Gekk
Если просто выпихнуть в определенный WAN - правило в Traffic Rules создаем - и где Translation - указать нужный WAN.
Если просто выпихнуть в определенный WAN - правило в Traffic Rules создаем - и где Translation - указать нужный WAN.
» Kerio Control (ex Kerio WinRoute Firewall)
Я сделал такой правило
Источник: Брандмауэр
Назначение: Интернет интерфейсы
Служба: SMTP
Трансляция NAT через WAN
В результате почтовый сервер вообще не может отправить сообщения.
В логе видно, что Contol все равно пытается отправит через wan1
[03/May/2013 08:35:25] PERMIT "Новое правило" packet to WAN1, proto:TCP, len:48, 192.168.2.50:4680 -> 94.100.176.20:25, flags:[ SYN ], seq:2937439972/4294967295 ack:0, win:65535, tcplen:0
[03/May/2013 08:35:28] PERMIT "Новое правило" packet to WAN1, proto:TCP, len:48, 192.168.2.50:4680 -> 94.100.176.20:25, flags:[ SYN ], seq:2937439972/4294967295 ack:0, win:65535, tcplen:0
[03/May/2013 08:35:35] PERMIT "Новое правило" packet to WAN1, proto:TCP, len:48, 192.168.2.50:4680 -> 94.100.176.20:25, flags:[ SYN ], seq:2937439972/4294967295 ack:0, win:65535, tcplen:0
Источник: Брандмауэр
Назначение: Интернет интерфейсы
Служба: SMTP
Трансляция NAT через WAN
В результате почтовый сервер вообще не может отправить сообщения.
В логе видно, что Contol все равно пытается отправит через wan1
[03/May/2013 08:35:25] PERMIT "Новое правило" packet to WAN1, proto:TCP, len:48, 192.168.2.50:4680 -> 94.100.176.20:25, flags:[ SYN ], seq:2937439972/4294967295 ack:0, win:65535, tcplen:0
[03/May/2013 08:35:28] PERMIT "Новое правило" packet to WAN1, proto:TCP, len:48, 192.168.2.50:4680 -> 94.100.176.20:25, flags:[ SYN ], seq:2937439972/4294967295 ack:0, win:65535, tcplen:0
[03/May/2013 08:35:35] PERMIT "Новое правило" packet to WAN1, proto:TCP, len:48, 192.168.2.50:4680 -> 94.100.176.20:25, flags:[ SYN ], seq:2937439972/4294967295 ack:0, win:65535, tcplen:0
Gekk
Пробую на 8ом - тоже не хочет в заданный интерфейс пулять, если "Основной" другой. Игнорирует правило в ТрафикРулез - пуляет в Основной... (хотя и показвает что идет по этому правилу). Толи так задуманно (может винроут считает Secondary фейс неприкосновенным до наступления чрезвычайной ситуации...), толи глюка очередная...
А вот при Load Balancing режиме = вроде четко кидает в нужный, соответсвенно правилу...
Пробую на 8ом - тоже не хочет в заданный интерфейс пулять, если "Основной" другой. Игнорирует правило в ТрафикРулез - пуляет в Основной... (хотя и показвает что идет по этому правилу). Толи так задуманно (может винроут считает Secondary фейс неприкосновенным до наступления чрезвычайной ситуации...), толи глюка очередная...
А вот при Load Balancing режиме = вроде четко кидает в нужный, соответсвенно правилу...
Gekk
Включи на этом правиле Полный конусный нат. Должно помочь.
Ну и само собой маршруты (с бОльшими метриками) должны быть для второго интерфейса.
UPD проверил у себя. Фараза "ну и само собой" встала под сомнением, у меня работает без них (в смысле в таблице маршрутизации лишних маршрутов нет, только в св-вах интерфейсов.).
Включи на этом правиле Полный конусный нат. Должно помочь.
Ну и само собой маршруты (с бОльшими метриками) должны быть для второго интерфейса.
UPD проверил у себя. Фараза "ну и само собой" встала под сомнением, у меня работает без них (в смысле в таблице маршрутизации лишних маршрутов нет, только в св-вах интерфейсов.).
Цитата:
Включи на этом правиле Полный конусный нат. Должно помочь.
Ну и само собой маршруты (с бОльшими метриками) должны быть для второго интерфейса.
У вас Control и Connect на одном компьютере? Включение конусного NAT не помогло.
Посылать письма с нужного интерфейса необходимо, что другие сервера не ругались на PTR запись.
Сделал правило
Источник: 212.45.xx.xx
Назначение: Интернет интерфейсы
Служба: SMTP
Трансляция NAT через WAN
где 212.45.xx.xx - ip резервного канала WAN, который прописан в DNS для почтового сервера.
Письма стали уходить, но возвращаются из-за ошибки в PTR записи.
Причем ругается не на IP 212.45.xx.xx и не на ip основного канала, а на IP 31.163.xx.xx маршрутизатора который стоит за сервером с Control.
Похоже нужно попробовать поставить почтовый сервер на отельную машину в LAN
Если основным каналом сделать WAN, то все работает.
LAN WAN DMZ ISP
----------------Kerio Control---------------------Маршрутизатор----------------
192.168.10.1 212.45.xx.xx 31.163.xx.xx
Цитата:
Пробую на 8ом - тоже не хочет в заданный интерфейс пулять, если "Основной" другой. Игнорирует правило в ТрафикРулез - пуляет в Основной..
Попробую поменять основной и резервный канал местами и перенаправлять уже не почту, а web трафик.
Помогите с таким вопросом, можно ли в керио 7 (линуксовая версия) добавить что то типа задания в планировщик (если он есть) чтоб машина в определенное время суток перезагружалась?
Я так понимаю в линуксах за это отвечает cron...
Так вот ничего подобного в структуре каталогов я не нашел.
Возможно проще (если это виртуальная машина под Windows) скриптами сделать перезагрузку самой виртуальной машины?
хотя вопрос занятный и меня тоже интересует
Так вот ничего подобного в структуре каталогов я не нашел.
Возможно проще (если это виртуальная машина под Windows) скриптами сделать перезагрузку самой виртуальной машины?
хотя вопрос занятный и меня тоже интересует
coder666
Да нет, машина реальная, а через ssh какой командой перегрузить можно? (чтоб скриптик накатать и с другой машинки его "пинать") Я как то больше виндоузятник.
Да нет, машина реальная, а через ssh какой командой перегрузить можно? (чтоб скриптик накатать и с другой машинки его "пинать") Я как то больше виндоузятник.
наверное так через терминал
/etc/boxinit.d/60winroute stop && /etc/boxinit.d/60winroute start
остановка и запуск
или просто отсановка
/etc/boxinit.d/60winroute stop
или просто запуск
/etc/boxinit.d/60winroute start
/etc/boxinit.d/60winroute stop && /etc/boxinit.d/60winroute start
остановка и запуск
или просто отсановка
/etc/boxinit.d/60winroute stop
или просто запуск
/etc/boxinit.d/60winroute start
coder666
нее, это остановка/запуск самого сервиса (или демона, как оно там правильно) а мне нужно целиком всей машины (что то наподобие shutdown -r now, сейчас нет возможности проверить работоспособность)
Вопрос снят, команда работает, перезагружает, буду изобретать "перезагружалку" ))))
нее, это остановка/запуск самого сервиса (или демона, как оно там правильно) а мне нужно целиком всей машины (что то наподобие shutdown -r now, сейчас нет возможности проверить работоспособность)
Вопрос снят, команда работает, перезагружает, буду изобретать "перезагружалку" ))))
Волею судьбы пришлось столкнутся с Kerio Control (ставил не сам)
На шлюзе с Kerio Control был WAN со статическим IP (DNS провайдера был прописан в свойстве IP) , на рабочках в качестве DNS указан был адрес шлюза.
Теперь провайдер перешел на PPPoE - DNS тоже выдает провайдер . Было сделано:
На сетевой карточке WAN настроено - получить IP автоматом, добавлен минипорт PPPoE (IP получить автоматом)
Шлюз инет раздает, но если у пользователей указать в DNS адрес шлюза - инета нет.
Пока в качестве DNS прописал 8.8.8.8
Как правильно прописать в Kerio DNS провайдера и отдать их пользователям?
На шлюзе с Kerio Control был WAN со статическим IP (DNS провайдера был прописан в свойстве IP) , на рабочках в качестве DNS указан был адрес шлюза.
Теперь провайдер перешел на PPPoE - DNS тоже выдает провайдер . Было сделано:
На сетевой карточке WAN настроено - получить IP автоматом, добавлен минипорт PPPoE (IP получить автоматом)
Шлюз инет раздает, но если у пользователей указать в DNS адрес шлюза - инета нет.
Пока в качестве DNS прописал 8.8.8.8
Как правильно прописать в Kerio DNS провайдера и отдать их пользователям?
Доброго времени суток уважаемые форумчане! На сегодняшний день у когонибудь из вас получилось закрыть доступ майл агенту оставив при этом доступ к почте? пробовал закрывать сети и порты которые использует агент. но он использует 443 порт https. Получается при закрытии порта агент не соединяется но и нет доступа в почту((( кто нибудь решил такую проблему?
Вариант 1.
заблокировать в http правилах: https://*mrim*.mail.ru*
Вариант 2.
Содать правило в траффик полиси:
Источник: локалка
Назначение: mrim*.mail.ru
Служба: любой
Действие: запертить нафик!
Вариант 3.
Вычислить все подсети агента, прописать в одну группу IP и запретить доступ
Вариант 4.
Тут можно еще долго придумывать, благо Керио гибкий инструмент
заблокировать в http правилах: https://*mrim*.mail.ru*
Вариант 2.
Содать правило в траффик полиси:
Источник: локалка
Назначение: mrim*.mail.ru
Служба: любой
Действие: запертить нафик!
Вариант 3.
Вычислить все подсети агента, прописать в одну группу IP и запретить доступ
Вариант 4.
Тут можно еще долго придумывать, благо Керио гибкий инструмент
Спасибо сделал немного иначе. Запретил все службы на подсети mrim.mail.ru. и в http правилах разрешил доступ на http://mail.ru и https://**.mail.ru. Вроде сработало.
Ребят, подскажите пожалуйста по следующей проблеме:
В офисе стоит Kerio Winroute Firewall. В закладке HTTP Policy прописано правило
Redirect all objects from vk.com
Redirect all objects from facebook.com/*
Заходя на вышеупомянутые урлы происходит редирект на указанную страницу, НО возникает одна проблема, когда пользователи заходят на другие сайты, в которые встроены социальные блоки (комментарии, like и т.д.) от этих социальных сетей, потому как они перенаправляются на адрес указанные в редиректе.
Помогите пожалуйста локализовать проблему, чтобы зайдя на сайт, на котором установлены подобные социальные блоки, не блокировались.
Заранее огромное спасибо все откликнувшимся!
В офисе стоит Kerio Winroute Firewall. В закладке HTTP Policy прописано правило
Redirect all objects from vk.com
Redirect all objects from facebook.com/*
Заходя на вышеупомянутые урлы происходит редирект на указанную страницу, НО возникает одна проблема, когда пользователи заходят на другие сайты, в которые встроены социальные блоки (комментарии, like и т.д.) от этих социальных сетей, потому как они перенаправляются на адрес указанные в редиректе.
Помогите пожалуйста локализовать проблему, чтобы зайдя на сайт, на котором установлены подобные социальные блоки, не блокировались.
Заранее огромное спасибо все откликнувшимся!
???
stilmatic
а какой там тип url-ов для лайков этих? по маске исключи его нафиг через правила URL.
а какой там тип url-ов для лайков этих? по маске исключи его нафиг через правила URL.
Господа форумчане.
Нарисовалась проблема:
установлен Kerio Control 8.1.0, за которым сидят N компов. всё отлично работает и открывается за исключением одного сайта dia-m.ru (это не реклама!!!) причём пинги идут стабильно, трейсер тоже, но ни одна машина в сети его не открывает, отключаешь керио - сайт открывается, включаешь - снова "Время ожидания ответа от сервера www.dia-m.ru истекло"...
в логах по данному вопросу такая инфа проходит:
[24/May/2013 13:36:13] PERMIT "Internet access (NAT)" packet from 192-168-1-xx, proto:TCP, len:52, 192.168.10.68:53737 -> 89.188.101.244:80, flags:[ SYN ], seq:3575690088/4294967295 ack:0, win:8192, tcplen:0
Буду очень признателен за помощь.
Нарисовалась проблема:
установлен Kerio Control 8.1.0, за которым сидят N компов. всё отлично работает и открывается за исключением одного сайта dia-m.ru (это не реклама!!!) причём пинги идут стабильно, трейсер тоже, но ни одна машина в сети его не открывает, отключаешь керио - сайт открывается, включаешь - снова "Время ожидания ответа от сервера www.dia-m.ru истекло"...
в логах по данному вопросу такая инфа проходит:
[24/May/2013 13:36:13] PERMIT "Internet access (NAT)" packet from 192-168-1-xx, proto:TCP, len:52, 192.168.10.68:53737 -> 89.188.101.244:80, flags:[ SYN ], seq:3575690088/4294967295 ack:0, win:8192, tcplen:0
Буду очень признателен за помощь.
arbuzz2k8
что-то в конфиге явно, у меня всё открыло, при том что версия ПО такая же.
включи в дебаге filtering\packets dropped for some reason посмотри может что-то фильтруется, а заодно посмотри может фильтруется правилом URL?
что-то в конфиге явно, у меня всё открыло, при том что версия ПО такая же.
включи в дебаге filtering\packets dropped for some reason посмотри может что-то фильтруется, а заодно посмотри может фильтруется правилом URL?
еще можно попробовать очистить ДНС-кеш и внести сайт в исключения Веб-фильтра
В дебаге всё чисто, нужный сайт не отфильтровывается никаким способом. В исключениях веб фильтра он с начала моей эпопеи)... днс тоже непричём, т.к. сайт пингуется по имени и не открывается по ИПу... вобщем мистика какая-то...
arbuzz2k8
IPS может шалит, если включен?
IPS может шалит, если включен?
Люди, подскажите смогут ли сконектиться по ВПН тунелю Kerio WinRoute Firewall 6.7.1 build 6399 (как сервер) и Kerio Control 8.0.1 Build 609 (как клиент) ? Одновременная смена не получится - точки находятся далеко друг от друга.
GromKiller1985
да
да
Люди, у меня вопрос интересный - мне нужно на машине просто настроить правила для открытых наружу портов. Так как на работе используется Керио и я знаю как в нём удобно всё это настраивать - на эту машину (дома) тоже поставил Керио. Только напрягает монструозность и платность. Может кто подскажет какой-нибудь бесплатный брендмауэр, которым можно будет удобно правила настраивать. На машине WinXP стоит. Желательно чтобы ещё и наглядно было как в Керио, а то привыкать лень.
ATHeiSt_HAX
Цитата:
это корень зла.
Цитата:
лень.
это корень зла.
Лень - зло.
Под Win XP ничего ставить не надо - есть встроенный firewall. Про настройку можно почитать, например, тут. Kerio Control дома - оригинальное решение. А еще можно в магазин за продуктами на фуре ездить, да.
Под Win XP ничего ставить не надо - есть встроенный firewall. Про настройку можно почитать, например, тут. Kerio Control дома - оригинальное решение. А еще можно в магазин за продуктами на фуре ездить, да.
Yaromaxx
Ну такого ответа я и ожидал
Как настраивать штатный винфаервол - я знаю, но он неудобен мне. Хочется чтобы было удобно и понятно.
Ну такого ответа я и ожидал
Как настраивать штатный винфаервол - я знаю, но он неудобен мне. Хочется чтобы было удобно и понятно.Sunbelt Personal Firewall
если найдешь де скачать, потому как проект более не поддерживается.
Построен на разработке Керио
если найдешь де скачать, потому как проект более не поддерживается.
Построен на разработке Керио
Тогда как вариант- Comodo Firewall, раньше был бесплатным, сейчас не знаю.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117
Предыдущая тема: Права доступа NTFS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.