Widok Moderator-Следопыт Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kerio WinRoute Firewall ™ смежная тема в варезнике Kerio WinRoute Firewall sets new standards in versatility, security and user access control. Designed for corporate networks, it defends against external attacks and viruses and can restrict access to websites based on their content.     Текущая версия: Kerio WinRoute Firewall ™ 6.3.1 build 2906 от May 30, 2007 - win32 | win64 | Release history   Kerio WinRoute Firewall with McAfee Anti-Virus and Kerio WinRoute Firewall with antivirus plug-ins share one installation package. C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются... Если Вы хотите продолжать использовать ранние версии KWF, необходимо заменить mcscan32.dll   (Никаких взломов, просто более свежие версии): Библиотеки отдельно (две версии 5.0.00 и 5.01.00): (необходимо докачать свежие AV базы). http://rapidshare.com/files/30041771/mcscan32_dll.rar  (File-Size: 1,99 Mb)   Полные комплекты (mcscan32.dll v5.01.00 + AV базы): File-Size: 10,35 Mb [updated] [версия баз 5039] - http://rapidshare.com/files/33993453/mcafee5.1.00_base5039_kwf6.3.0b2683.rar [версия баз 5040] - http://rapidshare.com/files/33997256/mcafee5.1.00_base5040_kwf6.3.0b2683.rar Manual на Русском Manual Eng (PDF) Step-by-Step installation guide Eng (PDF) Kerio VPN Client Manual (PDF)   Настройка, русификация, полный русский мануал Ключи для Kerio WinRoute Firewall FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное   администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171) _http://12kms.fatal.ru/_kwf.html   Тут одна компания полностью на русский язык перевела хелп   Kerio WinRoute Firewall 6.0. Руководство Администратора   Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/ Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)   также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.   Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами. Всего записей: 24190 | Зарегистр. 07-04-2002 | Отправлено: 22:36 06-04-2006 | Исправлено: Hrist, 15:09 20-06-2007

scatchi Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уважаемые форумчане! Поделитесь, пожалуйста, опытом. Может, кто-нибудь сталкивался с проьлемой настройки сабжа для работы вместе с VPN сервером, поднятым стандартными средствами Windows Server 2003. В мануале Керио есть инструкции, как это реализовать - следовал им неуклонно, всё равно не пашет. Причем при создании VPN-подключения на том же сервере, где установлен сабж, всё работает. А также, если вырубить сабж, то клиенты подрубаются и через локалку и  через инет. В чём может быть проблема и как её решить? Заранее огромная благодарность просто за внимание 8) Всего записей: 30 | Зарегистр. 07-01-2006 | Отправлено: 15:25 25-04-2006

Evgeny_Sorokin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору scatchi Traffic Policy в студию плиз...   А так вроде всё просто. в TP должны быть правила такого содержания (для доступа из инета)   Source   Destination Service      Action    NAT   Protocol inscpector INET      FireWall      PPTP,GRE   permit            default Firewall  Inet           Any            permit            default       Всего записей: 184 | Зарегистр. 23-04-2003 | Отправлено: 09:12 28-04-2006 | Исправлено: Evgeny_Sorokin, 09:13 28-04-2006

iknow Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору товарищи - извините если уже вопрос был... решилась ли проблема от чего возникала ошибка "Winroute driver: IpSendExplorationPacketReceived....." при использовании прог типа BWMerer CuteFTP и прочее в версии 6.1.4 path2??? Всего записей: 673 | Зарегистр. 21-09-2005 | Отправлено: 22:14 28-04-2006 | Исправлено: iknow, 22:16 28-04-2006

Sanserif Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как можно экспортировать базу юзеров? Или хотя бы где она храниться, что бы после полоной переустановки вернуть ее? Всего записей: 153 | Зарегистр. 07-03-2006 | Отправлено: 12:28 29-04-2006

scatchi Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Evgeny_Sorokin Огромная благодарность за ответ! Но к счастью, сам справился с этой проблемой 8) Правило создал следующее:   Source     Destination  Service      Action    NAT   Protocol inscpector   Internet    Firewall       PPTP,GRE   Permit            PPTP                    (для установления vpn-соединения) Dial-In      LAN            Any            Permit            Default                 (разрешение vpn-клиентом ходить в локалку, без этого правила клиенты смогут ходить только на шлюз)   Причём, если в первом правиле выставлять protocol inspector в default, то лично у меня клиенты не подключались. Ситуация сразу же исправилась после выставления значения "PPTP".   Указанное тобой правило: Firewall     Inet            Any            permit            default   совершенно неприемлено с точки зрения безопасности. Лично разрешаю на Outbound только те порты, которые нужны!   Ещё раз благодарю за ответ!!! Всего записей: 30 | Зарегистр. 07-01-2006 | Отправлено: 12:41 29-04-2006

Mikes Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Sanserif users.cfg тебе не подходит??? ---------- Любезный а вам не кажется что жизнь это странное место? Всего записей: 740 | Зарегистр. 26-01-2004 | Отправлено: 12:48 29-04-2006

Sanserif Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Sanserif   users.cfg тебе не подходит???   спасибо! попробую... Всего записей: 153 | Зарегистр. 07-03-2006 | Отправлено: 13:16 29-04-2006

scatchi Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В рабочей директории Винроут в файле UserDB.cfg (начиная с версии 6.1.4). По умолчанию: C:\Program Files\Kerio\Winroute\UserDB.cfg. Это обычный текстовый файл, как и все остальные конфигурационные файлы.   А вообще вся конфигурация Винроут хранится в следующих файлах:   winroute.cfg Главный конфигурационный файл   users.cfg Информация о пользователях и группах.   logs.cfg Настройки журналов   host.cfg Настройки для резервного копирования конфигурации, (настроек пользователей, баз данных сервера DHCP и т.д.)   UserDB.cfg Что в нём хранится, описано выше 8)   Т.е. для резервного копирования необходимо скопировать эти файлы в директорию свежеустановленного Винроута.   [!] Но после этого необходимо сделать выполнить следующее:   1) Установите WinRoute на нужной машине (смотрите главу Установка). 2)Остановите WinRoute Firewall Engine. 3) Скопируйте резервные копии конфигурационных файлов host.cfg, logs.cfg, users.cfg и winroute.cfg в директорию установки WinRoute (обычно C:\Program Files\Kerio\WinRoute Firewall). 4) Запустите WinRoute Firewall Engine.     WinRoute сам обнаружит нужные файлы. В данном процессе ,в системе будут обнаружены неизвестные сетевые интерфейсы (которые не определены в файле winroute.cfg ) .Каждый сетевой интерфейс включает в себя уникальный идентификатор (случайно сгенерированный) в операционной системе. Практически не возможно чтобы два идентификатора совпадали.     Для избежания настройки новых интерфейсов и изменений правил траффика (traffic rules), вы можете присвоить идентификатор нового интерфейса, старому интерфейсу в файле winroute.cfg.   4) Остановите WinRoute Firewall Engine.   Используйте простой текстовый редактор (например Notepad ) чтобы открыть winroute.cfg. Найдите кусок текста:     <list name="Interfaces">   Посмотрите содержимое этой секции (между открывающим и закрывающими тэгами), и найдите секции старого и нового интерфейсов, замените идентификатор старого интерфейса идентификатором нового.Удалите секцию нового нового интерфейса.     Пример: Название интерфейса локальной сети LAN. Это сетевое соединение обозначается как Local area connection в новой операционной системе. присутствуют оба интерфейса, задача подменить идентификатор старого интерфйса новым, чтобы использовались настройки старого:     <listitem>     <variable name="Id">\DEVICE\         {7AC918EE-3B85-5A0E-8819-CBA57D4E11C7}</variable>     <variable name="Name">LAN</variable>     ...   </listitem>   <listitem>     <variable name="Id">\DEVICE\         {6BF377FB-3B85-4180-95E1-EAD57D5A60A1}</variable>     <variable name="Name">Local Area Connection</variable>     ...   </listitem>   Скопируйте идентификатор интерфейса Local Area Connection в интерфейс LAN . Удалите информацию о интерфейс Local Area Connection (соответствующий элемент listitem).     Когда все изменения будут совершены, файл конфигурации будет выглядеть вот так:   <listitem>     <variable name="Id">\DEVICE\         {6BF377FB-3B85-4180-95E1-EAD57D5A60A1}</variable>     <variable name="Name">LAN</variable>     ...   </listitem> Сохраните winroute.cfg и запустите WinRoute Firewall Engine.   После такой процедуры настройки WinRoute идентичны настройкам исходного сервера WinRoute, в предыдущей операционной системе. Всего записей: 30 | Зарегистр. 07-01-2006 | Отправлено: 14:16 30-04-2006

Sanserif Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ОК, понял. Спасибо за такое подробное разжовование!=)   Такой вопрос, если требуется сохранить только   настройки правил для нета(трафик) база юзеров база логов   то можно пропустить настройки подключений? Всего записей: 153 | Зарегистр. 07-03-2006 | Отправлено: 02:41 01-05-2006

Mikes Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Sanserif только в том случае если имена подключений будут совпадать.. ---------- Любезный а вам не кажется что жизнь это странное место? Всего записей: 740 | Зарегистр. 26-01-2004 | Отправлено: 16:36 01-05-2006

Sanserif Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Sanserif   только в том случае если имена подключений будут совпадать..   Имена или divice id? Всего записей: 153 | Зарегистр. 07-03-2006 | Отправлено: 23:17 01-05-2006

Mikes Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору нет.. имена.. дальше то по именам идут правила... то есть  имя (в керио) локального адаптера - имя (в керио) интернет адаптера - permit (nat))если имена будут совпадать то всё ок .. но мне кажется что всё же лучше как scatchi сказал сделать ---------- Любезный а вам не кажется что жизнь это странное место? Всего записей: 740 | Зарегистр. 26-01-2004 | Отправлено: 10:15 02-05-2006

Arakcheev Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Народ нужна помощь. Интерне раздается по диалапу. все нормально живет до тех пор пока принудительно не разорвешь связь (как в самом керио, так и вручную из трея). после разрыва связи индикаторы модема гаснут ка ки положено, пиктограмма из трея исчезает, связь физически разрывается, но в "сетевых подключениях" иконка диалапа остается активной, как будто связь есть. если вызваться контекстное меню соединения, то пункты разорвать связь и начать дозвон неактивны и соответственно никак кроме перезагрузки связь не восстанавливается...   че делать? Всего записей: 771 | Зарегистр. 06-04-2005 | Отправлено: 12:50 02-05-2006

toster2 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Смотрю, все вопросы задают, дай думаю и я голову ломать не буду, друих помучаю.   1. Пользователи. Я так понимаю, что пользователь привязывается к IP на основе статически приписанного к нему IP или ввода логин/пароль или другого способа авторификации. Т.е. авторизованный  пользователь берет на себя весь траффик. Причем молча оговаривается, что только инетовкий трафик).   Как керио отличает его от локального? По диапазону адресов? Не 10.х.х.х и не 192.168.х.х?   Далее реальный пример, есть разрешающее правило из локалки в инет на определенные службы - почта, ася, пара рабочих серваков. Для желающих работать со всем инетом следующее правило, конкретный пользователь - весь инет. Т.е. человек работает, если надо, то авторизуется по вебу и работает со всем инетом. Неудобство в том, что он на себя грешного приписывает весь трафик. Если сначала первое правило было халявой, то активировав второе он подписался и на первое.   Как обойти? Потом задним числом в логах смотреть по правилам?   Вот еще заинтересовало. Продолжение примера. Если пользователю кончится квота, то первое правило работать будет? Разлогиниваться придется?   2. Еще вопрос на тему пользователи и принудительная авторизация User and Groups / Users / Authentication Options "Always require users to be authenticated when accessing web pages" что за? Интуитивно понятно, что даже если в правилах у меня прописана внутренняя сеть (просто адреса), то все равно для работы в инет внутренние адреса должны быть авторизованы пользователями. Но зачем написали "web pages"?   3. HTTP фильтрация Трафик идет согласно правил, инспектор шуршит и HTTP фильтрация позволяет наложить дополнительные ОГРАНИЧЕНИЯ. Но что-то я не понял: Зачем в URL Rules разрешение пользователю быть не авторизованным (any-user / do not require athentication)? Это на случай если я в в правилах трафика прописал внутренний адрес (не самого пользователя), стоит галка п.2. (адрес должен быть авторизован) и эта галка позволит авторизацию отключить?   4. Что лучше    Два разрешающих правила трафика:    а. Локалка - список серваков в инете.    б. Пользовали - весь инет. Или    Одно разрешающее правило, локалка - весь инет.    Затем требование обязательной авторизации.    И для списка серваков URL правило - авторизация не нужна.   Второй вариант с https глючить не будет?   Спасибо, что дочитали до конца. Всего записей: 69 | Зарегистр. 23-12-2004 | Отправлено: 05:46 03-05-2006

Mikes Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору toster2 Цитата: Как керио отличает его от локального? По диапазону адресов? Не 10.х.х.х и не 192.168.х.х? инетвский трафик это тот который снимается с интерфейса смотрящего в инет.. без разницы какие там адреса   Цитата: Я так понимаю, что пользователь привязывается к IP на основе статически приписанного к нему IP или ввода логин/пароль или другого способа авторификации. один пользователь одновременно может заходить с нескольких IP     Цитата: Как обойти? никак...     Цитата: Вот еще заинтересовало. Продолжение примера. Если пользователю кончится квота, то первое правило работать будет? Разлогиниваться придется? да.. прийдётся   Цитата: Интуитивно понятно, что даже если в правилах у меня прописана внутренняя сеть (просто адреса), то все равно для работы в инет внутренние адреса должны быть авторизованы пользователями. Но зачем написали "web pages"?    потому что эта штука 100% работает только для http https ftp и тд и тп...   например oline игры иногда могут проходить и без авторизации.. хотя галочка стоит.. а вот http никогда ...   Цитата: Что лучше первое лучше   Цитата: И для списка серваков URL правило - авторизация не нужна. первое лучше если второе то тогда это будет действовать на всех пользователей.. не важно залогинились они или нет ---------- Любезный а вам не кажется что жизнь это странное место? Всего записей: 740 | Зарегистр. 26-01-2004 | Отправлено: 10:55 03-05-2006

popopo777 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Народ всем привет и вот такой вопрос, прочитал оба форума не нашел. С главной страницы вебинтерфейса пользователь может коннектить диалап и отключать его. Когда сидел на чистом диалапе, так и было, и все мне нравилось. Но вот теперь работаю со спутником через VPN, исходящий интерфейс - Скайлинк. Он отваливается через восемь часов, и его надо снова соединять. Так вот не удается запустить юзеру с веб-интерфейса тот самый скайлинк. При этом отключать можно. Приходиться народу ждать, када я доползу до сервака, и запущу его оттуда. Таким вот образом теряю свободу!!! Соединяй его каждые 8 часов!!! Что же делать? Кто знает, подскажите плиз. Всего записей: 4 | Зарегистр. 27-01-2006 | Отправлено: 22:46 03-05-2006

toster2 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Mikes Цитата: инетвский трафик это тот который снимается с интерфейса смотрящего в инет.. без разницы какие там адреса   1. и где мне интернетовский интерфес отметить? снять? т.е. какой ифейс инетовский? 2. а если локальный/инетовский общий? (хотя согласен, маразм)   Цитата: потому что эта штука 100% работает только для http https ftp и тд и тп... например oline игры иногда могут проходить и без авторизации.. хотя галочка стоит.. а вот http никогда Интуитивано это понятно по названию. Но получается что эта фишка зависит от инспектора трафика, а галка находится не в разделе фильтраций. Вот это нелогично.   Цитата: первое лучше если второе то тогда это будет действовать на всех пользователей.. не важно залогинились они или нет Всяких привелегированных пользователей можно по IP авторизовывать. Хотя ты прав, первое лучше, со вторым какой-нибудь умница запустит bittorrent и выкачает полинета...   Спасибо за ответ.   popopo777 1. Консоль администратора керио работает И по сети. 2. Radmin. Всего записей: 69 | Зарегистр. 23-12-2004 | Отправлено: 23:44 03-05-2006

Venchik Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Есть необходимость использовать на одной машине KWF и KVC. Как известно, при запуске, KVC видит что запущен KWF и требует остановить его. Меня это не устраивает. Я хочу чтоб KVC и KWF работали одновременно. Пожалуйста, помогите мне аргументировать это разработчику. Желательно по-английски Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 23:51 03-05-2006

popopo777 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору я не про консоль и не про Радмина. Я про то, что юзер  любой может со своей машины запустить диалап, а это перестало работать. Включить удаленно конечно можно, и это не обсуждается. Еще раз повторю, нужно чтоб юзер мог запустить соединение со своей юзерской машины. Всего записей: 4 | Зарегистр. 27-01-2006 | Отправлено: 00:04 04-05-2006

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio WinRoute Firewall (часть 2)

emx (21-06-2007 15:56): http://forum.ru-board.com/topic.cgi?forum=8&topic=22219

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование