Kerio WinRoute FireWall 5.XX
Главная
Kerio Mail Server
Kerio WinRoute FireWall 5
Ссылки
FAQ составлен по материалам форума Windows FAQ - Форум - KWR 5.0 (Kerio Winroute
5.0) (стр.1-93 вопр. 1-122) форума XBT Hardware BBS » Системное
администрирование, безопасность » Winroute FAQ - Просьба все вопросы по Winroute задавать в этой ветке? (стр. 1-18 вопр. 123-171)

61Q. Установил КWF 5.1.6 - не пропускает ftp траффик с клиентских машин, с http - все отлично, пинги тоже проходят.
Explorer выдает сообщение:

Windows cannor access this folder. Make sure you typed the file name correctly and that you have permission to access the folder.
Details: The server name or address could not be resolved.

По ip-адресу получается зайти на ftp сервера, по имени нет. На машине где установлен КWF, работает все. Но хочется чтобы на других машинах тоже был доступ через ftp. В настройках "FTP Policy" - установил "Permit All" на все сервера.
В чем может быть проблема?

A. Пропусти траффик DNS.
Запросы Http разрешаются прокси ftp - dns. Сейчас как днс работает?
Есть свой в сети или не нужен (нет домена). Dns forward в KWF включен?
Если, да, то можно указать на машину с KWF (это наиболее правильно - кеширование запросов).
Если есть свой сервер ДНС можно использовать его. "Dns forward" в KWF включен. Указать на машину с KWF (вторым).


62Q. Как мне сделать доступ из Интернета, на мою машину c KWF для терминального клиента?

A. Source:Internet - Dest:Firewall - Servece:Citrix - Allow - No translation
- если Citrix на машине с KWF или MAP on на машину с Citrix для Microsoft Terminal Client.

QQ.Я вместо Citrix должен указать RDP?

AА. Да, нужно пробрасывать порт 3389.
(итог - Проверил. Терминальный клиент работает, RAdmin - тоже.)


63Q. Мне нужно настроить кэш в KWF (версия 5.1.4) таким образом, чтоб кэшировались только скачаваемые файли типа:
exe, rar, zip, и другие.
Можно ли сделать такое?
Прокси-сервер выключен. Все работают через NAT.

A. В настройках Кэша (Спец настройки URL) пишем (например):
Кэшировать URL: http://*.*/*.zip | TLL 1 час
Кэшировать URL: http://*.*/*.exe | TLL 2 час
.... . и т.д.
Не кэшировать URL: Http://*.* | TLL 0


64Q. Стоит kwf 5.1. Вопрос такой, есть порт 4662 (от IE), как, мне разрешить такое правило:

C первыми двумя более менее ясно:

А, вот, как запретить отправку пакетов с порта 4662 моего фаирвола на любой IP/порт???
Может я ничего не понимаю, но ничего не получается настроить 3 правило.

A. В списках сервисов заводишь новый сервис EMULE(или как тебе нравиться). В свойствах сервиса ставишь протокол tcp, порт источника: 4662, порт получателя: Any. Ну а теперь правило:
firewall -> any ,service EMULE Deny.


65Q. На любом маршрутизаторе как минимум два интерфейса. Один наружу, другой внутрь.
Так вот при старте ВРФ запускает сервис прокси на всех возможных интерфейсах! А если в компьютере три , четыре, пять сетевух? На каждой запуститься соответственно прокси сервис.
В настройках привязки сервиса прокси к конкретному интерфейсу нет... А, мне его вот, (прокси) запустить только на одном интерфейсе.
Никто не сталкивался с подобной ситуацией? Конечно можно попробовать правилами прописать запрещение портов 80, 21 и т.д. на не нужных интерфейсах, но всё это криво. Так вот, кто нибудь в курсе как остановить прокси сервис на не нужном интерфейсе.
Кстати это касается и ретранслятора DNS, он тоже запускается на всех возможных интерфейсах... вот так вот.....

A.При установке KWF явным образом спрашивает: "Какая сетевая смотрит в Инет?".
Кроме того, в интерфейсах ты можешь указать альтернативу. Перенаправление DNS действует именно для указанной сетевухи.
Если забыли во время wizard-а, то в конфигурации WRF можно ручками поправить (отмечено ">>>") указание внешнего интерфейса.
~~~~~~~~~~
list name="Interfaces">
listitem>
variable name="Name">External NET /variable>
>>> variable name="Outside">1 /variable> /listitem>
~~~~~~~~~
Правилом - с таких-то интерфесов запрет на порт 3128. Только внимательно - проверяются сверху вниз.


66Q. Проблема с FTP:
При попытке коннектится к любому FTP-серверу с любого компьютера, в Error-логе KWR вылезает ошибка:

Internal error: Cannot find FTP control connection.

FTP Соединения в "Traffic Policy" и "FTP Policy" разрешены.
В чем может быть дело?

A. Коннектишся к FTP через IE? Посмотри в настройках IE, FTP прокси.


67Q. Есть сервак с 2 IP: внешний и внутренний. Есть доменное имя в Интернете.
Устроено так: внешний ip адрес на который указывает MX запись, находится у провайдера. Он NАТ'ом переводит во внутреннюю сеть мне, на ADSL модем с ip адресом 192.168.1.1. C модема провод идет в сервак на внешнюю карточку(192.168.1.2), там тоже NАТ во внутреннюю сеть 192.168.100.1. Все отлично работает.
Но, надо, чтобы почта приходила на 192.168.100.10.
Вопрос:
Какое правило указать в kerio winroute firewall для маппинга 25 порта?
Пробовал так:
источник - внешняя карточка(192.168.1.2), получатель - внутренняя карточка(192.168.100.1), сервис - SMTP, действия - разрешить, перевод - NAT на 192.168.100.10.

A.попробуй не НАТ на 192.168.100.10 а просто пормаппинг.....
Tо есть запрос на внешнюю карту будет перенаправляться на определённый IP на определённый порт как есть, без трансляции адреса.


68Q. Почему KWF 517 не реагирует на правило работы с пользователями ???
Создал правило: Source: Иванов, dest: Any, Service: Any, Действие Запретить, но это правило не работает, а если вместо пользователя поставить имя хоста или IP адрес, то все работает правильно. Может есть какие-то грабли ?

A. А, пользователи у тебя на KWF регистрацию проходят??
Если нет то правило по пользователям и не будет работать!
Есть там настроечка - что б пользователи проходили обязательную регистрацию на винруте, в HTTP рулесах редирект на страницу авторизации....
Если работает прокси - выскакивает табличка виндовская с вводом пароля и логина
Если прокси отключен и NAT все пользуют - то прям в браузере прежде чем загрузить страничку редиректит на страничку авторизации, потом перенаправляет на запрашиваемый ресурс...
Если стоит доступ для IP или имени компа - то без авторизации полезет всюду кроме HTTP.
Если стоит доступ для пользователя - то без авторизации никуда не пустит.


69Q. Стоит у меня Kerio WinRoute 5.1.8, стоит нормально со всеми таблетками и подтяжками. Прокси работает нормально, по HTTP и FTP все летает. Только одно меня удручает что почта ни с TheBat! ни OutLook не может пробится.
В политике трафика->NAT все нужные порты разрешены, POP3, SMTP. И также не работает фильтр HTTP политики на слова типа sex, warez.

A. Почта из сетки не выходит на ISP? У меня стоит почтовый сервер (MDaemon, для теста тамже стоит TheBat!), NAT настроен так:

И все это стоит в самом верху. Все работает. Правда, когда-то взял новую версию с плохой таблеткой (давно было), все работало, только РОР3 пакеты крошило, так даже TheBat! на этой машинке не работал. Попробуй, если не пойдет, то у тебя что-то с KWF.


70Q. У меня есть VPN соединение. В KWF настроено, что это соединения постоянное (persistent). При перезагрузке компа, проявляется такой глюк:
Компьютер загружается, KWF запускается, но VPN соединение не устанавливается: в консоли KWR на против этого соединения пишется connecting... и все а в логах пишет что соединение не может быть установлено т.к. данное подключение уже используется. Помогает пренудительная перезагрузка сервиса KWF... после этого напрягаещего деяния VPN соединения с радостью поднимается....
Это у меня где-то касяк или KWF глючит?

A. Посмотри, не стоит ли у тебя в системе в автозагрузке или как сервис установка соединения?
Скорее всего KWF дерется с Windows (порядок старта). Поставь вперед коннект, а потом KWF. Только в последнем убери устанавливать соединение.


71Q. Стоит KWF 5.1.8 все работает акромя FTP ни с машины c KWF ни от usersов пришет такую дрянь:

"No parent proxy defined in WinRoute Proxy
----------------------------------------------------------
This message was created by WinRoute Proxy"

В полисах все убрано, в NAT, FTP разрешено. В чем беда?

A. Беда в том что это выскакивает , если в браузере стоит "работать через прокси".
Я вообще отключил прокси-сервер, на машинах указал винрутовский комп дефолтгетвеем и всё прекрасно работает через NAT, и авторизация и все дела прокся просто у него чисто HTTP-шная.....


72Q. Никак не могу разрешить/запретить доступ в Интернет пользователям по их именам (Users). Как это можно сделать, не используя дополнительную аутентификацию через Веб-интерфейс. Все работает через НАТ.

A. Ручками пользователь авторизировался и полез в инет, потом ручками отлогонился.


73Q. У меня такая проблема как только запускаю Kerio WinRoute Firewall, сразу пропадает интернет и сеть даже пинг не проходит, а когда останавливаю службу вся сеть работает.
Что за зверь такой? Как мне его настроить, чтобы дать доступ к интрнету от меня другим пользователям?
Стоит ОС Win XP/ Kerio WinRoute Firewall ver5.1.8. имеется две сетевых одна для инета (192.168.10.x) вторая для локалки(192.168.11.x). Как мне это сделать помогите.

A. Может, ты забыл включить маршрутизацию сетей? Может ты забыл включить маршрутизацию сетей? У тебя стоит ОС Win XP - это не есть серверная ОС, я лично XP ненавижу, но по аналогии с 2000 Prof могу сказать, что маршрутизация там по умолчанию отрублена и ее надо ручками включать. Пока нет маршрутизации один Kerio WinRoute Firewall тебе не поможет.
Дружище, как же у тебя в Интернет смотрит карточка с адресом 192.168.10.х - так не бывает, это адреса для локалок и, соответственно, они не маршрутизируются.
А, вообще под XP все должно бегать, так как KWR пофигу включена маршрутизация в ОС или нет, потому что KWR сам себе маршрутизатор.
Компу вообще до фонаря локальные адреса или нет. Маршрутизация между различными ПОДсетями в данном случае (192.168.10.x) (192.168.11.x) - это разные подсети, я только надеюсь! он не забыл маски на них разные поставить. 192.168.10.х - это видимо так получилось, что человеку этот IP выдал провайдер из диапазона своей внутренней подсети. Кабы он просил внешний IP он бы ему другой дал. Это не есть проблема *Rom_kor* и не есть проблема того, что KWR не позволяет людям в интернет через машину ходить. KWR безусловно является маршрутизатором, но только почему-то без ее включения в самой OC 2000 server никто никуда не пойдет в интернет. Я не говорю, что настраивать маршрутизацию надо, т.к. настройки этого определяет сам KWR, я говорю о том, что она вообще должна быть включена и не более того, т.к. KWR далее все сам определит.


74Q. Перелез на 5.18 с 4.xx.

A.


75Q. Стоит на сервере win2ksp4 Kerio Winroute Firewall 5.1.7 и Mail Server 5.7.4 этого же производителя... 2 сетевые катры - одна в локалку (ЛОКАЛ), другая на спутникову тарелку (ИНЕТ). В свойствах подключения ЛОКАЛ ДНС сервера прописаны разумеется действующего ДНС в локальной сети. В свойствах ИНЕТ - ДНС полученный от провайдера.
А, теперь - внимание:
При вышеописанной конфигурации почтовый сервак не работает. То есть не может разрешить имя. По ИПшнику пашет, а имя не могут. Говорит - нету такого-не могу соединиться. В свойствах ЛОКАЛ прописываю ДНС интернетовский - все работает... тока это шож за хрень такая? Зачем мне ВЕСЬ ДНС трафик в инет слать?
Да, насчет основной, альтернативный ДНС сервер - так и оставил, но не есть это хорошо, не так-ли?

A. Создай пометки в файле хостов на серваке WinRoute пропиши имена как тебе надо.. (конпака host file) в свойствах ДНС.


76Q. В "HTTP policy", есть меню "Forbidden words", нафиг она нужна, а если нужна то каким образом.

A. А, пользователей в правилах на запрет, ты указал?
У меня, они ходят без авторизации, через proxy. Я правила забил на IP адреса (Valid for IP address group). Может, и неправильно, но работает.


77Q. 13266 или 13226 вроде бы или как то так постоянно открыты при работающем WinRout .. типа они для чего.. ?
Я, их прикрыл и все без них работает.. а WinRoute их слушает..

A. 13266 -- это порт "прозрачного" прокси.


78Q. Без авторизации, т.е. только по явным IP, HTTP политика не работает? Не могу добиться ограничения по времени! Пользователи, и после рабочего дня трафик намолачивают!

A. Создаешь временой интервал и правило на все запросы(*) и разрешаешь в дополнительных условиях только в указанное время.
Вообще-то такие вещи на пакетном фильтре настраиваются.


79Q. Как в KWF запретить серверу, где стоит сам винроут ходить в нет???

A. В 5-ке (в отличии от 4.х) есть такое понятие "FireWall".
Траффик полиси - файрвол - доступ в интернет - закрыть...


80Q. Пользователи ходят в Интернет, как хотят и когда хотят. Нужно сделать что бы узеры ходили только те котым нежно в инет.
Подскажите как настроить керио.

A. Либо в трафикполиси правила доступа в инет для пользователей авторизовавшихся на фарволле
Либо в HTTP полиси редирект всех исходящих запросов ( с локальных адресов) на страницу авторизации, а сам в керио насоздавай пользователей, и раздай пароли.





<<-|1.2.3.4.5.6.7.|->>