emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kerio WinRoute Firewall ™ смежная тема в варезнике Kerio WinRoute Firewall™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный McAfee Antivirus, мощные инструменты для управления доступом в Интернет на базе IBM Orange Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.   Текущая версия: 6.6.0 - March 31, 2009 Скачать последнюю версию с оффсайта -> win32 | win64 | Release history   Kerio WinRoute Firewall с интегрированным McAfee Antivirus и без него теперь поставляется в едином дистрибутиве. Активизация соответствующих функций происходит автоматически в зависимости от типа приобретенной лицензии. Дистрибутив WinRoute Firewall также содержит Administration Console. Переключение языков доступно непосредственно в интерфейсе пользователя. C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...   Manual на Русском Бета версии Manual Eng (PDF) Step-by-Step installation guide Eng (PDF) Kerio VPN Client Manual (PDF)       Сброс пароля администратора   Настройка, русификация, полный русский мануал Ключи для Kerio WinRoute Firewall F.A.Q. на PC Security - F.A.Q. - Часто задаваемые вопросы На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!   FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное   администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171) _http://12kms.fatal.ru/_kwf.html   Тут одна компания полностью на русский язык перевела хелп   Kerio WinRoute Firewall 6.0. Руководство Администратора   Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/ Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)   также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.   Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами. Всего записей: 11846 | Зарегистр. 05-06-2002 | Отправлено: 10:51 13-07-2008 | Исправлено: niichavo, 09:30 13-05-2009

MagistrAnatol Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору sNAlexis да,но по ним идет активная передача Всего записей: 2122 | Зарегистр. 09-04-2003 | Отправлено: 14:40 03-02-2009

sNAlexis Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ааа, так это нормально. у Вас же вся локалка в сеть ходит. если ограничить определенными исходящими айпи или конкретными юзерами - педерача будет только по ним идти. Всего записей: 100 | Зарегистр. 28-08-2005 | Отправлено: 16:49 03-02-2009

rumasyan Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору может кто сталкивался со следующей проблемой: стоит kerio winroute 6.5.2 билт 5172, в сети novell netware 6.5, на клиентах соответственно новеловские клиенты. На шлюзе антивирь symantec antivirus 10.1.5. Поставили керио на вин2003сервер, создали пару пользователей c привязкой по айпи, отНАТили траффик с них - все работает,траффик считается. Начали забивать пользователей, создали группы из них и после штук 80, примерно, керио перестает пускать по айпи на автомате, если заходишь на веб-морду и логинишь пользователя, то все отлично, пользователь продолжает юзать инет. Пока копал настройки, нашел интересную фишку - если включить прокси сервер на 3128 и настроить прокси в браузерах на клиентах, то тогда пользователи логиняться на автомате, как и должно быть. Снимаешь галочку в настройках прокси у клиентов - бац, нет инета.   куда копать? ткните линком, плз.     Всего записей: 5 | Зарегистр. 24-04-2008 | Отправлено: 16:53 03-02-2009

sNAlexis Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору rumasyan, а можно на правила глянуть? Те два, что созданы были в начале, так до сих пор и логинятся без проблем? Всего записей: 100 | Зарегистр. 28-08-2005 | Отправлено: 17:02 03-02-2009

rumasyan Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору http://www.picamatic.com/show/2009/02/03/05/04/1953041_659x427.JPG   Цитата: Те два, что созданы были в начале, так до сих пор и логинятся без проблем? да. 3 пользователя работают как ни в чем не бывало.     у всех пользователей забиты айпи http://www.picamatic.com/show/2009/02/03/05/06/1953062_410x295.JPG а на принтскрине керио - группы, в которых эти пользователи находятся. Всего записей: 5 | Зарегистр. 24-04-2008 | Отправлено: 17:18 03-02-2009

kaskad Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza Цитата: vnc - any - permit - nat (NIC100) - PI off Я не очень понял енто правило ( Какой тут источник (Source)? 10.0.0.20? Или с любого хоста протокол VNC разрешать на внешний интерфейс с выключенным инспектором? Щас выложу ссылку что сделал....   http://ipicture.ru/Gallery/Viewfull/12718471.html   Вот так вот создал, сразу вторым. Не работает ( Причём при попытке законнектиться на 5900 внешний порт вроде даже перебрасывает запрос корректно... Вот скрин:   http://pic.ipicture.ru/uploads/090203/fE47d0DTk6.jpg   Там верхний самый коннекшн правильный, он перебрасывает на нужный внутренний адрес, но не работает (     Я смог только один вывод сделать - проблема с авторизацией на прокси у моего сервера внутрисетевого (который 10.0.0.20), а точнее - он её не проходит, поэтому и не работает VNC. Никто не подскажет, как выпустить ентот сервер (10.0.0.20) наружу без прохождения авторизации? В настройках стоит галочка "Always require users to be authenticated when accessing web-pages" - нуно трафик контролировать... Я готов и правила пересмотреть, только бы знать, как запихать пользователей в какую-нить группу Inet Users и только им разрешить доступ к интернету. Проблема в отсутствии домена, автоматическая авторизация не прокатит... Примерчик бы мне грамотно настроенного фаера Kerio ))) В картинках )   sNAlexis Цитата: (у меня строго по пользователям)   Если не жаль, поделитесь скрином какого-нить настроенного Керио с опубликованным портом? И как пользователи авторизуются там? Домен?   Пробовал теста-ради снять вот енту вот галочку с обязательной авторизацией пользователей - опять не робит ( В Filter Log пишет вот такие вот делы:   [03/Feb/2009 17:43:03] PERMIT "1cServer" packet from Intel(R) PRO-100, proto:TCP, len:48, ip/port:хх.хх.хх.2:4008 -> хх.хх.хх.154:5900, flags: SYN , seq:2900282449 ack:0, win:65535, tcplen:0 [03/Feb/2009 17:43:06] PERMIT "1cServer" packet from Intel(R) PRO-100, proto:TCP, len:48, ip/port:хх.хх.хх.2:4008 -> хх.хх.хх.154:5900, flags: SYN , seq:2900282449 ack:0, win:65535, tcplen:0 [03/Feb/2009 17:43:12] PERMIT "1cServer" packet from Intel(R) PRO-100, proto:TCP, len:48, ip/port:хх.хх.хх.2:4008 -> хх.хх.хх.154:5900, flags: SYN , seq:2900282449 ack:0, win:65535, tcplen:0   Потом RealVNC говорит отбой ((( Connection timeout.   ЗЫ: Я уже устал с ним воевать ( Но всем спасибо за содействие ))           Добавлено: Ruza Цитата: Меня интересует route print/route -n с системы где установлен VNC.   route print/route -n - такую команду не схавал 2003 сервер, выдал справку, как пользоваться...   route print системы с VNC   IPv4 Route Table =========================================================================== Interface List 0x1 ........................... MS TCP Loopback interface 0x10003 ...00 30 48 d3 1e bf ...... Intel(R) PRO/1000 EB Network Connection with  I/O Acceleration #2 0x10004 ...00 30 48 d3 1e be ...... Intel(R) PRO/1000 EB Network Connection with  I/O Acceleration =========================================================================== =========================================================================== Active Routes: Network Destination        Netmask          Gateway       Interface  Metric           0.0.0.0          0.0.0.0       10.0.0.100        10.0.0.20     10          10.0.0.0    255.255.255.0        10.0.0.20        10.0.0.20     10         10.0.0.20  255.255.255.255        127.0.0.1        127.0.0.1     10    10.255.255.255  255.255.255.255        10.0.0.20        10.0.0.20     10         127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1         224.0.0.0        240.0.0.0        10.0.0.20        10.0.0.20     10   255.255.255.255  255.255.255.255        10.0.0.20        10.0.0.20      1   255.255.255.255  255.255.255.255        10.0.0.20            10003      1 Default Gateway:        10.0.0.100 =========================================================================== Persistent Routes:   None Всего записей: 2307 | Зарегистр. 10-10-2002 | Отправлено: 17:29 03-02-2009 | Исправлено: kaskad, 17:46 03-02-2009

rumasyan Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору проблема осталось и после переустановки керио. Разбираем по частям с самого начала, прошу помочь, т.к. выхода пока не вижу. Задача: заставить клиентов под win xp sp2 выходить через шлюз керио по НАТу с привязкой по айпи. Учетные записи в локалке раздает novell netware 6.5, у клиентов стоит novell client разных версий, в процессе ковыряния было выяснено, что от версии суть проблемы не зависит. У новелла поднят дхцп. вот мой краткий ipconfig /all (у меня все отлично работает)   Dhcp включен. . . . . . . . . . . : да Автонастройка включена  . . . . . : да IP-адрес  . . . . . . . . . . . . : 192.168.0.203 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 192.168.0.11 DHCP-сервер . . . . . . . . . . . : 192.168.0.1 <-- novell netware DNS-серверы . . . . . . . . . . . : 192.168.0.1                                     192.168.0.11 <-- kerio winroute 6.5.2 build 5172   На клиентах тоже самое. В керио у всех пользователей забиты айпи адреса. пример: http://www.picamatic.com/show/2009/02/03/05/06/1953062_410x295.JPG Выяснено точно, что часть клиентов при привязке к айпи в керио логиняться автоматом нормально, а часть нет. Остальные же пытаются открыть страницу, но безуспешно. Если клиента руками залогинить через веб-морду, то инет есть, но траффик считается как неопознанный пользователь, но если включить прокси сервер на 3128 и настроить прокси в браузерах на клиентах, то тогда пользователи логиняться на автомате, как и должно быть и траффик считается нормально. Снимаешь галочку в настройках прокси у клиентов - бац, нет инета.   И вот этот зоопарк, примерно у половины клиентов. Пока выход вижу один: у тех кто выходит нормально, оставлять без прокси сервера, а другим делать настройки в браузерах через прокси сервер. вот траффик полиси после переустановки и удаления лишнего - http://www.picamatic.com/show/2009/02/03/10/25/1955723_658x291.JPG у разных пользователях в разных группах работает нормально, у других нет... грешу на новелловского клиента, но как лечить? хелп.       Всего записей: 5 | Зарегистр. 24-04-2008 | Отправлено: 22:38 03-02-2009

sNAlexis Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kaskad,     новое правило, если активировать - тоже заработает =) Почти все ходят через НАТ. К нему допускаются только авторизированные пользователи. Есть группа, которая по айпи прибита к одному пользователю и авторизируется автоматом. На скрине компутер как раз из той группы.   rumasyan, ИМХО, новел тут вообще не при чем. В Кериве "Пользователи", закладка "Параметры аутентификации", стоит галка "Всегда требовать..."? Всего записей: 100 | Зарегистр. 28-08-2005 | Отправлено: 09:48 04-02-2009

kaskad Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sNAlexis А стоит галочка про обязательную авторизацию? И на правило выпуска пользователей в нет по нату мона посмотреть? Всего записей: 2307 | Зарегистр. 10-10-2002 | Отправлено: 11:20 04-02-2009

vimaret Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AlexRT Цитата: Подскажите пожалуйста, что это значит?   http://s60.radikal.ru/i169/0902/44/803e12e7d163.jpg   Судя по всему у вас внешние пользователи входят через виндовый VPN в локальную сеть? Тогда не обращайте внимание на эти сообщения, я уже года четыре их игнорирую, и ни чего...   Цитата: PS и каждый час-два рвется связь, куда смотреть? подключен через adsl модем к стримму, модем вроде не глючит.     Это никак не связано с теми сообщениями. Если у вас adsl модем подключается к провайдеру через авторизацию pppoe, то такой глюк в ряде случаев имеет место быть(например отваливаются удаленные подключения). Скорей всего это что-то у провайдера. Чтобы этого не было нужно подключиться к провайдеру через маршрутизацию. Другими словами заказать у него сеть из минимального количества IP адресов. Обычно провайдеры меньше 16 адресов не выделяют, хотя достаточно 4.     Добавлено: rumasyan Цитата: проблема осталось и после переустановки керио У вас интересная проблема. Я только не совсем вьехал, вы хотите выпустить пользователей в инет без залогинивания, но при этом считать трафик с привязкой к пользователям?  Или вы хотите чтобы клиенты обязательно авторизовались, но на автомате? Вот если первый случай, то для выпуска в инет пользователей за которыми жестко закреплены IP адреса, я бы в правиле kiosk вместо пользователей написал их адреса, попробуйте. А в пользователях сделал привязку к IP, это вы уже сделали. Второй случай это целая тема и прокся должна быть включена. Если понадобится, поговорим. Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 11:26 04-02-2009

HotPaganini Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Приветствую!   Два вопросика по квф.   1. Обновил квф с версии 6.2.3 до последнего свежего билда. Стар не заводит поюзерную статистику - т.е. в списке пользователей в интерфейсе КериоСтар есть только один пользователь - "Вход в систему не выполнен". Это очень удивительно, так как на прошлой работе с точно такой же конфигурацией КВФ нормально считал поюзерную статистику. Сильно подозреваю "наследие" от старых версий КВФ. Можно ли как-то почистить это дело, чтобы КериоСтар запустился без переустановки всей системы?   Юзеры у меня включены принудительно, с привязкой к домену 2003.   2. Опять же, после обновления Firefox юзеров не хочет автоматом отправлять на прозрачную проксю-она-же-шлюз данные NTLM. Я вообще часто наблюдаю этот глкюк КВФ - то система прозрачной аутентификации с привязкой КВФ к домену работает нормально, то криво. В чем, собственно, затык и какие именно настройки должны правильно быть выставлены, не известно. В итоге в появляющемся запросе на вводе пароль юзер вводит пароль от компа и нормально продолжает работу в Интернете.     Опыт в настройке КВФ у меня - 5 лет, поэтому я могу гарантировать на сто процентов, что в самом КВФ все настройки стоят правильно. Я на одной из работ даже умудрился добиться идеальной работы этого механизма, но там я принудительно перевел все рабстанции на абсолютно одинаковые виндовсы, установленные с одного дистрибутива, где абсолютно все настройки рулились через ГПО.     Но все равно периодически всплывает косяк с доменной авторизацией через шлюз. Да еще и глюк Стара в придачу. И вообще непонятно, откуда взялся "неизвестный пользователь вход не выполнен", если стоит галочка "принудительная аутентификация", к хосту файера привязан локальный юзер.   Заранее благодарю за помощь. Всего записей: 222 | Зарегистр. 05-12-2006 | Отправлено: 12:01 04-02-2009

kaskad Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ToAll   Ко всем своим проблемам понадобилось привязать пользователя интернета к конкретному рабочему месту, т.е., например, пользователь с логином 1 должен логиниться в интернет ТОЛЬКО с компьютера с IP 10.0.0.31, а с на соседних компах его связка логин-пароль работать не должны. Можно ли как-нить это реализовать? Всего записей: 2307 | Зарегистр. 10-10-2002 | Отправлено: 22:05 04-02-2009

vimaret Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AlexRT Цитата: Склоняюсь к косяку провайдера))   Это еще может быть косяк питания. Модем, как правило, обычная мыльница с внешним адаптером. UPS может помочь, а может и нет, все зависит от помех по питанию. Если они очень короткие (миллисекунды), то UPS  их не отрабатывает. При этом вся стабилизация питания ложится на само устройство, а адаптеры у (бытовых) модемов "никакие". Попробуйте для эксперимента запитать модем от батарей (аккумуляторов).       Добавлено: kaskad Цитата: Ко всем своим проблемам понадобилось привязать пользователя интернета к конкретному рабочему месту, т.е., например, пользователь с логином 1 должен логиниться в интернет ТОЛЬКО с компьютера с IP 10.0.0.31, а с на соседних компах его связка логин-пароль работать не должны. Можно ли как-нить это реализовать? Да, но не в Керио, а в Актив Директори, в свойсвах пользователя, на вкладке Account, есть кнопка Logon On To... Вот там можно привязать Юзя к Компу. Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 03:08 05-02-2009

Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kaskad Можно. Создай группу с IP 10.0.0.31. И группу с усером твоим Создай правило, что можно ходить в инет с 10.0.0.31 и задай в свойствах что оно справедливо только для группы в которой твой усер. И ниже правило, что нельзя ходить в инет, без привязки по IP но опять же справедливое только для усера. Нет сейчас Керива под руками - сделал бы картинки и точно назвал менбшки. Если что - послезавтра буду на работе - скажу точнее, если никто не поможет. Всего записей: 4434 | Зарегистр. 08-06-2003 | Отправлено: 03:20 05-02-2009

vimaret Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору HotPaganini Цитата: периодически всплывает косяк с доменной авторизацией через шлюз. Да еще и глюк Стара в придачу. И вообще непонятно, откуда взялся "неизвестный пользователь вход не выполнен", если стоит галочка "принудительная аутентификация", к хосту файера привязан локальный юзер.   Я думаю, вы уже это проверили, но на всякий случай, пишу: перебейте пароль на вкладке ActiveDirectory для учетной записи с которой Керио подключается к домену. Возможно он слетел при апгрейде. И еще попробуйте переподключить сервер на котором КВФ к домену, может что-то с доверием случилось. Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 03:39 05-02-2009

vimaret Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Коллеги кто можеть дать этому разумное объяснение? Файервол сканирует свою же локалку!!!. Это происходит практически ежедневно 1 - 2 раза в день, время произвольное, подсети и порты разные. Такая байда уже давно, но никаких троянов поймать не могу. [05/Feb/2009 14:34:26] PORTSCAN firewall="intergate.хххх.ru" hostip="10.0.11.1" hostname="intergate.хххх.ru" log="protocol: TCP, source: 10.0.11.1, destination: 10.0.11.2, ports: 4162, 4164, 4165, 4166, 4167, 4169, 4172, 4181, 4182, 4199, ..." time="Thu Feb 05 14:34:26 2009" username="Admin" [05/Feb/2009 14:50:29] PORTSCAN firewall="intergate.хххх.ru" hostip="10.0.11.1" hostname="intergate.хххх.ru" log="protocol: TCP, source: 10.0.11.1, destination: 10.0.11.2, ports: 4879, 4882, 4902, 4903, 4906, 4912, 4917, 4918, 4921, 4935, ..." time="Thu Feb 05 14:50:29 2009" username="Admin" Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 08:02 05-02-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio WinRoute Firewall (часть 4)

emx (24-05-2009 12:47): Переезжаем в следующую часть - Kerio WinRoute Firewall (часть 5).

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование