Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio Control (ex Kerio WinRoute Firewall)

Автор: Valera_Davay
Дата сообщения: 13.08.2015 14:58
Здравствуйте, кто сможет извлечь один файлик из последней версии 8,6!?
лежит по пути /opt/kerio/winroute/webiface/nonauth/guest.php
был бы очень признателен!
Автор: Morannn
Дата сообщения: 13.08.2015 17:19
Кто поможет подключить usb свисток YOTA к kerio control 8.6. Заранее спасибо.
Автор: SAA
Дата сообщения: 14.08.2015 10:56
добрый день
нужен совет
есть внутри организации NAS, на нем включен сервис FTP
внутри организации в локалке сервак работает, но вот наружу опубликовать его не понимаю как.
направьте на путь истинный
Автор: havoc77
Дата сообщения: 14.08.2015 11:22
В последнем kerio никто не сталкивался с проблемами с VPN
GRE и PPTP проброшены на девайс, подключение когда поднимается, то не стабильно и постоянно рвется. В чем тут проблема может быть ?
Автор: JOLLYK
Дата сообщения: 14.08.2015 11:38
Morannn
Можно посоветовать подключить через связку YOTA свисток -> роутер (тоже кинетик 2 допустим) -> сетевуха керио. Костыль конечно, но работает. Если при прямом включении в usb порт YOTA свисток не определяется, то видимо нужны пляски с бубном для установки драйверов. Когда kerio был на винде было проще в этом плане.

SAA
В правилах трафика создайте:
источник = Интернет интерфейсы
получатель = Бранмауэр
Служба = FTP (или вручную 21 порт) (порт который у вас будет торчать наружу)
Действие = разрешить
Трансляция = Трансляция на IP NAS (можно указать трансляцию порта если он у вас по какимто причинам не совпадает с внешним)
З.Ы.
Это уже было описано и не раз даже с картинками XD
Автор: Morannn
Дата сообщения: 14.08.2015 12:52

Цитата:
Morannn
Можно посоветовать подключить через связку YOTA свисток -> роутер (тоже кинетик 2 допустим) -> сетевуха керио. Костыль конечно, но работает. Если при прямом включении в usb порт YOTA свисток не определяется, то видимо нужны пляски с бубном для установки драйверов. Когда kerio был на винде было проще в этом плане.


С роутером это конечно понятно. Но буду пробовать так:

1. Думаю этого делать не потребуется так как модем светится синим, но кто его знает;
wget madwimax.googlecode.com/files/madwimax-0.0.2.tar.gz # Скачиваем исходный код
tar -xzf madwimax-0.0.2.tar.gz # Распаковываем
mv madwimax-0.0.2 wimax
make -C wimax # Компилируем

2 А это думаю наш случай:

/root/wimax/wimax.sh:
#!/bin/sh
/root/wimax/wimax -qd
sleep 10
ip l set dev tap0 mtu 1386
dhcpcd -q --noipv4ll tap0 &> /dev/null

/etc/udev/rules.d/99-madwimax.rules:
# udev rules file for madwimax supported devices
SUBSYSTEM!="usb|usb_device", GOTO="madwimax_rules_end"
ACTION!="add", GOTO="madwimax_rules_end"
ATTRS{idVendor}=="04e9", ATTRS{idProduct}=="6761", ATTR{bInterfaceNumber}=="01", RUN+="/bin/sh -c '/bin/echo -n $kernel > /sys/$devpath/driver/unbind'"
ATTRS{idVendor}=="04e9", ATTRS{idProduct}=="6761", ATTR{bInterfaceNumber}=="00", RUN+="/usr/bin/at -f /root/wimax/wimax.sh +1minute"
LABEL="madwimax_rules_end"
Автор: SAA
Дата сообщения: 14.08.2015 12:56
JOLLYK
это вы описали пассивный режим FTP, для его использования подходит наверно только тоталкомандер, обычные браузеры зарезаются фаером
нужно чтоб максимально просто было для получателей.
Автор: Tihon_one
Дата сообщения: 14.08.2015 15:10
zoom20051
скажем так там есть некие проблемы доступа к плей маркету гугл, а не произвольных ресурсов, и во вторых не факт что проблема в нате, далеко как не факт.

Но тебе проверить просто можно, просто отключи для HTTP\HTTPs инспектор и посмотри заработает ли всё или нет.
Автор: JOLLYK
Дата сообщения: 14.08.2015 16:28
SAA
Вы уверены у меня все работает правдо не помню в каком режиме работает FTP, надо смотреть. Из дома и со всяких халтур прекрасно подключаюсь через браузер что-бы скачать тот же тотал или я что не догнал?

В активном режиме, когда клиент говорит «Привет!» он так же сообщает серверу номер порта (из динамического диапазона 1024-65535) для того, чтобы сервер мог подключиться к клиенту для установки соединения для передачи данных. FTP-сервер подключается к заданному номеру порта клиента используя со своей стороны номер TCP-порта 20 для передачи данных.

В пассивном режиме, после того как клиент сказал «Привет!», сервер сообщает клиенту номер TCP-порта (из динамического диапазона 1024-65535), к которому можно подключится для установки соединения передачи данных.

Главное отличие между активным режимом FTP и пассивным режимом FTP – это сторона, которая открывает соединение для передачи данных. В активном режиме, клиент должен принять соединение от FTP-сервера. В пассивном режиме, клиент всегда инициирует соединение.
Автор: SAA
Дата сообщения: 14.08.2015 17:17
JOLLYK
всё верно
у меня внутри стоит NAS LenovoEMC
у него нет настроек FTP кроме как вкл\выкл
соответственно, настроить конкретный диапазон портов под него нет возможности, а как решить вопрос иначе я не допёр, всю голову сломал уже. если завернуть все верхние порты на FTP перестаёт работать куча всяких клиент банков
Автор: Leon1978
Дата сообщения: 16.08.2015 13:13
кто использовал последнюю версию, подскажите как там авторизация с active directory работает?
Автор: kuleshovsergey
Дата сообщения: 16.08.2015 22:10
Доброго времени суток!

Подскажите, пожалуйста, как во вкладке "Активные хосты" включить отображение десятых и сотых долей в приёме и передаче? На крайних версиях всё округлилось до целых.
Автор: Talay
Дата сообщения: 17.08.2015 10:59
Привет всем,
у меня такой стоит, на новое денег нет и не будет.
Kerio Control 7.3.2 build 4445

мне надо, чтоб определенные сайты открывались после окончания лимита и оутлук работал.

как такое замутить?

подскажите, с утра все волосы с головы содрал...
Автор: JOLLYK
Дата сообщения: 17.08.2015 12:35
SAA
У меня такое чуйство что вы что то делаете не так. Какие верхние порты?
В "Правилах трафика" создаем новое правило _для чистоты эксперимента ставим первой строкой_
1. ИСТОЧНИК Выбираем "интернет интерфейсы" ну или указываем внешнюю сетевуху
2. НАЗНАЧЕНИЕ выбираем брандмауер
3. СЛУЖБА выбираем FTP или SFTP посмотрите что вы там выбрано в ваших настройках я так понимаю ftp
4. ДЕЙСТВИЕ выбираем Разрешить
5. ТРАНСЛЯЦИЯ Ставим галку _только_ в пунке "включить адрес назначения NAT "
В пункте "включить источник NAT" _НЕ ставим_
В строке транслировать в следующий хост указываем IP NAT, (что то вроде 192.168.0.10) тот ip который вы назначили в настройках NAS.
Трансляцию порта НЕ включаете. т.к. вы используете стандартный.
Все должно работать без вариантов.

Возможная причина провайдер блокирует порт 21 это надо уточнить.
Можно допустим использовать нестандартный к примеру 2121 и в этом случае уже надо включать трансляцию на порт 21. То есть из дома, к примеру, вы обращаетесь _ftp://ip_Адрес_Внешний:2121_ И в этом случае в пункте СЛУЖБА вы указываете порт 2121
Автор: vass40
Дата сообщения: 17.08.2015 14:24
[more] [more] Для Gamaliaka:


У меня похожая проблема. Вот тут я отписывался (мой ник vass30)- http://rutracker.org/forum/viewtopic.php?p=68520064#68520064

А сегодня наткнулся на эту статью, http://interface31.ru/tech_it/2014/01/nastraivaem-set--v-hyper-v.html

Так вот, читаем комент внизу:

"Oleg Dobritsa • месяц назад
Подскажите пожалуйста. Есть Гостевая: W2008R2 c Kerio connect на нем должно быть 3 сетевых адаптера: 1. Основной - Поставщик интернет; 2. Дополнительный - Поставщик интернет. 3. Локальная сеть 192.168.0.5. Как подключить гостевую к сетевым адаптерам?
• Ответить•Поделиться ›
Аватар
Уваров А.С. Модератор Oleg Dobritsa • месяц назад
Создаем три внешних сети, на двух (которые к провайдерам) убираем галочку Разрешить управляющей операционной системе предоставлять общий доступ к этому сетевому адаптеру.

Создаем в виртуальной машине три сетевых адаптера и подключаем к трем сетям."

То есть один в один как у меня, и подозреваю и у тебя тоже.
И я вспомнил, что внешней инетовской сетевухе, я когда создавал виртуальный адаптер, то оставлял галку на "Разрешить управляющей операционной системе предоставлять общий доступ к этому сетевому адаптеру". О что получается, этот адаптер по DHCP принимал настройки моего провайдера интернет, а поскольку галка стоит (что означает доступность сетевухи как для провадйера так и для сервера), то и сам сервер мой тоже по DHCP ему пытался нарезать настройки!

Поэтому надо снимать галку, отрезав таким образом сетевуху от самого сервака, и сделав её видной только для KERIO.

Хочу в ближайшее время опробовать.

Что скажешь, может у тебя такая же песня была на твоем серваке?[/more] [/more]
Автор: Talay
Дата сообщения: 17.08.2015 15:29
После лимита не получится некоторые ресурсы открывались?
Автор: zoom20051
Дата сообщения: 18.08.2015 11:44
Tihon_one


Цитата:
Но тебе проверить просто можно, просто отключи для HTTP\HTTPs инспектор и посмотри заработает ли всё или нет.

Пробовал не работает.
P.s жду нового провайдера и буду колдовать с новой силой)) , с этой конфигой уже устал. пока работает 7.4.1 build5051 не заморачиваюсь. А кто знает какую скорость интернет соединения поддерживает максимально 7.4.1, было как то на старых версиях до 50mb.
Автор: Tihon_one
Дата сообщения: 18.08.2015 15:40
zoom20051
драйвер держит до гигабита.
Автор: BadBugs
Дата сообщения: 19.08.2015 10:51
Kerio Control 8.4.0

есть статический адрес в интернете
к нему привязан веб сервер с ресурсов
где и как настроить в керио доступ к сайту ?
(нужно что бы человек через интернет набрал адрес ххх.ххх.ххх.ххх в браузере и попал на сайт)

прошу прощения если подобные вопросы были - просто через поиск что то найти не получается. заранее спасибо.
Автор: JOLLYK
Дата сообщения: 19.08.2015 12:09
BadBugs
Если я правильно понял в локальной сети (предприятия) есть внутрений HTTP сервер и нужно получать доступ к нему через инет. Тогда на предыдущей странице мой пост для настройки FTP только вам надо выбирать службу не FTP, а http.
Опять таки уточнить у провайдера что не заблокирован 80 порт если договор на юр лицо то скорей всего не блокирован.
Автор: MagnusPoisonous
Дата сообщения: 19.08.2015 13:08
Подскажите, Kerio Control 8.5.1, 2 канала связи, стоит резервирование. Нужно один хост (ip телефон) пускать по резервному каналу всегда. Так вообще будет работать?
Создано правило
Источник - этот хост
Назначение инет интерфейсы
Служба - любая
Версия протокола - любая
Действие - разрешить
Трансляция - NAT и выбран этот канал (Полный конус и прочие настройки не активны)

Но при такой настройке не пашет. Что не так?
Автор: JOLLYK
Дата сообщения: 19.08.2015 13:56
MagnusPoisonous
Эм у меня смутное чуйство что резервированный канал не пашет пока работает основной. Включите балансировку.
Автор: des2
Дата сообщения: 19.08.2015 14:40
нужна помощь профи- есть в виртуалке Kerio Control 8.0.0 (тот. что на базе Linux), задаче его - предоставить доступ в инет, все идет через НАТ, правила настроены, стоит чтобы вести учет подключений, созданы пользователи и в их настройках прописаны IP адреса их ПК, прокси не используем - нежелательно. Все устраивает- кроме того, что нет вообще статистики приема-передачи данных по пользователям- все сваливается в одну кучу - "неопознанные пользователи". увидел точно такую же версию у товарища Керио - так вот у него такое же использование Керио и статистика вся ведется.. записал как у него все настройки выглядят, проверил все у себя- аналогично, но статистика не считается.. Может где-то что-то упустил..?? Если надо какую дополнительную информацию- обязательно выложу.. Спасибо заранее.
Автор: Iacoyn
Дата сообщения: 19.08.2015 14:43
des2
Аутентификация в настройках стоит какая?
Пользователи созданы в Керио?
Автор: des2
Дата сообщения: 19.08.2015 14:59
"Пользователи созданы в Керио?" - да, пользователи созданы, "Аутентификация в настройках стоит какая? " - не совсем понимаю где это смотреть, но пользователи нигде не авторизуются, это совсем не нужно, у товарища 100+ пользователей в керио, и никто из них даже не знает что он имеет какой-то там пароль в керио..(или не имеет )) )... я так понимаю что система должна сопоставлять имя пользователя его ip, который на вкладке "ip-адреса" забит... и вести фактически учет по ip, подставляя имя пользователя..\
Автор: JOLLYK
Дата сообщения: 19.08.2015 18:03
des2
Галочка "Всегда требовать аутентификации пользователей..." в доменах и аутентификации стоит? Если нет то даже при закрепленном за IP пользователем, аутентификации не будет, а значит весь трафик считается на неопределенного пользователя.
Автор: des2
Дата сообщения: 20.08.2015 12:11

http://imageshack.com/a/img661/7049/C8esmq.jpg
в этом скрине у меня не стоит эта галочка, как только я ее ставлю - все пользователи получают окно в браузере, требующее авторизации, более того, есть пользователи, которые физически- устройства, и в них бежит трафик не http через керио, может как-то по другому можно вести статистику переданных данных по IP ?
Сейчас Керио стоит точно такой же версии как и у товарища, и у него тоже НЕ стоит галочка авторизации, но каким-то чудом считает по каждому пользователю.. как он утверждает, это считаться начало сразк как он в керио прописал IP в профилях пользователей...
Автор: JOLLYK
Дата сообщения: 20.08.2015 12:48
des2
Я не понял причем тут непрозрачный прокси если у вас все идет через NAT (прозрачный прокси). Спорить не буду, но где-то у вас не допилено. У меня так технические приборы выходят в сеть авторизуясь по IP.
Автор: des2
Дата сообщения: 20.08.2015 14:11
не, авторизация на непрозрачном прокси- непричем, она была достаточно давно, когда-то был прокси просто, сейчас НАТ, галочка эта что стоит - что нет, не на что ни влияет.. вот как у Вас, JOLLYK, "приборы" через НАТ авторизируются на Керио по IP ? может покажете мастеркласс?
Автор: Kkasock
Дата сообщения: 20.08.2015 14:17
[more] [more] [more] Добрый день всем Вам.

Предыстория такая. Пришла задача сделать грубую привязку Пользователя в Kerio Control к его рабочему месту. Ну вот по полочкам:

- В Правилах Трафика задан Internet Access только для Аутентифицированных Пользователей;
- Никаких DHCP серверов в сети (и не планируется);
- Никаких Домен-контроллеров в сети (и не планируется);
- Пользователи имеют полный доступ к администрированию своих рабочих мест;
- Все действующие по штатному расписанию работники организации занесены в Пользователи Kerio Control;
- Ведется прослеживание за посещением сайтов (в какие именно кто ходит), скачиванием контента (музыка, видео, программки...). Есть определенное кол-во людей добившихся от неразбирающегося в вопросе начальства полного доступа в интернет с приставкой "ну мне для работы нада...", за ними и отслеживание. Остальные - либо не получают интернет вовсе, либо профильтрированы по форматам файлов, конкретным url и т.д...

Теперь задача: Уехал пользователь с IP 10.0.0.5 в отпуск на месяц (ему положен интернет с полным доступом) и в это время другой пользователь желающий воспользоваться этой возможностью меняет свой IP с 10.0.0.10 на свободный ныне 10.0.0.5. Внимание! Подключив в аутентификационных опциях Пользователей еще и MAC, наша Kerio (что б её побрало) выполняет логическое ИЛИ, а не И. То есть смотрит на совпадения либо айпи, либо мака. Прописано, что пользователь Иванов имеет аутентификацию по IP 10.0.0.5 *ИЛИ* MAC 07-07 (сокр.), но злоумышленник, имея MAC 11-13 (сокр.) поставив себе IP 10.0.0.5 (конфликта не будет, ведь хозяин последнего в отпуске) таки пройдет аутентификацию и будет наслаждаться интернетом. В конце квартала, когда начальству будет предложена распечатка по пользованию интернетом - невинный Иванов окажется в глупой ситуации, из-за персоны пожелающей остаться неизвестной.

Как сделать так, что бы пользователи внутри сети имея свои IP и возможность их менять, не смогли авторизироваться под Пользователем (а соответственно не смогли выйти в интернет) если IP был изменен на тот, который имеет доступ и не отфильтрирован и не имеет ограничений в вебе. Так же это касается умников которые приходят со своими домашними недо-буками, подключают патч в сетевую и таким же образом подбирают IP и свободно шарят в интернете.

Еще раз. Никаких Доменов. Никаких DHCP. Нужна элементарная привязка. IP + логическое *И* + MAC.

ЗЫ: Пусть никого не смущает вариант с подменой как IP так и MAC. Этот вопрос будет решаться отдельно.

Спасибо, надеюсь кто-то мне поможет. [/more] [/more] [/more]

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117

Предыдущая тема: Права доступа NTFS


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.