:contract:
1. Как насчет ЗНАТОКАМ КЕРИО написать ФАК по прописыванию правил?! С примерами ессественно! :yees:
2. Как работает фаервол в Керио?! :баран: Т.е. если я пробрасываю Local IP->Inet interface , то я иду без фаервола или как?! :confused:
3. Как работает прокси? Т.е возможна ли конфигурация, где часть IP должна идти через прокси, а часть - БЕЗ ПРОКСИ.
4. Ситуация: WIN2003, Kerio 6.0.9, DHCP под WIN2003
в стеке есть реальные и нереальные IP. Как на машине с реальным IP разрешить Starcraft/DiabloII/WarCraftIII ходить БЕЗ ПРОКСИ, ФАЕРВОЛА и с реальным IP ??! :duel:

К предыдущему посту и всем кому интересно: http://winfaq.com.ru/ubb/Forum9/HTML/000028.html
Здесь же я нашел ответ и на свой вопрос (к посту №436) :yees:

А у меня такой вопрос к уважаемым Гуру :
Ситуация простая. Есть локальная сеть, достаточно хорошо развитая. Есть выход в интернет из двух точек. Первая работает под WinProxy. Все хорошо, но для нее необходим клиент. Нет клиента - нет нормальной работы.
Решил сделать еще одну лазейку.
На машине, которая выходит в инте стоит IIS. Именно он и работает наружу.
Вот надо сделать так, чтобы на этой-же машине работал Winroute и всех, кто хочет пойти в интернет через него - пропускал.
Я поставил KWF 6.0.6. Как только запускаешь его - сразу перестает работать интернет сайт на этой машине.
Пробовал и установки по-умолчанию, и через wizard - ничего не получается. Толко стартует KWF - сразу перестает отвечать IIS.

Как побороть ?

Спасибо.

Для того, чтобы работал HTTP сервер, надо создать правило !!!
Допустим, называешь его -"Сервер HTTP", в "Source" вставляешь интерфейс (сетевуху) смотрящую в инет. В "Distination" - "Firewall". В "Service" - " HTTP". Если сервер HTTP стоит на той же машине, что и WinRoute и IP адрес HTTP сервера настроен на IP адрес сетевой карты смотрящей в инет, то больше ничего делать не надо.

Administration Console
 

Привет All!
Как правильно настроить Traffic Policy, чтобы можно было использовать Administration Console удаленно, например из дома? Подозреваю надо добавить KWF Admin, только куда?

Mr.Crowley, попробуй отключить прокси инспектор для POP3 и SMTP.
savior, трудно сказать, посмотри что в логах творится, попробуй отключать не винроут а сетевой интерфейс к которому инет подключен.
TnT_UA, что значит реальные и нереальные IP?

To Semchevsky
Создал. Настроил.
Если иду изнутри (через Internal) - все работает.
Если с наружи (через External) - сайта не видно.
В IIS сайт привязан к внешнему IP.
Вот такие дела :(

После того, как попытался создать правило, чтобы все все видели безо всяких ограничений - вообще сервер перестал отвечать на внешнее воздействие (видать что-то намудрил). Удпление этого правила не помогло. Переустановка правил с помощью визарда выдало мне сообщение, что нет интеофейсов, смотрящих в интернет.
Попытался снести все - вообще крутизна. После деинсталляции ipconfig бодро сообщил, что нет ни одного IP адреса, работающего на машине. Пришлось удалять ВСЕ сетевые карточки и инсталить заново. И даже после этого в системе присутствуют несколько адаптеров под именем WAN Miniport (IP) - Deterministic Network Enhancer Miniport и Unknown Device в мсетевых подключениях. Удалить их не удается - не дает.

Это я пробовал с 6.0.6. А вчера вытащил 6.0.9 и встал перед вопросом - а не придется переустанавливать ВЕСЬ сервак после того, как попробую проинсталить KWF 6.0.9 ?
Уж очень не хочется .

Chimney_In_Hell, делается по аналогии с этим.

Переустанавливать не придется. Можешь на всякий сбакапить файлы *.cfg из папки винроута.

Chimney_In_Hell
Какой Windows у тебя установлен? Если ХР, то посмотри не включен ли
брандмауэр... И еще посмотри ( если у тебя Windows 2000 Server) не включен ли у тебя виндовый NAT.

Отключи все это, так же отключи общий доступ к интернет

Проблему с POP3 (см. пост 436) решил следующим образом:
Отключил сканирование входящей почты в NAV2003 (внешний антивирь) и все сразу заработало. Теперь, правда, не совсем понятно, как енту самую входящую почту все-таки сканить на лету... Интересно, autoprotect справится или нет?
Встроенным в Винроут антивирем пока не пользовался.

Mr.Crowley, отключи у НАВа проверку почты и подключи его к винроуту. Это делается в настройках антивируса. Правда там что-то с лицензиями были заморочки, но попробовать стоит.

Kerio Mail Server 6.0.1
Со сканированием входящей почты вполне справляется встроенный антивирус McAffey. У меня обновился вчера до:
Virus DataBasa Version: 4430
Scanning Engine Version: 4.3.20

Работает все прекрасно, обмен электронной почтой в сети происходит без участия интернета. В среднем в день на 17 ящиков приходит ~10-12 писем с вирусом. Все отфильтровывается, спамфильтр не пропускает 98,5% нежелательной рекламы.

Спам форвардится в специальный отдельный для этого ящик, так же как и письма с вирусами. До пользователей доходят лишь оповещения.


Теперь об Winroute Firewall

При должной настройке все работает с хорошими аптаймами. Текущая версия: 6.0.8

Создано несколько групп пользователей (Асечники, Все, нетИнтернета, Админы),
на каждого пользователя ведется личная статистика по траффику + автологин с определенного ip адреса. В Traffic Policy созданы правила, которые по расписанию включают или отключают доступ к интернету. Для группы "Админы" стоит полный нат.

Встроенный антивирус проверяет каждую ссылку и каждый скачиваемый файл, обновляется раз в сутки.

Вот в принципе и все. Но может чего и забыл. Не хочу все расписывать что и как настраивал, так как могу что-нибудь упустить, лучше задавайте вопросы здесь или на admin[at]katrise.ru или в аську #540713
Помогу чем смогу. Сам долго мучался, пока все настроил как надо.

PS: Был замечен глюк. При установке ограничения на дневной траффик пользователя, по истечению лимита все последующие соединения пользователя блокируются, и блокировка не снимается на следующие сутки. Может кто сталкивался? Или стоит обновится? В всем остальном работу Kerio продуктов можно оценить как "хорошая" :)

keeper_c, автологаут сделай по времени. Скорее всего будет все ОК.

У меня стоит SAV 9.0.3.1000 Server, но при попытке прописать его в Content Filtering - Antivirus engine - Use external Antivirus - Symantec Antivirus Scan Engine 4.0, выдает сообщение "Antivirus plugin initialization error. Error: Attempt to connect to a Antivirus Scan Engine failed"!
Что надо доставить или изменить?

qerst
Symantec Antivirus Scan Engine 4.0, что же ещё!
_http://enterprisesecurity.symantec.com/products/products.cfm?ProductID=173

А если по-конкретнее!? Что и где надо скачать, если SAV 9.0.3.1000 работает (к примеру под 2000-ым SERVER)?

qerst
SAV Scan Engine - отдельный от SAV CE программный продукт. Его нужно скачать и установить. См. ссылку с описанием из предыдущего поста. Где скачать - вопрос для другого раздела.

^H_A_C_K_E_R^_13
2 балла за решение варезных вопросов в разделе "Обсуждение программ".
тебя уже неоднократно предупреждали

Поставил себе еще MDaemon 7.2.3, все настроил, но сразу возник вопрос:
как теперь почтовый трафик движется? Получается, что все через ИНТЕРНЕТ СЕРВЕР (WinRoue+MDaemon)? Как тогда трафик по пользователям считать?

qerst, только по логам демона. Есть вроде какие-то анализаторы под него...

Использую NOD через плаги вместе с Kerio Winroute Firewall.
1)Какая часть NOD используеся через плагин?

2)В логах винрута пишется, что всё сканируется и никаких вирусов в архивах нет. Вся проблема в том, что отдельно от винрута он всё в архиве находит...

И правда, какую dll надо прописать в Винруте, дабы NOD начал бы проверять трафик?

Zenon, в топике, адрес которого в шапке, есть ссылка на плагин.
Слей и установи.

1)Вопрос про антивирь выше остаётся в силе.
2)Помогите пропустить в и-нет counter-strike(1.6, condition zero, source).

Sam Dark, вторая часть твоего вопроса описана в шапке.
Будут вопросы - пиши.

добрый день.
вопрос такой возможно ли в Winroute исключить запись в лог конкретных айпи
адресов?

Если нет то можно ли с помощью например ProxyInspector создать отчет с исключением этих адресов?

Migel M. Volos
Так...
1)У меня не ходит ping со всех компов, кроме сервера.
2)Из шапки понял как более простыми правилами прозрачно пропустить Аську... Спасибо! Но вот CS опять же пропустить не удалось... Есть ли конфиг конкретно под CS?

Sam Dark, показывай правила.

2Mustanger Можно. Если явно указать все IP в политиках траффика "Traffic policy". И для тех кого пасти не нужно не включать "log". %)

medgimet, да не, логи http и web ведутся отдельно и для всех пользователей. Инспектор данные берет из http лога, насколько я помню.
А логи правил он не смотрит.

Где можно увидеть, по какому порту проги ломятся в ИНЕТ?
А тоя поставил всем в сети eTRUST PEST PATROL, а он обновляться не хочет! Только в Logs -http видно строку типа
[02/Mar/2005:09:08:18 +0300] "GET http://download.pestpatrol.com/downl...s/ppmaster.dat HTTP/1.1" 200 1046

qerst, думаю в логах ты ничего не увидишь... ;)
Но если хочешь - включаешь логи для правила NAT и смотришь в лог filter.

Нет, не видать! А если мне надо для конкретного компа (по IP адресу) все разрешить, то как правило должно выглядеть? Что прописать в Source и что прописать в Destination?

Вот так?

незнау, могет моя проблема уже где-то описивалась, я не нашел.

winroute 6.0.9 вuдает такуу фигну в eroor log: [02/Mar/2005 12:53:05] (4103:10048) Socket error: Unable to bind socket for service to port 53.

[02/Mar/2005 12:53:05] (5002) Failed to start service "DNS" bound to address 192.168.0.1.

произошло ето после того как поставил Active Directory. НАсколко я понял ДНС просто забила interface.

Когда прописивау напримуу в броwсере proxy address 192.168.0.1:3128 все пашет.

CHTO DELAT"!?

qerst, что работать будет не обещаю, но попробовать стоит.
Делаем правило, подобное NAT, где Source всесто подключения по локальной сети будет ip range. Остальные поля поставляй такие же, ну кроме сервисов, там разрешай что тебе нужно. Это правило надо поставить выше чем основной NAT, который будет для остальных клиентов работать.

knack
Тебе надо или настроить зоны в DNS сервере твоего сервера или остановить службу DNS сервер на этой машине.
qerst
В Firewall traffic соурсом должен быть firewall. и опусти его ниже ната.

Как я в СКРИНЕ показал? А трафик по любому будет считаться клиента? Это не зависит от правил?

qerst, типа того, только firewall trafic не надо дублировать, просто выставь там any. NAT сделай 2 штуки 1 для сети, и один для определенного адреса.

Не знаю новость ли, но все же! Если при закачке, (например во флешгете) убрать раззрешение файла и точку, то можно обойти трафорезку винроута. Наверняка не все сервера отдадут файл таким образом, но факт есть! :) Winroute 6.0.8.

medgimet, это особенность сервера, большинство серверов при попытке сделать такое отдадут тебе код 404.

Migel M. Volos
Все правила - стандарт.
Добавлено правило для ICQ.
Убрано правило ping т.к. что с ним, что без него нифига не работало.
Добавлены правила под порты CS (TCP и UDP)