Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Kerio WinRoute Firewall (часть 2)

Модерирует : gyra, Maz

batva (27-10-2006 14:58): Перемещено в форум "В помощь сисадмину"  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

   

Widok



Moderator-Следопыт
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kerio WinRoute Firewall ™





Kerio WinRoute Firewall sets new standards in versatility, security and user access control. Designed for corporate networks, it defends against external attacks and viruses and can restrict access to websites based on their content.  
 
Текущая версия: Version 6.2.2(build 1746) - Aug 7, 2006
Kerio WinRoute Firewall
Kerio VPN Client
 
Kerio WinRoute Firewall with McAfee Anti-Virus and Kerio WinRoute Firewall with antivirus plug-ins share one installation package.
 
Manual на Русском
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)
 
Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall

FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное  
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html
 
Тут одна компания полностью на русский язык перевела хелп  
Kerio WinRoute Firewall 6.0. Руководство Администратора  
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)
 
Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.

Всего записей: 24190 | Зарегистр. 07-04-2002 | Отправлено: 22:36 06-04-2006 | Исправлено: Hrist, 17:55 29-08-2006
Mikes



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
toster2

Цитата:
1. и где мне интернетовский интерфес отметить? снять? т.е. какой ифейс инетовский?  2. а если локальный/инетовский общий? (хотя согласен, маразм)

 
инетовский интерфейс определяется правилами.. куда то же ты NAT делаешь .. так?
и мастер в начале спрашивает чего у тя в инет смотрит
пункта 2 быть не может.. в системных требованиях чётко указано что надо 2 интерфейса
 

Цитата:
Всяких привелегированных пользователей можно по IP авторизовывать.  Хотя ты прав, первое лучше, со вторым какой-нибудь умница запустит bittorrent и выкачает полинета...

немного не в том смысле.. если второе.. то правило будет действоавть на всех.. и на авторизованных и на не авторизованных пользователей

----------
Любезный а вам не кажется что жизнь это странное место?

Всего записей: 740 | Зарегистр. 26-01-2004 | Отправлено: 09:41 04-05-2006
MoRoZ



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
toster2

Цитата:
2. Еще вопрос на тему пользователи и принудительная авторизация  
User and Groups / Users / Authentication Options  
"Always require users to be authenticated when accessing web pages" что за?

керио будет запрашивать авторизацию даже если юзер открывает локальную страницу со своего компа.
 

Цитата:
Зачем в URL Rules разрешение пользователю быть не авторизованным (any-user / do not require athentication)?

может быть чтобы пускать на какие-то адреса, например, на локальный сайт, без авторизации.
 
Добавлено:
popopo777
как-то дико звучит, что пров рубит коннект, каждые 8 часов. а если я качаю что-то большое с ресурса, где нет докачки.  
может проще посмотреть на других провов. к тому же например подключение через globax может сэкономить трафик.

Всего записей: 295 | Зарегистр. 10-09-2004 | Отправлено: 10:00 04-05-2006
popopo777



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
прошу спецов всеже ответить по сути, если, конечно, возможно. По объективным причинам выбран данный вариант конфигурации системы, и со многими косяками пришлось смириться. Но вот дисконнект Скайлинка не победим и не зависит от меня. А когда он случается, то приходиться отвлекаться, бросать все, и соединять его заново. Оно конечно не сложно, но ведь парит по полной программе! А раз в проге есть нужная функция, то не стоит ли побороться за неё? Спасибо всем, спасибо.  

Всего записей: 4 | Зарегистр. 27-01-2006 | Отправлено: 20:28 04-05-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AnLe, имеется ввиду - тунель от KFW до KWF?

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 21:08 04-05-2006
AnLe

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Venchik
Ну да.

Всего записей: 569 | Зарегистр. 12-11-2005 | Отправлено: 21:42 04-05-2006
popopo777



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот такой туннель если кто знает как делать, то очень бы многим пригодился. В свое время я не мало нервов потратил, пытался запустить несколько серверов с KWF со спутниковым оператором от одного исходящего интерфейса Скайлинка. Решение задачи существует с помощью NAT, но вот тунель построить я так и не смог, а было-бы интересно узнать, как его сделать.

Всего записей: 4 | Зарегистр. 27-01-2006 | Отправлено: 23:24 04-05-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AnLe, спасибо что подсказал, но я пока что не смог настроить. Делаю так.
На первой машине (сервере) работает уже как месяц Kerio VPN Server. Я лишь должен подключиться к нему, а дальше - разбирусь.
Подключаюсь так. На второй машине (клиенте) в KWF в Interfaces: Add VPN Tunnel. Ввожу имя соединения, IP первой машины, получаю и принимаю сертификат. Жму ОК. Напротив нового интерфейса написано Disconnected.
Пробовал с включеным и выключеным VPN Server'ом на второй машине. Как я понимаю, он не нужен для того, чтобы подключиться к другой машине-серверу.
Подскажите пожалуйста что не так сделал.
 
Добавлено:
Надо на машине-сервере в KWF добавить точно так же туннель, но выбрать Passively accept the connection only?
Если к этому серверу удачно подключаются KVC-клиенты - это не значит что мой KWF к нему удачно подключится? То есть получается что если я подключаюсь "KWF to KWF", то надо на сервере делать Passively accept the connection only, а на клиенте Actively connect to the remote endpoint? А как обстоят дела с адресным пространствами и сертификатами?
Если можно, опишите как нужно правильно делать.
Спасибо.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 01:48 05-05-2006 | Исправлено: Venchik, 01:55 05-05-2006
Garik_Lugansk



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Скажите пожалуйста, какие правила и порты нужно задать в KWF 6.1.4, что-бы всё работало (интернет и игры). Впиринципе почти всё работает. Вот что у меня разрешено:  
"DNS" "FTP" "HTTP" "HTTPS" "ICQ" "IMAP" "Mail" "POP3" "SMTP" "Telnet" tcp:28805 tcp:4000 tcp:443 tcp:8000 tcp:8038 tcp:8080 tcp:8081  
Что ещё разрешить ? Пожалуйста помогите.  

Всего записей: 430 | Зарегистр. 18-05-2004 | Отправлено: 13:29 05-05-2006
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Garik_Lugansk

Цитата:
Что ещё разрешить ?
Или смотри манулы к игрушкам, там , возможно, будет написано какие порты игрушке необходимы или смотри по логам Kerio какое приложение в какой порт стучится. Но!!!
Запускать игрушки на сервере не рекомендуется, минздравом.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 13:40 05-05-2006
crapaud



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Garik_Lugansk
Проще всего от себя разрешить все, а к себе ничего. А если что-то конкретное уже не работает, тада читайте к этому чему-то юзергад и смотрите, какими портами оно пользуется...

Всего записей: 1361 | Зарегистр. 08-07-2004 | Отправлено: 13:42 05-05-2006
Garik_Lugansk



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ну а кто-то может показать как у кого настроен керио, я показал что у меня открыто, что мне ещё добавить для нормальной работы интернета. Чёрт с теми играми.

Всего записей: 430 | Зарегистр. 18-05-2004 | Отправлено: 13:48 05-05-2006
crapaud



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Garik_Lugansk
создай правила с помощью мастера, разрешив все из локалки (там есть такая ф-я) и включи NAT. И усе у тебя будет работать (если сама сеть конечно правильно настроена). А еще лучше сходи на _http://kerio-rus.ru/ Там все хорошо для новичков разжевано.

Всего записей: 1361 | Зарегистр. 08-07-2004 | Отправлено: 13:59 05-05-2006
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Garik_Lugansk

Цитата:
Ну а кто-то может показать как у кого настроен керио

Цитата:
DNS" "FTP" "HTTP" "HTTPS" "ICQ" "IMAP" "Mail" "POP3" "SMTP" "Telnet" tcp:28805 tcp:4000 tcp:443 tcp:8000 tcp:8038 tcp:8080 tcp:8081  
При условии
Цитата:
Чёрт с теми играми
то у тебя вроде все в порядке.
Хотя насчет порта 8038 я не уверен, что он нужен.
 
Добавлено.
Да и насчет порта 28805...
Например, тебе зачем нужен порт Telnet (23/tcp)?

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 16:35 05-05-2006 | Исправлено: KUSA, 16:55 05-05-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вот, с другого форума перекинул.
 
Народ, я тут кое-что вроде как сам смог сделать, но остались вопросы. Рассказываю как делал.
1-й комп - 10.0.3.1 - условно назовем его "сервер":
Запускаю сервер VPN - чтоб могли подключаться клиенты с помощью KVC.
Создаю VPN туннель "VPN Tunnel-1", который пассивно принимает подключения. В этом туннеле указываю только отпечаток клиентской машины.
В политиках разрешаю любому компу из нашей локалки (10.0.0.0/255.0.0.0) подключаться к Firewall Host, используя сервис Kerio VPN.
Создаю правило: соурс - VPN Clients, VPN Tunnel-1, дестинейшн - внешний интернет - Permit+NAT to внешний интернет.
 
2-й комп - 10.0.3.2 - условно назовем его "клиент":
Запускаю сервер VPN - чтоб могли подключаться клиенты с помощью KVC.
Создаю VPN туннель, который активно соединяется с 10.0.3.1. В этом туннеле указываю только отпечаток серверной машины.
В политиках, конечно же, разрешил исходящий коннект на любой хост с помощью Kerio VPN.
Все работает отлично!
 
Теперь некоторые детали. Когда я на 1-ой машине создавала туннель "VPN Tunnel-1", то я копировал отпечаток со второй машины. Грубо говоря - я его на листик записал и принес на первый комп - вбил ручками.
А когда я на 2-ом компе делал туннель, то я просто нажал кнопочку "Detect Remote Certificate..." и согласился принять сертификат сервера.
 
Теперь представим такой вариант:
Какой-то посторонний злоумышленник из нашей сети 10.0.0.0/255.0.0.0 ставит себе KWF, создает у себя такой же туннель как я создал на 2-ом компе. Вот на этом месте у меня в голове возникает несколько возможных вариантов и поэтому я задаю всем вот такой вопрос:
Каким образом избежать того, чтобы появился такой посторонний злоумышленник?
Он что не сможет узнать отпечаток? Объясните пожалуйста на чем завязана авторизацию туннеля, если айпишник клиента из диапазона дозволенных?
 
 
Теперь вторая часть.
Каким образом ограничить траффик туннеля по объему и скорости? Ведь туннель - это не пользователь.
 
Спасибо всем, кто дочитал до конца.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 21:57 05-05-2006
flayx

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Банеры замучили просто...
Имеются в виду flash банеры.Кто как борется?
пробовал в список ad/banners просто *.swf вставлять, захожу на rambler все равно прогружаются.
пока составил black-list, но неправильно это как-то.
Может можно как нибудь запретить по http файлы swf скачивать?
 
Добавлено:
Сорри просто кеш в проксе забыл почистить...
вопрос снимается..

Всего записей: 626 | Зарегистр. 10-11-2005 | Отправлено: 11:14 06-05-2006 | Исправлено: flayx, 11:45 06-05-2006
RemComm



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Venchik
 
1. вот мне не совсем понятен глубинный смысл такой настройки... В чем прелесть хождения в интернет из локалки через шлюз KWF посредством VPN-соединения, устанавливаемого из локалки и терминируемого локальным же шлюзом?
2. Клиенты не должны устанавливать "тунельные" подключения. Если же есть необходимость в VPN, пусть используют клиентские подключения с явной авторизацией.
 
Проблема тоже не совсем понятна - при установке VPN-тунеля всегда учавствует пара отпечатков: "локального" сертификата и "удаленного". Явно указать можно только "удаленный" отпечаток. Что бы сработала схема злоумышленника, ему прийдется еще озаботится подменой локального сертификата. На форуме керио тема VPN получила широкое обсуждение и говорилось, что в один момент времени любая пара сертификатов может учавствовать только в одном VPN-соединении (тунельном или клиентском). За тунельные утверждать не буду - как-то не проверял, а то, что VPN-сервер от одного клиента более одного клиентского соединения не позволяет установить - проверено.
 
Про квоты - любой VPN-пользователь устанавливающий соединение со шлюзом через KVC будет отождествлен со своей учетной записью. Иначе просто не установит соединение. Квоту на объем задать для любого авторизованного пользователя можно afair.
 
2All
 
А кто может подскажет, можно ли KWF заставить "на лету" перечитать конфиги, если они изменились внешним компонентом?

Всего записей: 839 | Зарегистр. 30-09-2003 | Отправлено: 14:11 06-05-2006 | Исправлено: RemComm, 14:38 06-05-2006
modest3

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет всем.
ПРОФИ, разложите по полочкам настройку smtp realey (у меня почта ***@list.ru на сервере mail.ru)
из-за чего может изредко WR 6,2,0 загружать проц на 95 и выше процентов?  
СПАСИБО.

Всего записей: 22 | Зарегистр. 17-03-2006 | Отправлено: 16:11 06-05-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
RemComm
1. Смысл в том, что на одном компе есть инет, а на другом его нет. Использовать обычный NAT не хочется из-за того, что VPN является более безопасным.
 
2. Клиентов нет. Клиент - это машина с KWF. Сервер - тоже машина с KWF. Во всем деле учавствуют всего две машины и на обоих стоит KWF.
 
Вопрос остается в силе: как ограничить скорость и объем траффика по VPN туннелю между двумя KWF'ами?

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 16:14 06-05-2006
RemComm



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Venchik
 
на тунелях этого не сделаешь средствами KWF. Но можно решить вопрос почредством симбиоза KWF и TMeter, который гармонично дополняет функцоинал KWF своим.
 
Эти две машины у тебя в одной локале, иначе интернет был бы на обоих. я не мойму вот чего: вот с той машины, которая смотрит наружу, ты куда прокидываешь впн? И как это ты там не используешь НАТ? Такое возможно только при наличии глобов с непосредственным роутингом.
 
Хм... т.е. впн не терминируется пограничным шлюзом? А с "внешнего" интерфейса этот самый впн устанавливаетс я между клиентом и  любым, произвольно выбранным хостом? Немного нелогично. Поэтому я и спросил, какой смысл использовать впн в локале, потому как перед выходом наружу все локальные тунели терминируются и трафик декапсулируется и наружу идет в самом чистом виде. Иначе терминировать его должен внешний хост. А вот я что-то не припоминаю, что б какой-то гугле.ру или аппорт.ру или ру-боард.ком или вообще любой произвольный хост вот так вот взял и затерминировал твой впн. Опять же, непонятно зачем KWF на обоих машинах при всего одном внешнем подключении.
 
и насчет мотивации и обоснований разработчику - они не могут быть особенно сильными. Продукт KWF позиционируется как отдельно стояший шлюз, т.е. всякие там комбинации типа "gateway + user workstation" по мнению разработчика - от лукавого. imho небезосновательно.
 
Опиши задачу толком - из предыдуших постов я не особо много почерпнул. Всегда можно найти правильное и изящное решение. И не обязательно "в лоб"...

Всего записей: 839 | Зарегистр. 30-09-2003 | Отправлено: 17:33 06-05-2006 | Исправлено: RemComm, 17:43 06-05-2006
Chimney



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Много вопросов и много ответов, но нужного мне не нашел.
Итак. Имеем :
- KWF 6.2.0 1323
- инет по выделенке (примерно ip 133.133.133.133)
- локальная сеть, в которой живет пара web-серверов (192.168.1.5 и 192.168.1.6)
 
Необходимо, чтобы был доступ к web-серверам со всех сторон (и из инета и из внутренней подсети).
 
Делаю правило :
Source         Destination   Service Translation           Protocol Inspector
External Net  Firewall        HTTP     MAP 192.168.1.5    None
Internal Net
 
Из инета нормально заходится и читается. Вроде нет проблем. А вот при попытке подключиться из локальной сети не на локальный IP, а с использованием внешнего адреса выдает :
"Соединение с сервером www.xxx.xxx.xxx сбой (Запрос на установление соединения отклонен сервером.)"
 
Как сделать так, чтобы можно было подключиться к WEB-серверу не через 192.168.1.5, а через www.xxx.xxx.xxx ?
 
Спасибо.

----------
See you in another life !

Всего записей: 337 | Зарегистр. 08-12-2001 | Отправлено: 19:54 06-05-2006 | Исправлено: Chimney, 19:54 06-05-2006
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

Компьютерный форум Ru.Board » Компьютеры » Программы » Kerio WinRoute Firewall (часть 2)
batva (27-10-2006 14:58): Перемещено в форум "В помощь сисадмину"


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru