Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Kerio WinRoute Firewall (часть 2)

Модерирует : gyra, Maz

batva (27-10-2006 14:58): Перемещено в форум "В помощь сисадмину"  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

   

Widok



Moderator-Следопыт		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kerio WinRoute Firewall ™



Kerio WinRoute Firewall sets new standards in versatility, security and user access control. Designed for corporate networks, it defends against external attacks and viruses and can restrict access to websites based on their content.  
 
Текущая версия: Version 6.2.2(build 1746) - Aug 7, 2006
Kerio WinRoute Firewall
Kerio VPN Client
 
Kerio WinRoute Firewall with McAfee Anti-Virus and Kerio WinRoute Firewall with antivirus plug-ins share one installation package.
 
Manual на Русском
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)
 
Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall
FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное  
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html
 
Тут одна компания полностью на русский язык перевела хелп  
Kerio WinRoute Firewall 6.0. Руководство Администратора  
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)
 
Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.
Всего записей: 24190 | Зарегистр. 07-04-2002 | Отправлено: 22:36 06-04-2006 | Исправлено: Hrist, 17:55 29-08-2006
Mikes



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
2var
сделай internet - firewall permit (pop3 smtp pop3s и тди и тп.. ) NAT MAP IP компа с почтовиком ...
 
ну и из локал в инет тоже разрешить pop3 и smtp  
незабудь авторизацию и всё такое

----------
Любезный а вам не кажется что жизнь это странное место?
Всего записей: 740 | Зарегистр. 26-01-2004 | Отправлено: 12:44 15-09-2006
dvk54

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Rasa
Ок, попробую - отпишусь...
 
Поторопился я... Что-то тут странное.
Непонятно.  
1. Если вводить адрес с амперсандом вручную - KWF меняет & на &
2. неожиданно оказалось, что если удалить winroute.cfg.bak и добавить в конфиг хотя б один урл - KWF не запускается и кричит об ошибке. Зародилось в голове дикое подозрение, что он пишет где-то контрольные суммы - типа, чтоб товарисчи из варезника не отключали в нем что не положено...
 
Кто найдет больше?
Rasa - молодец, кажется всплывает проблема...
Всего записей: 178 | Зарегистр. 18-06-2005 | Отправлено: 19:45 15-09-2006 | Исправлено: dvk54, 21:20 15-09-2006
archimed7592

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
archimed7592  
отключение трафик инспектора как раз и отключает работу http rules для этого правила и конечно отключает авторизацию и отображение в логах кто куда и чего...  
так что это не самый лучший выход.  
 
да и ИМХО с сервера не надо в инет лазить.. сервер он для того что бы другим раздавать.. это не рабочая станция

Mikes, были б у меня деньги на отдельный сервак, не было б никаких проблем...
насчёт авторизации ситуация такая - в локалку винрут должен пускать только на основе ip (выданного dhcp), а вот в инет должно пускать только после авторизации...долго парился, но так и не смог ничё с этим сделать - при установке чекбокса
Цитата:
Users->Auth options->Always require users to be authenticated when accessing web pages
он просит авторизацию даже при попытке зайти на локальные сайты, а при убирании чекбокса всё точно так же, как и при отключенном протоколоинспекторе - авторизироваться нужно самому, ручками. поэтому выбор пал на отключение протоколоинспектора.
насчёт "кто и куда", дык мне это ни к чему, мне нужно кто и сколько в интернете, а с этой задачей, имхо очень хорошо справляется лог connections в который поступают только данные из фильтров для инета и для авторизации.
 
непонятной осталась одна ф-ция винрута - deny...в мануале написано, что deny делает так, что юзер узнаёт, что его не пускает фаер, и что это не неполадка сети. сколько не пытался увидеть сию злобную страницу ничего не вышло
 
Добавлено:
кстати, как понимать опцию
Цитата:
Users->Auth options->Automatically logout users when they are incative N minutes
? точнее что подразумевается под активностью? http активность? или любая фильтровая активность?
 
ещё вопросы: возможно ли как-либо работать с mac'ами в фильтрах (разрешать\запрещать\привязывать)? есть ли такая группа ip в которую входили бы только адреса выданные dhcp?
Всего записей: 159 | Зарегистр. 07-08-2005 | Отправлено: 20:12 15-09-2006 | Исправлено: archimed7592, 20:13 15-09-2006
2var

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кароч он нифига не работает, что за хрень такая понять не могу ... В 2000 сервере нормально всё работает а в 2003 проблема ...
Всего записей: 4 | Зарегистр. 15-09-2006 | Отправлено: 08:23 16-09-2006
archimed7592

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2var, когда появляется желание разобраться почему что-то не работает, как правило, это что-то начинает работать...лично у меня на w2k3 r2 всё прекрасно работает...
Всего записей: 159 | Зарегистр. 07-08-2005 | Отправлено: 18:04 16-09-2006
maxttor

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Поставил себе KWF 6.2.2.1746 и у меня пропал интернет и сеть. Отключил kwf, все заработало. Подумал, что встроеный фаервол запрещает все, создал правило (Any,Any,Any). Ну т.е все разрешить, но нет, все равно никуда не пускает. Кто с таким сталкивался? что делать? можно  ли вобще отключить его фаервол?
Всего записей: 7 | Зарегистр. 04-05-2006 | Отправлено: 12:11 17-09-2006
archimed7592

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
maxttor
отключить фаер  невозможно...а зачем вообще ставить керио, если тебе не нужен фаер?
а ты не забыл указать принимаемое решение для этого правила (permit/deny/drop)?
если не забыл, то посмотри каким по счёту идёт правило (должно стоять в верху)
если всё равно не работает то включи лог пакетов для default правила (и для всех правил у которых политика deny/drop).
если после этого в логе filters ничего нету (т. е. ни одно запрещающее правило на твоём компе не срабатывает), то отключи протоколоинспектор - у меня то же самое - на машине, на которой стоит керио интернета нету, а у людей которые выходят в сеть через машину с керио всё отлично, а без протоколоинспектора работает у всех (см предыдущую страницу).
Всего записей: 159 | Зарегистр. 07-08-2005 | Отправлено: 14:10 17-09-2006
maxttor

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а как и где отключается протоколинспектор? и для чего он нужен?
Всего записей: 7 | Зарегистр. 04-05-2006 | Отправлено: 15:28 17-09-2006
archimed7592

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
maxttor
отключается он следующим образом: traffic policy->right_click->modify columns->check protocol inspector->ok
и справа появится соответствующий столбик, туда тычешь дважды и выбираешь None->ok->apply и всё должно быть круто...для чего он нужен читай на http://www.internetaccessmonitor.com/rus/support/docs/winroute, а также на предыдущей странице...он распознаёт некоторые протоколы (http, ftp, etc.) и пишет в логи (http\web) не только информацию об ip:port, но и какой url и ещё немного интересностей...также, если ты видел настройки allow java script и подобные, то работают они как раз благодаря протоколоинспекторам, правда не вижу большого смысла в этих инспекторах...как правило для выяснения "кто виноват" достаточно ip'шника, а если не достаточно, то керио всё равно в этом не поможет...
Всего записей: 159 | Зарегистр. 07-08-2005 | Отправлено: 17:46 17-09-2006
2var

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Наверо что упустил, какойто момент ... Нада еще подумать что там можна сделать !! Всем спасибо ...
Всего записей: 4 | Зарегистр. 15-09-2006 | Отправлено: 09:59 18-09-2006
vidoq123

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
столкнулся с проблемой.
есть два соединения с инетом - sat (спутник) и inet (наземный канал)
есть маил сервак, к нему есть днс имя (из инета вида - mail.comp.ru)
все вроде у прова настроено правильно, а проблема не исчезает!
нужно сделать так, чтобы почта сначало шла на sat, а если не доступен, то шла на inet.
правила сделал так:
для спутника
вход - sat (интерфейс) -> адрес 83.хх.хх.хх (ип адрес спутника) -> разрешить -> мап на внутрений ип 192.168.хх.хх порт 25
для наземного канала
вход - inet (интерфейс) -> адрес 217.хх.хх.хх (ип адрес канала) -> разрешить -> мап на внутрений ип 192.168.хх.хх порт 25
 
но получается сейчас так (я по логам смотрю), что используется и наземный канал и спутниковый канал, и почта то через тот идет, то через другой... что делать? может я правило не правильно настроил? в чем проблема?
 
Всего записей: 36 | Зарегистр. 07-06-2006 | Отправлено: 12:49 18-09-2006
ICY_fire



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vidoq123
в разделе Connecton failover не ковырялся? Вроде как твой случай. Сам не настраивал подобное, но судя из мануала =) , эти 2 пр-ла нужно также в одно объединить.
Add: Посмотри РМ пожалуйста.
Всего записей: 602 | Зарегистр. 03-02-2006 | Отправлено: 13:32 18-09-2006 | Исправлено: ICY_fire, 17:34 18-09-2006
vidoq123

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
не connection failover не подходит. т.к. соединение должно быть постоянно по наземному каналу, именно только чтобы почта зависила от двух соединений - спутник и земля.
Всего записей: 36 | Зарегистр. 07-06-2006 | Отправлено: 13:57 18-09-2006
maxttor

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Отключил я Протокол инспектор. Все равно никуда он меня не пускает, не в сеть войти не могу, ни в интернет.
Всего записей: 7 | Зарегистр. 04-05-2006 | Отправлено: 15:47 18-09-2006 | Исправлено: maxttor, 15:48 18-09-2006
alan1

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите какую переменную добавить в файле конфигурации чтоб опция <использовать антивирус mcafee> стала активной, а то обновил до последней версии и опция не активна, а хочетца 2 антивируса.
Всего записей: 47 | Зарегистр. 12-11-2004 | Отправлено: 10:01 19-09-2006
noblekey



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а хочетца 2 антивируса

Зачем?
работа 2 антивирей одновременно вызовет конфликт работы одного из них.
так что выбирай либо mcafee, либо внешний.  
Всего записей: 902 | Зарегистр. 01-07-2005 | Отправлено: 12:17 19-09-2006
alan1

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
noblekey, глубоко ошибаешься, в последних версиях имеется возможность сканить трафик 2 антивирусами одновременно, один у меня виснетик, 2-ой хочу mcafee. так кто подскажет какую переменную дописать в конфиг квф чтоб опция стала активной?
Всего записей: 47 | Зарегистр. 12-11-2004 | Отправлено: 12:36 19-09-2006
archimed7592

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alan1
у меня после установки сразу активной была.
vidoq123
есть у керио такая особенность (указанная в документации, между прочем) - в течении времени пока он обрабатывает какой-нибудь пакет одним правилом, это правило не работает...вот цитата:
Цитата:
Host (хост) — имя или IP-адрес машины (например 192.168.1.1 or www.company.com)  
 
Внимание: Если компьютер-источник или компьютер-получатель заданы посредством DNS-имени, WinRoute будет пытаться определить их IP-адреса при обработке соответствующего правила.  
 
Если не будет найдено ни одной записи в кэше, DNS forwarder перенаправит запрос в Интернет. Если окажется, что соединение временно “зависло”, запрос будет послан заново после того, как соединение восстановится. Соответствующее правило перестаёт работать до тех пор, пока не будет получен IP-адрес, соответствующий DNS-имени. При определённых обстоятельствах, запрещённый трафик может проходить пока соответствующее запрещающее правило выключено (такие соединения будут немедленно закрыты, когда правло снова включится).  
 
По выше описанной причине мы рекомендуем задавать компьютер-источник и компьютер-получатель посредством IP-адреса в случае, если вы выходите в Интернет через телефонное соединение!  

это указано там на тот случай, если ты захочешь указать вместо ip'шников dns имена хостов, но я думаю, что это распространяется на все случай, когда правило долго думают (в случае sat время отклика, наверное, приличное)
Всего записей: 159 | Зарегистр. 07-08-2005 | Отправлено: 15:06 19-09-2006
ICY_fire



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alan1, где то в варезнике кстати проскакивал такой вопрос, если не ошибаюсь, то нужно чтобы  <variable name="Av1Enabled">1</variable>  была именно 1
Всего записей: 602 | Зарегистр. 03-02-2006 | Отправлено: 16:57 19-09-2006
Molt



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос - а есть ли возможность в WinRoute ограничивать скорость инета конкретных пользователей или же еще не реализовали ?
Всего записей: 1337 | Зарегистр. 07-11-2004 | Отправлено: 22:15 20-09-2006
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

Компьютерный форум Ru.Board » Компьютеры » Программы » Kerio WinRoute Firewall (часть 2)
batva (27-10-2006 14:58): Перемещено в форум "В помощь сисадмину"


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru