На шлюзе сделана проброска тех же портов на FTP-сервер. FTP-сервер настроен соответствующим образом: 44551-44553 - это диапазон портов для пассивного режима. На клиенте (во внешней сети) соответствующие исходящие порты открыты.
Все вроде правильно, но соединиться с FTP-сервером из внешней сети в пассивном режиме не получается:

Код:
Response:    227 Entering Passive Mode (xxx,xxx,xxx,xxx,159,70)
Command:    LIST
Response:    425 Can't open data connection.
Error:    Failed to retrieve directory listing

Помогите плиз.
Структура сети, интерфейсы и правила для KC (ex-KWF) на картинке внизу.
Win7 без SP1. (еще и два шлюза пока победить не могу - иначе сетка со статикой отваливается)
Требуется, чтобы подключившись по WAN, народ ходил в Инет и по самбе на шару.
На ХР все нормально работало.

Сеть-1 - IP и т.д. получает по DHCP.
Инет через Сеть-1.
Сеть-2 - статика.
Точка доступа: ip- статический, +сама раздает подключившимся IP и т.д. по внутреннему DHCP