Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall) > Рабочие конфигурации

Важная информация

Ответ
 
Опции темы
Старый 20.06.2007, 19:44   #1
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,393
По умолчанию велкам

сабж
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 12.07.2007, 15:26   #2
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию

Машина с рутом управляеццо Windows 2003 Server. На нем же поднят сервер терминалов. В качестве антивируса используется Kaspersky Antivirus for File Server. Макака выключена. Интернет - выделенная ADSL линия. Модем настроен роутером. Авторизация пользователей - автоматом по IP. Квоты пользователям не установлены. Непрозрачный прокси выключен. Локалка идет через NAT. Т.е. набор правил минимален для стабильной работы интернета в локальной сети.

Правила переписаны. Добавлены правила, которые зачастую вызывают затруднения и вопросы. Дабы чтобы было во что "ткнуть носом", в свои рабочие полтси я натолкал кучу всего, что не использую сам, но может понадобиться другим.

Local Traffic - разрешает любой трафик между компьютерами сети, а также VPN тунелями и VPN клиентами. По обще принятому правилу загнано в самый верх дабы за счет непрохождения всей таблицы с правилами увеличить скорость в сети.
ICMP Traffic - разрешает пинговать любой хост с компьютера на котором установлен Киря (aka Firewall).
ISS OrangeWeb Filter - правило созданое визардом, видимо нужной для нормальной работы кабанчега. У меня включен, поэтому и правило активно. Кто кабанчега не пользует - думаю, оно нафег не нуно.
RA on Firewall позвляет соединяться RA (RAdmin) клиенту из внешней сети (интернета) с RA сервером, установленным непосредственно на фаервол хостс по стандартному порту.
RA on Firewall non standart port позвляет соединяться RA (RAdmin) клиенту из внешней сети (интернета) с RA сервером, установленным непосредственно на фаервол хостс по НЕ СТАНДАРТНОМУ (выбранному вами) порту. В этом случае пакеты мапятся на порт, который стандартно слушает RA.
TS on Firewall правило созданое для доступа из вне (aka Internet) к серверу термминалов, крутящемуся на фаервол хостс.
TS on local network правило созданое для доступа из вне (aka Internet) к серверу термминалов, крутящемуся в локальной сети. В этом случае, пакеты мапятся на IP хоста с установленным TS и на стандартный порт, который слушает TS.
TS on Firewall non standart port - правило созданое для доступа из вне c указанных IP к серверу термминалов, крутящемуся на фаервол хостс. Но... по определенному порту. Все пакеты приходящие на этот порт мапяццо, на внутренний фейс и на стандартный порт RDP.
Service FTP разрешает доступ из вне на фаервол хостс по протоколу FTP. Для доступа к местному FTP серверу.
Service KWF Radmin позволяет обмен пакетами между сетевыми интерфейсами Интернета и локалки по KWF Admin, т.е. позволяет админить Кирю с удаленного хоста (иногда это бывает нужно). Конечно можно залезть в терминал и админить через него, но через Админ консоль установленную на удаленном хосте - как то гламурнее.
Service Kerio VPN разрешает доступ из вне к фаерволу используя Kerio VPN Service. Служит для работы VPN тунеля.
STOP ICQ Service это правило запрещает доступ с фаервола и локальной сети к группе адресов "ICQ Servers", предварительно заведенных в Adress Groupe. По просту запрещает аську. Стоит обратить внимание, что ЛЮБОЕ запрещающее правило должно стоять ДО (выше) разрешающего.
Firewall Traffic разрешает выход наружу с файервол хостс используя сервисы, указанные в Service. Думаю, что все сервисы знакомы. Но стоит, наверное, объяснить назначение сервиса NTP. Именно этот сервис использует Windows для доступа к службе времени. Если хотите, чтобы часы синхронизировались с часами в интернете, этот сервис должен быть разрешен.
NAT - разрешает доступ трем авторизированых пользователей к DNS, FTP, HTTP, ICQ, POP3, SMTP сервисам, а попросту позволяет им получать почту и ходить в интернет, болтать в аське.

Назначение остальных правил, думаю, объяснять нецелесообразно. Все знают.

Маленькое оступление. КРАЙНЕ НЕБЕЗОПАСНО держать на сервере открытый порт слушающий RA или RDP. Гораздо более безопасней пускать эти протоколы внутри ВПН тунеля. Но если ВПН поднимать не охота, то хотябы укажите в источнике конкретный IP (диапазон IP). Не открывайте доступ ВСЕМУ МИРУ. Не искушайте судьбу.
Изображения
Тип файла: jpg TrafficPolicy.jpg (334.7 Кб, 4566 просмотров)
__________________
керио

Последний раз редактировалось EnMan; 15.08.2007 в 22:41. Причина: Дополнил полиси основными правилами
EnMan вне форума   Ответить с цитированием Вверх
Старый 13.07.2007, 15:33   #3
adm_art
Пейсатель професеонал
 
Аватар для adm_art
 
Регистрация: 22.02.2007
Адрес: Донецк ДНР
Сообщений: 1,100
По умолчанию Привет всем.

Вот решил поделиться своими наработками, сильно не ругайте, т.к. юзаю я керю месяца три и до сих пор учусь .
Сетка простая рабочая группа (будут расширяться сделаю домен), у части юзеров которые ходят инэт поднят DHCP керио, у остальных айпишники вбиты в настройку винды.
Теперь немного об интерфейсах:
- local_host – сетевуха смотрящая во внутрь сетки;
- inet_host - сетевуха смотрящая на ADSL модем (работает в режиме бриджа);
- Ukr – PPPoE соединение с инэтом.
Теперь сам Traffic Policy:
1.Local Traffic - разрешает любой трафик между компьютерами сети;
2.ICMP – пинги с сервера;
3.Firewall Traffic – весь трафик который уходит с сервака, мне нужно только отправлять sms на мобилу;
4.RDP – вход в админ консоль кери из инета (ну точнее только с одного айпи);
5.Admin RDP - вход в админ консоль кери с моего компа (из локалки);
6.Admin_ICMP – пинги от меня в инэт;
7.FTP In – доступ к FTP серверу (в FTP Policy прописано правило кому можно коннектиться);
8.Admin FTP – я выхожу в инэт по FTP;
9.Люда – посредством виндозного RAS соединения к сетке коннектиться удаленный склад (вместо Any можно поставить и MS-SQL но как то руки не доходят );
10.DHCP – DHCP Server для локалки и виндозного RAS соединения (ну это типа из дома коннектиться);
11.Web Kerio – доступ web странице керио;
12.NAT Http – без авторизации инет не получишь :gigi:;

13.NAT – нат для остальных сервисов;
14.Bank – клиент банк (админы банка очень сильно настаивали что бы использовался порт TCP 443, но наверное так и не поняли что это HTTPS), я знаю что это правило дублирует 12 пункт но оно как бы запасное ;

15.Proxy – прокся керио которая пропускает группу юзеров AVG (апдейт антивируса по HTTP Policy), клиент банк (как бы запасное) и виндозный RAS (типа из дома);
Все остальные правила наверное понятные.
[Для просмотра данной ссылки нужно зарегистрироваться]
Изображения
Тип файла: jpg Traffic.jpg (134.1 Кб, 2754 просмотров)

Последний раз редактировалось adm_art; 26.09.2007 в 16:35.
adm_art вне форума   Ответить с цитированием Вверх
Старый 04.09.2007, 11:51   #4
djvini
Знатный писарь
 
Аватар для djvini
 
Регистрация: 29.01.2007
Адрес: Москва, Россия
Сообщений: 205
По умолчанию

adm_art, у тебя что получается пользователи, которые авторизовались, работают в интернете без прокси?
djvini вне форума   Ответить с цитированием Вверх
Старый 04.09.2007, 14:10   #5
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию

Цитата:
Сообщение от djvini Посмотреть сообщение
которые авторизовались, работают в интернете без прокси?
Которые неавторизировались у него вобще сосут сасангу. :lol:
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 19.09.2007, 10:07   #6
Коля
Навичёг
 
Аватар для Коля
 
Регистрация: 26.02.2007
Адрес: Москва
Сообщений: 32
По умолчанию

Я сделал проще ... в домене создал группу ползователь Inet и уже прописываю правило

Отправитель группа Inet получатель Внешний интерфейс нужные порты Нат на внешний интерфейс ну и все другие правила так же.
Коля вне форума   Ответить с цитированием Вверх
Старый 19.09.2007, 13:53   #7
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

Коля, вот так и надо :very_cool:
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 25.09.2007, 17:34   #8
Ganz
 
Аватар для Ganz
 
Регистрация: 25.09.2007
Сообщений: 2
По умолчанию

EnMan,Подскажи пжалста как описан в твоей политики локальный траф предназначенный для инета ? в частности локальный запрос по порту 80

хм короче порусски мне надо чтоб все ходили из локалки только через проксю , это гдето в полиси твоей описанно ?

Последний раз редактировалось naliman; 25.09.2007 в 17:41.
Ganz вне форума   Ответить с цитированием Вверх
Старый 25.09.2007, 17:39   #9
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,393
По умолчанию

Ganz, попробуй подумать головой
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 26.09.2007, 11:34   #10
Ganz
 
Аватар для Ganz
 
Регистрация: 25.09.2007
Сообщений: 2
По умолчанию

Цитата:
Сообщение от naliman Посмотреть сообщение
Ganz, попробуй подумать головой

Аты знаешь другие варианты , чем можно думать ?

короче подумал еще раз : я правильно понял , нет не одного разрешения из локалки в интернет только из фаервола в интернет ? этим я запрещаю напрямую выход в инет локальным пользователям ? Тобишь 80 порт я закрываю в фаере ?

Последний раз редактировалось Ganz; 26.09.2007 в 11:43.
Ganz вне форума   Ответить с цитированием Вверх
Старый 26.09.2007, 13:27   #11
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

Ganz, ты хочешь научиться разбираться в Traffic Policy или чтоб тебе жевали и в рот клали? если второе - то ты не по адресу обратился..
если первое - мануал, инструкции и логика тебе в помощь..
по моему, EnMan всё достаточно подробно описал, чтоб понять можно было..
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 10.10.2007, 15:58   #12
Lovec
 
Аватар для Lovec
 
Регистрация: 04.10.2007
Сообщений: 9
По умолчанию

Народ хелп!

Пересмотрел кучу ТП, но все юзают НАТ! А я не хочу через НАТ! Кому не жалко выложите ТП у кого БЕЗ НАТа инет юзается.

Просто никак не могу решить для себя банальный вопрос. Как надо правильно организовать доступ юзеров к инету.
Щас сделано примерно так:

<лок_сеть> - Firewall - Any - permit
Firewall - <внешний_интерфейс> - <список_разрешенных_сервисов> - Permit

При таком раскладе получается что в http.log пишется не полная информация, а в connection.log она хоть и полнее, но там весь траф пишется от имени прокси и проанализировать на какой локальный IP действительно ушел траф - невозможно
Lovec вне форума   Ответить с цитированием Вверх
Старый 10.10.2007, 16:03   #13
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

Lovec,
известно как правильно - надо авторизацию задействовать. как именно - не знаю, поскольку неизвестно, скоко юзеров и как организована сеть, есть ли домен, нет ли домена и тп..
так что подробности в студию.
и вопрос - а чем НАТ не устраивает?
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 10.10.2007, 16:28   #14
Lovec
 
Аватар для Lovec
 
Регистрация: 04.10.2007
Сообщений: 9
По умолчанию

Только что закончил читать топик по авторизации. От корки до корки Попытаюсь сделать как советовали. Только чтобы приступать, мне надо в голове решить, как у меня будет настроено правило(а) для выхода юзеров в сеть.

О сети:
1 домен - в нем около 200 юзеров, инет нужен примерно 50
2 домен - юзеров менее, инет нужен пока 5
Доверит. отнош. - нет, но можно сделать.
Все юзеры кому нужен инет логинятся в домене (в том или в ином).

Комп с керио имеет несколько сетевух, по ним приходят по оптоволокну удаленные сети. На одной сетевухе висит выделенка от прова - инет собственно.

НАТ не хотелось бы по причинам безопасности прежде всего. Я считаю что инет через прокси более безопасен. Или не прав? Ведь комп через НАТ - практически комп напрямую подключенный к инету, а это вирусы, хакеры, ненужная скачка обновлений, другие траблы...
Юзеров пока устраивает ICQ, почта, браузер.

ОФТОП
Почему я читаю форум снизу вверх, а не как на других форумах? Так задумано? Меняется?
ОФТОП
Lovec вне форума   Ответить с цитированием Вверх
Старый 10.10.2007, 17:10   #15
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

Lovec,
при большом количестве юзеров у меня прокси херней страдал.. а именно - периодически выдавал пустые страницы или недокачанные.. щас народ ходит через НАТ - такого не наблюдаю..
насчет опасений твоих скажу так: трафик, проходящий через НАТ, также фильтруется антивирусом, как и проходящий через прокси.. обновления отключаются (если надо) доменными политиками, либо ставится WSUS и все качают обновления с него опять же через доменные политики..
правда у меня до сих пор 6.1.2-603.

насчет порядка прочтения - конечно меняется, зайди в настройки профиля и поменяй.
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 17.10.2007, 12:13   #16
redalex
Навичёг
 
Аватар для redalex
 
Регистрация: 25.08.2006
Адрес: Minsk, RB
Сообщений: 21
По умолчанию

Lovec,
Цитата
Сообщение от Коля Посмотреть сообщение
Я сделал проще ... в домене создал группу ползователь Inet и уже прописываю правило
вот имхо самый нормальный для тебя вариант. апдейты и прочую фигню рубишь в хттп и фтп полисях, там же можно бан по расширеню файла сделать. и будет тебе шасце

Цитата:
Сообщение от С.С. Горбунков Посмотреть сообщение
при большом количестве юзеров у меня прокси херней страдал.. а именно - периодически выдавал пустые страницы или недокачанные..
тоже такое видел, особенно если конекшн лимит стоит и какой нить скайп запущен прокся начинает с ума сходить. да и задержки при обращении на проксю дольше

Последний раз редактировалось redalex; 17.10.2007 в 12:19.
redalex вне форума   Ответить с цитированием Вверх
Старый 21.10.2007, 19:26   #17
Mitchman
Навичёг
 
Аватар для Mitchman
 
Регистрация: 11.10.2007
Адрес: Николаев
Сообщений: 38
По умолчанию нате мое поматюкайте

Back Ping - включается только когда нать с Провайдером разобраться о проходимости пакетов

ну дальше понятно станет если дать список подсетей

Home - моя домашняя в ней ща сам Файерволл, моя машинка и клиенты(в настройке, ремонте) - которым DHCP от керио дает адреса - они под именем Users

Соседи - даю инет соседке от ся - шоб она со своими вирусами в меня не лезла - ну а мени все мона

Trion - местная городская локалка - куча атак, быстрая связь для игр и ТимСпика

Trion VPN местная городская в другие районы города и интернет

забыл добавить версия 6.1.3 789 - если эта шось меняет

е еще одна настройка - у кореша на работе но та попроще(хоть там и более сотни машин)(простой НАТ но с Квотами и фильтрами от порнухи) - здесь хоть и маленькие но все таки две подсети и Маппинг серверов


ну вот - думал все нормально но пришлось в строках соседи- Local Trion и Соседи - Trion VPN поменять источник на название сетевухи "Соседи" бо почемуто соседка не всегда конектица - но не люблю я давать доступ на всю подсеть(хотя пока там тока один и комп)
Изображения
Тип файла: jpg traf.jpg (126.5 Кб, 1095 просмотров)

Последний раз редактировалось Mitchman; 22.10.2007 в 13:27. Причина: уточнения
Mitchman вне форума   Ответить с цитированием Вверх
Старый 31.10.2007, 10:16   #18
djvini
Знатный писарь
 
Аватар для djvini
 
Регистрация: 29.01.2007
Адрес: Москва, Россия
Сообщений: 205
По умолчанию

Я понил, что здесь многие работают просто через НАТ без прокси по порту 3128
А кто только с прокси есть?
djvini вне форума   Ответить с цитированием Вверх
Старый 31.10.2007, 10:24   #19
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

а зачем нужен прокс, недостатки очевидны нада бегать настраивать браузеры клиентов на использование связки сервер порт, можно же включить маскарадинг и также использовать кэшируемое соединение для хттп совместимых протоколов, только без настройки у клиентов, точнее они дажеть не в курсе будут есть прокс или нет ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 13.11.2007, 18:15   #20
djvini
Знатный писарь
 
Аватар для djvini
 
Регистрация: 29.01.2007
Адрес: Москва, Россия
Сообщений: 205
По умолчанию

Цитата:
Сообщение от Babah22 Посмотреть сообщение
а зачем нужен прокс, недостатки очевидны нада бегать настраивать браузеры клиентов на использование связки сервер порт,
Это настроил, пользователей благо не много
Цитата:
Сообщение от Babah22 Посмотреть сообщение
включить маскарадинг
А что это? И где настраивается?

Хотябы Тему открыли с пояснениями для тех, кто пользуется прокси
djvini вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 03:40. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях