Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Kerio Winroute серии 5.x и 6.х

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (24-11-2006 23:39): тема закрыта. продолжаем тут - http://forum.ru-board.com/topic.cgi?forum=8&topic=18830  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103

   

ZUMR



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По многочисленным просьбам системных администраторов разделили общую тему по настройкам различных серий прокси серверов версий WR 4.х и KWR 5.х на две.
Пожалуйста, обращайте внимание:
В этом топике только серия KWR 5.х и выше
Настройка серии WR 4.x и старые вопросы по KWR 5.х (по состоянию на 19.01.2004 г.) в теме:
Настройка WinRoute 4.x
 

 
WinRoute 5.х и 6.x


 
Офф. сайт:  
http://www.kerio.com/kwf_home.html
http://www.kerio.com/wrp_home.html
 
 

Цитата:
   
Kerio WinRoute Firewall 5™ sets new standards in versatility, security and user access control. Designed for corporate networks, it defends against external attacks and viruses and can restrict access to websites based on their content.  
Kerio WinRoute Pro™ is a robust network firewall that protects your network from hackers and Internet threats. It easily connects the network to the Internet using various access devices. Built-in mailserver allows users to have their own corporate email.
 

Смежный топик в программах.
Лекарство ищем тут
Всего записей: 1835 | Зарегистр. 23-04-2003 | Отправлено: 13:07 19-01-2004 | Исправлено: Dervish, 17:20 16-11-2005
tolyn77



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в последнее время появились такие ошибки, подскажите что случилось?  
[25/Nov/2005 13:49:25] (2004) Unable to resolve IP address of destination NAT, dropping packet by traffic rule "smtp.yandex.ru".  
[26/Nov/2005 13:09:30] (1005) DNS Server system service detected. This service is in conflict with DNS forwarder in WinRoute.  
[28/Nov/2005 18:15:45] (2004) Unable to resolve IP address of destination NAT, dropping packet by traffic rule "pop.mail.ru".  
в правилах  
smtp.yandex.ru  
локалка - firewall - tcp порт - nat (default outgoing interface) map smtp.yandex.ru:25  
pop.yandex.ru  
локалка - firewall - tcp порт - nat (default outgoing interface) map pop.yandex.ru:110  
smtp.mail.ru  
локалка - firewall - tcp порт - nat (default outgoing interface) map smtp.mail.ru:25  
pop.mail.ru  
локалка - firewall - tcp порт - nat (default outgoing interface) map pop.mail.ru:110  
 
[26/Nov/2005 13:42:25] (0) Failed to send DNS query to server 212.xxx.xxx.x: 10065  
[26/Nov/2005 13:42:27] (4103:10048) Socket error: Unable to bind socket for service to port 53.  
[26/Nov/2005 13:42:27] (5002) Failed to start service "DNS" bound to address 212.xxx.xxx.xx.  
[26/Nov/2005 16:12:10] (8503:87) Active Directory/LDAP error: xxx.ru: Filter Error  
 
заранее благодарен
Всего записей: 1509 | Зарегистр. 07-09-2004 | Отправлено: 13:32 29-11-2005
Oaxa



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
tolyn77

Цитата:
[26/Nov/2005 13:09:30] (1005) DNS Server system service detected. This service is in conflict with DNS forwarder in WinRoute.  

Эта строка многое объясняет. Все проблемы отсюда. Ты либо запустил виндовый DNS-сервер, либо установил DNS-сервер сторонних производителей, и он, как это отчетливо сказано в журнале, конфликтует с DNS forwarder in WinRoute.  
 
 
Добавлено:
Andy_Urb
Попробуй (в качестве эксперимента) сделать address group не с именами компьютеров, а с IP-адресами. Есть подозрение, что Winroute некорректно отрабатывает имена компьютеров в правилах.
Всего записей: 123 | Зарегистр. 22-06-2004 | Отправлено: 13:46 29-11-2005
Tio Lan

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Admin CSB
 
никто не злоупотреблял - не было случая и необходимости проверять по мелочам - но общий трафик с прововским сходится...
 
 
Alex Koenig
 
у меня аналогичная ерунда -  стандартными средствами в ЛАН не зайдешь :(
такое вчепятление, что оно сканит не только  ЛАН но и нет тоже
я пользуюсь ЛАНсикером под ТС
 
а вот с пропаданием нета - у меня тож таое было - прошло непонятно от чего. мучился, насртавивал его, плюнул... через неделю нет пропадать перестал:) наверное, я службы в винде шерстил - ненужное отключал... разве что...
 
 
Еще вопрос...
 
в логах появилась следующая нездоровая ерунда:
 
[23/Nov/2005 14:37:12] [ID] 2468 [Rule] я в нет (Firewall Traffic) [Service] FTP [User] {МОЙ_ЛОГИН_В_КВФ!} [Connection] TCP 193.138.ххх.ххх:20 -> {МОЙ_АЙПИ}:3176 [Duration] 125 sec [Bytes] 1904/220/2124 [Packets] 6/4/10
 
как это понимать? помогите...
получается, из удаленного адреса кто-то под моим юзером, прописаным в КВФ, зашел ко мне по ФТП? ничего не понимаю...
Всего записей: 4 | Зарегистр. 14-11-2005 | Отправлено: 13:59 29-11-2005 | Исправлено: Tio Lan, 14:03 29-11-2005
Markes



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, ведётся ли в KWF подобие лога-журнала как это реалтзовано в Outpost, где можно смотреть кто, откуда и куда + факты атак (надеюсь отражённых )?
Всего записей: 1403 | Зарегистр. 13-09-2004 | Отправлено: 14:33 29-11-2005
Andy_Urb



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Andy_Urb  
Попробуй (в качестве эксперимента) сделать address group не с именами компьютеров, а с IP-адресами. Есть подозрение, что Winroute некорректно отрабатывает имена компьютеров в правилах.  

Я же в самом начале упомянул что сеть с DHCP - соответственно динамический IP

----------
emule - у нас по-русски
Всего записей: 1194 | Зарегистр. 24-09-2003 | Отправлено: 14:38 29-11-2005
fedich

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Присоединяюсь к вопросу Markes. А точнее, пример:
 
Захотел я прологировать rdp в локальной сети. Выделяю даже отдальное правило.  
Локалка - > терминал сервер - rdp - все галки на логах.  
Но керио не собирает.  
Вернее сбор идет, если заход идет по rdp на терминал сервер с машины, где установлен керио.
 
Получаеться, что средствами Kwf нельзя собирать определенную статистику внутри локальной сети?
Всего записей: 67 | Зарегистр. 19-02-2003 | Отправлено: 12:24 30-11-2005
tolyn77



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oaxa
[25/Nov/2005 13:49:25] (2004) Unable to resolve IP address of destination NAT, dropping packet by traffic rule "smtp.yandex.ru".  
а с этим как бороться?
Всего записей: 1509 | Зарегистр. 07-09-2004 | Отправлено: 12:27 30-11-2005
valdi77

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fedich
прошу прощения но разве kerio снифер, т-ть он разве может собирать все пакеты по сети?
Всего записей: 661 | Зарегистр. 03-04-2004 | Отправлено: 13:31 30-11-2005
Accessor



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Tio Lan

Цитата:
получается, из удаленного адреса кто-то под моим юзером, прописаным в КВФ, зашел ко мне по ФТП?  

Не пугайся, ничего страшного. просто это ты коннектился по FTP в активном режиме. В этом режиме твой IP делает вызов удаленному FTP на 21 порт, а тот в ответ делает коннект на твой IP на 20 порт. Так и должно быть. Выставь в своем клиенте пассивный режим, и такие строки в логе ты не увидишь.
Markes
включи протоколирование в соответствующем правиле и смотри Ветку с логами (раздел Connections)
Всего записей: 2867 | Зарегистр. 31-10-2003 | Отправлено: 13:33 30-11-2005
fedich

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
valdi77
Да нет конечно, не сниф.. Но ведь когда делаем в правиле не permit, а block - он походу логирует))
Всего записей: 67 | Зарегистр. 19-02-2003 | Отправлено: 13:55 30-11-2005
LEXX3001

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
такая проблема: Есть такая игра Lineage2 (Линейка), она не пашет через NAT почему то, все остальные онлайн игры работают отлично, да и в линейке вводишь пололь выбираешь чара нажимаешь старт и кроме лоадинга ни чего не наблюдаешь, а через несколько мин сервак свет коннект, правила в рвоте написаны правельно веть например МУонлайн пашет а линейка не хочет, а когда без фаервола напрямую пробуешь то все нормально.................... помогите плиз а то уже зла не хватает
Всего записей: 2 | Зарегистр. 29-11-2005 | Отправлено: 16:04 30-11-2005
tolyn77



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
не подскажите почему может происходить, сначало пускает потом не пускает?
вот кусок из лога
[30/Nov/2005 18:33:44] PERMIT "smtp.mail.ru" packet from хх.хх, proto:TCP, len:64, ip/port:172.ххх.ххх.ххх:2113 -> 172.ххх.ххх.х:5001, flags: SYN , seq:2228650788 ack:0, win:65535, tcplen:0
[30/Nov/2005 18:36:47] DROP "smtp.mail.ru" packet from хх.хх, proto:TCP, len:64, ip/port:172.ххх.ххх.ххх:2114 -> 172.ххх.ххх.х:5001, flags: SYN , seq:1979666739 ack:0, win:65535, tcplen:0
Всего записей: 1509 | Зарегистр. 07-09-2004 | Отправлено: 08:30 01-12-2005
Accessor



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tolyn77
Protocol Inspector выключен на правиле smtp.mail.ru ???
Всего записей: 2867 | Зарегистр. 31-10-2003 | Отправлено: 11:13 01-12-2005
tolyn77



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Accessor
включен, этот кусок лога как раз из "filters"
 
вот что OE пишет если отправлять большие письма (3,2 м)
"Соединение было неожиданно прервано сервером. Возможными причинами этого являются сбои на сервере, сбои сети или длительное отсутствие активности. Тема '', Учетная запись: 'pop.mail.ru', Сервер: '172.ххх.ххх.ххх', Протокол: SMTP, Порт: 5001, Защита (SSL): Нет, Ошибка сокета: 10053, Код ошибки: 0x800CCC0F"
 
еще не подскажите какой что нужно открыть что бы пинговать сервер по ип и хосту?
Всего записей: 1509 | Зарегистр. 07-09-2004 | Отправлено: 11:16 01-12-2005 | Исправлено: tolyn77, 12:29 01-12-2005
Feanorus



Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
народ! помогите пжалуйста.........
нужно достаточно банальную весчь, открыть порт на Kerio Winroute 6.Х  порт номер 4899 (для Р-Админа)
На сервере стоит 2003 винада, Kerio Winroute 6.Х, народ выходит в инетернет все замечательно....  
чуть не забыл значит на серваке 2-е сетевухи, одна это интернет от провайдера с статическим айпишником, по второй бегает локальная сеть офиса, там тоже статика.
 
в traffic rule пробовал создавать следующие правила  
Source Интернет  
Destination Локальная сеть
Service порт 4899 (и еще создавал новый сервис под названием Р-админ с портом 4899 TCP/UDP)
Action - Permit
 
 
но при попытки даж просканировать сервак, он говорит что все порты на нем находятся в Stelth
Всего записей: 29 | Зарегистр. 13-03-2003 | Отправлено: 12:16 01-12-2005
Gorbunov_Pavel



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, как правильно прописывать портмаппинг в KWF 6.1.3, чтобы заработал банк-клиент. Он хочет попасть по адресу 195.234.ХХХ.ХХХ по TCP-порту 996 (адрес и порт можно указать другие, типа:192.168.100.100:27). Раньше он работал c UserGate (192.168.100.100) у которого был включен портмаппинг: тип: TCP; исх.IP: Любой; слушать: Any:27; cервер назнач.: 195.234.XXX.XXX:996; авторизация по IP.
Всего записей: 10 | Зарегистр. 19-01-2005 | Отправлено: 12:31 01-12-2005
Rewind

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ALL, для информации, мож кому поможет:
Была проблема:
не могу соединиться со 25 портом на smtp.mail.ru с машин в локалке. С сервера проблем нет, на остальные smtp-сервера типа BK,rambler,inbox - все у всех ОК, а на smtp.mail.ru - нет.
Решение:
Отключил anti-spoofing и вместо внутреннего интерфейса прописал группу ip-адресов в правиле почты и все заработало
Всего записей: 77 | Зарегистр. 09-03-2003 | Отправлено: 12:49 01-12-2005
tolyn77



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а зачем нужен anti-spoofing?
Всего записей: 1509 | Зарегистр. 07-09-2004 | Отправлено: 13:36 01-12-2005
Accessor



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tolyn77
защита от подделки IP адреса источника. см.также
Всего записей: 2867 | Зарегистр. 31-10-2003 | Отправлено: 15:30 01-12-2005
HoverHell

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите плиз, как можно DHCP сервер kerio ограничить несколькими интерфейсами? (По умолчанию он включает dhcp слушать на все интерфейсы...).
Всего записей: 33 | Зарегистр. 12-02-2005 | Отправлено: 22:18 01-12-2005
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Kerio Winroute серии 5.x и 6.х
emx (24-11-2006 23:39): тема закрыта. продолжаем тут - http://forum.ru-board.com/topic.cgi?forum=8&topic=18830


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru