» Kerio Control (ex Kerio WinRoute Firewall)

aliennick

Нажми на Все и посотри в списке вообще есть хоть что-нибудь.
Если нет, либо ты ковырял .cfg файлы в корне установки керио или переносил керио с тачки на тачку или даже удалил папку с логами.

нет. во всех подразделах одно и то же. и папку конечно никто не удалял, и .cfg файлы никто не ковырял. а папка с логами.. "C:\Program Files\Kerio\WinRoute Firewall\star на месте и файл самой базы star.fdb" растет. на некоторых форумах пишут, что такая проблема бывает, и как будто проходит сама после некоторого времени... но ответа как такое исправить я так и не нашел.

Доброго времени суток. Прошу помощи. Проблема с сайтом http://easyjet.com он или грузится не до конца(выражается в не отображении вкладки поиска билетов на самолеты) или отдает http 408\409. Когда пускаю просто через адсл то все работает. В логах ни по айпи ни по имени сайта никаких алертов и запретов. Инспектор протокола отключал. Толку нет. Сайт нормально не работает.
Система такова - WEB-->NAT(ADSL router)-->NAT(Kerio)-->USER. Kerio 8.2p1 триал, не ломаный. Собственно и на ранних версиях было то же самое.. Проверьте у кого как работает пожалуйста.
Ну и что собственно говоря мне делать?

Добавлено:
AV/SNORT/WF отключал и вместе и по очереди. Не работает. Гугл по запросу - kerio http 408 409 дает из толкового только это http://forums.kerio.com/t/20297// где собственно решения то же нет.

Всем привет, имею Kerio Control: 8.2.2 build 1619 Appilance последнее время стал замечать во вкладке Активные подключения что сам контрол ломится в инет причем максамильна и отправка и получение.
Ренее такого не замечал. Ломиться на адрес DNS провайдера такое ощущение что он весь трафик через себя пропускает. Подскажите возможно так и должно быть.

Kerio 6.7.1
у бухгалтеров есть прога GC Reader, она качает какие то журналы в зашифрованном виде и Керио их блокирует, с моего компа на мир разрешено все и вся, но все равно блокируется что-то.
В журнале alert

Код: [10/Feb/2014 14:51:16] AVCHECK file="http://reader.kontrakty.ua/download/downloads/81985fc7-94f0-498c-9f46-a912ad629fb7/febb04a3-0f1a-4910-8940-1604a036eea1/3.0.0.1" firewall="post" hostip="192.168.3.5" hostname="dslam97-01-dp.alkar.net" protocol="HTTP" time="Mon Feb 10 14:51:16 2014" username="user" virus="Both AV plugins gave the same result: File is encrypted and scanner is unable to decrypt"

Maza777
с антивирем всё просто, создаёшь отдельное правило трафика для этой закачки, отключаешь инспектор для правила и радуешься.

с зеркалированием почты, всё просто, включаешь архивирование и читаешь копии сообщений в архивных папках.

Добавлено:
ufypbr
может косяки с настройкой DNS, это вообще не нормально, по каким портам идёт передача?

Tihon_one
спасибо, заработало с отключенным инспектором

про почту извиняюсь, что спросил здесь, забыл что это тема KWF
архивация настроена, но оно сваливает все в папку \store\mail\company.ua\archive\INBOX\ где миллион писем.
Или оно как то по отдельным ящикам их может архивировать?

*

Tihon_one
В основном самый большой трафик идет на закачку торрентов.
пытался проверить в чем может быть затык не нашел глаза просто уже замылены, все кажется нужным.если пожнимать с нуля то потеряются данные по пользователям.
Где можно посмотреть правильные настройки DNS с учетом авторизации через домен. Это может быть из-за кеширования DNS

Maza777
по отдельным ящикам не может, если свежий конект, то он там всё индексирует, поиск - "понты".

Добавлено:
palnax
рекламируем? 8))

Добавлено:
ufypbr
ты путыешься в показаниях, ты писал это:
Цитата:

Ломиться на адрес DNS провайдера такое ощущение что он весь трафик через себя пропускает.

потом пишешь это:
Цитата:

В основном самый большой трафик идет на закачку торрентов.

т.е. контрол от своего имени весь трафик включая p2p направляет на IP адрес DNS сервера?

А почему нет,у всех морока с этим фильтром, некоторым приходиться покупать так как даже взломанный винроут не открывает возможности фильтрации, днс сайта лучший выход.

подскажите вопрос по автологону на прокси
нужно использовать автовход на терминальном сервере
для firefox я победил. а вот IE никак
пробую скрипт

Код: Dim oIE
Set oIE = CreateObject("InternetExplorer.Application")
oIE.Visible = False
oIE.Navigate("http://ip:4080/rw/")
WScript.Sleep(30000)
oIE.quit

palnax
вопросы связанные с ломанными версиями обсуждаются не тут, тут идёт обсуждение Kerio Control и всего, что с ним связано, вы рекламируете тут стороннее решение, хотите продвигать? делайте отдельную ветку.

к сведению, фильтрация веб контента есть в контроле и без веб-фильтра, а слова о том, что некоторым приходится покупать, для использования в зарабатывании денег, платный продукт, вообще заставляет меня оплакивать сознание современных бизнесменов...))

Добрый день.

Прошу помощи у знатоков и тех, кто сталкивался с такой проблемой.

Есть инфраструктура: Два контроллера домена, каждый с DNS сервером. Репликации в порядке. DNS работает без проблем. Но не могу зарегистрировать машинку с KERIO в домене. Выдаёт ошибку NT_STATUS_CONNECTION_RESET. Пользователей домена нормально подгружает но сама машина не хочет регистрироваться в домене. На виртуалках попытался создать инфраструктуру. Там без проблем регистрируется. В интернете только статьи по поводу SMB и всё. Не могу разобраться в какую сторону копать? В чём причина?

angelfade
а в логе домен контролера что? IP DC принудительно в керио указан?

KWF 6
Хочу пользователям позакрывать ненужные сайта, точнее закрыть все кроме разрешенных.
Есть какое то более удобное решение чем, создать для в политиках траффика правило Васе и Пете разрешить ходить на mail.ru, и под ним правило Васе и Пете запретить все.

Maza777
нет решения другого нет, сверху то что можно, снизу то что нельзя, ну или просто как можно ниже всем\всё\запретить, а выше городите разрешения.

Hubo
И по IP пытаюсь и по Principal Name.....Хоть бы хны. У меня такое чувство, что там проблема именно в протоколах SMB. Видимо не может записать что-то в SYSVOL....Уже 3-е суток голову ломаю не могу понять где проблема.

angelfade
интересно, а вы хоть протоколирование со стороны DC пытались включать? или всё пытаетесь решать со стороны контрола?

Tihon_one

Цитата:

протоколирование со стороны DC

и как?

Maza777

Это неправильное решение, потому что если Вы разрешите ТОЛЬКО определенные сайты, например по маске, будут глюки с отображением. Почти все сайты сейчас кросс-доменные и для работы подтягивают множество элементов на других доменах.
Не надо злобствовать - пользователи Вас возненавидят. Надо не "запрещать все что не разрешено", а "разрешать все что не запрещено".
В приложении к топику, делаете правила "запретить гадость" (порно, социалки, итп). А все остальное по дефолту "разрешать".

Starshark2007
да понял уже. когда создал для проверки правило разрешающее только википедию, зашел и даже картинок там не увидел. Да и к тому же через политику траффика вообще не удобно, вбив десяток сайтов в запрещающей политике я сразу это понял, т.к. в политике нельзя прописать сайты со звездочкой типа google.com*, надо прописывать конкретно google.com.ua.
Посмотрел на группы, там только для пользователей можно группы создавать.

Наверно надо попробовать через Политики HTTP, но все же, я тогда не смогу отделу продаж запретить использовать внешние почтовые серверы типа mail.ru и т.п.. Т.к. я пропишу десяток известных, но пользователей заведет ящик на незнакомом мне сайте, зайдет туда и сможет слить по почте какую то инфу.
Я в этом плане хотел для службы СБ предложить такой вариант. А если разрешить все, но запрещать избранные сайты, то это все равно дыра в безопасноти.
Вообщем не знаю пока что делать.

Добавлено:
Посмотрел на политики HTTP. в политике http выбрал нужного пользователя, выбрал заранее созданные список с сайтами (google и wikipedia) и нажать разрешить.Потом, в новой политике выбрал этого же пользователя, выбрал "если URL начинается с * " то, запретить по идее это должно запрещать все url адреса.
Сайта гугл и википедиа работают, другие не работают. Но как то странно. например в гугле ищу слово "яблоко", оно отображает все картинки, но на эти сайты не переходит. То есть сайты блокирует, а картинки нет. Это конечно удобно, но хочется знать почему так.

И еще страницу

Цитата:

Доступ запрещен
В соответствии с правилами доступа к сети Интернет, заданными для межсетевого экрана

можно отредактировать? нужно оттуда убрать ссылку

Цитата:

Страница входа в систему

Mikekiller
Цитата:

Есть ли возможность в Эпплайансе посмотреть загрузку по ядрам процессора?

есть, стандарная для Linux - top и нажать 1.

Maza777

1. В "определениях" есть "группы URL" там есть примеры урлов с символами шаблона (*, ?)
2. Разберитесь с вебфильтром - очень мощная вещь, правда, лицензируется отдельно. Там можно запретить сайты с электронной почтой, не перечисляя их, просто запретив категорию.
Вообще-то слить инфу мало-мальски продвинутый пользователь сможет запросто - онлайн-хранилища, всякие прокси, р2р, флешки, диски, фотоаппараты. Тут Вы лучше СБ не дразните, ибо реально могут перекрыть весь инет. Да и не стоит тянуть одеяло на себя - пусть люди, которым за это платят, выполняют свою работу.
По поводу гуглекартинок - . Вы и видите закешированные в Гугле картинки , а перейти по адресам уже не можете - керио не пускает.
3. Ссылку из страницы запрета убрать вероятнее всего можно, но надо лезть ручками (редактором) в локальный веб-сайт Керио, Вы сможете?

Цитата:

Добрый день.
 
Прошу помощи у знатоков и тех, кто сталкивался с такой проблемой.
 
Есть инфраструктура: Два контроллера домена, каждый с DNS сервером. Репликации в порядке. DNS работает без проблем. Но не могу зарегистрировать машинку с KERIO в домене. Выдаёт ошибку NT_STATUS_CONNECTION_RESET. Пользователей домена нормально подгружает но сама машина не хочет регистрироваться в домене. На виртуалках попытался создать инфраструктуру. Там без проблем регистрируется. В интернете только статьи по поводу SMB и всё. Не могу разобраться в какую сторону копать? В чём причина?

Нашёл решение проблемы.
Windows Server 2012 R2 Best Practise Analizer (BPA) выдавала предупреждение по поводу srv.sys, что мол сервис не запущен. Покопавшийсь в интернете забрёл на сайт мелкософта. Там рекомендовали редактировать ключ реестра "Start REG_DWORD value should be set to 3 (instead of 2) in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv registry key" а зачем, никто не объяснял. Потом на одном форуме наткнулся на статью, где к одного чувака не работала зашареная папка в Windows 2012 R2. Он не мог зайти на неё с Windows server 2003. Выяснилось, что вышестоящий ключ реестра отключал совместимость со старыми версиями SMB, включал только версию 3. Так вот, я поменял обратно значение ключа реестра с 3 на 2 и у меня Kerio Control успешно зарегистрировался в домене! Спасибо за внимание!

Коллеги, по умолчанию KFW блокирует ссылки такого вида
https://info-msk.rusfinance.ru:7779/ICA/login.jsp
Не пойму, какое правило нужно создать, чтобы страница открывалась?
Простое разрешение типа *info-msk.rusfinance.ru* не работает

angelfade
слова не мальчика, но мужа!!

забрал к себе в базу знаний, очень полезный фикс.

Кто-нибудь знает как к Kerio Control 8.2 прикрутить 3G модем Huawei E3131?

Kerio WinRoute Firewall 6.7.1
Перестала работать админ.консоль из локальной сети.

Если непосредственно на ПК, где установлен Kerio запустить админ консоль - все работает, порт администрирования стандартный.
Если из локальной сети попытаться залогиниться на Kerio WinRoute Firewall, пишет - серверное приложение не запущено.
Сам Kerio работает, и служба Kerio работает.
И telnet на ПК с Kerio и порт 44333 - проходит.

Подскажите, в чем может быть проблема.

Цитата:

очень полезный фикс

Да это не фикс - это вредный костыль. Тем более, что самба для ввода в домен совсем не надо. Люди поставили 2012 домен чисто по опыту предыдущих версий, а в нем безопасность жестче и особого выбора при установке не предлагает. Указанный ключ говорит о том, что на контроллере уровень леса\домена установлен 2012 - т.е. без обратной совместимости. Керио о таком пока и не знает. В политике безопасности контроллеров домена надо редактировать требование об обязательном шифровании каналов и уровни LANMAN. Правка этого ключа ничего, кроме проблем для ПК с Вин8, не создаст. В новых версиях керио м.б. поднимут версию Kerberos/Winbind и проблема сама умрет.