Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > BETA секция > Kerio Winroute Firewall

Важная информация

Ответ
 
Опции темы
Старый 30.07.2008, 13:16   #61
magg
Песака
 
Аватар для magg
 
Регистрация: 12.10.2007
Сообщений: 95
По умолчанию

Сеть из 150 компов - компьютерный клуб..или просто большая организация. сегодня за компом сидит 1 сотрудник, завтра другой...первому нужна только аська и отправлять почту, тоесть скорость можно порезать до 5 кб сек..завтра второму нужен полный доступ по впн со всей скоростью...или в комп клубе - пришел чел сел с инетом или без инета...или на фирме например..пришел 1 сотрудник - злосный порнушник, авторизовался лог пасс ввел..керио ему бы чик и инет прикрыло....а через час другой сел авторизовался - керио бы ему инет открыло. Примеров можно приводить много.
magg вне форума   Ответить с цитированием Вверх
Старый 02.08.2008, 16:01   #62
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

ну всё как обычно, группа поддержки потерялась, новая бета так и не вышла, потому как разработчеги не осилили всех поступивших предложений и находютца в состоянии осиливания таки )))))) бум смотреть в сторону исы ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 02.08.2008, 21:03   #63
coolman
Знатный писарь
 
Аватар для coolman
 
Регистрация: 08.11.2007
Адрес: Екатеринбург
Сообщений: 213
По умолчанию

Цитата:
Сообщение от Babah22 Посмотреть сообщение
группа поддержки потерялась, новая бета так и не вышла, потому как разработчеги не осилили всех поступивших предложений и находютца в состоянии осиливания таки )))))) бум смотреть в сторону исы ))))

правильно знай наших, гениальных идей у нас дофига, осилить очень сложно :pank:
__________________
Мудакампроход запрещён
coolman вне форума   Ответить с цитированием Вверх
Старый 02.08.2008, 22:53   #64
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

вообщем смотрю в сторону нетшиелда, керио заглушил, ибо скорость работы меня просто достала окончательно, особенно когда нужная бд на шлюзе, сетевая в гигабит, а результатов - хер - ровно на 100 мегабит ))))) да и нетшиелд с нодом дружит таки ))))

Добавлено через 1 час 56 минут
ну что сказать про сахалин.... на острове не лётная погода, рекомендую нетшиелд хотя бы попробовать, ставитца и настраиваетца в течении 5-7 минут, скорость работы - ровно гигабит на гигабитной карте. И самое смешное, что почему то возросла скорость юзанья инета.

Последний раз редактировалось Babah22; 03.08.2008 в 00:49. Причина: Добавлено сообщение
Babah22 вне форума   Ответить с цитированием Вверх
Старый 04.08.2008, 18:13   #65
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Цитата:
Сообщение от Babah22 Посмотреть сообщение
ну всё как обычно, группа поддержки потерялась, новая бета так и не вышла, потому как разработчеги не осилили всех поступивших предложений и находютца в состоянии осиливания таки )))))) бум смотреть в сторону исы ))))

Это зря, я записываю все пожелания в этой ветке. И они будут донесены до разработчиков. Сегодня вышлю список. Более того, эти пожелания лягут в основу предварительного списка вопросов, которые будут озвучены во время общения пользователей с разработчиками. Продолжайте в том же духе.

Давайте напомню, что у меня в списке:

1. Аутентификация IP + MAC
2. Ограничение конкретного трафика (например 10 Мб HTTP и 5 Мб POP3 в день). Возможность ввести шейпер, при выборе свойств пользователя, задавать через него квоты на разный траф.
3. Аутентификация терминальных пользователей. Когда и как эта проблема будет решаться.
4.

Напомните еще, пожалуйста, что-то наболевшее и актуальное.
Engine вне форума   Ответить с цитированием Вверх
Старый 04.08.2008, 18:21   #66
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Engine, да бог с ним таки, как показала практика написания хуков к ндису хоть к пятому хоть к шестому проблем то особых нет )))) вот токо не понятно почему в керио тормозят дрова.
Babah22 вне форума   Ответить с цитированием Вверх
Старый 04.08.2008, 19:49   #67
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Мне постарались популярно ответить на указанные выше вопросы. Пока есть текст на английском. Если готовы, могу процитировать ответы дословно. Если неуверены в понимании - придется подождать с переводом.
Engine вне форума   Ответить с цитированием Вверх
Старый 04.08.2008, 19:51   #68
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

Engine,
конечно, лучше получить ответы из первоисточника.
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 04.08.2008, 20:17   #69
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Семён Семёныч, нивапрос! Выкладываю. Только просьба ко всем не выкладывать сюда ваши переводы промтом, а то опять обзовете меня "аппаратом" или "двиглом". Да и вообще искажения эти лично мне неприятны. Есть вопросы по тексту - задавайте - будем транслировать.
Ну и разумеется читайте мои вопросы, может я чего не так задал - высказывайтесь плз.
Итак:

Question 1: IP+MAC address users authentication. The feature highly requested on English forum and russian forum. I couldn’t find any information about why this feature can’t be implemented. Do you have any update?

Answer 1: Why this is requested? We have IP based authentication. If you will use DHCP reservations and if you will assign IP address according to MAC address you can authenticate users according to their MAC address. It is easy to spoof both IP address as well as the MAC address.


Question 2:
Terminal users authentication, problem with statistics etc. The users claim that the authentication of terminal users poses some problems. Especially it concerns gathering statistics of their activities. BTW you have probably heard about this workaround whenever the user statistics are incorrectly gathered in KWF?([Для просмотра данной ссылки нужно зарегистрироваться]). This script helps us a lot b`cause the customers usually encounter this problem. Do you know when it will be solved?


Answer 2: You need to enable non-transparent proxy and force terminal users to use non-transparent proxy where you can authenticate each session instead of IP address. So this is usually configuration problem.


Question 3:Will it be possible to set daily (weekly, monthly) limit the selected traffic, let`s say I want to allow each user only 5 Mb of HTTP and 3 Mb of POP3?


Answer 3: Suggestions: 1703, 4865, 21389 (предлагает повысить количество запросов на разработку этой фичи)



Question 4 (от Уважаемого Babah`a): they want a special version of KWF without antivirus plug-ins. The users pretend that the plug-ins (even disabled and not used) slow the KWF routing and want to get the version without antivirus. I told them that this is hardly probable.


Answer 4:This is not possible and if he will have disabled AV check this will not slow down KWF at all. He has some problem with performance?


Ваши камменты, товарищи!

Семен Семеныч, очень жду каментов.
Babah - обратите внимание, есть ответ на ваш вопрос.

Последний раз редактировалось Engine; 04.08.2008 в 22:58.
Engine вне форума   Ответить с цитированием Вверх
Старый 04.08.2008, 20:35   #70
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

ну да с производительностью тяжко что уж говорить то ))))) кстати вот хохма, поставил я вместо керио нетшиелд, у него канечна недоработок вагон и маленькая тележка, но смешное в другом мой шлюз вздохнул с облегчением все тормоза пропали, производительность осталась на высоте, копировки тоже прямо скажем на высоте, может стоит разработчикам глянуть на дрова от этого фаера, как никак конкурент таки ))))
там тот же вдм хук к эндису, просто как я понял разработчики совсем недавно осилили пакет wdk, а разработчики нетшиелда осили его 3 года назад ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 04.08.2008, 21:35   #71
mukas
Заблокирован
 
Аватар для mukas
 
Регистрация: 16.06.2008
Сообщений: 17
По умолчанию

Цитата:
Сообщение от Engine Посмотреть сообщение
Напомните еще, пожалуйста, что-то наболевшее и актуальное.
Добавить фишку чтоб нельзя было залогиниться одновременно двум пользователям - так называем дыбл логин
т.е. к примеру если один открыл веб морду керио - ввели имя им пароль - и сидит работает
а 2 юзер с другого компа вводя имя и пароль уже работающего под этим логином-паролем юзера(см выше) не давал работать второму юзеру - написав что то типа - ваше Имя Пользователя уже использется на другом компьютере
mukas вне форума   Ответить с цитированием Вверх
Старый 04.08.2008, 23:00   #72
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

Цитата:
Сообщение от Engine Посмотреть сообщение
Answer 2: You need to enable non-transparent proxy and force terminal users to use non-transparent proxy where you can authenticate each session instead of IP address. So this is usually configuration problem.
Отмазываются, блин. Авторизация-то идет, а вот трафик не считается по пользователям.
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 04.08.2008, 23:10   #73
Ant
Знатный писарь
 
Аватар для Ant
 
Регистрация: 28.04.2006
Адрес: Russia
Сообщений: 323
По умолчанию

Engine, там ещё были предложения о добавлении возможности скармливания впн клиентам кастом роутов, если конкретно, то аналогичная той что имеется у впн тоннелей.

П.С. а в соседнем топиге было чевонить по багам то известно (я про смтп+протокол испектор) ?
Ant вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 15:55   #74
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Еще раз хотел бы попросить всех сторонников аутентификации IP+MAC высказываться по поводу ответа. Как я понимаю ответ идет вразрез с тем, что вы говорили про необходимость подобной аутентификации.

Babah, обратите внимание на ответ по поводу отдельной сборки без АВ плагинов.

Ant, не сочтите за сложность - напомните еще раз подобное описалово про смтп+протокол испектор

По поводу прописываемых путей для VPN клиентов - расскажите в чем важность решения, пожалуйста.
Engine вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 16:03   #75
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,121
По умолчанию

Engine
Про ип+мак - ответ от разработчиков таков "Есть DHCP встроенный в винроут, там есть возможность связать ИП и МАК, вот им и пользуйтесь."
Пожалуй им невдомёк что:
А) Некоторым нафиг не нужен их ДХЦП, потому что у них свой есть.
Б) Некоторым нафиг не нужен их ДХЦП, потому что он ваще не нужен, сетка 10 компов, ипы статические.
Как в этом случае связать ип+мак? Только через arp -s.

По ВПН-клиентам:
Когда ВПН-клиент подключается к КВПН-серверу, то на клиента скидываются ВСЕ маршруты, заданные в роутинг тэйбл винроута, что может привести к ситуации, при которой доступ к некоторым ВНЕШНИМ (интернет ресурсам) будет идти через КВПН-сервер, что неприемлемо.
При этом ВПН соединение между двумя Керио хостами можно настроить, типа этот маршрут передавать, этот не передавать, а вот этот добавить спецом.
Leshiy вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 16:10   #76
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Engine, мы где то там друг друга не поняли поэтому вот такой ответ от разработчикоф и приехал - бог с ним забыто ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 16:29   #77
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Leshiy, понял вас. А что насчет спуфа мак адреса, о чем тоже было упомянуто в ответе?
Engine вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 16:48   #78
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,193
По умолчанию

Engine, и причем тут вообще DHCP когда речь идет о внешних клиентах. Я что должен стать глобальным DHCP для всего интернета чтобы МАК адреса вылавливать?? ))
Просто когда адрес динамический, единственное что не меняется это MAC и по нему хоть както можно отфильтровать. Подменить могут но лучше чем нечего... У меня например проблемма с клиентами форума которых в случае нарушений я не смогу ограничить в доступе из-за динамических адресов
Donkey вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 16:49   #79
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,121
По умолчанию

Engine
Вполне понятно, что и ип и мак можно с лёгкостью сменить, но ИП сменить ещё проще.
Хотя всё это, на мой взгляд, достаточно глупо.

Вот пусть они лучше сделают 1 аккаунт=1 возможность подключиться к кире, а то "добрые" люди акками делятся, а потом под одним акком висит десяток пользователей и кире на это наплевать.

И да, полностью согласен с Donkey, клиенты могут сидеть за тридевять земель.
И очень хочется иметь возможность управлять отправкой маршрутов с КВПН на ВПН-клиента. А то давеча сам обжёгся на этом. Исправлял командным файлом, который запускался после поднятия ВПН и срезал левые маршруты на клиенте.

Последний раз редактировалось Leshiy; 05.08.2008 в 16:54.
Leshiy вне форума   Ответить с цитированием Вверх
Старый 05.08.2008, 16:58   #80
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,193
По умолчанию

Да кстати... ктобы сделал ограничение конекций с 1 ИП адреса. А то сделали какуюто херню "количество коннекций НА 1 адрес" т.е. если я поставлю 10 конекций у меня на сервер залезет либо 10 человек либо 2 но по 5 конекций....
У меня стоит 600 по умолчанию, клиент на компутере зажимает кнопку "обновить" на клавиатуре ОТВЕРТКОЙ и идет чай пить, а у меня начинает отваливаться сервер потому что порог коннекций на 1 ИП начинает заваливать за 600... но ограничеть при этом я не могу, потому что тогда не залезут другие... маразм
Donkey вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 00:52. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях