Kerio WinRoute FireWall 5.XX
Главная
Kerio Mail Server
Kerio WinRoute FireWall 5
Ссылки
FAQ составлен по материалам форума Windows FAQ - Форум - KWR 5.0 (Kerio Winroute
5.0) (стр.1-93 вопр. 1-122) форума XBT Hardware BBS » Системное
администрирование, безопасность » Winroute FAQ - Просьба все вопросы по Winroute задавать в этой ветке? (стр. 1-18 вопр. 123-171)

41Q. Winroute 5.1.3. Поднят NAT. Где, в его (Winroute) настройках проставить фичу, чтобы три компьютера моей сети с фиксированными IP-адресами, ходили в Интернет через этот NAT, минуя основной прокси?

A. Пропиши шлюз на клиентах. В свойствах подключения к сети-свойствах TCP/IP-основной шлюз. И все это в Windows, а, не в KWR. В настройках IE убери коннект через прокси.


42Q. Как сделать так, чтобы через шлюз ходили только избранные?

A. Фильтруй по IP. Смотри "Traffic policy".


43Q. Хочу чтоб в закладке "Hosts/Users" отражались не только имена хостов, но и имена пользователей. При этом, чтоб IE не запрашивал имя/пароль. Это возможно?
Что имеем: пользователи импортированы доменные, ходят через проксю. И, отображаться начинают только при включении запроса пароля.

A. В "Advanced Option --> User Authentication --> Use NTLM aut..." , посмотри там.


44Q. DNS сервер - это BIND, а родной DNS сервер вин2к не установлен.
Как отклюсить DNS сервер Kerio Winroute Firewall 5?

A. Галка там "configuration - DNS Forwarder - Enable DNS forwarder".


45Q. 1. Имеется компьютер с двумя сетевыми карточками, одна в локальную сеть 172.30.0.1, вторую протянул провайдер, по ней Интернет. Интернет через VPN.
2. На всех машинах локальной сети, шлюзом указан 172.30.0.1, на котором установлен KWF 5.1.2.
Собственно KWF пускает в Интернет только через свой прокси, через NAT не пускает. Это ладно, но, на FTP не попасть через винрутовский прокси.
Подскажите, где копать, почему через NAT не пропускает? ( правило создал : локалка-> в инет -> все протоколы-> разрешить -> NAT адресом провайдерской сетевушки )

A. Еще ДНС надо прописать по умолчанию на машину Винроута, а на Винроуте включить dns forwarding. И, в нем или в настройках интерфейса от провайдера dns провайдера указать.


46Q. Как можно запретить доступ снаружи по временным правилам?

A. Да так же - в "Valid on".


47QA. Обновить триал винроута можно удалив следующие ключики перед реинсталяцией:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ContentIndex\MaxRequestsPossible
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WRDRV\RoutingExtent


48Q. Настройки всех пользователей.

A. Cохраняются в файле «users.cfg», который расположен в директории, куда устанавливался сам KWF. К примеру, по умолчанию, KWF устанавливается по такому пути: Х:\Program Files\Kerio\WinRoute Firewall. А вообще, если ставили не туда, то идем по пути установки программы «install path/WinRoute Firewall».
Далее, после того, как нашли файл, останавливаем сервис KWF и после, открываем файл «users.cfg», к примеру, используя встроенный в Windows блокнот.
И что мы там видим? Там много чего интересного… Но для Ваших целей, необходимо найти Ваш «listitem» и далее, примерно такую строчку:
variable name="Password">DES:acafb……………пропущено…………/variable>. Вот, это и есть Ваш пароль! Но, в зашифрованном виде.
Потом, поступаем следующим образом – меняем содержимое этой области на «NUL: ваш пароль». Все. Это означает, что пароль записывается как обычный текст. Далее, после сохранения, когда будете заходить в панель администратора, Вы сможете отредактировать пароль так, что, он будет записан в зашифрованном виде в файле, о котором шла речь.


49Q. Стоит KWR 5.1.5 все вроде бы работает кроме одного.
Почта по РОР3 (mail.ru) идет только с компьютера, на котором стоит KWR, с других ни за что не хочет. По IMaP и через Web идет везде.

A. Поставь на других компьютерах шлюз -- компьютер с KWF.


50Q. Может кто настраивал VPN через KWF?

A. Создаешь правило разрешающее PPTP и всё, через машину с винрутом пройдет VPN.


51Q. Проблема с Dual-up'ом.

A. Снеси соединение которое, у тебя есть, перезапусти KWF, создай соединение Dual-up, потом зайди в консоль в оснастку "интерфейсы", там добавляешь новый (должен появиться твой только созданный дозвон), как добавишь его в свойствах можно настроить автодозвон и расписание.
Иногда добавить получается не с первого раза, но ПОЛУЧАЕТСЯ, так что пробуй, у меня KWF сам дозванивается до VPN (ну, то есть моё соединение сам запускает) и при отвале переконнекчивается. В общем руками, потом ничёго делать и не надо.


52Q. зачем нужна закладка "IPSec" в "advanced options"?

A. Якобы прозрачно пропускать IPSEC, но у меня не работало, пока не нарисовал свое правило, а эту опцию не убил.

QQ. А, свое правило, как выглядит?

АA. src 10.0.0.0/255.0.0.0 dst 10.0.0.0/255.0.0.0, service - ports tcp 1-65355 and udp ports 1-65535 - permit


53Q. Какие правила надо прописать на kerio firewalle (5.1.5), чтобы работал emule-клиент (на той же машине, где стоит kerio). Даже, если сделать новое правило - "Any-Any-Any-Permit eMule" не может соединиться с сервером - говорит - #you have a lowid#
И, как сделать доступ к citrix-терминалу находящемуся внутри локальной сети. Делая, как сказано в доках к винруту - портмаппинг на 1494 порт, соединения не получаю.

A.Src: Internet; Dst: Firewall; Ports: TCP/UDP 4662, UDP 4672; MAP to emule host
Src: EMule host; Dst: Internet; Ports: ANY ; NAT


54Q. Подскажите, что это за сообщение в логах?

[11/Nov/2003 17:20:19] HTTP: Binary header detected: client: 192.168.70.101, server: 207.44.184.32

и, заодно:

[10/Nov/2003 14:51:11] Anti-spoofing: Packet from LAN, proto:UDP, len:78, ip/port:169.254.223.79:137 -> 169.254.255.255:137, udplen:50]

A. У меня, "Binary header detected" в логах появляется, когда Kaspersky Antivirus лезет за обонвлениями на http сервер.

A. Про вторую строчку - это кто-то в локальной сети, пытается слать пакеты от имени IP адреса не находящегося в локальной сети.


55Q. Что это?

[14/Nov/2003 08:19:19] DROP unknown ICMP packet from Internet, proto:1, len:28, ip:217.15.18.3 -> 224.0.0.2, plen:8
[14/Nov/2003 08:19:30] Last message repeated 3 times
[14/Nov/2003 08:48:59] DROP unknown ICMP packet from Internet, proto:1, len:28, ip:217.15.18.3 -> 224.0.0.2, plen:8

A. По поводу дропов icmp на 224.0.0.0
Набери route print, увидишь там:
224.0.0.0 224.0.0.0 локал_ip локал_ip 1
224.0.0.0 224.0.0.0 внеш_ip внеш_ip 1
Короче это малтикастовый (широковещательный) адрес для протокола IGMP, который является частью IP протокола,в Windows, он практически всегда светится, хотя его надобность чаще всего не нужна.
Internet Group Management Protocol (IGMP) IGMP is used by IP hosts to report their group membership to directly connected multicast routers. IGMP is an integral part of IP. IGMP is defined in RFC 1112, Host Extensions for IP Multicasting. IGMP uses group addresses, which are class D IP addresses. The high-order four bits of a Class D address are 1110. This means that host group addresses can be in the range 224.0.0.0 to 239.255.255.255. The address 224.0.0.0 is guaranteed not to be assigned to any group. The address 224.0.0.1 is assigned to all systems on a subnet; this address is used to address all multicast hosts on the directly connected network. The address 224.0.0.2 is assigned to all routers on a subnet.
Чаще всего, это используется на цисках, если дать ping 224.0.0.10 , то, тебе все интерфейсы циски , где задествовано IGMP будут отвечать своими основными адресами , если они живы . То, есть одной командой ping, ты сможешь узнать все интерфейсы у тебя живы или нет.


56Q. Обьясните мне, как настроить порт мепинг в KWF 5.1.5.
У меня свой почтовый сервth MDeamon. Пользователи, отдуда почту забирают. А, вот, если человек хочет с mail.ru (допустим) забрать... Где, там настраивать?
В "Traffic Policy", какие правила должно быть... обьясните, плиз по столбикам...

A. NAT: LAN->Internet: IMAP, POP, SMTP, если нет, то, вероятно на пользователях не настроены шлюзы.
Если у тебя DHCP на раскидывает настройки для пользователей, то в настройках сети пользовательского компьютера впиши шлюз - компьютер, на котором стоит KWF (IP - смотрящий в локалку).


57Q. Сервак 2000, AD,DNS,DHCP,WINS, две сетевухи - одна 192.168.0.1, вторая наружу, KWR 5.1.4.
Третий день лезет такая беда:

[19/Nov/2003 15:08:20] Anti-spoofing: Packet from LAN, proto:UDP, len:96, ip/port:10.172.106.2:123 -> 192.168.0.1:123, udplen:68

Подскажите что сие означает, а?

A. UDP 123 порт- это NNTP (служба времени).


58Q. Вопрос по аутентификации в KWF 5.1.5.
Решил попробовать, все есть, кроме одного. Аутентификация пользователей. Особенность ситуации такова, что используются статические IP-адреса в сетке, и для меня идеальна аутентификация пользователей по IP-адресу, либо, на крайний случай, по МАС-адресу сетевой карты. Можно ли это?
Фактически, права на просмотр того или иного контента, я раздаю не людям, а машинам. Кому-то можно все, кому-то - определенные сервисы, кому-то банится реклама или еще что... Домена нет (одноранговая сетка), не хочу заставлять пользователей логиниться вручную.
Понятное дело, конкретные сервисы можно раздавать правилами в "Traffic Policy", перечисляя IP, но это громоздко, гораздо удобнее это делать по группам, а не перечисляя каждый IP. При формировании правила для источника можно выбрать IP-address group, но как создать эти группы - фиг его знает... НЕ могу найти, а это было бы то, что нужно...

A. Definitions->Adress Group


59Q. В общем нечего не работает. Не знаю как это возможно но NАТ у меня похоже не работает. Как тольо в IE убираю галку использовать прокси, в интернет вылезти не могу.

A. NAT может не работать, потому что не может разрешить имя DNS, то есть, тебе DNS редирект нада настроить, указав провайдерский днс-сервер или какой иной.
Прим. Смотри Q8


60Q. На компьютере W2K SP4, стоит KWF (теперь уже 5.1.7), две карточки Intel Pro100 (одна на внутреннюю локалку, вторая на ADSL-модем) .
Проблема заключается в следущем: попытка зайти во внутреннюю сетку осуществляется через 40-70 сек после изъявления желания (т.е. открываем окно "Сеть", сначала затыкается на определении имени домена, а вторая затычка на открытии окна с именами компьютеров в сетке).
Сетка: домен на NT4, сетка 100/1000 (2 порта 1000 Mb с switch 3Com заведены на два сервера Controler & BackUp). Сервера ничего, крутятся нормально.
Сама тачка с KWF: P-IV 2.4 GHz, 512 MB RAM, жаловаться грех. Замечено было затыкание начиная с ver 5.1.3, потом была 5.1.5. Если снести KWF, то все живет шустро. Настройки KWF: Firewall <-> local разрешено все. Ограничения поставлены только на Интернет.

A. Выруби NetBIOS и все службы Microsoft на внешнем интерфейсе!
Оставь только TCP/IP!
Плюс Start->Settings->Network and Dial-up Connections (Тут нада 2 раза мышкой что бы открылось окно) -> в оконном меню - Advanced -> Advanced Settings -> ИНТЕРФЕЙС СМОТРЯЩИЙ В ЛОКАЛКУ ДВИГАЕШЬ НА ВЕРХ! - УБИРАЕШЬ ПРИВЯЗКИ (если вдруг они остальсь) с интерфейса смотрящего в инет (делать это надо только при выключенных DNS/DHCP/WINS/IIS) и тп !!! жмешь применить и перегружаешься...





<<-|1.2.3.4.5.6.7.|->>