Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > BETA секция > Kerio Winroute Firewall

Важная информация

Ответ
 
Опции темы
Старый 08.07.2008, 22:35   #1
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,587
Лампочка Предложения по расширению функционала

В этой ветке предлагаю коллегиально собирать предложения по расширению функционала Керио Фаервола. Предполагая, что подобных предложений будет немеряно, предлагаю: после обсуждения править первый пост темы, чтобы уважаемые разработчеги не метались по всей ветке в поисках предложений.

Я призываю все авторов, которые будут сюда писать, отнестись к постам здесь со всей ответственностью. Не нужно превращать тему во флудилище. Его и так хватает в разделе по БЕТА, к сожалению.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 08.07.2008, 23:10   #2
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,191
По умолчанию

Сразу на вскидку:

1. Добавить работу с MAC адресами (фильтровать как с IP а также мониторить по возможности)
2. Расширить возможности Bandwidth Limiter, для раздельнгого зарезания

Последний раз редактировалось Donkey; 08.07.2008 в 23:22.
Donkey вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 00:41   #3
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Здорово! От себя могу добавить, что подробное, воспроизводимое описание баги поможет мне оперативно описать ее в bugzilla, и она скорее сможет попасть в ближайший maintenance pack.

К вопросу о неправильном подсчете трафика: можно попробовать с этим, я уже видел несколько обсуждений на форуме.
Engine вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 08:09   #4
coolman
Знатный писарь
 
Аватар для coolman
 
Регистрация: 08.11.2007
Адрес: Екатеринбург
Сообщений: 213
По умолчанию

Резервирование vpn туннелей, группировать так сказать, пока работает один туннель, второй ждет своей очереди, у обоих одинаковые маршруты забиты, но в настройках разные Ip для подключения, и возможность выбрать интерфейс, через который будет подключение. И так, падает первый туннель, через некоторое время (естественно регулируемое) поднимается второй туннель заменяющий первый и соответсвенно, когда первый туннель смог востановиться, второй уходит опять в режим ожидания. И все это не зависимо от 3, 4, 5 тынелей которые работают отдельно или по желанию можно тоже группировать .
__________________
Мудакампроход запрещён
coolman вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 08:25   #5
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,587
По умолчанию

Цитата:
Сообщение от coolman Посмотреть сообщение
Резервирование vpn туннелей, группировать так сказать, пока работает один туннель, второй ждет своей очереди, у обоих одинаковые маршруты забиты, но в настройках разные Ip для подключения, и возможность выбрать интерфейс, через который будет подключение. И так, падает первый туннель, через некоторое время (естественно регулируемое) поднимается второй туннель заменяющий первый и соответсвенно, когда первый туннель смог востановиться, второй уходит опять в режим ожидания. И все это не зависимо от 3, 4, 5 тынелей которые работают отдельно или по желанию можно тоже группировать
ИМХО, бред какой то
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 08:46   #6
Ant
Знатный писарь
 
Аватар для Ant
 
Регистрация: 28.04.2006
Адрес: Russia
Сообщений: 323
По умолчанию

1. Увидеть бы керио впн клиента под линукс, хотябы под известные дистрибутивы (редхаты, центосы, мандривы, суси например), естественно без гуи (гуй имеет смысл при настройке первичной, причём гуй аналогичный тому какой имеет кмс при первоначальной конфигурации, всё в консоли оный делает), аналогично опенвпну чтобы как сервис подымался без проблем.

2. Ну тут авторство того товарища: [Для просмотра данной ссылки нужно зарегистрироваться]
В кратце: наследие маршрутов для клиента впн чтобы было настраиваемо как и в случае керио впн туннеля, это имеет действительно значение когда люди с клиентами сидят на других провайдерах и прочее в отличии от сервера с керио впном.

3. Не очень важное, но тем неменее, также как и в случае с кмс, иметь консоль под линукс было бы не плохо, но если это сопрягается с большими затратами сил то ну его, попробуем раскурить тему с вайном
Ant вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 08:55   #7
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

От себя добавлю - неплохо бы было повысить скорость на интерфейсах до 1 Гигабита для начала на каждом. Если не знаете как это сделать, я Вам дам ресурс, на котором есть библиотеки в которых это реализовано, всё написано на WinApi ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 11:36   #8
coolman
Знатный писарь
 
Аватар для coolman
 
Регистрация: 08.11.2007
Адрес: Екатеринбург
Сообщений: 213
По умолчанию

Цитата:
Сообщение от EnMan Посмотреть сообщение
ИМХО, бред какой то
2 офиса, в каждом офисе по 2 провайдера, то резервирование туннелей вовсе не бред.
__________________
Мудакампроход запрещён
coolman вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 12:01   #9
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Бред, что вам стоит понять оба туннеля, тем более сейчас появилась балансировка, другое дело это как изменять динамически нагрузку на существующие туннели, это интересный вопрос.
Babah22 вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 12:17   #10
Denis_Perm
Пейсатель професеонал
 
Аватар для Denis_Perm
 
Регистрация: 23.03.2006
Адрес: Россия, г. Пермь
Сообщений: 705
По умолчанию

Хоть какую нибудь поддержку командной строки.
Т. е. что бы изменения в конфигурацию
можно было вносить не только через консоль.

Как вариант - перепрочтение cfg файлов и принятие
изменений без перезагрузки сервиса KWF.
Denis_Perm вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 12:53   #11
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

На самом деле, консоль в том виде,в котором существует абсолютно не нужна. Ибо сначала вызывается какое то приложение - хз какое, а уж потом оно вытягивает за собой непосредственно консоль. Метод, который ничего кроме тормоза не приносит, особенно если удалённо.
Есть фаербёд, есть длл управляющая этой БД, почему не сделать управление через БД, заменив управляющую длл на соотвествующий сервис, кстати тормоза бы уменьшились. Т.е. Вы используя новую консоль, все изменения и дополнения складываете в БД, откуда сервис эти изменения подхватывает - это элементарно делается. Далее почему бы не использовать вместо фаербёда, оракл персонал, который бесплатный.
И в оракле сделать нормальную тарификацию и биллинг и возможность хранить логи в БД до года.
И кстати файлы конфигурации хранить в БД (к фаербёрду это не относитца).
Вот к примеру хмл файл с миллионом строк обрабатываетца за 20 и более минут, а БД с таким же кол-вом строк обрабатываетца за считанные секунды. Хотя и БД можно "убить", если правильно составить логику работы сервера БД, например, как в 1С.
Babah22 вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 13:05   #12
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Цитата
Сообщение от Ant Посмотреть сообщение
1. Увидеть бы керио впн клиента под линукс, хотябы под известные дистрибутивы (редхаты, центосы, мандривы, суси например), естественно без гуи (гуй имеет смысл при настройке первичной, причём гуй аналогичный тому какой имеет кмс при первоначальной конфигурации, всё в консоли оный делает), аналогично опенвпну чтобы как сервис подымался без проблем.
Насколько известно мне, проект разработки KWF под линукс уже давно идет. Для начала планируется выпустить Kerio VPN client с поддержкой CentOS, Red Hat и SUSE. Конкретные сроки можно будет спросить у разработчиков.

Цитата:
Сообщение от Babah22
От себя добавлю - неплохо бы было повысить скорость на интерфейсах до 1 Гигабита для начала на каждом. Если не знаете как это сделать, я Вам дам ресурс, на котором есть библиотеки в которых это реализовано, всё написано на WinApi
Уверен, что вам будет особенно интересно поговорить с ними на одном языке.
Engine вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 14:46   #13
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Engine, хорошо тада оттранслируйте разработчикам вопрос, почему имея в локальной сети интерфейсы, работающие со скоростью гигабит в секунду и копируя длинный файл на хост с керио, скорость копировки достигает - 16 000 киллобайт в сек, а при отключённом керио по меньшей мере в два раза больше и это при отключённом ПИ в правиле Локал трафик.
Babah22 вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 19:43   #14
Ant
Знатный писарь
 
Аватар для Ant
 
Регистрация: 28.04.2006
Адрес: Russia
Сообщений: 323
По умолчанию

Engine,
Ну по форуму если глянуть, это частая тема, собственно описание то вот со стороны керио это поясняющее типа:
хттп://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=395

Это раз, и второе, яркий пример, на компе с керио открываем шару, или фтп сервер подымаем и льём с неё или на неё файл по сети - очень низкая скорость.

Собственно и вопрос бабаха, есть ли нам шанс увидеть повышение скорости работы по сети с компом на котором сидит керио. Вопрос про гигабит тут неспроста .)
Ant вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 20:38   #15
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Цитата
Сообщение от Ant Посмотреть сообщение
Engine,
Ну по форуму если глянуть, это частая тема, собственно описание то вот со стороны керио это поясняющее типа:
хттп://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=395

Это раз, и второе, яркий пример, на компе с керио открываем шару, или фтп сервер подымаем и льём с неё или на неё файл по сети - очень низкая скорость.

Собственно и вопрос бабаха, есть ли нам шанс увидеть повышение скорости работы по сети с компом на котором сидит керио. Вопрос про гигабит тут неспроста .)
Вот, это гораздо понятней. Надеюсь, что завтра смогу ответить Вам в этой же ветке.
Engine вне форума   Ответить с цитированием Вверх
Старый 09.07.2008, 23:15   #16
Fasterpast
Песака
 
Аватар для Fasterpast
 
Регистрация: 24.06.2008
Адрес: Москва
Сообщений: 130
По умолчанию

Хотелось бы, чтобы трафик считался со всех WAN интерфейсов по-отдельности, а так-же была видна загруженность канала в веб интерфейсе, а то постоянно приходится лазить и в консоль и в веб.

Так же очень хочется разнообразия средств администрирования, какую-нибудь мультиплатформенную командную строку чтоли, чтобы можно было с той же мобилки зайти парочку параметров подкорректировать...

Да, +1 про скорость интерфейса. Однако если квф можно будет ставить на фряшку или другие никсы, то надобность в этом отпадает. Но это мечта, видимо...
Fasterpast вне форума   Ответить с цитированием Вверх
Старый 10.07.2008, 07:56   #17
Ant
Знатный писарь
 
Аватар для Ant
 
Регистрация: 28.04.2006
Адрес: Russia
Сообщений: 323
По умолчанию

Engine
Я верно понял что именно сам винроут под линукс в планах?

А какие-нить подробности есть интересные по теме опять таки:
1. Просто тут какая ситуация, часто вижу как в неочень больших компаниях используются линукс машина и как шлюз в инет и прокси и файловая шара на нём и почта крутится и прочее всё жывенько довольно таки. Я думаю ненадо пояснять что иптаблес по скорости и сквид по своей гибкости опередят винроут имхо. Просто если под линукс он будет таким же по скорости работы с сетью как и в вин, тады ой.

2. Как и в случае кмс функционал его предполагается аналогичным?

Последний раз редактировалось Ant; 10.07.2008 в 09:52.
Ant вне форума   Ответить с цитированием Вверх
Старый 10.07.2008, 14:11   #18
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Цитата:
Сообщение от Engine Посмотреть сообщение
Вот, это гораздо понятней. Надеюсь, что завтра смогу ответить Вам в этой же ветке.

Вот то, что мне удалось выяснить по поводу вопроса, поднятого Babah`ом и Ant`ом.


Давайте попробуем так: я ретранслирую мою переписку на английском языке с разработчиком по имени Pablo. Если кто чего не понимает, думаю, что коллегиально мы переведем:

Engine: Hello Pablo! Could you please answer me question concerning this article? Do you know when winroute throughput will be increased to 1 Gb? The question is from the forum guys
Engine: [Для просмотра данной ссылки нужно зарегистрироваться]

Pablo: This is really old article and it is not true. We will never reach one 1Gb network speed, but current performance on a good machine is following: with protocol inspection (AV control): about 150 Mbps

Engine: So can I affirm on the forum that this limits don`t exist anymore?

Pablo: I think you can... This improvement was introduced with a new driver in KWF 6.4.x version... It also depends on traffic type...So be carefull when you will be posting real numbers...I use them as orientation numbers. Possibly better is "possible bandwidth in ideal case"

Engine: Thank you, Pablo! There is a guy on the forum saying that he knows a Win API which can help us to dramatically increase the speed. Would you like to take a look at that or to propose it to the devels?

Pablo: This can be interesting, however I think we already know a lot about win API in Windows....Biggest slowness is in Windows packet sheduler which we can not affect anyway.

Вот такой у меня был разговор. Babah, если вы обратили внимание, я упомянул о вашем предложении про Win Api, способное реально поднять скорость передачи данных. Будем сотрудничать на неродном языке?

Добавлено через 10 минут
Цитата
Сообщение от Ant Посмотреть сообщение
Engine
Я верно понял что именно сам винроут под линукс в планах?

2. Как и в случае кмс функционал его предполагается аналогичным?
По поводу преимуществ squid и ip-tables - разумеется вы правы. Есть только один момент: продукты Kerio позиционируются для smb (small medium business), это сеть от 10 до 500 человек, чаще всего 20-100 человек. В таких сетях дай Бог, чтобы был один админ, у которого кроме как защиты периметра есть еще куча головной боли, включая диких юзверей, согласны с этим?

Поэтому цель Керио сделать максимально удобный и простой продукт, чтобы как у пендосов было во время войны в заливе с самонаводящимися ракетами: запустил и забыл.

Конечно тягаться по функционалу с той же самой ISA никто не будет, да это и не надо. Кстати в КWF, на мой взгляд, есть более удачные решения с точки зрения администратора, чем в ISE. Ну нельзя из KWFов сделать массив, как это делается в ISA. Ну и зачем он вообще в маленькой сети...тут можно долго спорить.

Все подробности, связанные с реализацией KWF и KVPN под линуксом, я надеюсь, вы сможете задать напрямую разрабам.


У сквида есть еще преимущество - он не стоит ничего, но дорого стоит тот админ, который возьмется за его администрирование. Иными словами, так называемый total cost of ownership - общая стоимость владения все равно возрастает. Да, и не забудьте, что админ может уволиться, и чтобы найти человека, способного разобраться в работе сквида, и понять, как он был настроен предыдущим человеком....поверьте, будет сложнее, чем найти среднего виндового админа, способного поставить продукт вроде Керио на шлюз, примапить пользователей их активного каталога, включить ограничение скорости и квотирование ну и собирать статистику.

Сразу хочу заметить - я не считаю, что описанное выше 100 % так и есть. Но безусловно подобная тенденция наблюдается.

Последний раз редактировалось Engine; 10.07.2008 в 14:22. Причина: Добавлено сообщение
Engine вне форума   Ответить с цитированием Вверх
Старый 10.07.2008, 18:42   #19
Fasterpast
Песака
 
Аватар для Fasterpast
 
Регистрация: 24.06.2008
Адрес: Москва
Сообщений: 130
По умолчанию

еще хотелось бы более гибкой работы пользователей с несколькими каналами. Например, ставим юзеру квоту на основной канал. Когда он её расходует, его перекидывает на второй.
Канеш можно сделать несколько копий пользователей, но это не оч удобно. Еще было бы здорово, если бы пользователь мог выбирать интерфейс из своей странички.

По поводу сквида - согласен, для небольших компаний, где админ как правило один и чинит все в.т.ч. меняет лампочки и вытаскивает застрявшую бумагу из сидирома (мол: "я думала он умеет печатать"), чем проще софтинка, тем лучше )))

Последний раз редактировалось Fasterpast; 10.07.2008 в 20:22.
Fasterpast вне форума   Ответить с цитированием Вверх
Старый 11.07.2008, 08:03   #20
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Engine, есть предложение если таки тормозит антивирусный плагин(ы) не проще ли собрать специал эдишн в котором отключить антивирусные плагины, подняв тем самым скорость на интерфейсах до 1 гигабита в сек и убрать конфликт между нодом32 и его Интернет монитором и керио винроут фаерволом. Объясняю - на самом деле фаервол - должен фаерволить, а антивирус - антивирить и не нада совмещать в одном продукте совершенно разные задачи. Проверено на собственных сервисах, если сервис и читает и много и часто пишет в БД например, то скорость чтения почему то падает )))) если же сервисы разнести разными процессами, то падения скорости, характерное для одного сервиса не наблюдается.

Я канечно понимаю, что есть некоторые коммерческие договорённости межу Макафи и Керио, АйБиЭм и Керио и т.д.
Но специал идшн нужен. Таки как?
Babah22 вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 08:35. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях