Kerio WinRoute FireWall 5.XX
Главная
Kerio Mail Server
Kerio WinRoute FireWall 5
Ссылки
FAQ составлен по материалам форума Windows FAQ - Форум - KWR 5.0 (Kerio Winroute
5.0) (стр.1-93 вопр. 1-122) форума XBT Hardware BBS » Системное
администрирование, безопасность » Winroute FAQ - Просьба все вопросы по Winroute задавать в этой ветке? (стр. 1-18 вопр. 123-171)

21Q.Проблемы с докачкой по FTP.

A. У тебя или не включено или запрещена FTP докачка. В "Content Filtering - FTP Policy", есть 2 правила: "Forbid resume due antivirus scanning" и "Forbid upload".
Для надежности включаем их, (я, так перестраховался, если не трогать не пробовал, что будет) и, в самом правиле "General - Action "Deny", заменяем на "Allow".


22Q. В локальной сети, поднят DNS и DHCP на контроллере домена(Win2kSrv sp3 рус) , а компьютер с WInRoute 5.04 ходит в Интернет по Dial-Up'у. Пользовательским компьютерам DHCP выдает зарезервированный IP-адрес, так, что, у них все настройки автоматические.
Нужно ли разрешать в Winroute DNS-форвардинг, и какие настройки сделать? В DHCP прописать как роутер его, как сервер имен..?? А? в свойства зоны DNS добавлять? И? какой DNS сервер поставить в свойствах сетевого интерфейса? Нужно ли разрешать в Winroute DNS-форвардинг?

A. Нужно. Либо на ДНС провайдера, либо на "известные системе ДНС". DHCP - 003, 004, 005, 006, 012, 015, 044, 045, 046 - у меня, сам выбери - WINS, сервер времени нужны тебе или нет.

QQ.И какой DNS сервер поставить в свойствах сетевого интерфейса?

A.Для локальной сети - своего ДНС ( 127.0.0.1 ), для Интернета - провайдера.


23Q. Не могу понять в чем дело. Стоит версия 5.0.4. Все работает через НАТ. Пытаюсь настроить прокси на 80 порт.
Ставлю галку включить непрозрачный сервер на 80 порту. в дебаг логе появляется запись о старте прокси сервера, а при попытке подключения клиента по этому порту в Эксплорере долго долго думает...и ничего не открывает...

A. Включи на порт 3128 и не парься.


24Q. Как сделать в KWF, чтобы, когда, я захожу в браузер, происходил запрос пароля?

A. Есть, там такая закладочка "HTTP Policy -> URL Rules". Там правило прописано по умолчанию "Authanticate all users". Так вот, включить его надо.
(Прим. Смотри Q36)


25Q. Что это такое, "DNS lookup failed" и, как от этого избавиться?

A. Это значит, что твой ДНС сервер не может разрешить имя. Включи, в WinRoute форвад ДНС запросов на днс-сервер провайдера.


26Q. Как подружить ICQ с WinRoute??

A. Глянь в "Traffic Policy".
Если, там ничего не перекрыто лишнего - добавь в "тупую"? туда порт ICQ и разреши его использовать. Так должно получится.

A. Для подключения аськи в "Traffic Policy" разрешить сервис HTTPS.
В самой аське в настройке подключение, у ICQ-сервера указазать порт 443, поставить галки использовать фаервол, не использовать прокси вкладка фаервол HTTPS указать адрес своего винроута, порт 443 и если нужно имя и пароль для авторизации У меня все работает.
(Прим. Смотри Q27, Q28)


27Q. Не могу настроить ICQ, не пускает в Интернет?
Из локальной сети никто не может пользоваться ICQ! Уже и, в "Traffic Policy", как только не добавлял ICQ, а, в статусе при подключении показывает что оно есть, а трафика ни исхожящего, ни входящего нет, хотя все остальное вроде, как работате KWR v5.1.9 Поставил v5.1.10 таже ерунда.

A.Traffic Policy:

Не совсем правильно, на source firewall, НАТ не нужен.
(Прим. Смотри Q26, Q28)


28Q. Нужны, ли особые настройки для ICQ?

A. Если через НАТ, то добавляешь в НАТ сервис ICQ и все... (ICQ использует такие порты, как 5190 и др.) Я использую 5190. Можешь отдельное правило создать, для определенных IP адресов. Кому можно а кому нельзя.
Если через проксю, то в Аське еще настроек надо напихать, что через проксю лазишь...

AА. Аська где должна стоять? На машине с рутом? Попробуй, если так, сервис ICQ добавить в "Firewall Traffic".
В случае, когда через проксю...

Попробуй нечто такое...
Понял в чем беда. У меня стоят правило "Авторизации Юрезов", моя ася пытается пробится, но ни чего не происходит. Самое интересное, что в кликую по галочке "Авторизация" (в ICQ) пишу пароль и имя, не не сморя на это, все равно не проходит. Не понял!? В такой спешке написал, что я запутался в твоих словах. Щас то, работает? При авторизации в руте, действительно, когда работаешь через проксю, пока не идентифицируется пользователь - ася не проходит. Это факт... Кстати, через проксю у меня ася на столько тормозила, что процы компов доходили до 100 процентов...
С аськой я разобрался, она работает, но самое странно то, что у меня в NAT и FireWall Trafic включены только: HTTP, FTP, Ping, DNS, а пост 5190 (ICQ) не где не прописан. Несмотря на это, ася работает, может так оно и должно........хотя думаю вряд ли
Где то в настройках аськи, у тебя стоит "использовать прокси сервер" (я юзаю миранду, где точно не знаю. У меня Настройки->Сеть...). Аська автоматически берет установки из Explorer и работает через хттр протакол. По мне, лучше сделать правило: sourse Any (или адресса тех локальны машин, для которых хочешь на аську разрешить) Destination Any Service TCP 5190 (или просто выбрать ICQ) (разрешить) и Translation NAT (поставь точку на typical setting). "Использовать прокси сервер" в аське, конечно же, отключить.
(Прим. Смотри Q26, Q27)


29Q. Для чего нужны пользователи и группы в KWF?

A. Для управления трафиком, ограничения доступа, использования авторизации.

QQ. Можно чуть подробнее?
К примеру, есть локальная сеть из трёх компьютеров. WinRoute FireWall на одной, выход в Интернет, соотвественно через нее со всей локалки. На данный момент пользователи не прописаны, доступ общий.
Как организуется управление трафиком? Что для этого нужно прописать и настроить?

AA. Заведи себе пользователей, в "HTTP Policy" поставь галку "identificate all users", и тогда в "Traffic Policy", можешь для определенных пользователей по именам заводить правила, разрешать и запрещать доступ к любым сервисам с помощью временнЫх интервалов, то же и в "HTTP, FTP Рolicies".
(Прим. Смотри Q2, Q7)


30Q.Кто нибудь с авторизацией разобрался ? Как ее развязать с IP машины ? У меня, часть пользователей выходит в Интернет через терминальный сервер. KWF всех их (терминальных) учитывает под первым зарегистрировавшимся, пока он не сделает logout.
Пользователи берутся из АД. Как побороть ?

A. поставь минимальное время на логоут. А вообще врятли будет идентифицировать юзеров под терминалом на 100%. Сама технология идентификации пользователя используемая в KWR5 не расчитана на использование в серевере терминалов. Я думаю, у тебя такая задача через NAT не получится.


31Q. Есть ли отдельная дока описывающая "Traffic Policy" c примерами?

A. Самая правильная дока - RFC по протоколам.


32Q. Что такое NAT?

A. Это те сервисы, которыми, ты разрешаешь пользоваться пользователям.
Прим. NAT - протокол трансляции адресов. Протокол маршрутизации. Если коротко, то NAT скрывает внутресетевые обратные адреса, подменяя их адресом шлюза.


33Q. Что такое "Firewall traffic"?

A. Это те сервисы, которые может использовать, тот компьютер, на котором стоит KWF. Т.е. фаервол, здесь есть сервер.


34Q.Что такое "Local Traffic"?

A.Это то, чем твой компьютер может обмениваться с пользователями, и они с тобой.


35Q. После блокировки в Cobion'е, порнографии заблокировались, также и кряковские сайты, всплывающими окнами, открывающие порно. Например www.crcks.am. Как либо убрать его в Cobion'е, либо хотя бы именно его пропустить? Или ещё что посоветуете?

A. Advanced Options \ Cobion Settings
В Cobion White List забивай то, что надо пропустить.
(Прим. Смотри Q1)


36Q. Как сделать так, чтобы при подключении к прокси? с разных машин запрашивался логин и пароль?

A. Вопрос - требующий тщательного изучения и требует отдельной тематики. То, как сейчас организован логон - не совсем правильно. Я писал разработчикам, те развели руками. Кто заинтересуется - можно отдельно на эту тему поговорить.
Что касается твоей проблемы - весь вопрос в том, как, ты хочишь авторизоваться?

В случае первого варианта, следуют действия:
"HTTP Policy -> Url RULS -> Authenticate all users" (Any user, *, Redirect user to firewall login page) и НИЖЕ по списку организуй правило запрещающее всем выходить. И отключи веб сайт и галку запрашивать авторизацию в разделе Advanced Option

В случае второго варианта, следуют действия:
"HTTP Policy -> Url RULS -> Any user authontificate on the firewall" (Any user, *, Allow access), включи запрещающее праило. Включи веб сайт и галку "запрашивать авторизацию" в разделе "Advanced Option". Тогда в данном случае по последниму правилу будет выбрасывать чувака на страничку типа тебе сюда нельзя. Он давит там ссылку логон и авторизацию проходит через сайт и в его руках статистика по своему подключению.

Теперь вопрос который последует далее. Я закрыл все и во второй раз ничего не спросило. Да, именно, параметр "Automatic logout after XX min of inactivity" отвечает за дисконект неактивной сессии по истечении заданного времени - ВО КАК. Т.е., как, только пользователь авторизовался, его записали в разделе "Host/Users" и, там, он болтается со своими подключениями.
Если, он не активен в Интернете в течение указанного времени то сессия разорвется, а вот, что делать, если надо организовать логаут? На той же страничке есть спец ссылка - logout. Но тут другие грабли - инактивность отслеживается не по протоколу http а по всем протоколам, скажем ушел пользователь с работы и оставил компьютер включенным, с почтовым клиентом, которые каждуе две минуты лезет забирать почту - и ничего не разорвется. Разработчики говорят, что невозможно организовать слежение только по HTTP, хотя, я считаю что это бред. Так чтопалка о двух концах.
Во втором варианте нас вроде избавили от постоянного вбивания пароля при выходе в Интернет, но добавились лишние проблемы по авторизации и выходу из сеанса.


37Q.Установил KWF 5.1.2 - упал Cobion и авторизация пользователей.
Систему долго строил и повторять этот подвиг не хочется. Особенно имена и пароли пользователей и логи. Старую версию установить не удалось - ругается.

A.В реестре поменяй версию на более позднюю и накати ее восстановлением, все пройдет, как по маслу.


38Q.Подскажите кто-нибудь, как настроить KWR5 и компьютеры локальных пользователей, чтобы, они выходили в Интернет через шлюз (напрямую в Интернет, минуя прокси)?

A. Укажи на компьютерах пользователей в качестве шлюза компьютер (сервак) с WinRoute5.
В Translation для сообтветствующего правила выставь нужный пунктик (обычно - второй сверху).


39Q.Объясните, почему, когда я пытаюсь заити на что-то типа ripn.net:8080, то kwf пишет, что нет отклика, а когда его отключаю - всё вижу? Где и что прописать надо?

A.Добавь в "Traffic Policy" правило: source Destination service Action local - internet - tcp8080 - permit

Q. Cпасибо. Получилось.


40Q. Возможно ли, WiNR 5.1.2 научить определять два интерфеса (внутренний и внешний), приходящихся на одну сетевуху ? То есть в WinXP есть одно сетевое подключение с двумя адресами в разных подсетях, а WinRoute видит только один...

A. System Requirements - 2 network interfaces





<<-|1.2.3.4.5.6.7.|->>