Kerio Winroute Firewall 6 -> CPU Load 100%
2452
4
Вообщем стоит дома комп... Довольно производительный, селерон 2000 mhz.

Сетевая конфиругация следующая: один интерфейс смотрит в локалку, в локалке есть VPN-сервер, через него доступ в инет, еще есть интерфейс для приватной локалки для еще одного домашнего компа, и есть еще виртуалный Bluetooth-интерфейс.

Поставил Керио Winroute Firewall 6, чтобы разрулить доступ к инету (к VPN-соединению) и к локалке с КПК и со второго компа.

Проблема - когда с меня из локалки что-то копируют (по FTP/SMB), CPU Load подскакивает до 100%, причем 80% из них занимает Kerio... Как ни бился с его настройками, хоть убей... Винда 2003 Standard, FTP - ServU 5.2.0.0... Отрубаю сервис керио - все работает на ура, и скорость скачки с меня поднимается (естественно)...

А вопрос - это корявый винроут? Или мои ручки? Если винроут, то посоветуйте какой-нибудь другой firewall для Win32, который поддерживает нормальные filtering-таблицы (подобие ipfw), а не какой-нибудь тупой usergate или ICS...
Barlog
Смеешься?:улыб:Аутпост - это ж чисто персональный firewall, никакого роутинга и ната он не умеет...
netghost
Вообщем более подробно сформулирую, чего хочется.

Есть 3 интерфейса на компе:
(1) 192.168.128.0/24 - для меня он "Внешний"
(2) 10.0.1.0/24 - внутренний
(3) 10.0.2.0/24 - внутренний

Во внешней подсети есть VPN-сервер, через который у меня доступ в инет.

Чего хочется:
(2)->(1) NAT
(3)->(1) NAT
(2)->VPN NAT
(3)->VPN NAT

Станартный виндовый ICS позволяет шарить только какое-то одно подключение (интерфейс либо соединение) и только для одного интерфейса, поэтому сразу отметается... Routing and Remote Access тоже такого не умеет.

Kerio Winroute Firewall все это умеет, но написан криво, из-за чего при копировании с меня в локалке комп тормозит (CPU Load 100%, из них 80% Kerio)... Видио у них криво реализован Kernel-mode драйвер...

Пока решил попробовать настроить ISA 2004, но почему-то не получилось пока... В Networks все подсети прописал, отношения между ними настроил (NAT, Route и т.д.), в Firewall policy все настроил, но NATиться внутрення локалка ни в какую не хочет... Даже в мониторинге не отображается, что пакеты дропнуты, или не дропнуты... В то же время все 3 интерфейса (адреса самого Firewall host) из внутренней подсети пингуются замечательно...

Кто-нибудь может подсказать, что это могут быть за грабли в настройке ИСА?
netghost
Прошу прощения - грабли нашел сам, и грабли оказались маленько в другом:улыб:
ISA я настроил правильно... Оказалось, что в свойствах Bluetooth network интерфейса есть крыжик: Allow only private network with this host / Allow connection sharing... По умолчанию стоял первый, и все попытки куда-нибудь отроутиться прибивались еще на уровне Bluetooth-драйвера, даже не дойдя до уровня интерфейса. Крыжик переставил, и сразу все стало работать, как прописано в правилах ISA.

Кстати, оказалось, что ISA 2004 совсем не мастадонт, каким был ISA 2000, и в настройке совершенно прозрачен! Ребята из Microsoft умеют делать хорошие вещи, когда захотят! ISA можно настроить даже на домашнем компе (как в моем случае) и он совсем не тормозит... Не то, что Керио...:миг:
Кстати... То, что при установке Kerio роутинг все-таки работал даже с тем крыжиком наводит на некоторое соображение, что в керио используется более низкоуровневый драйвер, может быть поэтому он так вешал проц?...

PS: Помоему, это называется Kernel-mode driver...