Widok Moderator-Следопыт Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kerio WinRoute Firewall ™ смежная тема в варезнике Kerio WinRoute Firewall sets new standards in versatility, security and user access control. Designed for corporate networks, it defends against external attacks and viruses and can restrict access to websites based on their content.     Текущая версия: Kerio WinRoute Firewall ™ 6.3.1 build 2906 от May 30, 2007 - win32 | win64 | Release history   Kerio WinRoute Firewall with McAfee Anti-Virus and Kerio WinRoute Firewall with antivirus plug-ins share one installation package. C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются... Если Вы хотите продолжать использовать ранние версии KWF, необходимо заменить mcscan32.dll   (Никаких взломов, просто более свежие версии): Библиотеки отдельно (две версии 5.0.00 и 5.01.00): (необходимо докачать свежие AV базы). http://rapidshare.com/files/30041771/mcscan32_dll.rar  (File-Size: 1,99 Mb)   Полные комплекты (mcscan32.dll v5.01.00 + AV базы): File-Size: 10,35 Mb [updated] [версия баз 5039] - http://rapidshare.com/files/33993453/mcafee5.1.00_base5039_kwf6.3.0b2683.rar [версия баз 5040] - http://rapidshare.com/files/33997256/mcafee5.1.00_base5040_kwf6.3.0b2683.rar Manual на Русском Manual Eng (PDF) Step-by-Step installation guide Eng (PDF) Kerio VPN Client Manual (PDF)   Настройка, русификация, полный русский мануал Ключи для Kerio WinRoute Firewall FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное   администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171) _http://12kms.fatal.ru/_kwf.html   Тут одна компания полностью на русский язык перевела хелп   Kerio WinRoute Firewall 6.0. Руководство Администратора   Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/ Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)   также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.   Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами. Всего записей: 24190 | Зарегистр. 07-04-2002 | Отправлено: 22:36 06-04-2006 | Исправлено: Hrist, 15:09 20-06-2007

ICY_fire Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Pub, ====== VIP 101.2 Any Any Permit NAT 82.207.x.x      -  должно работать ====== Proxy 101.1, 101.3-101.253 Any TCP8080 Permit NAT 217.117.x.x - есественно что не работает: во-1-х: прокси-соединения не относятся как НАТу никаким боком, а представляют собой 2-хступенчатое TCP-соединение: клиент внутренней сети->фаер,  фаер->Инет, при этом эти соединения разруливаются согласно трафик полисям отсюда следует что правило вообще не работает, так как оно было задумано; 2-ое: даже если бы ты что то и НАТил на 217.117.x.x то согласно записи в таб-це марш-ции 217.117.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50 пакет перебросится на 127.0.0.1 и при этом будет иметь инетовский адрес сети назначения(и ХЗ какой, если б знали, то можно было бы Цитата: ...прописать маршрут к конкретной подсети или хосту. ) и соотв-но пойдет уже на дефолт гейтвей ====== IT (ipшники отдела айти) Any Any Permit NAT 82.207.x.x -тоже вроде должно работать ====== У тебя что получилось: прокся инициализируется на 217.117.x.x, цепается клиент, пакет проходит от клиента к 217.117.x.x, а от 217.117.x.x смотрит таблицу мар-ции но не находя таковую использует 0.0.0.0 0.0.0.0 82.207.x.x 82.207.x.x 1 -------------------------------------------------------------------------- Итого: ХЗ что можно сделать... =)   ЗЫ: все вышеизложенное носит ИМХО-харакер, естесно могу ошибаться, рад буду, если поправите и объясните, пытался помочь в рамках   Цитата: Может обсудим вместе почему не работает? Ведь  тема периодически всплывает.         Всего записей: 602 | Зарегистр. 03-02-2006 | Отправлено: 20:05 11-12-2006

yurkovsky Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AnLeТы, видать, о принципах работы TLS ничего не знаешь. Скорее всего у тебя для локалки и для входящего смтп на внешнем интерфейсе инспектор протоколов отключен. Не может инспектор проверять трафик, который зашифрован, никак, т.к. приватный ключ у почтовика, и врядли он его фаерволу отдаст Всего записей: 22 | Зарегистр. 15-05-2004 | Отправлено: 02:36 12-12-2006

Arakcheev Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tigranmuradyan В раздел SERVICE внести сервис HTTPS ---------- God bless Sasha Grey Всего записей: 771 | Зарегистр. 06-04-2005 | Отправлено: 07:41 12-12-2006

alexitd Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору дубль два разбирательств с proxomitron. вроде настроил его как хотелось, прописал его как parent proxy в kwf, все работает, но! после этого перестаеться считаться трафик по отдельным пользователям... эксперимент показал что если parent proxy находиться во внутренней сети, то трафик не считается, если в интернете, то все считается как надо.. в лог же всегда пишеться правильно и внешний анализатор считает хорошо, но при этом не работают квоты...   и еще вопрос по квотам, при их привышении у меня отрубаеться все, даже нат, который разрешен всем и всегда (аська, почта)... как бы отрубать только доступ к прокси? Всего записей: 100 | Зарегистр. 14-02-2006 | Отправлено: 09:24 12-12-2006

AnLe Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору yurkovsky Нет. Серваки в инете сидят а не в локалке, вот пример заголовка при посылке письма с одного на другой: Received: from evil.domain.ru ([1.2.3.4])     by diabolo.domain.com     (using TLSv1/SSLv3 with cipher AES256-SHA (256 bits))     for me@diabolo.domain.com;     Tue, 12 Dec 2006 09:30:07 +0300   Показать дебаг керио об успешном переходе на тлс?   А для особо упёртых: Открываем консоль квф, configuration - antivirus - email scaning - allow client to use tls connections И ниже сразу напоминание что это зашифрено и не будет посканено.   Счастье есть, тока надо быть внимательнее к настройкам Всего записей: 569 | Зарегистр. 12-11-2005 | Отправлено: 09:39 12-12-2006

Pub Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ICY_fire Цитата:   2-ое: даже если бы ты что то и НАТил на 217.117.x.x то согласно записи в таб-це марш-ции 217.117.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50 пакет перебросится на 127.0.0.1 Ты не заметил также что в таблице марш-ции присутствует запись: 217.117.x.0    255.255.255.0    217.117.x.x    217.117.x.x      3 И у неё метрика 3, а это меньше чем у маршрута 217.117.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50 значит пакет как раз должен бросаться на 217.117.x.x. Но можно забить пока на прокси, она нужна была лишь для того, чтобы Я мог переключаться с одного провайдера на другого не изменяя правил, т.е. захотел поставил в настройках флешгета прокси, а в настройках браузера не поставил, и получается что качаю через одного прова, а серфлюсь через другого. Я пытался просто с помощью ната одни апишники заставить ходить через один внешний интерфейс, а других через другой. Как это описано на Хоботе http://forum.ixbt.com/topic.cgi?id=7:12821#1091. Но нифига не получается. Пакеты идут только через ифейс кот. прописан как шлюз по умолчанию: 0.0.0.0     0.0.0.0       82.207.x.x   82.207.x.x    1 Две таких записи с одинаковой метрикой только на разные айпишники как известно не может быть, поэтому пока один ифейс пропускает через себя все пакеты, второй курит в сторонке. И только в случае отключения первого, второй занимает его место, но мне так не надо, мне нужно два соединения одновременно. В любом случае спасиб что попытался разобраться. Всего записей: 38 | Зарегистр. 22-11-2006 | Отправлено: 10:45 12-12-2006

ICY_fire Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Pub Цитата: 2-ое: даже если бы ты что то и НАТил на 217.117.x.x то согласно записи в таб-це марш-ции 217.117.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50 пакет перебросится на 127.0.0.1 да, глупость сморозил... он сразу на дефолт гейтвей попадет //исправлено. Смысл твоей задачи я понял... но не понял как возможно это реализовать, не зная конкретного адреса или подсети для маршрутизации для второго инетовского интерф-са. Может тебе простой железячный роутер поставить между локалкой и INET2, или модем с ф-ей роутера и пустить тех что должны ходить через НАТ сабжа напрямую через него? Я себе домой ADSL-модем-роутер брал, стоит недорог, можно и в целях экскеремента купить... =) Всего записей: 602 | Зарегистр. 03-02-2006 | Отправлено: 11:22 12-12-2006 | Исправлено: ICY_fire, 09:09 14-12-2006

yurkovsky Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AnLe Блин, а на правиле для входящих смтп соединений у тебя стоит протокол инспектор для смтп? Если его убирать, что и пришлось сделать, то все действительно работает. А с вкюченнон инспектором на команду STARTTLS фаер отдает 454 TLS Denied by Firewall   Возможно у тебя для серваков есть отдельное правило, которое и срабатывает.   ps: а антивирус на почтовике вообще отключен. Всего записей: 22 | Зарегистр. 15-05-2004 | Отправлено: 12:44 12-12-2006

Mikes Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору tl2002 ну вот сам и ответил... если не нравятся McAfee юзай любой другой плагин.. VisNetic например с базами от касперского ---------- Любезный а вам не кажется что жизнь это странное место? Всего записей: 740 | Зарегистр. 26-01-2004 | Отправлено: 17:30 12-12-2006

yurkovsky Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: AnLe   Ну так говорю же, что глюк там... 1) Не работает ТЛС 2) Включаю антивирус, ставлю галку "allow client to use tls" - работает 3) Выключаю антивирус - работает 4) Снова включаю антивирус, убираю галку, выключаю антивирус - НЕ работает.   А вот без включенного антивируса эта галка недоступна.   Глюк видать...  Можешь проверить? Всего записей: 22 | Зарегистр. 15-05-2004 | Отправлено: 18:03 12-12-2006

ICY_fire Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Drobic блин, ты бы еще по 10 разделителей строк вставлял после каждого предложения... =( И с такой формулировкой проблемы тебе никто скорее всего не поможет. Сделай скриншот трафик полисей, посмотри логи сабжа, как у тя QIP в инет выходит? НТТР(S) НАТом или проксёй разруливется? Lineage2 какой порт вообще использует???   Цитата: но тут мы поставили КМС и открыли доступ в Инет т.е. до этого у вас не было доступа в инет, а сабж стоял??? -не понимаю...     Всего записей: 602 | Зарегистр. 03-02-2006 | Отправлено: 21:19 12-12-2006 | Исправлено: ICY_fire, 21:24 12-12-2006

Mikes Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору tigranmuradyan Цитата: ребят вот такой вопрос, дали мне задание настроить Kerio Winroute Firewall. Все настройки поставлены необходимо только в Traffic Policy настроить HTTPS для того чтобы юзеры в сети могли заходить на secure-сайты, например на GMAIL. Так вот я воспольовался Wizard-ом, он все сконфигуировал по умолчанию, кроме этого правила, не врубаюсь как быть дальше.. может подскажите какое-нибудь универсальное решение данной задачи?? если используешь NAT то добавь в правило которое NAT сервис https если прокси .. то разреши от имени firewall сервис https в интернет ---------- Любезный а вам не кажется что жизнь это странное место? Всего записей: 740 | Зарегистр. 26-01-2004 | Отправлено: 21:20 12-12-2006

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio WinRoute Firewall (часть 2)

emx (21-06-2007 15:56): http://forum.ru-board.com/topic.cgi?forum=8&topic=22219

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование