Kerio WinRoute FireWall 5.XX
Главная
Kerio Mail Server
Kerio WinRoute FireWall 5
Ссылки
FAQ составлен по материалам форума Windows FAQ - Форум - KWR 5.0 (Kerio Winroute
5.0) (стр.1-93 вопр. 1-122) форума XBT Hardware BBS » Системное
администрирование, безопасность » Winroute FAQ - Просьба все вопросы по Winroute задавать в этой ветке? (стр. 1-18 вопр. 123-171)

1Q. Что такое Cobion, и с чем его едят?

A. www.cobion.com Content Security Products: OrangeBox Web, OrangeBox Mail, OrangeBox Lan в KWF5 - Integrated content filtering от Cobion.


2Q. Добавил пользователей из домена. Поместил их в группы. Задал невозможность закачки mp3 в рабочее время. FlashGet без проблем закачивает?!

A. Читай Help, там, есть примеры, как настраивать. Примерно тут:
в "Traffic Filter" - кому разрешено в инет, в "Url Rules" - на кого распространяются правила... про mp3, добавлять в FTP бесполезно, так как всё идёт по http.
Попробуй "HTTP Policy" --> "URL Rules". Создай новое правило и в "URL begins with", поставь "*.mp3", потом "deny all acces", в "Advanced" можешь записать "IP address group" клиентов, чтоб на сервер это правило не распростронялось. Я, всё это пробывал, вроде пашет.
Прим. Rules - правила; begins with - начинать с; deny all acces - запретить всем доступ.
Прим. Смотри Q7.


3Q. Как сразу для нескольких разшерений, одно правило создавать?

A. Попробуй через запятую: *.mp*, *.avi.


4Q. Как считать трафик?

A. Трафик можно смело считать с помощью Internet Access Monitor.
Он выдает полную статистику по каждому IP-адресу: кто, куда, сколько выкачал, что выкачал, когда и т.д. Прога бесплатна.
Единственное, нужно закрыть прямой доступ к 80, 3128 и 21 для всех пользователей локальной сети (Прим. на смотрящем в Интернет сетевом интерфейсе), и открыть эти порты для всех пользователей, только на машину с WinRoute'ом (Прим. на смотрящем в LAN сетевом интерфейсе). Это, чтоб, тебя не обманывали все кому не лень.


5Q. Как KWF5 работает с русскими учетными записями пользователей из домена?

A. Сдается мне, что плохо...


6Q. WinRoute оснащен DNS-модулем, способным ретранслировать запросы по DNS выбранному DNS-серверу в Интернете. Результаты запросов записываются во внутренную кэш-память DNS-модуля, где и хранятся в течение определенного отрезка времени.
Вопрос: Сколько времени он хранит адреса в кэше? Как его увеличить?

A. В WinRoute можно посмотрть кэш DNS. Отсюда и пляши. В моей ситуации этот кэш был пуст, пока, я принудительно не прописал сервер DNS (локальный адрес машины, где стоит WinRoute).


7Q. Как некоторым существующим пользователям запретить доступ в Интернет? Получается, если, он авторизацию прошел, то велкам что-ли?

A. Через "Traffic Policy" разрешить доступ по протоколу TCP к 80 порту, только группе пользователей. Просто создай правило:


8Q. Проблема с ретрансляцией DNS. Произвольный пользователь, иногда отваливается от Интернета. Пришлось прописать на пользовательских машинах ДНС провайдера, плюс к локальным ДНС-ам. Может, кто подскажет, как это лечить без добавления ДНС-ов провайдера на машины пользователей? В сети есть контроллер домена с установленным ДНС сервером и компьютер с WinRoute'ом. DHCP нет.

A. Ставишь в "DNS Forwarder" галочку в "Enabled DNS", потом ставишь "Forward DNS queries to the specified DNS", и пишешь, там нужные DNS сервера, а, если сервер тоже подключён к Интернету через теже сервера, ставишь "automatically selected".
Если, у тебя стоит такая же конфигурация или не пашет эта, попробуй поставь 5.0.2, возможно это был "баг", который уже поправили.
Прим. Forward DNS queries to the specified DNS - Пересылать DNS запрос к определённому DNS; automatically selected - выбирать автоматически.


9Q. KWF 5.02. При закачке файлов "качалками" не работает разбиение на части, а также "ресум" файлов.

A. Включен антивирус.


10Q. Как ограничить обьем качаемой информации на каждого пользователя?

A. По поводу ограничения трафика рекомендую в эту сторону посмотреть WinRoute Spy - анализатор логов бесплатный и вроде умеет перестраивать правила при превышении на Winroute.
Прим. Честно, говоря, смотреть особо не стоит. Это анализатор LOG-файлов, но ограничивать трафик, эта программка не умеет. Это умеет делать Band Speed Balancer -- программа ограничения скорости передачи данных по протоколам HTTP, NNTP, POP3 на IP и MAC адрес.


11Q. Глюки с FTP. Позволяет только одну сессию. Когда пытаешься запустить вторую (неважно с другого ли FTP или с того же, с другого ли компьютера или с этого же), первая вываливается по таймауту, переконнективается, и вываливается вторая... такая чехорда и происходит по кругу...

A. Проблема с вылетом FTP сессий решается отключением "transparent proxy". В winroute.cfg отключать надо.
После этого настройка фильтров файервола становится ближе к четверке, перестают работать HTTP фильтры (лечится включением HTTP прокси и запуском HTTP трафика через него), перестают писаться HTTP и WEB логи, но зато нормально работает FTP.


12Q. Как настроить доступ некоторых пользователей к ftp, а остальным доступ запретить? Куда делся прокси для ftp? Можно ли настроить права на каждый сервис конкретной группе?

A.


13Q. Нужно разрешить доступ, допутим к некоторому количеству сайтов, а все остальное запретить. Где, их нужно прописать и как это сделать?

A. Пускай людей через прокси. В "HTTP policy" создай три правила:

Первое правило верхнее, третье - нижнее. Можно пускать только по IP адресам в локальной сети, но, это вообще круто.


14Q. Когда, я указал разрешенный сайт (http://www.aport.ru) следующим образом в групе, как *aport.ru* (так было в примерах выше).
Что означают "*" и "/" в указаниях этих правил?

A. Вообще, то наверное правильно *.aport.ru*. Звездочки обозначат, что вместо них любой символ может быть. Если будет _htpp://xxx.aport.ru, он тоже пройдет.


15Q. После этого, очень тормозит загрузка, у меня канал на 128, а скорость будто 33,6, не подскажешь в чем может быть дело?

A. Отчего скорость падает не знаю... Может и WinRoute Firewall 5 глючит, он такой. Может это и не самый лучший способ. Попробуй тогда в "Traffi policy" создать правило разрешающее ходить только на избраные IP:

Не забудь убрать в Nat по умолчению HTTP и HTTPS или в "Sourse" укажи адреса избраных. По другому можно сделать по образу "Firewall Traffic" (который по умолчанию), полность копируешь, а вместо Интернет ставишь разрешенные адреса.


16Q. WinRoute 4.1.25, у меня качает пакеты с http://128.242.106.66:80 -- сайт Керио. У меня Dial-Up причем качает и забивает полезный трафик. Качает беспрерывно и по 70 метров, пока не остановишь.

A. Скорее всего, ты, что-то качал через прокси-сервер WinRoute'a с http://128.242.106.66/ , вот он и пытается докачать. Убери галку "настройки прокси=>кэширование=>продолжить после прерывания" Должно помочь...
Это из за галочки "Continue Aborted" в настройках кэша, эта зараза докачивала страницы и файлы даже, если, я и отказался.


17Q. Кто-нибудь проксей непрозрачной от WR в связке с браузером Opera пользуется? У меня, почему-то коннет не идет через проксю, а через IE с прокси или с Opera, но без прокси - все нормально.

A. Это если в Опере:

"File - "Preferences - Network - Proxy Servers" - и внизу "Automatic Proxy Configuration" добавляешь, что-то, такое http://192.168.1.1(WinRoute машина):3128/pac/proxy.pac. А, в WinRoute можно настроить, что в этом скрипте выдавать: "HTTP Policy - proxy server - Automaic configuration".
Кстати про" то" что выше написал - пробовали и с Оперой - после этой процедуры и она также заработала.


18Q. Ест две группы пользователей. Первой группе надо разрешить доступ ко всем сайтам. Второй групе разрешить доступ только к определенным сайтам, а к остальным запретить.
Групы созданы, група разрешенных сайтов для второй групы пользователей тоже создан, и когда указываю, что, кому можно - не срабатывает, либо всем можно все, либо всем ничего. Может, что-то упустил? И, вообще, в каком порядке должны располагаться правила?

A. HTTP Policy--> "URL Rules" добовляешь правило:

Дальше создаёшь группу пользователей в которую входят и первые, и вторые, добавляешь новое правило для этой группы и для всех страниц (*), Action: "deny all access" и ставишь это правило в самый низ.
Прим. Смотри Q7, Q2.


19Q. Как убрать ДНС-запросы к серверу провайдера. Это локальные запросы, а они лезут к провайдеру.

A. У тебя, скорее всего, стоит форвардинг ДНС на провайдера. Убери.
Прим. Смотри Q8


20Q. Методы защиты.

A. 1. Все исходящие с файрволла - разрешены
2. На внешнем интерфейсе udp/tcp - 135й-1100й порт drop далее по вкусу.
Прим. На внешнем интерфейсе:








<<-|1.2.3.4.5.6.7.|->>