Форум Kerio-rus

Форум Kerio-rus (http://kerio-rus.ru/forum/index.php)
-   Kerio Winroute Firewall (http://kerio-rus.ru/forum/forumdisplay.php?f=319)
-   -   Предложения по расширению функционала (http://kerio-rus.ru/forum/showthread.php?t=2846)

EnMan 08.07.2008 22:35

Предложения по расширению функционала
 
В этой ветке предлагаю коллегиально собирать предложения по расширению функционала Керио Фаервола. Предполагая, что подобных предложений будет немеряно, предлагаю: после обсуждения править первый пост темы, чтобы уважаемые разработчеги не метались по всей ветке в поисках предложений.

Я призываю все авторов, которые будут сюда писать, отнестись к постам здесь со всей ответственностью. Не нужно превращать тему во флудилище. Его и так хватает в разделе по БЕТА, к сожалению.

Donkey 08.07.2008 23:10

Сразу на вскидку:

1. Добавить работу с MAC адресами (фильтровать как с IP а также мониторить по возможности)
2. Расширить возможности Bandwidth Limiter, для раздельнгого зарезания

Engine 09.07.2008 00:41

Здорово! От себя могу добавить, что подробное, воспроизводимое описание баги поможет мне оперативно описать ее в bugzilla, и она скорее сможет попасть в ближайший maintenance pack.

К вопросу о неправильном подсчете трафика: можно попробовать с этим, я уже видел несколько обсуждений на форуме.

coolman 09.07.2008 08:09

Резервирование vpn туннелей, группировать так сказать, пока работает один туннель, второй ждет своей очереди, у обоих одинаковые маршруты забиты, но в настройках разные Ip для подключения, и возможность выбрать интерфейс, через который будет подключение. И так, падает первый туннель, через некоторое время (естественно регулируемое) поднимается второй туннель заменяющий первый :) и соответсвенно, когда первый туннель смог востановиться, второй уходит опять в режим ожидания. И все это не зависимо от 3, 4, 5 тынелей которые работают отдельно или по желанию можно тоже группировать :).

EnMan 09.07.2008 08:25

Цитата:

Сообщение от coolman (Сообщение 34625)
Резервирование vpn туннелей, группировать так сказать, пока работает один туннель, второй ждет своей очереди, у обоих одинаковые маршруты забиты, но в настройках разные Ip для подключения, и возможность выбрать интерфейс, через который будет подключение. И так, падает первый туннель, через некоторое время (естественно регулируемое) поднимается второй туннель заменяющий первый и соответсвенно, когда первый туннель смог востановиться, второй уходит опять в режим ожидания. И все это не зависимо от 3, 4, 5 тынелей которые работают отдельно или по желанию можно тоже группировать

ИМХО, бред какой то

Ant 09.07.2008 08:46

1. Увидеть бы керио впн клиента под линукс, хотябы под известные дистрибутивы (редхаты, центосы, мандривы, суси например), естественно без гуи (гуй имеет смысл при настройке первичной, причём гуй аналогичный тому какой имеет кмс при первоначальной конфигурации, всё в консоли оный делает), аналогично опенвпну чтобы как сервис подымался без проблем.

2. Ну тут авторство того товарища: [Для просмотра данной ссылки нужно зарегистрироваться]
В кратце: наследие маршрутов для клиента впн чтобы было настраиваемо как и в случае керио впн туннеля, это имеет действительно значение когда люди с клиентами сидят на других провайдерах и прочее в отличии от сервера с керио впном.

3. Не очень важное, но тем неменее, также как и в случае с кмс, иметь консоль под линукс было бы не плохо, но если это сопрягается с большими затратами сил то ну его, попробуем раскурить тему с вайном :)

Babah22 09.07.2008 08:55

От себя добавлю - неплохо бы было повысить скорость на интерфейсах до 1 Гигабита для начала на каждом. Если не знаете как это сделать, я Вам дам ресурс, на котором есть библиотеки в которых это реализовано, всё написано на WinApi ))))

coolman 09.07.2008 11:36

Цитата:

Сообщение от EnMan (Сообщение 34626)
ИМХО, бред какой то

2 офиса, в каждом офисе по 2 провайдера, то резервирование туннелей вовсе не бред.

Babah22 09.07.2008 12:01

Бред, что вам стоит понять оба туннеля, тем более сейчас появилась балансировка, другое дело это как изменять динамически нагрузку на существующие туннели, это интересный вопрос.

Denis_Perm 09.07.2008 12:17

Хоть какую нибудь поддержку командной строки.
Т. е. что бы изменения в конфигурацию
можно было вносить не только через консоль.

Как вариант - перепрочтение cfg файлов и принятие
изменений без перезагрузки сервиса KWF.

Babah22 09.07.2008 12:53

На самом деле, консоль в том виде,в котором существует абсолютно не нужна. Ибо сначала вызывается какое то приложение - хз какое, а уж потом оно вытягивает за собой непосредственно консоль. Метод, который ничего кроме тормоза не приносит, особенно если удалённо.
Есть фаербёд, есть длл управляющая этой БД, почему не сделать управление через БД, заменив управляющую длл на соотвествующий сервис, кстати тормоза бы уменьшились. Т.е. Вы используя новую консоль, все изменения и дополнения складываете в БД, откуда сервис эти изменения подхватывает - это элементарно делается. Далее почему бы не использовать вместо фаербёда, оракл персонал, который бесплатный.
И в оракле сделать нормальную тарификацию и биллинг и возможность хранить логи в БД до года.
И кстати файлы конфигурации хранить в БД (к фаербёрду это не относитца).
Вот к примеру хмл файл с миллионом строк обрабатываетца за 20 и более минут, а БД с таким же кол-вом строк обрабатываетца за считанные секунды. Хотя и БД можно "убить", если правильно составить логику работы сервера БД, например, как в 1С.

Engine 09.07.2008 13:05

Цитата:

Сообщение от Ant (Сообщение 34628)
1. Увидеть бы керио впн клиента под линукс, хотябы под известные дистрибутивы (редхаты, центосы, мандривы, суси например), естественно без гуи (гуй имеет смысл при настройке первичной, причём гуй аналогичный тому какой имеет кмс при первоначальной конфигурации, всё в консоли оный делает), аналогично опенвпну чтобы как сервис подымался без проблем.

Насколько известно мне, проект разработки KWF под линукс уже давно идет. Для начала планируется выпустить Kerio VPN client с поддержкой CentOS, Red Hat и SUSE. Конкретные сроки можно будет спросить у разработчиков.

Цитата:

Сообщение от Babah22
От себя добавлю - неплохо бы было повысить скорость на интерфейсах до 1 Гигабита для начала на каждом. Если не знаете как это сделать, я Вам дам ресурс, на котором есть библиотеки в которых это реализовано, всё написано на WinApi

Уверен, что вам будет особенно интересно поговорить с ними на одном языке.

Babah22 09.07.2008 14:46

Engine, хорошо тада оттранслируйте разработчикам вопрос, почему имея в локальной сети интерфейсы, работающие со скоростью гигабит в секунду и копируя длинный файл на хост с керио, скорость копировки достигает - 16 000 киллобайт в сек, а при отключённом керио по меньшей мере в два раза больше и это при отключённом ПИ в правиле Локал трафик.

Ant 09.07.2008 19:43

Engine,
Ну по форуму если глянуть, это частая тема, собственно описание то вот со стороны керио это поясняющее типа:
хттп://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=395

Это раз, и второе, яркий пример, на компе с керио открываем шару, или фтп сервер подымаем и льём с неё или на неё файл по сети - очень низкая скорость.

Собственно и вопрос бабаха, есть ли нам шанс увидеть повышение скорости работы по сети с компом на котором сидит керио. Вопрос про гигабит тут неспроста .)

Engine 09.07.2008 20:38

Цитата:

Сообщение от Ant (Сообщение 34717)
Engine,
Ну по форуму если глянуть, это частая тема, собственно описание то вот со стороны керио это поясняющее типа:
хттп://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=395

Это раз, и второе, яркий пример, на компе с керио открываем шару, или фтп сервер подымаем и льём с неё или на неё файл по сети - очень низкая скорость.

Собственно и вопрос бабаха, есть ли нам шанс увидеть повышение скорости работы по сети с компом на котором сидит керио. Вопрос про гигабит тут неспроста .)

Вот, это гораздо понятней. Надеюсь, что завтра смогу ответить Вам в этой же ветке.

Fasterpast 09.07.2008 23:15

Хотелось бы, чтобы трафик считался со всех WAN интерфейсов по-отдельности, а так-же была видна загруженность канала в веб интерфейсе, а то постоянно приходится лазить и в консоль и в веб.

Так же очень хочется разнообразия средств администрирования, какую-нибудь мультиплатформенную командную строку чтоли, чтобы можно было с той же мобилки зайти парочку параметров подкорректировать...

Да, +1 про скорость интерфейса. Однако если квф можно будет ставить на фряшку или другие никсы, то надобность в этом отпадает. Но это мечта, видимо...

Ant 10.07.2008 07:56

Engine
Я верно понял что именно сам винроут под линукс в планах?

А какие-нить подробности есть интересные по теме опять таки:
1. Просто тут какая ситуация, часто вижу как в неочень больших компаниях используются линукс машина и как шлюз в инет и прокси и файловая шара на нём и почта крутится и прочее всё жывенько довольно таки. Я думаю ненадо пояснять что иптаблес по скорости и сквид по своей гибкости опередят винроут имхо. Просто если под линукс он будет таким же по скорости работы с сетью как и в вин, тады ой.

2. Как и в случае кмс функционал его предполагается аналогичным?

Engine 10.07.2008 14:11

Цитата:

Сообщение от Engine (Сообщение 34730)
Вот, это гораздо понятней. Надеюсь, что завтра смогу ответить Вам в этой же ветке.


Вот то, что мне удалось выяснить по поводу вопроса, поднятого Babah`ом и Ant`ом.


Давайте попробуем так: я ретранслирую мою переписку на английском языке с разработчиком по имени Pablo. Если кто чего не понимает, думаю, что коллегиально мы переведем:

Engine: Hello Pablo! Could you please answer me question concerning this article? Do you know when winroute throughput will be increased to 1 Gb? The question is from the forum guys
Engine: [Для просмотра данной ссылки нужно зарегистрироваться]

Pablo: This is really old article and it is not true. We will never reach one 1Gb network speed, but current performance on a good machine is following: with protocol inspection (AV control): about 150 Mbps

Engine: So can I affirm on the forum that this limits don`t exist anymore?

Pablo: I think you can... ;) This improvement was introduced with a new driver in KWF 6.4.x version... It also depends on traffic type...So be carefull when you will be posting real numbers...I use them as orientation numbers. Possibly better is "possible bandwidth in ideal case"

Engine: Thank you, Pablo! There is a guy on the forum saying that he knows a Win API which can help us to dramatically increase the speed. Would you like to take a look at that or to propose it to the devels?

Pablo: This can be interesting, however I think we already know a lot about win API in Windows....Biggest slowness is in Windows packet sheduler which we can not affect anyway.

Вот такой у меня был разговор. Babah, если вы обратили внимание, я упомянул о вашем предложении про Win Api, способное реально поднять скорость передачи данных. Будем сотрудничать на неродном языке?

Добавлено через 10 минут
Цитата:

Сообщение от Ant (Сообщение 34749)
Engine
Я верно понял что именно сам винроут под линукс в планах?

2. Как и в случае кмс функционал его предполагается аналогичным?

По поводу преимуществ squid и ip-tables - разумеется вы правы. Есть только один момент: продукты Kerio позиционируются для smb (small medium business), это сеть от 10 до 500 человек, чаще всего 20-100 человек. В таких сетях дай Бог, чтобы был один админ, у которого кроме как защиты периметра есть еще куча головной боли, включая диких юзверей, согласны с этим?

Поэтому цель Керио сделать максимально удобный и простой продукт, чтобы как у пендосов было во время войны в заливе с самонаводящимися ракетами: запустил и забыл.

Конечно тягаться по функционалу с той же самой ISA никто не будет, да это и не надо. Кстати в КWF, на мой взгляд, есть более удачные решения с точки зрения администратора, чем в ISE. Ну нельзя из KWFов сделать массив, как это делается в ISA. Ну и зачем он вообще в маленькой сети...тут можно долго спорить.

Все подробности, связанные с реализацией KWF и KVPN под линуксом, я надеюсь, вы сможете задать напрямую разрабам.


У сквида есть еще преимущество - он не стоит ничего, но дорого стоит тот админ, который возьмется за его администрирование. Иными словами, так называемый total cost of ownership - общая стоимость владения все равно возрастает. Да, и не забудьте, что админ может уволиться, и чтобы найти человека, способного разобраться в работе сквида, и понять, как он был настроен предыдущим человеком....поверьте, будет сложнее, чем найти среднего виндового админа, способного поставить продукт вроде Керио на шлюз, примапить пользователей их активного каталога, включить ограничение скорости и квотирование ну и собирать статистику.

Сразу хочу заметить - я не считаю, что описанное выше 100 % так и есть. Но безусловно подобная тенденция наблюдается.

Fasterpast 10.07.2008 18:42

еще хотелось бы более гибкой работы пользователей с несколькими каналами. Например, ставим юзеру квоту на основной канал. Когда он её расходует, его перекидывает на второй.
Канеш можно сделать несколько копий пользователей, но это не оч удобно. Еще было бы здорово, если бы пользователь мог выбирать интерфейс из своей странички.

По поводу сквида - согласен, для небольших компаний, где админ как правило один и чинит все в.т.ч. меняет лампочки и вытаскивает застрявшую бумагу из сидирома (мол: "я думала он умеет печатать"), чем проще софтинка, тем лучше )))

Babah22 11.07.2008 08:03

Engine, есть предложение если таки тормозит антивирусный плагин(ы) не проще ли собрать специал эдишн в котором отключить антивирусные плагины, подняв тем самым скорость на интерфейсах до 1 гигабита в сек и убрать конфликт между нодом32 и его Интернет монитором и керио винроут фаерволом. Объясняю - на самом деле фаервол - должен фаерволить, а антивирус - антивирить и не нада совмещать в одном продукте совершенно разные задачи. Проверено на собственных сервисах, если сервис и читает и много и часто пишет в БД например, то скорость чтения почему то падает )))) если же сервисы разнести разными процессами, то падения скорости, характерное для одного сервиса не наблюдается.

Я канечно понимаю, что есть некоторые коммерческие договорённости межу Макафи и Керио, АйБиЭм и Керио и т.д.
Но специал идшн нужен. Таки как?


Текущее время: 05:11. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot