Kerio WinRoute FireWall 5.XX
Главная
Kerio Mail Server
Kerio WinRoute FireWall 5
Ссылки
FAQ составлен по материалам форума Windows FAQ - Форум - KWR 5.0 (Kerio Winroute
5.0) (стр.1-93 вопр. 1-122) форума XBT Hardware BBS » Системное
администрирование, безопасность » Winroute FAQ - Просьба все вопросы по Winroute задавать в этой ветке? (стр. 1-18 вопр. 123-171)

81Q. Как сдалать чтобы ICQ работала?

A. ICQ через прокси как то неустойчиво работает, постоянно вываливается ......могет тама в ней какие есть хитрые настройки, я не пробовал, я сдеал иначе, указал на всех компах машину с керио в качестве гейтвея по умолчанию, в керио разрешаешь ICQ (тама в сервисах есть она) , отрубил нафик проксю, отрубил кобион, всё работает через NAT с той же авторизацией ася работает стабильно через НАТ (когда керио указан шлюзом).
(Прим. Смотри Q26, Q27, Q28)


82Q. Вообще можно как то с включенным нат ограничить доступ в инет исключительно по айпи ? не хочу я морочиться с этой убогой авторизацией?

A. Можно ограничить по протоколам...
Там в трафик полиси есть поле Services - там выбрать протокол или порт который разрешено определённому IP или юзеру или группе юзеров\IP.


83Q. Смогу я смотреть в логах квр с такой мошной как у меня статистику по каждому IP по человечески? Кто, куда, зачем и почему?

A. В файле конфигурации - winroute.cfg.


84Q. Вызов по требованию.

A. Оказывается KWF пакеты ICMP не принимает в расчёт и вызов по ним не делает.
То, есть если с одной из машин локалки пингуешь интернетовский хост (пингуешь именно IP адрес), то KWF это не считает внешним пакетом и игнорирует , вызова не происходит. Любой же пакет UDP или TCP на тот же хост сразу вызывает дозвон диал апа. То есть стоит пингануть тот же хост по DNS имени, то всё работает прекрасно, demand dial тут же начинает подключать линию.
Что интересно в Winroute Pro 4 пакеты ICMP позволяли вызывать соединение.
Толи в ВФР 5 это специално сделали ( спрашивается зачем?) то ли программёры недоглядели и допустили ошибочку.


85Q. Работа Demand dial.

A. Выяснил как он работает и очень разочарован. Впечатление что программисты в Керио вечно что то не доделывают.

Раелизовать бекап канал с такой системой вызова по требованию можно, но прийдётся отказаться от классического прокси... хреново, очень хреново. Надо попробовать написать в их службу поддержки.


86Q. Не могву через wrf5.1.9 пропустить pop3 и smtp. В чем проблема?

A.Да очень просто, достаточно настроить правила:

P.S.: Кстати, заметил, что если выключить PDC server в моей сетке, то POP3 и SMTP тоже отваливаются (вероятно из-за того, что на ней стоит мой DNS, хотя, может быть я и не прав)...


87Q. Приветсвую, не могу заставить работать KWR 5.18. Проблема в точ что мне надо сделать так что бы KWR по запросу соединялся через VPN с Инетом.
Сервер Win2000Server,SP4,DC,AD,KWR5.18
IP Сервера 192.168.100.1
Шлюз у клиентов 192.168.100.1
DNS у клиентов 192.168.100.1
В DNS стоит перенаправление на IP провайдера.
Еще в логах KWR при загрузке проскакивает ошибка:

Socket error: Unable to bind socket for service to port 53. (5002) Failed to start service "DNS" bound to address 192.168.100.1.

Это при включенном DNS Forwarding в KWR
DNS Forwarding в KWR: на адрес провайдера.
Иногда KWR соединяет но это проходит мимо аунтификации пользователей.

A. попробуй вырубить DNS Forwarding в KWR ну и маппинг на DNS сервер надо сделать.


88Q. Что мне в Trafic Policy прописывать в Source и Distination?

A. В группах рисуешь новую группу, допустим Местные> и в нее пихаешь все нужные IP. Галки ставишь тем, кто имеет право на выход.
В трафик политике рисуешь:


89Q. RAdmin

A. Для того, чтобы работал RAdmin открой порт 4899.


90Q. Подключение бан листов под KWF.

A. Теоритечески - элементарно. Вставить в winroute.cfg.
Вот как это выглядит:

------------------------------------------
<list name="UrlGroups">
<listitem>
<variable name="Enabled">1</variable>
<variable name="Description"></variable>
<variable name="Name">porno/sex</variable>
<variable name="Url">*sex*</variable>
</listitem>
<listitem>
<variable name="Enabled">1</variable>
<variable name="Description"></variable>
<variable name="Name">Ads/banners</variable>
<variable name="Url">*/ad/*</variable>
</listitem>
<listitem>
<variable name="Enabled">1</variable>
<variable name="Description"></variable>
<variable name="Name">Ads/banners</variable>
<variable name="Url">*adframe*</variable>
</listitem>
------------------------------------------

Ну и дальше...
забацать скриптец, чтоли...
На самом деле, все сайты не пропишешь в баннерорезках. С каждым днем появляется куча новых ссылок. Поэтому проще напрячь голову и прописать "обобщения" в качестве правил.
Например, просто *banner* вместо кучи ссылок со словом "banner" на конце. Аналогично ... */bs/* и */bn/* и так далее. Получается достаточно действенно. Аж глаз радуется. И скорость загрузки того же yandex-а резко возросла.


91Q. А у меня не получается никак сделать фильтр по словам.
Рассакжи, плиз, на примере каком нить...
Допустим по слову "велосипед".

A. Смотри вкладку "Http Policy > Forbidden words"


92Q. Заглушить с помощью KFW 5.1.0 баннеры, проигрываемые Macromedia Flash Player? Куда что прописать?

A. Ну например в HTTP Policy создать правило :
Deny URL begins with *.swf
Или через запрет определенного Content-Type: application/x-shockwave-flash


93Q. Подскажите, какие Service надо разрешить, чтобы с внешней сети был доступ к "шарам" на серваке через Сетевое окружение?

A.


94Q. Как вывести машину из внутренней сети во внешнюю используя winroute, есть несколько внешних IP.

A. Есть такая штука в керио как портмаппинг.
Сделай правило, при котором принятые сервером пакеты на определённый порт или группу сервисов будут пересылаться на ту машину каторая у тя внутри сети. В хелпе к винруту, есть пример.


95Q. На работе стоит KWF 5.1.9, на этой же машине SSH Server ... можно ли подрубаясь из дома к этому компу включать\отключать только проксю winroute , но чтобы сам Firewall всегда работал.

A. А, административная панель на что ? .. включи Enable Administration From NetWork ..и конектся.. естественно..
Запароли администратора.. и.. желательно указать явно с каких IP будешь конектиться.. иначе всякие.. не хорошие будут лезти.


96Q. В KWF 5.1.9, cоздаю новое правило в Traffic Policy, присваиваю ему Action Permit и разрешаю лог. Но пакеты этого правила все-равно блокируются, несмотря на правильную идентификацию правила. В логе пишется DENY "название правила".
Откуда вообще может взяться DENY, если по этому правилу определено только действие PERMIT ? Что за глюк? Как избавиться?

A. Посмотри, может выше стоит какое нибудь правило, блокирующее то что ты в этом вот указал..... переставь это правило на самый верх и посмотри логи...


97Q. Чтобы не висла керио.

A. Включите антиспуфинг. он в адвансед опшнс.
Прим. Непонятно выдернутый вопрос из форума и такой же ответ.


98Q. Есть KWR, нормально работает c HTTP, но совсем не видит FTP сайты.
Что делать, как настроить фильтры?

A. На ftp пускать клиентов напрямую, не через прокси класический.


99Q. Как вяжется NAT и "прозрачный" прокси.

A. Вот так:
он, тем и отличается от обычного, что "прозрачный" (почти невидимый скажем так, т.е. клиент думает, что, он напряму работает ничего не подозревая), ну например послал, ты запрос на html-ку взять, "прозрачный" это видит, и подсовывает тебе ее - ты при этом думаешь что source у тебя с оригинала идет, а на самом деле он подделал сурс и отдал от себя его. Вот и все.
Разница только в том, что, если класическим проксюком пользуешься - ты его явно в браузере указываешь.


100Q. Работa с FTP.
Пользователь сидящий за фаерволом в моей локалке получает доступ к FTP через PROXY, только если вместо имени ftp-сервака писать его IP

A. Это одно из трёх:





<<-|1.2.3.4.5.6.7.|->>