emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kerio WinRoute Firewall ™ смежная тема в варезнике Kerio WinRoute Firewall™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный McAfee Antivirus, мощные инструменты для управления доступом в Интернет на базе IBM Orange Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.   Текущая версия: 6.4.2 - 24 января 2008 г. Скачать последнюю версию с оффсайта -> win32 | win64 | Release history   Kerio WinRoute Firewall с интегрированным McAfee Antivirus и без него теперь поставляется в едином дистрибутиве. Активизация соответствующих функций происходит автоматически в зависимости от типа приобретенной лицензии. Дистрибутив WinRoute Firewall также содержит Administration Console. Переключение языков доступно непосредственно в интерфейсе пользователя. C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...   Manual на Русском Manual Eng (PDF) Step-by-Step installation guide Eng (PDF) Kerio VPN Client Manual (PDF)       Сброс пароля администратора   Настройка, русификация, полный русский мануал Ключи для Kerio WinRoute Firewall F.A.Q. на PC Security - F.A.Q. - Часто задаваемые вопросы На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!   FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное   администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171) _http://12kms.fatal.ru/_kwf.html   Тут одна компания полностью на русский язык перевела хелп   Kerio WinRoute Firewall 6.0. Руководство Администратора   Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/ Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)   также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.   Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 15:55 21-06-2007 | Исправлено: Yips, 14:45 28-01-2008

Evgeny_Sorokin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ryuzaky Src-FireWall Dst-Internet Service-(вместо ANY) Ping,DNS,POP3,SMTP Action-Permit   С cервака можно будето только пинговать и почту получать\забирать. Всего записей: 184 | Зарегистр. 23-04-2003 | Отправлено: 21:36 16-06-2008

vimaret Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору voffka1984 MagistrAnatol Коллеги прошу прошения за тормоза с ответом, много всего навалилось + командировка. Посмотрел ваши ИПконфиги и правила: Для voffka1984: Вначале правильно настроим сеть: 1. На файерволе уберем с внешней сетевой IP адреса внешнего ДНС сервера ( 195.14.50.1 и 195.14.50.21)  и перенесем их на внутренний ДНС сервер на вкладку Forwarders. Там ставите галку Enable DNS forwarding и прописываете эти ИПшники 2. Заходим в Керио на DNS Forwarder. Там ставите галку Enable DNS forwarding и Forward DNS queries to the specified DNS server(s) и там указываете два ИПшника  внутренних ДНС серверов (192.168.1.9 и 192.168.1.19). Т.Е. смысл следующий: все ваши днс запросы из локалки и файервола вначале идут на внутренний ДНС сервер. Если он их сам не может разрешить, то форвардит внешнему (напр. провайдеру) через ваше правило под названием NAT. 3. На рабочем компе нужно поставить Основной шлюз 192.168.1.20, т.е ваш файервол, иначе Х.З. Теперь о правилах. Если не сложно, то дайте мне ссылку, где вы нашли примеры правил New rule, map for ОРГРЕС Банк, мапинг mail smtp, мапинг mail pop3. Я почитаю, потом над вашими подумаю. Еще ответьте на ряд вопросов: 1. Что вы хотели получить от правила "мапинг для формирования"? 2. Что такое порты 215, 11778, 821, 1778? 3. Что такое IP адреса 83.242.145.182, 193.110.5.134? 4. Что вы хотели получить от правила New rule (по IP 82.140.72.2 открывается сайт "Росби Ниформ Ко"?   Попробуйте выключить правила  мапинг mail smtp, мапинг mail pop3. У вас должна работать почта и без них, через правило NAT, конечно при условии, что вы уже внесли исправления в ДНС и Основной шлюз, а также на почтовых клиентах прописаны smtp и pop3. MagistrAnatol, а с вами завтра, уже поздно, домой пора. Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 12:13 17-06-2008

snayper7 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору seva1 другими программами Всего записей: 1088 | Зарегистр. 18-07-2006 | Отправлено: 13:21 17-06-2008

SHRIKE74 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vimaret gпо второму пункту не согласен, он имеет смысл только если шлюз и днс на одной машине, в других случаях это превышение трафика, да и зачем напрягать свой днс запросами , пустьих обрабатывает провайдер, более того я делаю на керио ворфардинг на днсы прова а во внутреннем днс удаляю все корневые ссылки и добавляю туда свой шлюз, тогда свой днс не будет отсылать запросы по этим корневым а сразу перенаправлять на шлюз а шлюз на прова а пров уже пускай сам думает как их обрабатывать, Всего записей: 983 | Зарегистр. 10-09-2006 | Отправлено: 15:54 17-06-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vimaret Цитата: Заходим в Керио на DNS Forwarder. Там ставите галку Enable DNS forwarding и Forward DNS queries to the specified DNS server(s) и там указываете два ИПшника  внутренних ДНС серверов (192.168.1.9 и 192.168.1.19). Т.Е. смысл следующий: все ваши днс запросы из локалки и файервола вначале идут на внутренний ДНС сервер. Если он их сам не может разрешить, то форвардит внешнему (напр. провайдеру) через ваше правило под названием NAT.   Бред какойто... При правильном постороении сети ДНС запросы к керио могут посылать ТОЛЬКО внутренние ДНСы. Я бы настоятельно порекомендовал отключить форвардинг ДНС в керио как заведомо бредовое решение. Цитата: Основной шлюз 192.168.1.20, т.е ваш файервол, иначе Х.З. Иначе - это прокси называется.   SHRIKE74 Цитата: днс на одной машине, в других случаях это превышение трафика, МегаLOL Прям мля панацея по экономии трафика!!! А Вы уважаемый подумали на счёт того, что трафик считается на интерфейсе провайдера и ДНС запросы к его серверу тоже считаются трафиком и идут в оплату. Цитата: пустьих обрабатывает провайдер, более того я делаю на керио ворфардинг на днсы прова а во внутреннем днс удаляю все корневые ссылки и добавляю туда свой шлюз, Угу и начисто отключаем возможность кешированя запросов. Цитата: а пров уже пускай сам думает как их обрабатывать, Поверьте прову плевать как их обрабатывать а вот некоторым юзерам не по барабану почему интересующий их сайт ресолвится со второго или третьего раза.   Добавлено: А при наличии 2-х и более каналов ДНС сервер на шлюзе просто настоятельно рекомендую! ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 17:48 17-06-2008 | Исправлено: Ruza, 17:49 17-06-2008

Evgeny_Sorokin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору NegoroX   Цитата:   Цитата:С cервака можно будето только пинговать и почту получать\забирать.     И придут к тебе пользователи и скажут что не могут почту получить - некоторые почтовые сервера сервисы POP3,SMTP предоставляют за деньги, а так в ящик только со странички (что б народ рекламу смотрел)   ТП настроить стандартно, создать группу "Pechkin", в НТТР правилах разрешить десяток серверов запретив все остальное для этой группы.   А причем тут внешняя почта  ? Человек написал что у него на серваке MDaemon стоит,  разве не эту почту он имел ввиду, чтоб сервак почтовый работал?   Всего записей: 184 | Зарегистр. 23-04-2003 | Отправлено: 21:18 17-06-2008

vimaret Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza Цитата: Бред какойто... При правильном постороении сети ДНС запросы к керио могут посылать ТОЛЬКО внутренние ДНСы.   Я бы настоятельно порекомендовал отключить форвардинг ДНС в керио как заведомо бредовое решение.   Я вчера, как чувствовал, что мой главный аппонент на это обратит внимание. Согласен, что в большинстве случаев это не нужно. Но это (бредовое) решение появилось не случайно. Сейчас уже трудно вспомнить детали, но, насколько я помню, были проблемы при подключении внешнего клиента PPTP, который предварительно подключался к инету по PPPoE. Наверное можно было бы и более корректно настроить разрешение имен для клиента, (например чтобы PPTP давал ему IP внутреннего ДНС сервера, а не компа с RRAS он же Керио), но это получилось, уже много лет работает и не конфликтует.     Добавлено: SHRIKE74 Цитата: по второму пункту не согласен, он имеет смысл только если шлюз и днс на одной машине, в других случаях это превышение трафика Не совсем так. Трафик действительно выше, но он в локалке. ДНС не напрягается внешними запросами так, как на нем только локальная зона, и включен форвардинг на провайдера. А для чего форвардить с керио, я только что писал выше, чтобы клиенты RRAS разрешали имена в локальной сети. Самым универсальным решением ИМХО будет выключение форвардинга на Керио в сети с доменной организацией, и соответствующей настройкой внутреннего ДНС сервера.   Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 02:44 18-06-2008

Starry Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Прошу помощи у спецов. Поставил керио с прозрачным прокси, чтобы работали почтовые клиенты по поп3. Если клиент выходит в инет через броузер - то тут все понятно, он логинится по хттп, и трафик подсчитывается, а как подсчитать трафик по поп3/smtp по клиентам, кто сколько закачал? Заранее спасибо за ответ. Всего записей: 243 | Зарегистр. 11-10-2004 | Отправлено: 08:08 18-06-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vimaret Цитата: Я вчера, как чувствовал, что мой главный аппонент на это обратит внимание.   Да какой я аппонент - вместе одну проблему решаем...   Цитата: были проблемы при подключении внешнего клиента PPTP, который предварительно подключался к инету по PPPoE. Наверное можно было бы и более корректно настроить разрешение имен для клиента, (например чтобы PPTP давал ему IP внутреннего ДНС сервера, а не компа с RRAS он же Керио), но это получилось, уже много лет работает и не конфликтует.   ВОТ!!! Наконец то пришли к тому что и требовалось доказать... Народ ставьте ДНС сервер на машину с керио и снимете большинство проблем с разрешением имён как внутренней сетки так и внешней. Забудьте про "галку" DNS Forwarding.     P.S. Кстати у кого керио купленный подкиньте идею разработчикам чтобы включили в пакет кеширующий ДНС сервер а не обрезанную пересылку.   Starry Цитата: а как подсчитать трафик по поп3/smtp по клиентам, кто сколько закачал? Заранее спасибо за ответ. А почитать 10 страниц не судьба? Вот подумай сам как можно определить чей пакет идёт по РОР3 если в протокол нельзя включить промежуточную авторизацию... Пропиши пользователю IP адрес и будет считать трафик только на его имя и авторизация через браузер не понадобиться. ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 08:38 18-06-2008

Starry Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza Я в курсе про IP-адрес и привязку пользователя. Видимо, не точно сформулировал вопрос. У меня  в сети DHCP-сервер. Вот я и решил, что есть какое-то другое хитрое решение проблемы. Всего записей: 243 | Зарегистр. 11-10-2004 | Отправлено: 08:41 18-06-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Starry а адрес-группу религия не позволяет? Там имя хоста вписать можно... ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 10:08 18-06-2008 | Исправлено: Ruza, 10:09 18-06-2008

vimaret Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza Цитата: Наконец то пришли к тому что и требовалось доказать...   Народ ставьте ДНС сервер на машину с керио и снимете большинство проблем с разрешением имён как внутренней сетки так и внешней.   А ведь класная мысль, я это попробую, когда апгрейдну комп     Добавлено: MagistrAnatol Цитата: Две проблемы - надо настроить пошту на GMail и нормально настроить торенты - в конентах они видны ,правда токо конект ко мне,от меня не видать,и скорость моно сказать нулевая.   Я посмотрел ваши IP конфиги, там все нормально, только смущает ДНС сервер 127.0.0.1. Он у вас на файерволе и к нему еще добавляются ссылки на внешний ДНС из Telecom адаптера. Возможно сабака зарыта в ДНСах, поэтому и не работает GMail. А правило для GMail написано нормально. Из него можно убрать NET адаптер (если я правильно понял, то это сетевая карта к которой подключен DSL модем.). Более того,  правило GMail можно убрать, т.к. оно полностью дублируется правилом NAT.   Повторяюсь: предполагаю конфликт в ДНСах. Я бы его разрешал координальным путем. Для начала заказал бы у прова вместо PPP( PPPoE) постоянное подключение с маршрутизацией сети. Модем ставите в режим "Бриджа". Тогда вы на Net сетевухе указываете внешний IP и шлюз к провайдеру (ДНСы не указываете) (можно указать еще второй IP 192.168.1.2 для лазанья в модем), а на локальной сетевухе указываете  ДНС 127.0.0.1 (а лучше 192.168.104.10), в ДНС сервере настраиваете форвардинг на ДНС провайдера. Вот здесь уже не должно быть конфликтов. Далее по правилам: Torrent от вас: Sourc.-Подключение по локальной сети, Dest- Telecom, Serv.-TCP 25555, UDP 25555, Transl.- NAT (MAP не нужен) Torrent к вам: Уберите из правила Net и NAT остальное правильно (надеюсь что правильно, так как не вижу что мапится, картинка усеченная) Еще можно слегка причесать правила: 1. В правиле NAT уберите Net. 2.  В правиле Local traffic добавте Dial-in в source, и уберите Net. 3.  В правиле Firewall traffic добавте в Destination Net, чтобы можно было лазить внутрь модема. Успехов... Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 10:24 18-06-2008

SHRIKE74 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору usmd это называется порт маппинг, сурс эни дестинейшн фаервол сервис необходимые порты пермит транслейшн--нижняя галка адрес машины с почтовиком Всего записей: 983 | Зарегистр. 10-09-2006 | Отправлено: 13:24 18-06-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio WinRoute Firewall (часть 3)

emx (13-07-2008 10:52): Kerio WinRoute Firewall (часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование