Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > BETA секция > Kerio Winroute Firewall

Важная информация

Ответ
 
Опции темы
Старый 05.08.2008, 17:27   #81
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Уважаемый Donkey, где вы в моих последних постах обнаружили слово DHCP? Предлагаю Вам для начала ознакомиться с англоязычными ответами. Если что не понятно - говорите, переведем

По поводу ограничения соединений на IP адрес записано.

Про возможность логина одного акаунта один раз записано.

Последний раз редактировалось Engine; 05.08.2008 в 17:37.
Engine вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 17:37   #82
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,121
По умолчанию

Engine
Donkey имел ввиду не НА ОДИН адрес (в настоящий момент этим ип адресом является хост с керио, то есть 600 коннекций на хост с керио с одного локального ипа и всё, котёнок сдох, никто в интернет выйти не может), а С ОДНОГО адреса, то есть что-то вроде реализованного в винде ограничения на количество хальфопен коннекшнов.
Ас эксемпл:
Юзер 192.168.0.1 флудит безбожно, бо поймал бота спамерского, на кире стоит ограничение в 600 коннекций НА ХОСТ С КИРЕЙ - в итоге для всей сети мрёт доступ в интернет.

Что надо:
Юзер 192.168.0.1 флудит безбожно, бо поймал бота спамерского, на кире стоит ограничение в 600 коннекций С ЛЮБОГО ИП АДРЕСА ВНУТРИ СЕТИ ЛОКАЛЬНОЙ, а лучше с любого юзера кири, а ещё лучше для каждого юзера свои настройки, в итоге ежли юзерам "отвесить" по 50 коннекций, то всем хорошо, все довольны.
Leshiy вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 17:44   #83
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,193
По умолчанию

Engine, я вас не имел в виду не придирайтесь к словам, я говорил про DHCP и ответ Leshiy'му от разработчиков. DHCP в вопросе с МАК точно не к селу не к городу, разработчики отписались чтобы отстали даже не вникая в суть вопроса
Donkey вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 17:52   #84
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

а что такое коннекции???? сессии знаю, нитки тоже, а вот коннекции - это что такое? и почему их 600 и что 600 и ппц бобик сдох? ))))) что киря умеет токо 600 макс. коннектов обрабатывать???? а если пользователей 500, у каждого 30 сессий одновременных в каждой из которых по 10-20 ниток тада как? они хором полезли и сервер лёг и лапки подогнул?????
Babah22 вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 17:52   #85
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,821
По умолчанию

Мне ОЧЕНЬ нужен ВПН клиент БЕЗ пользовательского GUI. Объясняю зачем. У меня есть торговая точка, которая подключается к центральному офису, и интернет там есть только для этого. Некие хитрые юзеры отключают ВПН и ходят куда хотят не смотря на то, что я даю им маршрут "нулей" на ВПН сервер. Мне нужно сделать так, чтобы эти хитрые юзеры не могли оборвать соединение с ВПН сервером, если соединение указано как персистент, т.е. machine\users не имеют прав загрузить GUI для управления а machine\admins имеют право. Наглядно объяснил??
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 17:53   #86
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

я бы добавил - оочень интересует возможность запуска впн клиента фоновым сервисом на стадии бута.
Babah22 вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 17:58   #87
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,821
По умолчанию

Babah22, О да. Именно так. Это будет еще лучше.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 18:17   #88
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,121
По умолчанию

Цитата:
Сообщение от Babah22 Посмотреть сообщение
а что такое коннекции???? сессии знаю, нитки тоже, а вот коннекции - это что такое? и почему их 600 и что 600 и ппц бобик сдох? ))))) что киря умеет токо 600 макс. коннектов обрабатывать???? а если пользователей 500, у каждого 30 сессий одновременных в каждой из которых по 10-20 ниток тада как? они хором полезли и сервер лёг и лапки подогнул?????
Не придирайся, в кире на Эдвансед - Секурити Сеттингс написано "Енабле коннекшн лимит". Вот про эти коннекшны писал Donkey, ну и я, сирый. Так шта пааапрашу соответствовать!
Leshiy вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 18:17   #89
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,193
По умолчанию

Babah22, выписка из инструкции:

Счетчик ограничений связи

Эта функция определяет ограничения максимального количества связей на узел. Эту функцию можно включать, выключать и настраивать на вкладке Установки безопасности (Security Settings) в Настройках/Продвинутых опциях (Configuration / Advanced Options).
Эта функция может быть особенно полезной в следующих случаях:
·На локальной сети работает какой-нибудь сервис (например, WWW сервер), доступный из Интернет (разрешенный правилами трафика —см. главу [Для просмотра данной ссылки нужно зарегистрироваться]). Счетчик ограничений связи защищает внутренние серверы от переполнения (атаки типа DoSDenial of Service (отказ сервиса)).
В этом случае ограничения применимы к локальному серверу - сумма соединений всех связанных клиентов не должна превышать установленный лимит.
·Компьютер-клиент (рабочая станция) локальной сети атакуется червем или Троянским конем, который пытается установить связь со множеством серверов. Счетчик ограничения связи защитит узел WinRoute от переполнения и поможет уменьшить нежелательную деятельность червей и троянов.
В этом случае ограничения применимы к узлу (рабочей станции) локальной сети - сумма связей, установленных с этого компьютера с индивидуальными серверами Интернет, не должна превышать установленный лимит.

В Керио это называется:
Connection Limit
Donkey вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 18:19   #90
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

типа хотите сказать сам дурак? ))))))

Добавлено через 1 минуту
да столько много нофых слоффф )))) как в к/ф осенний марафон ))))
что такое ПИ до сих пор никто не знает даже разработчики таки, я токо одно могу сказать это не апельсин и не трамвай ))))

Последний раз редактировалось Babah22; 05.08.2008 в 18:21. Причина: Добавлено сообщение
Babah22 вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 18:25   #91
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,121
По умолчанию

Babah22
Хотим сказать, что пользуемся терминологией разработчиков Кири.

А что такое ПИ я в своё время понял. Ну до определённой степени и логику его работу тоже понял. Вроде. По крайней мере моё представление о том как эта беда работает меня не подводило.
Leshiy вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 18:28   #92
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Leshiy, умоляю поделись а только определением принцип работы хрен с ним, вот что такое ПИ (протокол инспектор)? я щаз напишу что такое определение для например яблака - это шарообразный съедобный фрукт, растущий на яблоне и имеющий специфический вкус. Яблоко бывает маленькое или большое, а также бывает разных цветов и оттенкоф.
Теперь внимательно слушаю.
Babah22 вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 18:56   #93
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,121
По умолчанию

Babah22
Ну это, что такое ПИ - это некий кусок кода, который выполняет проверку входящего\исходящего траффика и в зависимости от того, какие правила созданы в ХТТП и ФТП полиси он его либо режет, либо пропускает. Это вроде как определение ПИ.

А вот как он работает, точнее как он ваще чото проверяет, это гораздо интереснее.
То что проверять он определяет по записям в Services Winroute, то есть вполне возможна ситуация, когда блокирование неких расширений файлов, или по миме-типам работать перестаёт, потому что киря не нашла порт источника/назначения в сервисах, а потому не смогла подобрать инспектора. Ведь чтобы какой-то пакет обработать, нужно чтобы было понятно, каким ПИ его обработать. А выбор обработчика осуществляется в Сервисах кири.
Leshiy вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 18:59   #94
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Leshiy, т.е. это фильтр - да? соотвественно и определение фильтра к нему подходит таки ))))) ну а дальше тада не нада, я просто думал, что я что то упустил ))))) есть такая штука состоящая из 2х джампов и занимающая 16 байт называется bpf от беркли пакет фильтр, вот наверное это она и есть в смысле он (ПИ))))))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 19:08   #95
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,121
По умолчанию

Babah22
Нэд. Пакет филтер ето одно. ПИ ето другое, это "интеллектуальный" фильтр, который зырит унутрь пакета и на основании того, какую информацию этот пакет несёт принимает решение пущать, или нет. То есть не только на основании адреса\порта отправителя, или получателя.
Киря высасывает из его все данные. Но (но) чтобы данные из пакета высосать и проанализировать кире нужно понять, чо за протокол используется, а вот определяет он его именно по _порту_, описание протокола ищет в сервисах своих же (именно поэтому в сервисах указаны ПИ обработчики), ежли не находит то всё, абзац, пакет уезжает, или приезжает.

Короче - если сервер отдаёт мп3шки по 81 порту, а в кире настроено блокирование мп3 по миме-типу "audio" и при этом в сервисах правила, которое юзеров выпускает в тырнет будет прописана Аня, и протокол инспектор будет Дефолт, то мп3 будут качаться на ура. Если же зайти в сервисы и в ХТТП сервис добавить 81 порт, то эти мп3шки "вдруг" качаться перестанут.

Последний раз редактировалось Leshiy; 05.08.2008 в 19:17.
Leshiy вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 19:14   #96
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Leshiy, не всосал тада )))) как это как это пакетный фильтр это некий код, который накладываетца на пакеты идущие от источника к получатели и вырезающий только те пакеты у которых и протокол и порт содержат в себе те же данные, которые зашиты в фильтр )))) беркли пакет фильтр - это активный фильтр )))))
вообщем срочно читать что такое bpf и fbpf )))))

Добавлено через 2 минуты
а да для всех протоколов разные фильтры я могу даже код привести на ассемблере -
#define ETHERTYPE_ARP 0x806 ld P[12:2] // A = WORD offset 12 (protocol in the Ethernet header) jeq ETHERTYPE_ARP, 0, Exit // If A <> 0x806 (ARP), exit ret -1 // It is an ARP packet, exit and return TRUEExit: ret 0 // It is not an ARP packet, exit and return FALSEили для эзернета -#define ETHERTYPE_REVARP 0x8035 ld P[12:2] // A = WORD offset 12 (protocol in the Ethernet header) jeq ETHERTYPE_REVARP, 0, Exit // If A <> 0x8035 (REARP), exit ret -1 // It is an REARP packet, exit and return TRUEExit: ret 0 // It is not an REARP packet, exit and return FALSE

Добавлено через 4 минуты
*** форматирование съехало ((((

Последний раз редактировалось Babah22; 05.08.2008 в 19:18. Причина: Добавлено сообщение
Babah22 вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 19:21   #97
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,121
По умолчанию

Babah22
Выше там я поправил сообщение.
Leshiy вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 19:33   #98
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Leshiy, вообщем я так понял что представления у нас у обоих верные просто мы разными словами пытаемся дать определение ПИ )))) Но всё же почитайте надосуге - [Для просмотра данной ссылки нужно зарегистрироваться]
Babah22 вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 21:25   #99
Ant
Знатный писарь
 
Аватар для Ant
 
Регистрация: 28.04.2006
Адрес: Russia
Сообщений: 323
По умолчанию

Цитата:
Сообщение от Engine Посмотреть сообщение
Еще раз хотел бы попросить всех сторонников аутентификации IP+MAC высказываться по поводу ответа. Как я понимаю ответ идет вразрез с тем, что вы говорили про необходимость подобной аутентификации.

Ant, не сочтите за сложность - напомните еще раз подобное описалово про смтп+протокол испектор

По поводу прописываемых путей для VPN клиентов - расскажите в чем важность решения, пожалуйста.
1. Мда, разработчики както так предполагают что люди все чисто на дхцп сидят видимо, так вот есть и другие люди в этом мире.

2. Напоминаю про протокол инспектор и смтп:
[Для просмотра данной ссылки нужно зарегистрироваться] - моё описание.
[Для просмотра данной ссылки нужно зарегистрироваться] - подтверждение, причём и на других форумах тоже есть такие же упоминания.


3. По поводу впнклиентов:
[Для просмотра данной ссылки нужно зарегистрироваться]
Собственно пункт два пример того зачем в часности может быть нужно:
[Для просмотра данной ссылки нужно зарегистрироваться]

4. Касательно впна вообще. Я просто незнаю чей это косяк и напарываются немногие, но вроде на этом форуме тоже есть ещё один такой с проблемой, есть соединение по пппое с провайдеров и тунель между керио серверами. Так вот бывает такой косяк, что когда пров рвёт кажддые сутки пппое сессию, часть маршрутов застревают мёртвым грузом, и туннель неустанавливается повторно. Все попытки удалить мёртвые маршруты через route delete или попытаться задизаблить интерфейс виртуальный впн сервера керио - безуспешны, спасает ток ребут машины.
Вот кстати:
[Для просмотра данной ссылки нужно зарегистрироваться]

Мож какой вариант дебага есть чтоб это отловить ?

Вот у него такаяже проблема проскакивает. системы поймать немогу, за исключением того что этот косяк иногда случается ровно после разрыва соединения с провайдером, тоесть опускается интерфейс который в инет смотрит и через который этот тоннель подымается получается.
Ant вне форума   Ответить с цитированием Вверх
Старый 06.08.2008, 00:03   #100
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Цитата
Сообщение от Leshiy Посмотреть сообщение

Вот пусть они лучше сделают 1 аккаунт=1 возможность подключиться к кире, а то "добрые" люди акками делятся, а потом под одним акком висит десяток пользователей и кире на это наплевать.

Скажите, аутентификация IP адрес + пользователь, т.е. разрешать юзеру ходить (и пускать его вообще) только с указанного хоста спасет гиганта мысли и отца русской демократии?

Ant, по поводу ПИ+ SMTP понял, проверяю сам перевожу и высылаю разбираться с этим.
Engine вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 12:19. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях