» Kerio Control (ex Kerio WinRoute Firewall)

Жжешь!
Никак!

coder666

Не понял, а как же:
Состояние системы -> действия -> Перезагрузить/Выключить/включить SSH ?????

Сомневаюсь, что чел имел ввиду кериостар или ssl-vpn

такс...
дето горели поля конопли....

Доброго всем времени суток! Подскажите такую вещь... что надо заблочить, чтобы kerio control не лазила по своим нуждам...

Starshark2007

Цитата:

Состояние системы -> действия -> Перезагрузить/Выключить

СпасиБО - это то что мне и нужно было!!!

coder666
речь шла о керио которое ставится на линуксе (Kerio Control Appliance ) - доступ к нему только через веб морду - и удаленно естественно его то же никак кроме вебморды не перезагрузишь...

Добавлено:
кстати смотрю люди юзают уже Kerio Control 7.3.1 build 4142 Linux

а я забросил следить за новостями и сижу на kerio-control-installer-7.1.2-2333-linux

смысл есть мне переползать на новую версию? и если есть - то как это безболезненно сделать?

Hrist, все зависит от потребностей. у меня так ваще стоит 7.0.1.1098 - работает и ладно.
зы. первое правило одмина - не трожь без нужды то, что работает.

да кто его знает
работает то работает
но в последнее время странное что то происходит
то интернет пропадет на отдельном компе (из ста один) - даже прокся не пингуется (пинги на все остальные компы шли) - пока проксю не перезагрузил
то хттпс пропадет у всех - и перезагрузка не помогла - переключились на другого прова - помогло...

Hrist

Цитата:

даже прокся не пингуется (пинги на все остальные компы шли) - пока проксю не перезагрузил

не пробовал проверять какой mac адрес в эти моменты занесён в локальную arp таблицу этого хоста, он соответствует mac локального интерфейса kcontrol?

Сделал объеденение двух офисов через Kerio VPN, всё видется и прекрасно пингуется, но ДНС не работает.
Хотелось бы что бы из удалённого офиса (в котором одноранговая сеть) виделись хосты главного офиса по днс (там доменная сеть).
В настройках ВПН сервера прописывал принудительно IP днс сервера главного офиса, но так по днс и не работает.
Так же не понял, нужно ли при пинге писать полное имя - comp1 или comp1.mydomen.local ?

Цитата:

В настройках ВПН сервера прописывал принудительно IP днс сервера главного офиса

для этого ДНС сервера главного офиса нужно прописывать на всех клиентах удаленного офиса или если в нем есть свой ДНС сервер сделать на нем переадресацию для конкретного домена на ДНС сервера главного офиса

Нужно мнение более опытных пользователей керио.
Имеется "сервер" на керио с двумя сетевыми картами. Одна смотрит в локалку(192,168,100,*), другая в инет(192,168,20,*) посредством асдсл модема Р660 с wifi.
Все работает без нареканий, локальная сеть имеет доступ в интернет, модем раздает айпишники в своей подсети.

Но возникла нужда контролировать и wifi трафик.
Как реализовать без закупки дополнительного оборудования? Как заставить пользователей wifi, ходить в интернет через керио?
Пробовал поднять DHCP на керио, а в модеме указать релай, но не получилось. Керио исправно раздает айпишники в локалке, а вот через релай не выдает.
Указал в политиках полный доступ между модемом и керио, не помогло.

Кто нибудь сталкивался с подобной конфигурацией ?

Спасибо.

Elikos
просто воткни в lan интерфейс wifi кабель из локального сегмента твоей сети, отключи DHCP на самой точке, включи DHCP на контроле, в таком случае все твои wifi клиенты будут такими же участниками сети как и проводные компы.

Tihon_one
Если точку я присоединю к локальному сегменту, пользователи получат доступ к локальной сети. Чего я не хочу делать, так как беспроводные пользователи у меня гостевые.

Цитата:

Если точку я присоединю к локальному сегменту, пользователи получат доступ к локальной сети. Чего я не хочу делать, так как беспроводные пользователи у меня гостевые.

тогда поставь еще одну сетевую карту и подключи wifi к ней - будет гостевая сеть

Valery12
Добавить третий интерфейс, назначить его только для вафли.
Должно получиться. Спасибо, попробую.
Другого варианта кажется нет.

Сразу вопрос. А как в керио назначить на какой сетевой интерфейс какие айпи выдавать?

Elikos
никак, да в прочем не надо это тебе, просто настрой DHCP на wifi точке. тогда и в контроле его не надо будет включать.

Elikos
Встроенный в Керио DHCP будет раздавать адреса только через интерфейс
входящий в эту подсеть (при создании зоны DHCP есть выбор- через шаблон интерфейса). У меня именно так реализована демилитаризованная зона (и гостевой Wi-Fi там же).

Проблема такая: Никак не могу сделать чтобы нужные порты работали у пользователей подключающихся к керио. На сервере керио всё работает, а у пользователя при попытке достучаться через порт 6014, в командной строке: "telnet savex.bpsb.by 6014", выдаёт
C:\Documents and Settings\Admin>telnet savex.bpsb.by 6014
Подключение к savex.bpsb.by...Не удалось открыть подключение к этому узлу, на по
рт 6014: Сбой подключения
Что нужно и где прописать чтобы Керио не блокировал выход на порты пользователям?

byflyww

Сделай скрин правил фаервола керио и настроек TCP/IP пользователя.

чукча не админ, чукча QA.
(помогите юродивому расширить зону покрытия)

Дано:
"сервачок" на Windows Server 2008 R2, по факту тестовая раб.станция, ролей DNS, DHCP - нету, только IIS7 и файл-сервер на дефолтных настройках (Features - ".NET" и "Wireless LAN" установлены).
Wi-Fi adapter PCI на 192.168.1.xx (динамически мен-ся) - смотрит в интернет на роутер NETGEAR "старый офис" 192.168.1.1 (в роли шлюза).
На мамке еще интегр.сетевушка, из нее кабель идет в порт WAN роутера BELKIN "новый офис" (WAN/вход для модема - правильно? или в LAN надо?)
Kerio 7.0.1 уже установлен (с офиц.лицензией и веб-фильтром, +NOD32 с лиц-ей к Kerio) , мне совсем чуток знаком, потыкал - но не добился рез-та.
На обоих картах выключено все, кроме "TCP/IPv4" "Kerio Control" и "Netfilter".
Все IP, шлюзы, маски и DNS - в итоге оставил присваиваться "автоматически" в самой Windows и в Kerio.

Требуется:
настроить Kerio на маршрутизацию и зашиту своими кериотскими силами, чтобы и сервачок был зашищен и интернет (тоже защищенный) шел на роутер BELKIN "новый офис" для дальнейшей перераздачи.
Роутер умеет быть точкой доступа, если надо.



Пока что роутер BELKIN "новый офис" с адресом 192.168.2.1 присваивает LAN сетевухе 192.168.2.x (или при моих копаниях в настройках - еще страшнее IP), а надо, чтобы брал просто интернет с сетевухи и раздавал. Временно замкнул WIFI и LAN в мост, в итоге после Kerio на сервачке - пинг 220-260, а на компах с роутера BELKIN "новый офис", которые сам Kerio не обрабатывает (мост же), всего 20-50.
Роутер NETGEAR "старый офис" - мне дали админку, (на КРАЙНИЙ случай, т.к. гарант-но получу в бубен за падение инета в старом офисе)

Щас отлично тестирую и ловлю все баги - а надо сделать дело.
Спасите-помогите, аксакалы. Что где прописывать? Роутинг табл? хитрости настройки NAT? или прямо настройки карт в винде? Что с rules?

Всем привет, подскажите пожалуйста, такая ситуация. есть ~100 пользователей, все лезут в нет через керио, гляньте плиз правило трафика и скажите что не так? инет 512 на всех(100)...страшно тупит, очень медленно с мобилы быстрей

GarikNUR

Цитата:

инет 512

512 чего? И линку на картинку поправь...

поправил, 512кбит\сек

//в "Управлении полоской пропускания" выставил на 10 кбит и всех пускаю через неё. это норм или нет? почему так...подумал так будет лучше, что если всех безбашно пустить то тупо забьют своим инетом весь канал поэтому всем по 10 кбит ограничил. подскажите как оптимально настроить? хотя бы так сказать на словах самый минимум чт нужно сделать в моей ситуации...просто вообще не могу понять куда смотреть что крутить?

может чтио то еще нужно заскринить? вы скажите я сделаю

//может трасировку сделать? да глянуть где туго идет? что скажете?

GarikNUR

Ну 512 кбит на 100 пользователей в 21 веке - это полная жопа.
Но по делу. Ограничение действует на всех скопом, а не "на каждого". То есть и так малую полосу ты урезал до модемной (9600) скорости. 100 пользователей через модем я даже в 1994 году не рисковал пропускать, про 2012 и вообще молчу.

Для того чтобы не забили канал, выставь 80% в ограничение (400 кбит). Но все равно - это не интернет, а посмиховисько.

убрал ограничение, вроде как лучше, тестирую,

а что скажете на это? NAT включен. типо разгрузка поровну, мол балансирует. оставить?

GarikNUR

Цитата:

Ну 512 кбит на 100 пользователей в 21 веке - это полная жопа.

Это не жопа, это пипец...


Цитата:

NAT включен. типо разгрузка поровну, мол балансирует. оставить?

Хм, а где там балансировка?

ну[img] [/img]

Добавлено:
Подскажите пожалуйста как "правльно" разграничить скорость для пользователей? чтоб например пользователь лез в нет со коростью 20кбит.сек

byflyww
Попробуй Сonfiguration-Content filtering-HTTP policy-Proxy server - Allow tunelled connections to all TCP ports

Смотрел в Kerio WR 6.5.2, именно эта настройка помогла мне в похожей ситуации - нужно было выпустить пользователей к сервису через нестандартный порт.

GarikNUR

Забудь про линуховые заморочки с ограничениями. Трафик на пользователя (без извращений) ограничить нельзя - и это (imho) правильно. Чем быстрее пользователь получит свой контент, из инета, из кеша, из локалки (он же все равно не уйдет, пока его не получит и закроет соединение) - тем файрволу легче. Меньше соединений, меньше нагрузка, лучше отзывчивость .
Можно (нужно) ограничивать плохие случаи - большие закачки, мультимедию, p2p. Средства для этого есть - пользуйтесь.

Цитата:

byflyww
Попробуй Сonfiguration-Content filtering-HTTP policy-Proxy server - Allow tunelled connections to all TCP ports

это очень "нехорошая настройка" по умолчанию непрозрачный прокси туннелирует шифрованный трафик только на 443 порт, с этой настройкой на любой - вы делаете неконтролируемую дыру в фаерволе и умный юзер сможет обойти любые ограничения, а автору нужно просто создать нормальное правило в ТП с указанием нужного порта