Форум Kerio-rus

Форум Kerio-rus (http://kerio-rus.ru/forum/index.php)
-   Рабочие конфигурации (http://kerio-rus.ru/forum/forumdisplay.php?f=315)
-   -   Как с умом настроить KerioControl For new system administrators (http://kerio-rus.ru/forum/showthread.php?t=5967)

kuvl-vrn 20.10.2010 03:06

Как с умом настроить KerioControl For new system administrators
 
Вложений: 1
Уважаемые коллеги, вот и пришел новый этап в познаниях передового программного продукта KerioControl., Я в деталях постараюсь разобрать, как правильно создавать правила для чего они нужны и как их правильно применить и что не мало важно научу их понимать.
В первую очередь напомню тем кто забыл, а так же тем кто не знал, что правила в KerioControl обрабатываются сверху в низ это не мало важно в планировании и создании правил.
Итак приступим в начале я хочу вас научить читать правила и понимать, все правила создаются по "Типовому образцу" запомнив который вы сможете далее самостоятельна создавать рабочии конфигурации. В начале идет Имя правила сюда вы вводите для себя название правила,следующий пункт "Источник" здесь нужно задуматься и понять откуда поток данных пойдет это может быть из локальной сети, из интернета, из VPN туннеля или от VPN пользователя,а так же не забываем сам Firewall, следующий пункт "Назначение" по аналогии с источником данные могут направляться в следующих направлениях в локальную сеть, в интернет, в VPN туннель, VPN пользователю или на сам Firewall. Следующий пункт "Служба" Здесь советую указывать не посредственно службу или порт который должен использоваться для конкретного правила "Любой" Можно указать только для Локального трафика! в остальных случаях это делать не нужно в целях безопасности. Следующий пункт "Действие" тут можно выбрать один из 3х параметров разрешить, отказать или удалить выбираете соответственно то что вам требуется.Следующий пункт "Журнал" Тут ОБЯЗАТЕЛЬНО во всех правилах ставим галочку где регистрация соединений это Важно!.Следующий пункт "Трансляция" здесь вы должны понимать, что если пакеты идут из локальной сети в интернет то используется NAT, еже ли пакеты идут из интернета в локальную сеть применяется MAP в в других ситуациях в большинстве не ставиться не NAT не MAP например если пакеты идут от фаервола в интернет или в локальную сеть.Следующий пункт "Верно для" здесь можно задать временной интервал в который определенное правило будет работать.Заключительным пунктом является "Протокол инспектор" по умолчанию вкладка скрыта ее можно легко отобразить выбрав изменить колонки. Протокол инспектор в большинстве случаев включен по умолчанию, но существует множество ситуаций когда его нужно выключать например при работе правила которое предоставляет доступ Банк Клиенту. Также протокол инспектор отключается для Локального трафика(Local Traffic)!
Теперь Запомните следующее:
Название--Откуда---Куда--что---действие--логирование----каким методом---в какое время.
Это я написал для того что легче воспринимать правила и также помогает при их создании.
Ниже я Приведу "15 Золотых правил достижения успеха" и конечно же поясню для чего каждое правило создавалось.
Итак.
1. Local Traffic- стандартное правило для локального трафика создаеться мастером позволяет потоку информации двигаться в "локальном периметре" без преград и ограничений.
2. Service Kerio VPN in-Служит для входящих VPN подключений.
3. Service Kerio VPN out-Служит для исходящих VPN подключений.
4. KerioControl WebAdmin-служит для подключения из глобальной сети через любой web браузер к Web администрированию KerioControl например имеем домен [Для просмотра данной ссылки нужно зарегистрироваться] так вот введя в строке браузера: [Для просмотра данной ссылки нужно зарегистрироваться] вы попадете в Web интерфейс KerioControl, а если добавите еще
https://Test.ru:4081/admin то попадете непосредственно в Web интерфейс администрирования KerioControl.(Это правило для того чтобы управлять KerioControl из любой точки мира где есть интернет не забываем при этом ставить стойкие пароли!На учетки администраторов KerioControl).
5. MAP Kerio_Connect _WebAdmin- это то же самое только для Почтового сервера для управления им из любой точки мира нужно в строке браузера ввести:
[Для просмотра данной ссылки нужно зарегистрироваться] (Так как в последних версиях KerioConnect полностью все управление перенесено в Web интерфейс то данное правило очень пригодиться).
6. MAP Kerio_Connect_WebMail -это правило служит для того чтобы любой пользователь компании мог получить доступ к своей почте через Web интерфейс из любого браузера в любой точки земли где есть интернет для этого всего лишь нужно ввести в браузере [Для просмотра данной ссылки нужно зарегистрироваться] и пользователь автоматически пере направиться на Web интерфейс KerioConnect где введя свой логин и пароль сможет пользоваться почтой.
7.MAP Http- служит для доступа на Web сервер который находиться внутри сети.
8. MAP SMTP-Служит для того чтобы SMTP пакеты шли на почтовый сервер который находиться в локальной сети.
9. NAT SMTP-Служит чтобы определенная группа IP адресов в которой должен быть и адрес Почтового сервера отправляла пакеты SMTP из локальной сети в глобальную.
10. NAT FTP -Служит
чтобы определенная группа IP адресов из локальной сети могла работать с FTP протоколом.
11.NAT ICQ -Служит чтобы определенная группа IP адресов имела возможность подключаться из локальной сети к серверам ICQ.
12. NAT Ping-Служит чтобы с любого компьютера в локальной сети можно было пропинговать не только внутренние ресурсы, но так же и внешний то есть ресурсы в сети интернет.
13. NAT Telnet-
Служит чтобы с любого компьютера в локальной сети можно было подключиться по Telnet к ресурсам в глобальной сети.
14. NAT- Служит чтобы пользователи могли работать с интернетом по протоколам http, https ,а также что бы была возможность DNS
запроса ко внешним DNS серверам глобальной сети.
15.Firewall Traffic-правило Фаервола то есть используя какие службы или порты сам фаервол подключается во внешний мир (В глобальную сеть).
Итак подведем итог, для начальной стадии данной информации предостаточно я буду добавлять полезную информацию по мере возможности.
192.168.0.99 - Почтовый Сервер.
192.168.0.100 -Web сервер.
[Для просмотра данной ссылки нужно зарегистрироваться] -это ваш домен! В моем случае это пример.
Соответственно меняем на свои конкретные адреса своих серверов.
Успехов в построении своих конфигураций.!:)

slalom 28.12.2010 16:01

ИМХО:
правило 15 перенести на 2 позицию (в целях оптимизации и ускорения работы именно шлюза)

объединить (в целях ускорения обработки правил):
5 и 8
12, 13, 14

имеет смысл, чтобы правил было меньше. а уж озаглавить их правильно и разобраться что-куда-откуда особого труда не составит.

kuvl-vrn 29.12.2010 09:46

Цитата:

Сообщение от slalom (Сообщение 92643)
ИМХО:
правило 15 перенести на 2 позицию (в целях оптимизации и ускорения работы именно шлюза)

объединить (в целях ускорения обработки правил):
5 и 8
12, 13, 14

имеет смысл, чтобы правил было меньше. а уж озаглавить их правильно и разобраться что-куда-откуда особого труда не составит.

Не нужно думать что ты умнее других,15 Значит 15, а каждый делает под себя 15т.к описывается каждое правило.)

Skyner 19.01.2011 12:23

Цитата:

Сообщение от kuvl-vrn (Сообщение 92650)
Не нужно думать что ты умнее других,15 Значит 15, а каждый делает под себя 15т.к описывается каждое правило.)

Согласен. Каждый делает как кому удобно.

bit007 10.02.2011 18:12

Вложений: 1
1. ВПН соединений у меня нет
2 и 3 ненужны
4. управлять из иента Керио не требуется
5 и 6. так же
7 и 8 следоват тоже не нужны
9. почтовиками не пользуемся
10-14 объеденены во 2е правило
15. если Брандмавуэру назначение ставлю интернет, то вся сеть теряет выход в инет. Стоит любое назначение.

локальный трафик не считается.
Что не так в моих правилах?:bu:
правила:[Для просмотра данной ссылки нужно зарегистрироваться]

kuvl-vrn 11.02.2011 12:45

ДЛЯ ДОЛБАЕБОВ!
 
БЛЯДЬ! Этот топик не для постинга всякой чуши Если Настроить как представлены правила все работает! И Какого ХУЯ везде стоит "ЛЮБОЙ!????" не надо спрашивать почему не работает статистика если не понимаем как работают правила.Даже специально написал расписал и на принскрине все видно, нет похуй делают по своему и задумавыються а почему не чего не работает.
ЕЩЕ ОДИН ПОСТ в эту ТЕМУ с дебильным вопросом БУДЕТ БАН:bu:

Morphey 31.03.2011 22:31

kuvl-vrn,в Воронеже все такие или Вы уникум? Раз позиционируете себя хорошо знающим продукт, объясните, почему Керио 7.1.0 patch 2 build 1694 на WinServ2008R2Ent на правиле "из локальной/довереной сети в инет любой службе" с распределением нагрузки по каналам, пропадает доступ в инет у локальных пользователей если включить "инспектор протокола"? На 2003-ем эти правила (перенес сохраненный конфиг средствами Керио) отлично работали с инспектором и без. Вынос отдельно правила НТТР, с включением НТТР инспектора так - же приводит к блокировке доступа. Включённый же на правиле, аналогичном Вашему 15-му, инспектор "по умолчанию" никаких проблем не вызывает. Переустановка/перенастройка Керио проблемы не решает, установка последней на текущей момент версии так - же проблему не решила, была заменена предидущей из-за недружелюбности к МакАфее.
И попрошу без высказываний на тему "долбоёбов", "пиздеть не мешки ворочать"!

kuvl-vrn 01.04.2011 09:14

Цитата:

Сообщение от Morphey (Сообщение 96182)
kuvl-vrn,в Воронеже все такие или Вы уникум? Раз позиционируете себя хорошо знающим продукт, объясните, почему Керио 7.1.0 patch 2 build 1694 на WinServ2008R2Ent на правиле "из локальной/довереной сети в инет любой службе" с распределением нагрузки по каналам, пропадает доступ в инет у локальных пользователей если включить "инспектор протокола"? На 2003-ем эти правила (перенес сохраненный конфиг средствами Керио) отлично работали с инспектором и без. Вынос отдельно правила НТТР, с включением НТТР инспектора так - же приводит к блокировке доступа. Включённый же на правиле, аналогичном Вашему 15-му, инспектор "по умолчанию" никаких проблем не вызывает. Переустановка/перенастройка Керио проблемы не решает, установка последней на текущей момент версии так - же проблему не решила, была заменена предидущей из-за недружелюбности к МакАфее.
И попрошу без высказываний на тему "долбоёбов", "пиздеть не мешки ворочать"!

"Уникум" из Воронежа перешел на более продвинутые и сложные системы как ISA and TMG. Что касаемо вашей проблемы если у других такого не наблюдается то проблема соответственно у вас если это и у других то проблема в косяке продукта значит в тех подержку если имеется лиц!))

Morphey 01.04.2011 18:26

kuvl-vrn, сервер живёт дома и мне ни к чему громоздить что - то сложное/продвинутое. Проблема эта, видимо, не только у меня, раз [Для просмотра данной ссылки нужно зарегистрироваться]. Сообщает о ней и консоль последней на текущий момент версии Керио. Но раз проблема проявляется только при влючённом инспекторе, возникает подозрение, что дело именно в ПО, а не ОС, вот и запостил здесь, в надежде на народных умельцев

VampirBFW 22.04.2011 14:55

Да есть там такой косягг. Сам сижу жду, ты еще не пробовал инспектор протоколов включить на почтовый сервер. там вообще начинается веселье.

Morphey 22.04.2011 17:59

VampirBFW,если ты мне, то нет, не пробовал. Нафиг мне почтовик дома )

Карапузик 01.10.2011 00:21

Ууу.. так значит я е один такой бедовый с "Инспектрором протокола"? такая же шляпа.. установил "По умолчанию" и ничего понять не мог.. все работает черех одно место, причем странно.. пинг шпарит нормально но доступ закрыт, ночь голову ломал...

EnMan 01.10.2011 08:50

Цитата:

Сообщение от Карапузик (Сообщение 102570)
Ууу.. так значит я е один такой бедовый с "Инспектрором протокола"? такая же шляпа.. установил "По умолчанию" и ничего понять не мог.. все работает черех одно место, причем странно.. пинг шпарит нормально но доступ закрыт, ночь голову ломал...

вы, блеать, хоть бы читали что на сайте Керио вообще пишут. А то на официальном сайте... на официальном сайте... у меня так тоже... Керио гавно... я песдатый арень... Хде правила, и конфигурации сетевых интерфейсов, нахера вы отрываете темы которые к вашей проблеме не имеют отношения? Заведите новую, оформите согласно правилам постинга, емае! И тогда вам помогут в 99% случаев

naliman 01.10.2011 11:58

Карапузик, в чём проблема??

Карапузик 01.10.2011 12:16

Цитата:

Сообщение от EnMan (Сообщение 102582)
Керио гавно... я песдатый арень..

я где-то написал или то или другое? или про то что у меня что-то не работает?

Цитата:

Сообщение от naliman (Сообщение 102590)
в чём проблема??

да в том что инспектор протокола пришлось отключить на исходящие
после этого все заработало (2008R2) сейчас сижу копаю документацию, просто непонятны столь эмоциональные высказывания

Добавлено через 1 час 6 минут
Цитата:

Сообщение от Morphey (Сообщение 96240)
Но раз проблема проявляется только при влючённом инспекторе, возникает подозрение, что дело именно в ПО, а не ОС, вот и запостил здесь, в надежде на народных умельцев

справедливости ради надо заметить что прблема имеет место быть если используются протоколы РРТР или РРР.. и связано и с ОС и с ПО о чем и написано (как раз моя проблема балансировка между двумя VPN-интерфейсами) но что-то с исправлением от МС не так, надо еще покопать, пока решилось отключением Протокол инспектора на данном источнике. Некоторое по этой проблеме здесь [Для просмотра данной ссылки нужно зарегистрироваться]

EnMan 01.10.2011 15:06

Цитата:

Сообщение от Карапузик (Сообщение 102592)
протокола пришлось отключить на исходящие

= отключить подсчет трафика, квотирование и все, что с этим связано. У меня несколько 2008R2 ни на одном я не сталкивался с подобным, т.к. везде прямая линковая сеть без каких то PPPoE или VPN до провайдера. Мое возмущение было вызвано большей часть некропостингом

Карапузик 01.10.2011 16:38

Цитата:

Сообщение от EnMan (Сообщение 102598)
= отключить подсчет трафика, квотирование и все, что с этим связано. У меня несколько 2008R2 ни на одном я не сталкивался с подобным, т.к. везде прямая линковая сеть без каких то PPPoE или VPN до провайдера. Мое возмущение было вызвано большей часть некропостингом

ну скорее всего у Инспектора протокола есть функции позволяющие ему блокиовать трафик, иначе я никак не могу разобраться с этой проблемой, а именно: пока включен ПИ кроме пинга ничего не идет, после отключения ПИ работают оба VPN соединения

Morphey 17.09.2012 02:34

Re: Как с умом настроить KerioControl For new system administrators
 
Почти год прошел, вышел 2012й сервер, а проблема так и осталась и переехала в него... Патч от Microsoft с у помянутой там правкой реестра проблемы не решил, здравствуй родной 2003й, SSD мужайся...

vva 23.10.2018 11:01

Re: Как с умом настроить KerioControl For new system administrators
 
Цитата:

Сообщение от EnMan (Сообщение 102582)
вы, блеать, хоть бы читали что на сайте Керио вообще пишут. А то на официальном сайте... на официальном сайте... у меня так тоже... Керио гавно... я песдатый арень... Хде правила, и конфигурации сетевых интерфейсов, нахера вы отрываете темы которые к вашей проблеме не имеют отношения? Заведите новую, оформите согласно правилам постинга, емае! И тогда вам помогут в 99% случаев

Вот честно, просто зашел почитать, узнать и т.д. Но вот после таких КОМЕНТОВ как-то расхотелось (как там у Вас БЛЕАТЬ).

exchar 23.10.2018 11:54

Re: Как с умом настроить KerioControl For new system administrators
 
Цитата:

Сообщение от vva (Сообщение 156260)
Вот честно, просто зашел почитать, узнать и т.д. Но вот после таких КОМЕНТОВ как-то расхотелось (как там у Вас БЛЕАТЬ).


это местная специфика.

тут уже нет официальной техподдержки, но есть люди, которых достало более чем частое игнорирование простейших правил форума.
Без мата и прочей радости есть статьи kerio kb от разрабов
а что у тебя был за вопрос-то?


Текущее время: 14:05. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot