сделал. но сам не понял как.
добавл в Use custom fwrd следующее:
*mrim* do not forward
mra.mail.ru do not forward
mrim*.mail.ru do not forward
mrim.mail.ru do not forward

в host добаивл
127.0.0.1 mra.mail.ru

заработало после того как на локлаьных машинах сделал ipconfig /flushdns

и собственно вопрос. а что именно заработало? :) лишнее удалить чтобы.

DeeZ, если вы экспериментальным путем настроии правила, то почему не хотите экспериментальным же путем отсечь лишние?
Где у вас DNS то , в этом весь корень зла.
ipconfig /flushdns очистили кэш на локальных машинах, все IP они брали по новому с DNS сервера.
host 127.0.0.1 mra.mail.ru завернули трафик на mra.mail.ru на себя.
Остальное не передаватьь запрос на DNS запросы на указанные адреса, к основному DNS серверу.
Из этих данных я думаю, вы поймете, что вы сделали уже, а если натянете на свою конфигурацию сети то получите истину, я вижу минимум 2 лишних правила максимум 3-4 в зависимости от того, хотели ли вы оставить возможность скачивать агента с мра.меил.ру и вашей конфигурации

надеелся на опыт тех кто уже закрывал этот IM. да и опытным путем это надо агента запускать. девчонки уже поняли что он не работет и выключили. придти и попросить его снова запустить, чтобы я мог его запретить - глупо). сам сижу через джабер. качать ради этого агента очень не хочется. у меня очень неприятные воспоминание с ним связаны. первые майлагенты были хуже вирусов. они устанавливались при регистрации на почте и их было трудно удалить. они сами себя востанавливали опять. при этом единсвтеной функцией было уведомление о новой почте.
с тех пор ненавижу его. и даже желания нет его устанавливать.
(хотя и подключен транспорт mrim.jabber )

DNS у провайдера. у меня лиш форвардер.

знаю.
знаю.

знаю

и скачивать тоже запретить надо.
просто интересно как он конетится. отправляет запрос на mrim.mail.ru или mra.mail.ru ? от куда он получает на какой из mrimXX.mail.ru серверов цепляться?

Описание протокола есть здесь http://agent.mail.ru/protocol.html
Судя по нему достаточно не форвардить mrim.mail.ru ну и mra.mail.ru, чтоб не качали

Cartman, люди,а помоги пожалуйста!

Почему машина с керио не пингуеться из внутренней сети?

Настройки сетевых интерфейсов:

Внутренний:
192.168.1.250 - ИП
255.255.255.0 - маска
192.168.1.250 - гетевей
днс не указан

Внешний:
192.168.103.2 - ИП
255.255.255.0 - маска
192.168.103.10 - гетевей (это маршрутизатор CISCO ASA 5505, он обеспечивает связь с главным офисом по защищенному ВПН тунелю, в нем забит наш внешний ИП и он напрямую подключен в АДСЛ модему, настроенному в режиме прозрачного моста)
192.168.1.250 - ДНС1
195.5.45.12 - основной ДНС провайдера

Так вот, сервер из внутренней сети не пингуеться!
На самом сервере в нет вийти без проблем, если отключить Керио!

Подскажите пожалуйста, где ошибка?
Заранее благодарен...
з.ы. адреса образные

запусти мастер. настрой по мастеру.
потом подредактируеш под свою сеть.
мастер удалит все существующие правила и создаст новые.

чтобы были пинги нужно правило
local - firewall - ping - allow

на интерфейсе смотрящем в локалку укажи только ip и маску. шлюз не нужен.
а вот на машинах для которых этот комп шлюз - указыйвай его ip и как dns и как шлюз. если конечно днс сервера\форвардер не используется другой (отличный от шлюза)

Ты был прав!
Убрал гетевей с внутреннего интерфейса - заработало!

А помгите еще пожалуйста!

Как должно выглядеть правило для разрешения подключения через удаленный рабочий стол из одной подсети в другую?
Сервер обе подсети видит!

firewall-(Local1,Local2) - TCP:3389 (или сервис RDP) - allow

Не думаю, что этого будет достаточно. Надо еще в Routing Table будет что-то прописывать. Только не знаю что ;)

как я понял нужно с "машины с керио" ходить в эти 2 подсети. тогда ничего прописыватьне надо. т.е. шлюз и так смотрит в эти 2 подсети.
если все таки из сети 1 в сеть 2 через шлюз то правило должно выглядеть так:
(как я понимаю мы все еще про тот же сервер говорим. из сообщения от 04.12.2007 14:27)

(Внутренний,Внешний)-(Внутренний,Внешний)- TCP:3389 (или сервис RDP) - allow


а в роутинге прописать:
route add 192.168.103.0 mask 255.255.255.0 192.168.103.10

или 103.2 , проверить экспериментально :)

Привет! Вопрос легкий. Пытались настроить Керио + utorrent. Один раз получилось вроде,индикатор в клиенте стал зеленым,проверка порта показала,что все открыто. Потом пришлось переустановить Керио и теперь почему то не получается открыть порт опять. Сразу скажу,причина закрытог опорта только в Керио, так как IP белый и без Керио все гуд. Странно вроде и настройки те же. Вот скриншот:

http://i3.tinypic.com/8f451qb.jpg

Может подскажет кто.....Спасибо.

Alexandra5, клиент торрента на той же машине что и винроут стоит?
Если да - попробуй мапить на 127.0.0.1

Уважаемые, пожалуйста, помогите решить проблему.
Вопрос следующие:
1) Есть 2 тачки. 1-я подключена в локальную сеть и через эту сеть в интернет (соединение через сетевуху, ip - 10.0.2.128) 2 -я в сети с первой по wifi (ip 1-й тачки 192.168.0.1. , 2-й тачки 192.168.0.2). На 2-й тачке стоит сервер Контр Страйк. Задача, чтобы игроки при коннекте указывали ip 1-й тачки в локальной сети (т.е. 10.0.2.128) но при этом соединялись со 2-й тачкой. На 1-й тачке стоит KWF 6.2.3 build 2027. Ставлю переадресацию всех запросов из локальной сети, порт 27015 (порт сервера Контр Стайк) на 192.168.0.2 (ip 2-й тачки) т.е. Source - Локальная сеть (не wifi, а локальная) -> Destination - Firewall - > Service - TCP/UDP 27015 -> Translation - MAP 192.168.0.2
Результат нулевой. Когда кто-то пытается коннектится, то я вижу в Status-Host/Users, что идет коннект от клиента на такой то порт и происходит маппинг, но при этом idle time 6-7 минут и в реале на сервер Контр Страйк никто не коннектится, даже нет никаких признаков, что кто-то пытается зайти.
В чем проблема ?
2) При работе KWF на 1-й тачке и жеоании поиграть на 1-й тачке в контру (сервера в интернете) дико возростает пинг на сервера. Реально выростает минимум на 100 мс, а в среднем пинг поднимается на 200-300 мс со скачками до 2000 мс. Неужели KWF так тормозит весь процесс ?
Естественно при этом в правилах указано, что Firewall имеет полный доступ в инет.

Прошу Вашей помощи. Перечитать всю тему KWF ниасилил. По поиску не нашел решения моей проблемы. Если я плохо искал и кто-то знает где есть ответ, пожалуйста, подскажите. Заранее благодарен.

Cool Cat,
TCP Ports
27030-27039
UDP Ports
1200,27000-27015
(_http://www.gameconfig.co.uk/showdetail.asp?id=11)

TCP Ports
27020-27039
UDP Ports
1200,27000-27015
(_http://portforward.com/cports.htm)

очень странного хочу )
 

есть 3 сервера:

(..52.129)Пров.шлюз1---(..52.130)мой шлюз1(192.168.110.1)---пользователь1
(..52.133)Пров.шлюз2---(..52.134мой шлюз2(192.168.111.1)---пользователь2
(..52.137)пров.шлюз3---(..52.138мой шлюз3(192.168.112.1)---пользователь3

я хочу выкинуть "Мой шлюз 2 и 3" нет смысла держать в сети 3 шлюза.

для этого я присваиваю сетевкуе смотрящей в локалку 3 ip (..110.1; ..111.1; ..112.1). сетевке смотрящей в инет тоже 3 ip (..52.130; ..52.134; ..52.148). прописывают 3 шлюза на этой же сетевке (..52.131; ..52.133; ..52.137).

таким образом всю сеть пеернастраивать не надо. просто выключаем 2 и 3 сервер. а клиенты при обращении к привычным шлюзам будет попадать на мой шлюз1 (т.к. у него 3 ip).
­
теперь вопрос. как всех из локальной подсети ..110.0 отправлять на шлюз провайдера ..52.129, при этом подменять адрес на ..52.130. из ..111.0 на ..52.133 (..52.134), а из ..112.0 на ..52.137 (..52.138) ?

­стоит керио )
­там в роутинге добавил 3 маршрута.

192.168.110.0 mask 255.255.255.0 gate 91.81.52.129 metrik 1
192.168.111.0 mask 255.255.255.0 gate 91.81.52.133 metrik 1
192.168.112.0 mask 255.255.255.0 gate 91.81.52.137 metrik 1

будет работать как я хочу?
стоит удалить маршрут поумолчанию 0.0.0.0 255.255.0.0 ..52.137 ?

т..о.нужно чтобы я своей 1 сетевкой смотрел в 3 подсети у провайдера и лазил по трем шлюзам. а вот какого пользователя на какой шлюз отправлять это надо накстроить.

нужно разделять т.к. это разные юридические лица и счета разные.

у меня еще родилась идея.
кода создаем правило в керио там есть (и ее включаеш) функция NAT.

но так же есть возможность не дефолтового ната а прописать. т.е. чтобы пакеты по этому правилу передавалсиь на интерфейс inet при этом ip будет транслироваться (подменяться) на соответсвуюий ip.

если поставить "транслит то ip" и прописать нужный для данной подсети (..52.130 для ..110.0;..52.134 для ..111.0;..52.138 для ..112.0). пакет пойдет на интерфейс inet и по нату ip транслируется на нужный. остается указать нужный шлюз. как?

PS: вариант с 3 сетевками крайний. хотелось бы прогармно это решить.

Роутинги имхо на фик не нужны. Создай 3 правила nat. Соурс ip 192.168.110.0 dest - куда у тебя там инет подключен, в смысле интерфейс с инетом, в nat укажи не дефолтный гетвей, а ip адрес, в нижней части оставь все как есть, т.е. не транслировать.

а шлюзы? как он выберет нужный шлюз? ведь не на свой шлюз провайдер меня не пустит.

т.е. на шлюз ..52.129 с ip ..52.138 не зайти. не даст ни байта )

Я имел ввиду ip адрес шлюза, на который должен ходить ip указанный в соурсе.

вобещм геморой все это. будет время еще поэксперементирую. пока сделал все на 3 сетевках.

Подскажите пожалуйста, какое правило надо написать, чтобы созданный внутри локалки выделенный сервер Call of Duty 4 был виден из интернета? Открыли порт 28960 TCP из локалки и в локалку, не работает. Заранее спасибо.

Sel, смотри в шапку, по аналогии делай.

KWF в разделе connections показывает:
rule - Service - source - destination
Admin - ICQ - Dis - 64.12.30.44
Admin - IRC - 192.168.117.50 - irc.ttn.ru

почему в первом случае я как пользователь Dis, а во втором как ip? считается все равно на меня (в статистике). но вот показывает таким образом. и как следствие потом при анализе логов показывается лишние строки.

стоит авторизация по ip. ip статические.

Искал искал, но так и не нашел..
У меня в офис интернет приходит через ADSL модем..
WebPlus..
Стоит ADSL модем. Он через сетевуху подключен к компу.
В компе 2 сетевухи.
Без керио подключение к нету выглядит так - загрузился, зашел в сетевое окружение - подключил соединение(ввел пароль и логин)
Все работает.
Ставлю керио. Он естественно две сетевухи определяет, одна как езернет), второя как инет.
Также видит это подключенеи ВебПлас.
Создаю все правила, вроде все должно быть ок.. Но нета нет. По сети все компы вижу.
Кто сталкивался? Что делать? Перичитать все 88 страниц времени просто нету - офис стоит. что делать не знаю

alsergeich, "ВебПлас" это видимо твое подключение типа PPPoE ? Если так - то при создании правил для интернета надо выбирать его.
Или же в свойствах TCP карты, которая в инет смотрит прописать шлюз (ip модема, и то если там тип подключения шлюз, а не мост).
И скрин правил, если не получится прилагай.

Прикрепил файлы.. ничего не получается.. хелп..

Cartman, Так вот.. попробовал сделать.. но не получилось.. таки прикрепил скриншоты...

Да, кстати.. когда настраиваю интернет на одном ПК, то в сетевом окружении у меня есть следующее:
- Некто подключение "ВебПлас" (Вроде обычного модемного подключения), куда вводиться логин и пароль. Ему не соответствует никакая железяка, оно вот то самое PPPoE..
После подключения у него появляется ip..
- Подключение по локальной сети "Ethernet" с настройками 192.168.0.1, которому соответствует первая из двух сетевых карт ПК
- Подключение "ADSL". Это второя сетевая карта в ПК. В эту карту воткнут провод от ADSL модема. У нее настройки получения ip автоматические.
Имею все это без керио интернет на машине есть.
Далее начинаю ставить керио..
Керио ставиться - спрашивает какой адаптер отвечает за локальную сеть, какой за интернет.. но когда дело до ходит до выбора карточки интернетовской я могу выбрать только физически существующую карта "ADSL"..
Все. все встает, перезагружается.. Далее можно посмотреть на скриншотах что и как выглядит..

Итак, нарвался на новую непреодолимую трудность:
Есть комп, с установленным Winroute FireWall последней версии,
Есть сетевуха№1, которая смотрит в сеть.
Есть сетевуха№2, которая смотрит на модем№1 провайдера №1. Настроена -внешний статик, шлюз, днс.
Есть сетевуха№3, которая смотрит на модем№2 провайдера№2, Настроена - 192.168.1.33, шлюз, онже модем 192.168.1.1, также поднимается PPPoE соединение.

Оба модема - бридж. 1 настраивается на модеме, второй через виндовское ППоЕ соединение.

Как подружить 2ух провайдеров с разделением сервисов? А то днем все лзут на сайты, закачки ставят. а другим нужен скайп. И тех и тех обидеть не хочется. Каждый отдельный провайдер много скорости дать не может, особенно днем у них просто аахтунг начинается.

Посему, нужно что-то придумать... Заметил, что при включении нового интерфейса, все службы фаервола переключаются на него.

тема обсуждалась здесь:
hxxp://kerio-rus.ru/forum/showthread.php?t=2032&page=2 и
hxxp://kerio-rus.ru/forum/showthread.php?t=2058

Mozart_mcs, с разделением таких сервисов тлько разделив трафик на провов ..
Ословоды забьют весь свободный забросьте их на отдельный канал, а все остальное на другого. В общем ословоды вас будут материть больше, но на крму это влияет меньше

alsergeich, все просто, при создании подключения по PPPoE надо ставить галку для всех пользователей компьютера. Тогда оно и в интерфейсах появится.
Mozart_mcs, естевственно это так, при поделючении в TCP/IP шлюзом по умолчанию становится последнее подключение. Можно конечно указать явную переадресацию, но геморойно это, насколько я знаю это делается для каждого адреса.
Я для руления 2 сервака (а можно и виртуальную машину на сервере поднять) и там где нужен быстрый инет (напирмер браузер, скайп, аська) прописал прокси одной машины, закачки через шлюз прописаный в свойствах TCP.

Обновил Керио до 6,4,2. теперь при входе на страницу статистики есть кнопка "отключить пользователя".

стоит авторизация по IP. но если нажать эту кнопку и ввести другое имя - то трафик пойдет на нового. т.к. пароли пустые сделать это сможет любой у кого хватит ума. как убрать эут кнопку либо как не просить ввода пароля (в 6.0.6 даже с паролем проходила проверка по ip и все. ничего не требовалось допольнительно)

ДНС. Керио. Домен.
 

собственно так и сделал. теперь 2ую неделю не могу оживить почту.
а было оно так:
есть 3 сервака - почтовый. фаервол. домен.
почтовый сервер использовать как 2ую машину под Инет просто не представляется возможным физически. поэтому мой выбор пал на домен :idontnow:
поставил на него сетевуху. воткнул керио. все настроил - скайп работает. можно сказать неплохо работает. но, настройки ДНС, которые были прописаны на внутреннем контроллере домена для моего внешнего домена сразу перестали работать. уже крыша едет... Вобщем, внешний почтовик - это корпоративный гугл, под него в моем ДНС прописаны 2 МХ записи и 1 CNAME.

На внешнем домене - в настройках указан мой адрес статический.
Дальше, пакет по порту ДНС приходит на фаервол и пересылается на контроллер домена. на нем прописаны необходимые для гугл мэйл записи МХ и CNAME. По идее - все должно работать... но нифигуленьки не работает... раньше, до установки керио на контроллер все работало.

У кого какая версия Макаки сейчас? У меня обновление уже пару дней не идёт, ошибку выдаёт.

поставил KWF 6,4,2. постаивл всем лимиты 50 метров на загрузку в месяц, но этот лимит не работает. он действует в рамках дня. на следующий день опять 0%
за месяц показывается только сегодняшний трафик.

в то же время через Web показывает реальный трафик.

но при заходе от пользовтеля статистика показхывается только за сегодня...
что за глюк?

получается что лимиты вообще не работают.

Есть компьютер, подключенный кабелем к сети (назовём её районной), адрес ему достаётся динамический. Для доступа в интернет требуется на этой же машине запустить VPN к хосту 10.10.1.2, которая тунеллирует, естественно, через тот же физический интерфейс. Возникло желание выпустить в интернет ещё и ноутбук. Поскольку доступ к инету разрешается по MAC-адресу, решил, что самым простым решением будет законнектить буку с десктопом посредством Bluetooth'а, а на десктопе поставить роутер. Kerio, ибо работал с ним давно и много.

Ага.

Bluetooth'овая сеть получилась без проблем - обе машинки друг друга видят; всё, что позволено, друг с другом делают. Ставлю Kerio. Поначалу говорю ему, что в интернет у меня смотрит ethernet'овский интерфейс. Обнаруживаю, что более-менее работать с районной сетью можно лишь при Cone NAT (!!!) (во извращение, а?), при этом наблюдаются какие-то нереальные тормоза. Пытаюсь запустить VPN - фигу, ошибка 800. Ладно, думаю, назначу "смотрящим в интернет" интерфейсом этот самый VPN... Результат тот же, только теперь и районная сеть вовсе никак не видится (ну, это понятно). Вот теперь я в загрузе: то ли с помощью Kerio моя идея вовсе неосуществима, то ли у меня как-то руки покривели... А если не с Kerio, то как? Может, кому-нибудь приходилось решать подобную задачу?

P.S. VPN не запускается при любых правилах и прочих комбинациях настроек с одной и той же ошибкой.

смущает что ты говориш давно работаеш. а пробелмы то толком не описал.
тормоза возможнопотому что не зарегиный керио. там ограничения 5кб\с

впн ты чем пытаешся установить и с кем? уж не встроеным ли ВПНом пытаешся подключиться? не впн тунель создавай а диалап соеднинение. это соединение должно быть настроено в винде.

если для бука нужно все то простое правило:
ип бука - в инет - any- разрешить - нат по дефолту

Народ подскажите плиз, стоит WinRoute Pro 4_1 RU, настроен чисто тока как почтовый сервер, чтобы почту распределять, и не давно пошло все время такое сообщение
[04/May/2008 11:05:00] mail: G:0 - can't send mail, SMTP server replied 550 5.7.1 <phauula@hyipparade.com>... Access denied - forged FROM header <phauxp@hotmail.com>
[04/May/2008 11:06:44] mail: G:0 - can't send mail, SMTP server replied 550 5.7.1 <phifergj@navair.navy.mil>... Access denied - forged FROM header <phiffnn@web.de>
[04/May/2008 11:06:47] mail: G:0 - can't send mail, SMTP server replied 550 5.7.1 <phifergjj@navair.navy.mil>... Access denied - forged FROM header <phiferc@zomax.com>



и не могу понять как от этой ошибки избавится.:молись:

срабатывает спамозащита на удалённом сервере. "Поддельный заголовок ОТ"

очевидно, прекратить рассылку спама...

а спам рассылку прекратить, имеется виду от меня?.