Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Kerio WinRoute Firewall (часть 2)

Модерирует : gyra, Maz

batva (27-10-2006 14:58): Перемещено в форум "В помощь сисадмину"  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

   

Widok



Moderator-Следопыт
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kerio WinRoute Firewall ™





Kerio WinRoute Firewall sets new standards in versatility, security and user access control. Designed for corporate networks, it defends against external attacks and viruses and can restrict access to websites based on their content.  
 
Текущая версия: Version 6.2.2(build 1746) - Aug 7, 2006
Kerio WinRoute Firewall
Kerio VPN Client
 
Kerio WinRoute Firewall with McAfee Anti-Virus and Kerio WinRoute Firewall with antivirus plug-ins share one installation package.
 
Manual на Русском
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)
 
Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall

FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное  
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html
 
Тут одна компания полностью на русский язык перевела хелп  
Kerio WinRoute Firewall 6.0. Руководство Администратора  
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)
 
Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.

Всего записей: 24190 | Зарегистр. 07-04-2002 | Отправлено: 22:36 06-04-2006 | Исправлено: Hrist, 17:55 29-08-2006
XDefender



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну укажи чтобы не с локальной сети а с firewall ... в чем трудности?
 
 
Source - Firewall
Destination - your IP
Service - ICQ
Translation - NAT - (а там укажи на какой интерфейс)
 
Достаточно понятно?

Всего записей: 459 | Зарегистр. 19-11-2001 | Отправлено: 11:53 12-07-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
XDefender, вполне.
Я пробовал так, но ничего не получилось.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 12:06 12-07-2006
dim0k



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Hrist

 

Цитата:
dim0k  
 

Цитата:
Можно ли заставить KWF считать только тот траффик, который идет через прокси?  
 

есть вариант на нат правилах отключить протокол инспектор - тогда и считать наверное не будет и просить авторизации... а то и вообще пустить по нату только машины которых считать не надо и в правилах разрешить им ходить без авторизации... а вообще - какова задача то? что именно на каких задачах и почему не нужно считать трафик? может можно решить задачу другим способом?  
 

 
Задача следующая: Через внешний интерфейс идет не только интернетовский траффик, но и бесплатный. Различить их можно по портам и по destination IP. Пользователи имеют доступ и туда и сюда. В интернет - обязательна авторизация. А если авторизация пройдена - то дальше считается любой траффик, даже который идет через НАТ. Я вижу выход только в том, что поставить отдельный прокси, но этого делать не хочется, т.к. опять надо копаться, выбирать, пробовать...

Всего записей: 11 | Зарегистр. 20-06-2005 | Отправлено: 09:18 13-07-2006 | Исправлено: dim0k, 09:19 13-07-2006
radmin111

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ребят по мультикасту то нет предложений?

Всего записей: 71 | Зарегистр. 12-12-2005 | Отправлено: 13:19 13-07-2006
SPeller



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
У меня вопрос по спящему режиму. Раньше стояла версия 6.1.4.1084, комп нормально переходил в спящий режим. Сегодня поставил версию 6.2.1.1454, и винда мне заявила. что керио винроут препятствует переходу в спящий режим. Можно ли как-то эту проблему решить? А то без спящего режима туго.

Всего записей: 259 | Зарегистр. 11-01-2006 | Отправлено: 19:47 13-07-2006
SPeller



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Спасибо всем не ответившим Проблема была в VPN Support'е. Удалил ее и спящий режим снова стал возможен.

Всего записей: 259 | Зарегистр. 11-01-2006 | Отправлено: 06:03 14-07-2006
CuS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dim0k
А почему бы уважаемому сэру не использовать какой-нибудь анализатор логов? Например, Internet Access Monitor? Или просто считать по своим правилам с помощью T-Meter? Из-за квот?

Всего записей: 156 | Зарегистр. 05-12-2003 | Отправлено: 10:51 14-07-2006
dim0k



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я, наверно, неправильно сформулировал вопрос. По большому счету сама цифра мне известна и не особо интересна. Проблема в том, что траффик считается общий по всем портам и если я ставлю лимит, скажем 100 МБ на пользователя, а он из них из инета вытянул всего 30, а остальное - бесплатный траффик, но он тоже сосчитался и пользователя отрубает, а доступ к бесплатной части д.б. постоянный.
Я не знаю внешних программ (анализаторов логов) чтобы они умели блокировать пользователя в реальном времени при превышении квот.

Всего записей: 11 | Зарегистр. 20-06-2005 | Отправлено: 11:27 14-07-2006 | Исправлено: dim0k, 11:28 14-07-2006
ICY_fire



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dim0k, а предложение уважаемого Hrist'a не пробовал реализовать? Оно как раз и должно решить твою проблему.
А попробуй создать правило, где в направлении будут интересующие адреса/протоколы, и отключи для него протокол-интспектор, поместить его естесно надо выше общего правила, пускающего в инет.

Всего записей: 602 | Зарегистр. 03-02-2006 | Отправлено: 15:18 14-07-2006 | Исправлено: ICY_fire, 16:02 14-07-2006
dim0k



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что значит:
 

Цитата:
есть вариант на нат правилах отключить протокол инспектор - тогда и считать наверное не будет и просить авторизации...  

Я не понимаю как это сделать. Можно по подробнее. И к чему это приведет?
 
А насчет:

Цитата:
а то и вообще пустить по нату только машины которых считать не надо и в правилах разрешить им ходить без авторизации...  

 Не получиться надо считать все машины, вот только трафик надо не весь считать.

Всего записей: 11 | Зарегистр. 20-06-2005 | Отправлено: 15:47 14-07-2006
Chimney



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я так понимаю, что проблему с LowID никто не решил или не решал ?
Попробовал даже решить таким образом в правилах :
 
Адрес_машины-Internet-All_TCP_Ports-Permit-NAT
Internet-Адрес_машины-All_TCP_Ports-Permit-NAT
 
Все равно получается LowID.
Какие еще могут быть пути решения ?
 
Спасибо.
 
P.S. В принципе и Torrent и eMule работают, но КАК получить не LowID ?

----------
See you in another life !

Всего записей: 337 | Зарегистр. 08-12-2001 | Отправлено: 17:58 14-07-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Chimney
Давай чуть конкретней. Если нужен HighID на машине, которая стоит за NAT'ом KWF'a и при этом у машины с KWF'ом есть реальный, то тогда так.
Source: Interface connected to: <твое соединения с Интернет>
Destination: Firewall Host
Action: Permit
Service: Port: <тот порт, который ты прописал н в eMule на клиентской машине, которая стоит за KWF>
Translation:
       Source NAT: No Translation
       Destination NAT: Translate to: <IP машины, которая стоит за KWF>
 
Объясняю по-русски.
Ты в eMule указываешь номер того порта, на который к тебе должны коннектиться клиенты. Этот номер передается на сервер eMule. Сервер eMule сразу же проверяет возможность коннекта на этот порт. Естесственно, он пытается приконнектиться на этот порт не к машине с eMule, а к машине с KWF - ведь на ней же реальный айпи. Машина с KWF видит входящий пакет на порт eMule и видит что он пришел из Интернета...она перенаправляет его на тот адрес, который ты указал в Translate to. Ну и сервер eMule уже как бы коннектится к машине с eMule, видит что коннект удался и выдает тебе HighID. После этого такие же юзеры как ты, а верней их eMule'ы будут коннектиться к твоей тачке.
 
Получается, что если тебе надо сделать HighID на нескольких машинах в сетке, то на всех них надо указать разные порты и для всех них надо сделать разные правила. Ведь в каждом правиле будет свой порт и свой IP на который надо будет перенаправить пакет.
 
Не забудь что если на машинах с eMule есть брандмауэры, то в них надо открыть соответствующие порты (те самые из eMule).
 
Вроде все
У меня так работает!
 
Добавлено:
Если что - стучи в ICQ.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 18:41 14-07-2006
ICY_fire



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрые люди, объясните пожалуйста на пальцах, что нужно подковырять, чтобы при запросе веб страницы неавторизованным пользователем его автоматически перекидовало на страницу авторизации KWF. Т.е. чтобы страница аутентификации Керио вываливалась автоматом, а не запускалась  скомандной строки браузера командой типа _https://office.com:4081/fw/login.

Всего записей: 602 | Зарегистр. 03-02-2006 | Отправлено: 09:41 17-07-2006 | Исправлено: ICY_fire, 18:29 17-07-2006
motor2hg



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ICY_fire Я же расписал как решить эту проблему! Смотри пост правило WebAvtorizacia выбрасывает юзера автоматом на страницу регистрации, но NAT на IP локалки не даёт пользователям не прописаным в верхнем правиле NAT разгуливать по HTTP. В чём непонятка то?

Всего записей: 38 | Зарегистр. 14-05-2004 | Отправлено: 14:45 17-07-2006
ICY_fire



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
motor2hg
не фига не получается по описанному тобой мануалу сделать... на страницу авторизации напр., не перенаправляет. Это так работает?: пока юзер неавторизован, то на него действует пр-ло Web Avtorizacia, он перенаправляется на страницу авторизации(только не пойму как), когда он авт-ся, то уже дей-т пр-ло NAT и юзеры гуляют по инету и т.п.? И в настройках Authentication options у тебя что стоит?

Всего записей: 602 | Зарегистр. 03-02-2006 | Отправлено: 15:34 17-07-2006 | Исправлено: ICY_fire, 18:22 17-07-2006
rafikifan

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 
1. п2п элиминатор не включен? протокол инспектор пробовали отключать на правиле п2п?  
2) выводили из анализа файрвола - локальный интерфейс?  
 
в конфиге прописать для локальных интерфейсов  
<variable name="FirewallExclude">1</variable>  
исчезают тормоза и загрузка процессора при интенсивной работе локальной сети

 
 
1p2p отключен, что есть протокол инспектор?
 
2 ну отключил анализ локального интерфейса, проблема осталась, при созданном в сети сервере cs ни одна машина его не видит (если делать поиск средсвами контр страйка) если делать коннект по ip всё фурычит.
кстати если отключит анализ локальных интерфейсов это случайно не будет означать что тот локальный интерфейс через который мы коннктимся к ВПН серверу будет виден в сети с открытыми портами?

Всего записей: 19 | Зарегистр. 10-02-2005 | Отправлено: 03:19 18-07-2006
morjov



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Весь инет перерыл в поисках способа лечения, но кроме схожих вопросов ничего не нашёл. Итак.
 
Имеем:
- w2k
- WinRoute 6.1.4
- Dial-Up ADSL
- dial-in соединение
 
Я пытаюсь расшарить инет для Dial-In, чтобы знакомый мог через меня выходить в инет. Вроде кое-как настроил и он выходит в инет через меня... но иногда. Получается это у него один раз, во второй раз уже в инет не выйти (от меня к нему уходит 291 байт и на все его пинги и запросы из браузера, полная тишина), но если перезагрузить мою машину, то опять один сеанс инета будет. Если остановить WinRoute, то он сможет меня пинговать.
 
Подскажите, в чём может быть дело? Может Dial-In + WinRoute как-то хитро настраиваются?


----------
Баннер - это флаг, транспарант, растяжка. В Интернете это должно называться по другому. E-баннер.

Всего записей: 341 | Зарегистр. 05-01-2004 | Отправлено: 03:40 18-07-2006
ICY_fire



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Никак не могу понять: является ли прокси-траффик в KWF НАТ-траффиком?

Всего записей: 602 | Зарегистр. 03-02-2006 | Отправлено: 10:18 18-07-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
morjov
Win2000 Pro или Serv?
Попробуйте после его отключения перезапустить у себя службу "Маршрутизация и удаленный доступ...". У меня такое бывало что клиент не мог подключиться повтороно к WinXP Pro до тех пор, пока я не перезапущу эту службу.
А вообще - если у Вас Win 2000 Pro, то я очень рекоменду. воспользоваться VPN Server'ом встроенным в KWF, так как в Win 2000 Pro и в Win XP Pro Dial-In сервер работает ооочень глючно!

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 10:51 18-07-2006
GOODmen



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Venchik
А как быть если адрес динамический? Запускаю Емул на самом фаере, все равно Lowid

Всего записей: 366 | Зарегистр. 15-01-2004 | Отправлено: 10:55 18-07-2006
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

Компьютерный форум Ru.Board » Компьютеры » Программы » Kerio WinRoute Firewall (часть 2)
batva (27-10-2006 14:58): Перемещено в форум "В помощь сисадмину"


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru