» Kerio Control (ex Kerio WinRoute Firewall)

Приветствую!
Случилась такая штука. В трафик полиси хосты прописаны не по ip а DNS именами. Теперь перестали правила реагировать на DNS имена хостов только на ip. Перед этим было произведена очистка DNS от устаревших записей. После рестарта керио не дает инет компам по днс имени. Естественно в DNS все записи хостов есть. На сервере где установлен керио nslookup прекрасно отрабатывает. Где копать? Просто даже и никаких мыслей не возникает... Win2003 domain

В природе существуют плагины сторонних антивирусов, платно/бесплатно для 8-й версии ?
Поделитесь ссылками.

Спасибо.

Цитата:

Подскажите с установкой (8.1.1 patch 3 build 1212):
Залил образ на флешку (объем - 4Гб), гружусь, начинается установка:
Initialization Failed
Error: The installer failed to initialize. The installation cannot continue.
Ниже в табличке:
Detecting CD/DVD-Rom...
sda: Kerio [cannot mount iso9660]
sda: Kerio [cannot mount vfat]
sdb: Silicon-Power4G [cannot mount iso9660]
sdb: Silicon-Power4G [cannot mount vfat]

У меня такое было, намучался пипец.
В итоге, как я понял, не умеет Kerio устанавливаться с флешки.
Залил образ на CD и все встало с полпинка.

Bublick
да нуу, всегда работало, может чего в контроллере USB покрутить надо было?

Добавлено:
Dr_Ceboo
круто, спасибо!

Подскажите пожалуйста как работает аутентификация на Керио?
Ввел Керио в домен, посмотрел пользователей, локальным интерфейсам доступ сделал только к http и к https. Аутентефицированным пользователям к http и к https, ftp, smtp.
На закладке домены и аутентификация пользователей поставил галочку на автоматическую аутентификацию NTLM.
Но что то не работает. Скачал файл, ходил по сайтам показывает что неизвестный пользователь скачивал.
Отключил первое правило и все нету инета. Включаю инет есть, но нету аутентификации.
Помогите правильно настроить пожалуйста.

Цитата:

Подскажите пожалуйста как работает аутентификация на Керио?
Ввел Керио в домен, посмотрел пользователей, локальным интерфейсам доступ сделал только к http и к https. Аутентефицированным пользователям к http и к https, ftp, smtp.
На закладке домены и аутентификация пользователей поставил галочку на автоматическую аутентификацию NTLM.
Но что то не работает. Скачал файл, ходил по сайтам показывает что неизвестный пользователь скачивал.
Отключил первое правило и все нету инета. Включаю инет есть, но нету аутентификации.
Помогите правильно настроить пожалуйста.

Скрины правил.... и настройки аутентификации.
Или используйте это

Цитата:

Цитата:
g00001
Доброе время суток,

Уже сломал голову в поисках, помоги с NTLM Авторизацией,
она отлично работает только по НТТР - а клиент бывает работает с другими прогами, работающими по другим портам.
Как можно пройти данную авторизацию или какой прогой, например через консоль, что бы не писать в открытом виде логин и пароль пользователя (ОНИ доменные) ?

У меня отдельно стоит контроллер AD, сервер DHCP, DNS серверы (все это не на керио). В результате долго возился чтобы настроить но вроде как заработала и все авторизует. По моему для корректной работы нужно импортировать учетки из AD в локальную базу. Так же Керио добавить в Домен сам и указать все сервера контроллеров и DNS. По моему этого хватило.

freac

правило


аутентификация


Не пойму просто, нужно каждый раз вводить учетные данные? Автоматом нельзя сделать?

Цитата:

Не решена главная проблема

Dr_Ceboo, поправить fstab, убрать ro при монтировании корня, не?

Коллеги, возможно вопрос ламерский, но подскажите. Имеется следующая задача. Организация 110+ компов. Active directory пока нет. но есть нужда в Kerio. Имеется не настроенная машина с Kerio Kontrol 8.3.2. Доступ в интернет осуществляется с помощью микротик (там 2 провайдера, впн между центральным офисом и остальными, перенаправление портов). Микротик трогать бы не хотелось. Ещё бы не хотелось менять настройки на серверах (на них статика). Можно ли как то настроить керио, чтобы можно было формировать списки посещённых сайтов по пользователям, но глобально не перекапывать сеть, то есть задача, в основном, в контроле за пользователями,за остальное будет отвечать микротик пока что.

MAGNet

Цитата:

Dr_Ceboo, поправить fstab, убрать ro при монтировании корня, не?

Думаю если так сделать, появится брешь в безопасности. Так-же не достигнем желаемого результата при установке, ибо директории для установки автозапуска демона разные. Надо либо переделать скрипт установки, либо сделать скрипт запуска mbbservice так чтобы он запускался с нужными параметрами, чтобы модем на горячую переходил в NDIS, чтобы не перезагружать Kerio Kontrol. Как-то так.

ЗЫ
Кстати в папочке "/usr/local/MobileBrServ" лежит скрипт startmbbservice, наверное он и должен попадать в папку автозагрузки демона, но по объективным причинам этого не происходит и при его запуске он выдает ошибку не могу пока разобрать почему... (ошибка условия if)

В последних версиях Appliance, заметил ерунду с отправкой по почте оповещений о событиях, для примера "событие подключения", когда отваливается один из wan интерфейсов.
На прежних версиях, все было отлично:


В 8_х версиях:


Кто-то сталкивался и знает как побороть это?

Цитата:

Leon1978правило


аутентификация


Не пойму просто, нужно каждый раз вводить учетные данные? Автоматом нельзя сделать?

Постараюсь помочь:
1. Скиньте скайп в ПМ или вибер, просто писать многовато может получится а времени на это нет.
2. Если проблему решим от Вас подробное описание на форуме для других пользователей.

Добавлено:

Цитата:

vadiaraКоллеги, возможно вопрос ламерский, но подскажите. Имеется следующая задача. Организация 110+ компов. Active directory пока нет. но есть нужда в Kerio. Имеется не настроенная машина с Kerio Kontrol 8.3.2. Доступ в интернет осуществляется с помощью микротик (там 2 провайдера, впн между центральным офисом и остальными, перенаправление портов). Микротик трогать бы не хотелось. Ещё бы не хотелось менять настройки на серверах (на них статика). Можно ли как то настроить керио, чтобы можно было формировать списки посещённых сайтов по пользователям, но глобально не перекапывать сеть, то есть задача, в основном, в контроле за пользователями,за остальное будет отвечать микротик пока что.

есть решение, на тех же условиях.
Постараюсь помочь:
1. Скиньте скайп в ПМ или вибер, просто писать многовато может получится а времени на это нет.
2. Если проблему решим от Вас подробное описание на форуме для других пользователей.

Все доброго дня, народ подскажите есть ли реализация функции в программе:

Запретить доступ ко всем сайтам кроме (список разрешенных) или нужно все самому прописывать. Может есть какой та другой отдельный механизм для реализации данной задачи. Данный функционал есть в Касперском хотелось бы реализовать и в данной программе.

Спасибо!

ramshik
через контент фильтр, над нижним правилом создать его противоположность, т,е. любой любой запретить, а выше уже открывать конкретно что и кому можно.

ramshik
перечень сайтов/доменов в группу URL и доступ только на эту группу

вопрос по настройке днс, на внешнем указал днс 8,8,8,8, на внутреннем ничего.
включить пользвательскую переадресацию днс
* 192,168,91,11

в правилах разрешил 192,168,91,11 днс наружу.

Вроде все работает. Но правильно ли?

Цитата:

Bublick
да нуу, всегда работало, может чего в контроллере USB покрутить надо было?

Нет, я в процессе попыток установок с USB перепробовал 3 абсолютно разных материнки.
Возможно дело в режиме USB-HDD, но пробовать еще раз неохота.

Добавлено:
Как в версии 8.3 включать SSH? Кнопки "Действия" теперь на странице "Состояние системы" нет.

Bublick

Цитата:

Как в версии 8.3 включать SSH? Кнопки "Действия" теперь на странице "Состояние системы" нет

"Состояние системы" + Shift

Цитата:

Возможно дело в режиме USB-HDD

и к гадалке не ходить....

Всем спасибо за варианты реализации попробую сделать !!!

Tihon_one
morfiymorfiy

если так сделать то не все нормально отображается.
К примеру на мейл ру не показывает основной банер, и фото с раздела "мой мир" -> "Популярные фото:"

ну да бог с ним, с тем мейл ру, точно таким же образом не отображается куча других нужных сайтов.
иногда сайт изменяется до неузнаваемости, так как не подгружается часть графики которая была интерфейсом.

у вас разве такого не было при подходе:
1) разрешить доступ к списку сайтов
2) запретить все остальное
?

версия керио 7.4.1

подскажите, как ускорить переключение на резервный канал, если основной прилег?
замечено, что проходит не менее получаса, пока до тех пор, пока керио начинает понимать, что основной канал ёк.
и даже после этого он не обрывает установленные соединения (которых давно нет) и не пересоздает их на новом канале.

сейчас "резервирование каналов" у меня происходит так: после второй жалобы на отсутствие интернета открывается монитор и если там по основному каналу видится нулевая активность, то просто этот интерфейс отключается в конфигураторе. на 10-15 минут. за это время керио хватает ума перестроить все каналы на резервный интерфейс.
когда связь на основном восстанавливается, то процедура повторяется в обратном порядке - отключается резервный интерфейс и т.д...

Собственно вопрос: до коле?!!
Это же элементарная логика - простейшие алгоритмы и никакой внезапной математики!!!
Почему всё так криво?
Для чего нужна эта балансировка и резервирование, если они делаются моими руками?

..вот за это, собственно, мы платим деньги

зы
8.1

sssset

Раз десятый пишу что подход неверен в принципе. Никогда Вы не составите корректный список сайтов к которым нужно "разрешить доступ". Любой современный сайт "кроссдоменен" и Вы задолбаетесь вычислять все "нужные" домены для сайта, который Вы захотите разрешить.

Выход только один и он правилен. Разрешить всё и запрещать точечно. Для этого есть куча инструментов: урл-фильтры, контент-фильтры, IDS.

Starshark2007

Спасибо
Просто давно не вникал в тему, в последний раз сталкивался с данной проблемой года 3 назад...
думал, может что-то за это время поменялось и было найдено решение.

Еще раз спасибо

Есть несколько нужных сайтов. Всё остальное зарезать. Как?

Возникла такая проблема:
Есть IP камеры внутри сети. Работают нормально. Не могу настроить их просмотр из интернета. На прямую через модем всё Ок, а через Керио не хочет.
Скриншоты своих настроек прилагаю.
https://yadi.sk/i/I1AYmAZmZXpdB
https://yadi.sk/i/0jmXdPfrZXpej
https://yadi.sk/i/UZdmYQlqZXpet

Pashtik29rus
это какой-то очень специализированный юмор..
кхм %)
как default router для камеры оказался в другой подсети?
если керио стоит за модемом, то как он должен всё разрулить, если все порты камеры подняты на виртуальном сервере и автоматически перенаправляются модемом? (а при каком вообще месте там керио?)
каким образом полное транслирование адресов между камерой и интернетом может помочь в данной ситуации?

давайте так - подробная конфигурация локальной сети - там посмотрим.

Добавлено:
celeron1700
поднять глаза на пол экрана выше!

MAGNet

https://yadi.sk/i/UbfqgGZxZbJFd
Что прописывать в Керио?

Источник - INET;
Назначение - Брандмауэр;
Служба - TCP 83;
Трансляция - MAP 192.168.1.222

MAGNet
Не хочет работать. Уже не знаю что делать. Может есть какие-нибудь идеи?