emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kerio WinRoute Firewall ™ смежная тема в варезнике Kerio WinRoute Firewall™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный McAfee Antivirus, мощные инструменты для управления доступом в Интернет на базе IBM Orange Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.   Текущая версия: 6.4.2 - 24 января 2008 г. Скачать последнюю версию с оффсайта -> win32 | win64 | Release history   Kerio WinRoute Firewall с интегрированным McAfee Antivirus и без него теперь поставляется в едином дистрибутиве. Активизация соответствующих функций происходит автоматически в зависимости от типа приобретенной лицензии. Дистрибутив WinRoute Firewall также содержит Administration Console. Переключение языков доступно непосредственно в интерфейсе пользователя. C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...   Manual на Русском Manual Eng (PDF) Step-by-Step installation guide Eng (PDF) Kerio VPN Client Manual (PDF)       Сброс пароля администратора   Настройка, русификация, полный русский мануал Ключи для Kerio WinRoute Firewall F.A.Q. на PC Security - F.A.Q. - Часто задаваемые вопросы На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!   FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное   администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171) _http://12kms.fatal.ru/_kwf.html   Тут одна компания полностью на русский язык перевела хелп   Kerio WinRoute Firewall 6.0. Руководство Администратора   Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/ Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)   также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.   Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 15:55 21-06-2007 | Исправлено: Yips, 14:45 28-01-2008

Evgeny_Sorokin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору DiMidRoLL666 Цитата: Доброго времени суток!   У меня к Вам следующий вопросик, надеюсь чего подскажете.   Мне необходимо в офисе создать резервный канал.   Основной канал у меня ADSL (ADSL маршрутизатор стоит).   Резервный будет Ethernet - тупо витая пара протянутая в офис и статический IP от провайдера.   Естественно для переключения между каналами собираюсь использовать KWF.       Я вот это использую уже давно, и если основной канал падает, то керио тут же переключает на резервный.   Керио через определенные промежутки времени пингует шлюз провайдера и если ответа нет то шлюзом по умолчанию становится другой сервак в  нашей локалке у которого есть выход в интернет через другого провайдера.   После переключения на резервный канал керио опять пингует основной канал и если пинг появляется опять переключает на первый канал.   Всего записей: 184 | Зарегистр. 23-04-2003 | Отправлено: 20:27 18-06-2008 | Исправлено: Evgeny_Sorokin, 20:37 18-06-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору seva1 Практически никакой т.к. оно само прогой проксю поднимает... Как варианты сменить пейджер, зарезать скорость.   Starshark2007 А фигли понимать тут.   Цитата:  А на шлюзе ВПОЛНЕ достаточно обычной пересылки (кстати она отлично кеширует). В чём прелесть второго ДНС-сервера в локалке? Вот если достаточно то спорить не о чем... Т.к. заведомо решение принято.   Цитата: Да не нужен на машине шлюза ДНС-сервер ни в коем разе. Это ты на личном опыте или подсказал кто?   Ладно всё это как ты сказал эмоции... Ответь для себя на следующие вопросы. 1. 2 Канала от 2-х провайдеров куда пересылать, если канал переключился автоматом. 2. Внешний клиент подключаясь к шлюзу получает его как ДНС, будет ли работать внутренние разрешения? 3. Как организовать внешнюю зону типа firma.com при внутренней firma.local. Если ДНС одни и он на PDC? Хотя есть возможность транслировать запросы на него... Но я себе даже в страшном сне не представлю PDC открытым снаружи тем более с MSDNS... 4. Как разрешить опрашивать пересылку ТОЛЬКО определённым пользователям/IP адресам? 5. При падении PDC (не жай Бог) будет ли разрешаться сеть вообще?   Цитата: Я чего-то не знаю? Я тоже чего то не знаю, но на личном опыте убедился что связка named+kerio ой как полезна... И именно на шлюзе!       Добавлено: Evgeny_Sorokin Цитата: Керио через определенные промежутки времени пингует шлюз провайдера и если ответа нет то шлюзом по умолчанию становится другой сервак в  нашей локалке у которого есть выход в интернет через другого провайдера. Не совсем верный совет в свете ADSL.   Есть уникальные провайдеры которые меняют шлюз в зависимости из-за выданного ИП (это при динамическом) так что лучше пинговать НС/почтовик/прокси провайдера.   ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 21:36 18-06-2008

5555555 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Да не нужен на машине шлюза ДНС-сервер ни в коем разе. +1 хотя по высказываниям каждый уверен в своем   ответы на "вопросы для себя" даже расписывать не буду, самый примитив: Цитата: При падении PDC (не жай Бог) будет ли   что будет в случае падения сервака-шлюза? Цитата: опрашивать пересылку забавная формулировка Цитата: даже в страшном сне не представлю PDC открытым снаружи тем более с MSDNS тем не менее он для этого изначально предназначен сказки про кривость от МС - это пугать ..(не буду писать кого ).. в европе куча контор на нем сидят и ничего особо страшного не происходит. и т.д. в том же духе.   ГЛАВНЫЙ ответ для читателей: Не воспринимать личные предпочтения пишущих здесь как догму и лучше придерживаться официальных рекомендаций.. Всего записей: 2593 | Зарегистр. 01-04-2004 | Отправлено: 22:12 18-06-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору 5555555 Цитата: что будет в случае падения сервака-шлюза? А что будет? Проблема только у админа... И писалось это к тому Цитата: В чём прелесть второго ДНС-сервера в локалке?   Цитата: забавная формулировка А как сформулировать по другому сие творение? Если на любом ДНС сервере можно ограничить доступ.... Цитата: тем не менее он для этого изначально предназначен  сказки про кривость от МС - это пугать ..(не буду писать кого ).. в европе куча контор на нем сидят и ничего особо страшного не происходит. и т.д. в том же духе. Епт! Пример ИМЕННО! PDC видимого снаружи у серьёзной конторы в студию!!! А то как то не впечатлило... Цитата: ГЛАВНЫЙ ответ для читателей: Не воспринимать личные предпочтения пишущих здесь как догму Полностью поддерживаю!!!   Цитата: лучше придерживаться официальных рекомендаций.. Но помнить одно - каждый кулик хвалит своё... ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 23:03 18-06-2008

5555555 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza Думаю не стоит развивать данную тематику обсуждения, очень коротко по принципиальному вопросу: Цитата: PDC видимого снаружи у серьёзной конторы в студию   1. надеюсь адекватно восприняли в данном случае pdc как "неотрывный" dns сервер (т.е. запросы по 53, а не к AD хотя видел и ldap открытый).   2. понятие "серьезной" конторы у каждого свое, примеры там, где видел - привести могу, правда не знаю что это даст. Но если следовать термину "серьезные" конторы, то там керио ес-но и близко не лежал (подавляющее большинство - хардварные решения), обсуждать здесь это бессмысленно.. Всего записей: 2593 | Зарегистр. 01-04-2004 | Отправлено: 23:18 18-06-2008

dawwab Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору      вопрос первый Указываю dns ip kerio в настройках инет итерфеса в kerio вкл dns forwarding и указываю ip dns серверов и каждый раз при подключении к инету сайты не открываются а в это время ess показыват что атака DNS cache poisonig с dns серверов но не долго потом всё начинает работать   подскажите в чём проблема Всего записей: 204 | Зарегистр. 06-02-2008 | Отправлено: 00:15 20-06-2008 | Исправлено: dawwab, 01:33 20-06-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору 5555555 Цитата: т.е. запросы по 53, а не к AD   Именно об этом я и подумал и меня интересует только PDC в единственном числе, а не DNSы в DMZ, вторичные и т.п...   Ведь Starshark2007 сомневается вообще в необходимости второго ДНСа в локалке. Ну да ладно останемся при своих мнениях.   Хотя на счёт керио и железок это верно.   dawwab А нафик тебе ещё и ESS вместе с керио, да ещё небось и Protocol Inspector работает на этом правиле? ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 00:28 20-06-2008 | Исправлено: Ruza, 00:34 20-06-2008

dawwab Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ess для контроля приложений к томуже он и антивирус Protocol Inspector не ставил а об правиле я не понял ты про что        второй вопрос из локалки не проходит акунт соединяется ssl доходит до авторизации аккунта и болт     снифером посмотрел вроде происходит обмен но потом приходит ответ encrypt alert в правилах https включен а так понимаю не правильно происходит обмен сертификатами в настройках proxy server 3128-> adv.option всё выключено и стоит winroute roxy sever   Всего записей: 204 | Зарегистр. 06-02-2008 | Отправлено: 01:07 20-06-2008 | Исправлено: dawwab, 01:33 20-06-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dawwab Цитата: ess для контроля приложений Ты о чём? Цитата: к томуже он и антивирус   А встроенного не хватает? Цитата: Protocol Inspector не ставил Его не надо ставить он по умолчанию включен. Цитата: а об правиле я не понял ты про что А это то правило по которому firewall может опрашивать внешние NS.   Цитата: правилах https включен Правило покажи. Цитата: не правильно происходит обмен сертификатами   Сертификат установлен на клиенте? Хост керио должен быть в доверенных узлах. ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 07:53 20-06-2008

shiraza Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору seva1 Ты так и не сказал, какой именно клиент надо закрыть? Только ICQ? Если у тебя инспектор протокола ICQ включен, то данные по трафу будут отдельной строчкой. Запретить передачу файлов - вопрос непростой, это даже за рамки маршрутизатора выходит. Грубо говоря, если у тебя используется только аська, ужесточи правила, чтоб по порту 5190 можно было только с серверами мирабилисов соединяться - это блокирует стандартный метод передачи файлов между клиентами аськи, когда они соединяются напрямую. Но другие мессенджеры (мейл ру агент) используют скажем 80 порт, а его так просто не закроешь. Всего записей: 22 | Зарегистр. 08-03-2006 | Отправлено: 07:57 20-06-2008

dawwab Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Ты о чём? пк используется не тока как шлюз поэтому и стоит ess для контроля приложений к примеру какое-то ПО захочет выйти в инет по :80 или по другому который в кере закрыть незя ess не даст ему это сделать. в принципе в шапке и про фаер и антивирус написано. но это не главное вернёмся к керио Цитата: Его не надо ставить он по умолчанию включен всё правильно ты говоришь о Protocol Inspector а я спутал с Proxy Inspector Цитата: Правило покажи.     вот такие , всё работает , но когда соединяется ssl доходит до авторизации аккунта и болт Цитата: Сертификат установлен на клиенте?   Хост керио должен быть в доверенных узлах. сертификат (xxx.crt который в sslcert)  импортирум в браузер на клиенте ??? в доверенных узлах должен стоять узел куда идёт соединение и адреса керио и его клиента ??? да и в продолжение темы ещё хочу спросить cертификат куда импортировать в личные или ... если я включу тунелирование и форвард на публикующиеся https прокси то authentication надо в каких случаях включть и какая разница между direct access и winroute proxy server   Всего записей: 204 | Зарегистр. 06-02-2008 | Отправлено: 10:09 20-06-2008 | Исправлено: dawwab, 11:02 20-06-2008

MagistrAnatol Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Господа подсобите с такой задачей: есть доменная сетка на 2003 серваке,на домене стоит керио. есть 4 группы юзверов - все должны ходить по локалке(внутри разграничение средствами домена) 1 група - ходит кругом+торенты 2 группа - ходит кругом но с ограниченной скоростью(пробывал бандвыдз - ставил ограничилово по скорости 4 кБ - чет не работало для выбранных юзверов или не так настроил) 3 группа - токо пошта 4 группа - впавшие в немилость или злостные нарушители - токо по локалке   И еще вопрос - почему пошта не отправляется Скорость передачи очень маленькая и в конце такой месадж   !20.06.2008, 09:25:51: FETCH - З'єднання з сервером перервано (останні передані команди: "DATA", "RSET") Если можно побыстрее,очень срочно надо. Заранее премного благодарен за помощь Всего записей: 2120 | Зарегистр. 09-04-2003 | Отправлено: 10:32 20-06-2008

vimaret Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MagistrAnatol Цитата: Господа подсобите с такой задачей:   есть доменная сетка на 2003 серваке,на домене стоит керио. Я посылал вам ответ на ваш прошлый вопрос как раз по почте и торентам, он на 124 странице форума, вы его посмотрели? Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 11:26 20-06-2008

MagistrAnatol Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vimaret я извиняюсь не смотрел,торенті я настроил сам за почту сейчас посмотрю,пасиб. А как насчет разграничения доступа по группам?   Добавлено: ЖМайл тоже заработал. У меня есть еще есть один ящик на сервере прова,и когда отправляю почту из него такая вот хрень получается.Причем проблема в основном с письмами больше 100 к По поводу статического айпишника - вопрос дохлый - кантора не проплатит корпоративное подключение на 2 гига - дороговато,я сижу на хоум пакете,пока-что на 128 буду переходить на 2 гига,как токо пров разродится на оптику. И как правильно настроить бандвыдз чтобы резалось все кроме почты? Всего записей: 2120 | Зарегистр. 09-04-2003 | Отправлено: 11:48 20-06-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dawwab А что ты хотел сказать первым правилом на картинке? Цитата: сертификат (xxx.crt который в sslcert)  импортирум в браузер на клиенте ??? Да Цитата: в доверенных узлах должен стоять узел куда идёт соединение и адреса керио и его клиента ???   В доверенных ТОЛЬКО узел керио Цитата: cертификат куда импортировать в личные или ...   Пофик. Цитата: если я включу тунелирование и форвард на публикующиеся https прокси то authentication надо в каких случаях включть   Я не уверен в работе авторизации в шифрованном протоколе. Цитата: и какая разница между direct access и winroute proxy server   Разница между NAT и Proxy тебе понятна? MagistrAnatol Цитата: я извиняюсь не смотрел А нафига смотреть! Можно достать всех вопросом. ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 12:15 20-06-2008

MagistrAnatol Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ruza vimaret еще такой вопрос- как правильно настроить ДНС форвард - у меня 2003 сервак+керио -   че где надо проставить?Подробно как для идиота я с серверами токо разбираюсь и могу тупить слегка     Добавлено: Ruza Ты не совсем прав - в том вопросе я спрашивал о жмайле - там ваще пошта не отправлялась,а сейчас не идет почта через прова,хотя раньше бегала без проблем. И я не флудил задавая один и тотже вопрос Всего записей: 2120 | Зарегистр. 09-04-2003 | Отправлено: 13:07 20-06-2008

snayper7 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MagistrAnatol ... Всего записей: 1088 | Зарегистр. 18-07-2006 | Отправлено: 13:12 20-06-2008

dawwab Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: В доверенных ТОЛЬКО узел керио если правильно понимаю, то на клиенте в доверенный узел, добавляю пк с kerio winroute а на самом kerio что не надо добавлять доверенный узел и при добавлении узла надо ли вкл. пункт - Для вcex yзлoв этoй зoны тpeбyeтcя пpoвepкa cepвepoв ( https: ) ??? если вкл. forward на прокси и включаю direct access то запрос идёт сразу на прокси указаный в форвард а если вкл. winroute proxy то запрос идёт сначала на winroute а потом на прокси указаный в форвард ???   включил кеш везде где есть слово кеш кроме always validate files cache не ставил галку Use server supplied TTL т.к. стоит HTTP protocol TTL 10 day(s) верно??? При повторном открытии страницы загрузка происходит значительно быстрей, но если откл. от инета то страница не открывается. Но ведь если страница попала в кеш winroute то почему она не открывается пусть даже частично то что в кеше ??? Всего записей: 204 | Зарегистр. 06-02-2008 | Отправлено: 13:20 20-06-2008 | Исправлено: dawwab, 13:23 20-06-2008

MagistrAnatol Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору snayper7 серва чет их сдох   Добавлено: господа, не подскажете что за непонятки с подлючение PPPoE   Telekom - PPP адаптер:    DNS-суффикс этого подключения . . :      Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface    Физический адрес. . . . . . . . . : 00-53-45-00-00-00    DHCP включен. . . . . . . . . . . : нет    IP-адрес  . . . . . . . . . . . . : 91.124.229.71    Маска подсети . . . . . . . . . . : 255.255.255.255    Основной шлюз . . . . . . . . . . : 91.124.229.71    DNS-серверы . . . . . . . . . . . : 195.5.46.12                                                 195.5.46.10    NetBIOS через TCP/IP. . . . . . . : отключен  в свойствах подключения в сетевом окружении   NetBIOS через TCP/IP - стоит включен а ДНС серверы в форвардах ДНС сервера 2003 винды не совсем ети адреса стоят ??? Всего записей: 2120 | Зарегистр. 09-04-2003 | Отправлено: 13:26 20-06-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio WinRoute Firewall (часть 3)

emx (13-07-2008 10:52): Kerio WinRoute Firewall (часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование