emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kerio WinRoute Firewall ™ смежная тема в варезнике [?] Kerio WinRoute Firewall™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный McAfee Antivirus, мощные инструменты для управления доступом в Интернет на базе IBM Orange Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.   Текущая версия: 6.6.0 - March 31, 2009 Скачать последнюю версию с оффсайта -> win32 | win64 | Release history   Kerio WinRoute Firewall с интегрированным McAfee Antivirus и без него теперь поставляется в едином дистрибутиве. Активизация соответствующих функций происходит автоматически в зависимости от типа приобретенной лицензии. Дистрибутив WinRoute Firewall также содержит Administration Console. Переключение языков доступно непосредственно в интерфейсе пользователя. C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...   Manual на Русском [?] Бета версии Manual Eng (PDF) Step-by-Step installation guide Eng (PDF) Kerio VPN Client Manual (PDF)       Сброс пароля администратора [?]   Настройка, русификация, полный русский мануал Ключи для Kerio WinRoute Firewall [?] F.A.Q. на PC Security - F.A.Q. - Часто задаваемые вопросы На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!   FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное   администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171) _http://12kms.fatal.ru/_kwf.html   Тут одна компания полностью на русский язык перевела хелп   Kerio WinRoute Firewall 6.0. Руководство Администратора   Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/ Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)   также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.   Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами. Всего записей: 11868 | Зарегистр. 05-06-2002 | Отправлено: 10:51 13-07-2008 | Исправлено: niichavo, 09:30 13-05-2009

AlOne Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ruza Цитата: vnc - any - permit - nat (NIC100) - PI off   какое-то кривоватое правило. не находишь? Всего записей: 716 | Зарегистр. 14-11-2003 | Отправлено: 00:21 30-01-2009

vimaret Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza Цитата: Хм... Ну раз дискуссия то тогда давайте рассмотрим правило на примере одного пакета пришедшего с any и дошедшего по разбору до этого правила:   Source       Dst   195.10.1.1  Firewall.........   Как поведёт себя керио, если оно сцуко телепатических хотелок админа не понимает?     З.Ы. NIC 100 в данном случае является, не всё что приходит, а именно IP этого интерфейса...   Если NIC 100 это мнемоника внешнего IP (группы адреснов) , а не внешнего интерфейса, то правило конечно неработоспособное....     Добавлено: kaskad Цитата: Ничего не понял из совета ( Сознаюсь сразу, в принципе не понимаю, как в керио мониторить ( Что мне покажет ентот лог? Что блочатся соединения по порту 5999? Но это очевидно ) А как понять ПОЧЕМУ? (( Цитата: Короче, разобрался, поставил в Traffic Policy около свого правила переадресации портов в разделе Log обе галочки. Пошёл в фильтр, попробовал подключиться по порту 5999, мне в фильтре написало, что Permit согласно правилу, т.е. если верить логу, то запрос фаер обрабатывает корректно и пропускает (( Но переадресации в локаль на сервер 10.0.0.3 не происходит.... Что за беда? Что может блочить соединения по порту 5999 дальше, как отследить?     Я вам привожу пример живого правила и логов моего почтовика. Случай аналогичный вашему: почтовик в локалке, порт смаплен наружу. Сравнивайте и думайте, где что не так. Попробуйте сделать правило точь в точь как у меня.   name=(Mail server) src=(iface:"Intergate") dst=(81.2.ххх.ххх) service=("SMTP") snat=(any) dnat=(192.168.0.4) action=(permit,logpkt,logconn),     time_range=(always) inspector=(none), где "Intergate" - это мнемоника внешнего интерфейса,     81.2.ххх.ххх - это реальный IP адрес почтовика (в который рарешается доменное имя mail.xxxxx.ru   вот лог из файла connection: [30/Jan/2009 12:04:54] [ID] 887544 [Rule] Mail server [Service] SMTP [Connection] TCP 116.233.203.188:4496 -> dcs.dzl.local:25 [Duration] 54 sec [Bytes] 633/806/1439 [Packets] 12/9/21   обратите внимание в нем сразу фигурирует локальное доменное имя почтовика dcs.dzl.local:25   вот лог из файла filter: [30/Jan/2009 12:06:13] PERMIT "Mail server" packet from Intergate, proto:TCP, len:48, ip/port:121.55.132.160:55426 -> 81.2.ххх.ххх:25, flags: SYN, seq:4014680618 ack:0, win:65535, tcplen:0 [30/Jan/2009 12:06:13] PERMIT "Mail server" packet to Local Area Connection, proto:TCP, len:48, ip/port:121.55.132.160:55426 -> 192.168.0.4:25, flags: SYN , seq:4014680618 ack:0, win:65535, tcplen:0   Видите, здесь уже произошла трансляция реального IP в локальный, а дальше пошли ответные пакеты: [30/Jan/2009 12:06:13] PERMIT "Mail server" packet from Local Area Connection, proto:TCP, len:48, ip/port:192.168.0.4:25 -> 121.55.132.160:55426, flags: SYN ACK , seq:17444666 ack:4014680619, win:64512, tcplen:0 [30/Jan/2009 12:06:13] PERMIT "Mail server" packet to Intergate, proto:TCP, len:48, ip/port:192.168.0.4:25 -> 121.55.132.160:55426, flags: SYN ACK , seq:17444666 ack:4014680619, win:64512, tcplen:0   Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 05:00 30-01-2009

sNAlexis Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ruza, Цитата: Хм... Сам то понял?   мне привычнее на Вы.   Моё правило будет работать только в случае, если фаерволу разрешен 5999 порт наружу.   Цитата: нужно ещё и правило типа:   vnc - any - permit - nat (NIC100) - PI off   чушь.   [off]надеюсь, участники беседы перед тем, как задавать вопросы, ознакомились с простейшими правилами настройки ТП и пояснять ничего не надо[/off] Всего записей: 100 | Зарегистр. 28-08-2005 | Отправлено: 09:59 30-01-2009

Blaze07 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день!!! Не могу разобраться, стоит kerio winrout firewall 6.2.2 раздает сеть, блокирует, все нормально, вот только не пойму почему не видит кто в локальной сети, и наоборот этой машины нет в сети, как только останавливаю, керио, он появляется в сети и выход появляется, подскажите пжл, где настроить? Всего записей: 6 | Зарегистр. 30-01-2009 | Отправлено: 10:34 30-01-2009

sNAlexis Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Blaze07, читайте инструкцию или сделайте правило: керио, локалка --- керио, локалка --- любой --- разрешить --- PI выключен   это правило должно быть самым верхним. Если же по религиозным соображениям, шлюз не должен полноценно дружить с локалкой, то просто открываем на керио 137 порт.   Кстати, в инструкции указано, что не ст0ит на сетевых интерфейсах оставлять включенными протоколы виндовых сетей и шар. Там должно стоять только две галки: протокол TCP/IP и драйвер фаервола.   Добавлено: Кстати, это очередная мера безопасности, т.к. в сети гуляют черви, которые используют именно нетбиос для заражения компьютера и удаленного выполнения вредоносного кода. К примеру, Conficker.AA по версии NOD32. Всего записей: 100 | Зарегистр. 28-08-2005 | Отправлено: 10:38 30-01-2009

Blaze07 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sNAlexis http://i026.radikal.ru/0901/d7/c37ae868a10d.jpg 137 порт открываю все равно не идет Всего записей: 6 | Зарегистр. 30-01-2009 | Отправлено: 12:18 30-01-2009

sNAlexis Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору http://i035.radikal.ru/0901/a8/775684f8ca4a.png на самый верх.   в правиле Ident желательно указать источником внешний интерфейс. Всего записей: 100 | Зарегистр. 28-08-2005 | Отправлено: 12:23 30-01-2009

Blaze07 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sNAlexis Спасибо тебе огромное!!! Заработало, еще вопрос возник wrspy не хочет читать логи керио, все другие читают нормально, в чем может быть проблема? В настройках керио или уже wrspy? Всего записей: 6 | Зарегистр. 30-01-2009 | Отправлено: 13:24 30-01-2009

AlOne Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Blaze07 http://pcsecurity.net.ru/forum/viewtopic.php?t=1373 почитай внимательно о настройке DNS и в частности о настройке NIC внешнего интерфейса. Цитатка оттуда: "Жмем Advanced. В закладке DNS убираем галочку на Register this connections addresses in DNS, в закладке WINS убираем Enable LMHOSTS lookup и ставим Disable NetBIOS over TCP/IP. Также, галочек НЕ ДОЛЖНО БЫТЬ на Client for Microsoft Networks, Network Load Balancing, File and Printer Sharing Microsoft Networks.     Кстати, удобно переименовать внешний интерфейс, назвать не Local Area Connection (Подключение по локальной сети), а например Internet Interface.     Дальше, заходим в Панель управления, Cетевые подключения, в этом окне (окно проводника) меню Дополнительно -> Дополнительные параметры. Во вкладке "Адаптеры и привязки" передвигаем "Local Area Connection" ("Подключение по локальной сети") на самую верхнюю позицию. " Всего записей: 716 | Зарегистр. 14-11-2003 | Отправлено: 13:27 30-01-2009

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору AlOne Цитата: какое-то кривоватое правило. не находишь?   Не нахожу... Так как лень было искать адрес машины с VNC.   sNAlexis Цитата: мне привычнее на Вы.   Не вопрос... Цитата: нужно ещё и правило типа:   vnc - any - permit - nat (NIC100) - PI off чушь.   В чём же? ---------- Fools rush in where angels fear to tread. Всего записей: 5483 | Зарегистр. 10-09-2003 | Отправлено: 13:34 30-01-2009

sNAlexis Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: В чём же? оно лишнее. Всего записей: 100 | Зарегистр. 28-08-2005 | Отправлено: 13:58 30-01-2009

AlOne Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору AlexRT примерно раз в 2 дня. Всего записей: 716 | Зарегистр. 14-11-2003 | Отправлено: 14:46 30-01-2009

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору sNAlexis Цитата: оно лишнее. Можно толковое пояснение? А то как то не затягивет заете ли... Вот к примеру я могу объяснить почему не нужен nat(NIC100) в этом примере: Цитата: map 10.0.0.3:5999;nat(NIC100) А вот с таким утверждением я даже и спорить не могу... если фаерволу разрешено то как это относится к внутренним адресам... Цитата: Моё правило будет работать только в случае, если фаерволу разрешен 5999 порт наружу.   ---------- Fools rush in where angels fear to tread. Всего записей: 5483 | Зарегистр. 10-09-2003 | Отправлено: 14:50 30-01-2009

sNAlexis Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Можно толковое пояснение? А то как то не затягивет заете ли... большое количество правил порождает долгую обработку тех, что описаны в самом низу. нагрузка на сервер увеличивается из-за множественного анализа. думаю, что доступно рассказал. если человек не счёл нужным выложить ТП, это означает, что у него все нормально кроме этой проблемы. подразумевается, что в правиле НАТ разрешен VNC. или тогда уж лучше начать с начала и осведомиться, а установлен ли вообще фаервол.   Цитата: Вот к примеру я могу объяснить почему не нужен nat(NIC100) в этом примере: с удовольствием выслушаю точку зрения. допускаю, что нат здесь необязателен.   Цитата: А вот с таким утверждением я даже и спорить не могу... если фаерволу разрешено то как это относится к внутренним адресам... это я о своём задумался =) голова болит. Всего записей: 100 | Зарегистр. 28-08-2005 | Отправлено: 15:26 30-01-2009

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору sNAlexis Цитата: если человек не счёл нужным выложить ТП, это означает, что у него все нормально кроме этой проблемы. Это как раз ни о чём не говорит т.к. иногда такие перлы появляются - мама не горюй...   Цитата: большое количество правил порождает долгую обработку тех, что описаны в самом низу. нагрузка на сервер увеличивается из-за множественного анализа.   Гм... Ладно закончим на этом, а переходит во флейм. ---------- Fools rush in where angels fear to tread. Всего записей: 5483 | Зарегистр. 10-09-2003 | Отправлено: 15:51 30-01-2009

Jonny_Grekoff Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Господа, такой вопрос - можно ли в KWF каким-либо образом разрешить использование определенных номеров ICQ из лок. сети? Может можно как-то "резать" ICQ трафик если номер не из пула разрешенных? Спасибо. Всего записей: 168 | Зарегистр. 23-03-2006 | Отправлено: 16:58 30-01-2009 | Исправлено: Jonny_Grekoff, 16:58 30-01-2009

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Jonny_Grekoff Цитата: использование определенных номеров ICQ из лок. сети? Нет.   Добавлено: sNAlexis Цитата: можно ли в KWF каким-либо образом разрешить использование определенных номеров ICQ из лок. сети? А Вы говорите: "что это означает, что у него все нормально кроме этой проблемы." ---------- Fools rush in where angels fear to tread. Всего записей: 5483 | Зарегистр. 10-09-2003 | Отправлено: 17:46 30-01-2009 | Исправлено: Ruza, 18:37 30-01-2009

kaskad Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sNAlexis Цитата: Значится всё в порядке, дальше смотрим на VNC есть ли соединение, разрешено ли к нему подключаться с инет-адресов...   И самое главное!   нужно ещё и правило типа:   vnc - any - permit - nat (NIC100) - PI off   А как разрешить-запретить подключение к VNC с интернет-адресов? По-идее, ему пофик с каких подключаются... Или енто где-то в керио? Всего записей: 2308 | Зарегистр. 10-10-2002 | Отправлено: 22:07 30-01-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio WinRoute Firewall (часть 4)

emx (24-05-2009 12:47): Переезжаем в следующую часть - Kerio WinRoute Firewall (часть 5).

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование