Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall) > Рабочие конфигурации

Важная информация

Ответ
 
Опции темы
Старый 31.07.2009, 12:37   #1
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию Настройка KWF для новичков

Итак имеем Шлюз в котором 2 интерфейса LAN-Локальная сеть(IP 192.168.108.254) WAN-внешка (IP 192.168.3.1).
Под сеть пример: локалка 192.168.108.0/24
Под сеть пример: внешка 192.168.3.0/24(Связь с модемом который настроен в режиме роутера и имеет IP адрес 192.168.3.254)
В сети имеется DC(контролер домена)с IP 192.168.108.1 на котором а настройках DNS в вкладке пересылка указаны IP адреса DNS серверов провайдера.
Пример настройки клиента:
Имеется комп user1 с IP адресом 192.168.108.56
итак в настройках TCP\IP протокола указываем шлюз (Это IP адрес сервера где стоит керио в нашем случае это 192.168.108.254)
В качестве DNS!!!Указываем IP адрес контролера домена!!! на котором настроена пересылка в нашем случае это 192.168.108.1
Клиент готов к работе))
Теперь разберем настройки самой программы
ниже будут привидины самые основные настройки которые необходимо проделать для корректной работы.
Опишу что значат правила:
1.LocalTraffic-в данном случае разрешен полный обмен информацией между компьютерами локальной сети шлюзом vpn клиентами и VPN тунелями в этом правиле должен быть отключен PI(протокол инспектор!)Правило должно стоять в самом верху ибо в KWF правила обрабатываються с верху в низ.
2.Service KerioVPN out-правило для исходящего подключения сервиса VPN по порту 4090 это правило необходимо для создания активных VPN тунеллей.
3.
Service Kerio VPN-правило служит для входящих подключений VPN клиентов и VPN туннелей обязательно требуется если если создан VPNтунель в пассивном режиме!
4.Mail out-правило для корректной работы почтового сервера который находиться в ну три локальной сетидля исходящих подключений по SMTP протоколу.

5. Mail in-правило для входящих подключений по SMTP протоколу (запрос приходит из внешки попадает на шлюз тот его MAP переадресует на IP адрес почтового сервера в данном случае на IP 192.168.108.99)

6.Удаленное управление шлюзом по RDP с ОПРЕДЕЛЕНЫХ IP адресов.
7.NAT for IRC- правило служит для подключения из локальной сети к IRC серверам в глобальной сети интернет.
8.RDP-правило для исходящих подключений с шлюза по протоколу RDP в глобальную сеть.
9.NAT for SMTP,POP3,IMAP-правило для того чтобы клиенты из локальной сети могли к примеру забирать почту по протоколу pop3 из внешних почтовых серверов к примеру с яндекса через почтовый клиент.SMTP здесь перекрывается верхнем правилом Mail out, так что сюда его можно не включать.
10.NAT for icq -правило для работы аськи из локальной сети.
11.NAt for telnet-правило для работы из локальной сети в интернет по протоколу telnet.
12.NAT for ICMP-правило чтобы пользователи могли пинговать из локальной сети внешние ресурсы.
13.NAT for DNS-очень важное правило которое разрешает посылать DNS запросы из локальной сети во внешний мир к примеру оно нужно чтобы наш DC делал пересылку запросов на DNS сервера провайдера.
14.ICMP traffic-правило которое разрешает производить эхо запросы (PING) с шлюза в любом направлении и в локальную сеть и во внешний мир.
15.NAT-правило которое разрешает пользователям из локальной сети работать в интернете в данном случае по протоколам http,https,ftp и обращаться на порт 8080.Нужно в первую очередь для работы с web страницами))
16.у меня отключено ибо этим не пользуюсь.
17.FirewallTraffic-правило для работы с шлюза в интернете по указанным протоколам.
18.Service HTTPS -правило для обращения по протоколу https к шлюзу.
19.Чесно не задумывался для чего оно думаю коллеги подскажут))
20.Самое Любимое правило которое запрещает все кроме вышеизложенного.
Для тех кто использует модем в режиме роутера не забываем пробрасывать порты) у меня проброшены :4090для работы VPN,3389RDP,25 SMTP
Успехов в освоение KWF!



Изображения
Тип файла: jpg Политики1.jpg (87.6 Кб, 3565 просмотров)
Тип файла: jpg Политики2.jpg (71.0 Кб, 2770 просмотров)
Тип файла: jpg Политики3.jpg (83.1 Кб, 2249 просмотров)
Тип файла: jpg Политики4.jpg (71.5 Кб, 2149 просмотров)
Тип файла: jpg Пользователи.jpg (72.1 Кб, 2072 просмотров)
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 31.07.2009, 12:44   #2
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,393
По умолчанию

в чём отличие от инструкций?
)
думаю в том что никто читать не будет (потому что надо ДУМАТЬ) никаких отличий от сущестующих инструкций нет
))
сюда ж приходят СПРОСИТЬ
а не найти информацию и обдумать её, спросить где какю галку поставить и всё
меня начинает вообще парить всё это
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 08.09.2009, 17:59   #3
drug'n'drop
 
Аватар для drug'n'drop
 
Регистрация: 14.05.2009
Сообщений: 15
По умолчанию

Цитата:
Сообщение от naliman Посмотреть сообщение
в чём отличие от инструкций?
)
думаю в том что никто читать не будет (потому что надо ДУМАТЬ) никаких отличий от сущестующих инструкций нет
))
сюда ж приходят СПРОСИТЬ
а не найти информацию и обдумать её, спросить где какю галку поставить и всё
меня начинает вообще парить всё это
off topic почитал форум, понимаю, жара у вас, хвала Одминам

sorry не хотел обидеть, мануал штурмую...
drug'n'drop вне форума   Ответить с цитированием Вверх
Старый 29.09.2009, 13:11   #4
Baggio82
Песака
 
Аватар для Baggio82
 
Регистрация: 27.11.2008
Адрес: Украина, Киев
Сообщений: 93
По умолчанию

А зачем мапить службы аськи, пинг? неужели без мапинга эти службы не будут работать?
__________________
Baggio82 вне форума   Ответить с цитированием Вверх
Старый 29.09.2009, 13:32   #5
xSav
Песака
 
Аватар для xSav
 
Регистрация: 09.06.2009
Сообщений: 173
По умолчанию

Нет.. не будут
__________________
Одиночка..
xSav вне форума   Ответить с цитированием Вверх
Старый 21.10.2009, 00:31   #6
alliex2000
 
Аватар для alliex2000
 
Регистрация: 19.10.2009
Сообщений: 1
Радость Агамс

Мегапростенько

Всегда найдутся те, кому хватит информации даже в этом, которые скажут спасибо. Тоже ништяк
alliex2000 вне форума   Ответить с цитированием Вверх
Старый 30.10.2009, 21:22   #7
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию Коллизии портов!!!Всем начинающим обратить на это внимание!

Коллизии портов Приложения, которые используют те же самые порты что и брандмауэр, нельзя запускать на хосте WinRoute (или конфигурация портов должна быть изменена). Если все службы запущены, WinRoute использует следующие порты:
  • 53/UDP — DNS Форвардер
  • 67/UDP — DHCP Сервер
  • 1900/UDP — SSDP Discovery service
  • 2869/TCP — UPnP Host service
    Две последних упомянутых службы принадлежат поддержке UPnP
  • 3128/TCP — HTTP Прокси-сервер
  • 44333/TCP+UDP — связь между Администраторский Терминал Kerio и Брандмауэр WinRoute. Эта служба не может быть остановлена.

Следующие службы используют соответствующие порты по умолчанию. Порты для этих служб могут быть изменены.
  • 3128/TCP — HTTP Прокси-сервер
  • 4080/TCP — Администрирование Web Интерфейса
  • 4081/TCP — безопасная (SSL-encrypted) версия Администрирования Web Интерфейса
  • 4090/TCP+UDP — личный VPN сервер
ТАК ЖЕ Читаем инструкцию!:
_http://narod.ru/disk/7402754000/KWF6.chm.html
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 29.07.2010, 15:31   #8
-temp-
 
Аватар для -temp-
 
Регистрация: 10.04.2009
Адрес: Йошкар-Ола
Сообщений: 16
По умолчанию

Цитата:
Сообщение от Baggio82 Посмотреть сообщение
А зачем мапить службы аськи, пинг? неужели без мапинга эти службы не будут работать?
Будут. Отключаем НАТ в керио, прописываем в роутере статический маршрут. В данном случае Destination 192.168.108.0 Subnet mask 255.255.255.0 Gateway 192.168.3.1. В итоге избавляемся от лишнего ната и заголовков в пакетах.

Последний раз редактировалось -temp-; 29.07.2010 в 16:53.
-temp- вне форума   Ответить с цитированием Вверх
Старый 11.10.2010, 09:29   #9
kav
Песака
 
Аватар для kav
 
Регистрация: 09.10.2010
Адрес: Киев
Сообщений: 60
По умолчанию

Цитата:
Сообщение от kuvl-vrn Посмотреть сообщение
ТАК ЖЕ Читаем инструкцию!:
_http://narod.ru/disk/7402754000/KWF6.chm.html
скачал инструкцию, не грузятся странички
kav вне форума   Ответить с цитированием Вверх
Старый 11.10.2010, 10:24   #10
Valery12
Одменестрадор
 
Аватар для Valery12
 
Регистрация: 21.11.2006
Адрес: Владимир, Россия
Сообщений: 2,935
По умолчанию

Цитата:
Сообщение от kuvl-vrn Посмотреть сообщение
19.Чесно не задумывался для чего оно думаю коллеги подскажут))
Ident это протокол, который при создании TCP соединения отправляет серверу имя пользователя, который это соединение устанавливает. Блокируется на всякий случай, поскольку в винде по умолчанию служба не устанавливается, а в линуксе отключается, правда сендмайл ее использует.

Цитата:
Сообщение от Baggio82 Посмотреть сообщение
А зачем мапить службы аськи, пинг?
не мапить а натить

Цитата
Сообщение от -temp- Посмотреть сообщение
Отключаем НАТ в керио, прописываем в роутере статический маршрут. В данном случае Destination 192.168.108.0 Subnet mask 255.255.255.0 Gateway 192.168.3.1.
а в курсе что серые адреса в интернете не маршрутизируются?

Цитата
Сообщение от -temp- Посмотреть сообщение
В итоге избавляемся от лишнего ната и заголовков в пакетах.
никакие лишние заголовки НАТ в пакеты не добавляет. И вообще есть только два способа выхода в интернет с серого адреса (в IPv4) это НАТ и прокси
Valery12 вне форума   Ответить с цитированием Вверх
Старый 15.10.2010, 05:51   #11
Ratimir
 
Аватар для Ratimir
 
Регистрация: 14.10.2010
Адрес: Новосибирск
Сообщений: 6
По умолчанию

Помогите правильно разобраться какие порты открыть бухгалтерам и как создать правило для открытия этих портов бухгалтерам.
Есть в оффисе бухгалтерская машина сервер. Стоят программы 1С, Крсита, Сбис, банковские и куча других.
Какой программой можно сделать мониторинг работы бухгалтерского сервера чтобы понять что им открыть.
Пришлось на время дать полный доступ


Windows 2003+Контроллер домена AD+DNS+Шлюз KWF 6.7.1+кряк (2 сетевухи, интернет через ADSL модем).
Ratimir вне форума   Ответить с цитированием Вверх
Старый 15.10.2010, 06:47   #12
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию

Цитата:
Сообщение от Ratimir Посмотреть сообщение
Помогите правильно разобраться какие порты открыть бухгалтерам и как создать правило для открытия этих портов бухгалтерам.
Есть в оффисе бухгалтерская машина сервер. Стоят программы 1С, Крсита, Сбис, банковские и куча других.
Какой программой можно сделать мониторинг работы бухгалтерского сервера чтобы понять что им открыть.
Пришлось на время дать полный доступ


Windows 2003+Контроллер домена AD+DNS+Шлюз KWF 6.7.1+кряк (2 сетевухи, интернет через ADSL модем).
Позвони в поддержку каждой из программ и узнай какие порты каждая программа использует соответственно на основе полученных данных будешь составлять правила.
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 15.10.2010, 08:17   #13
Ratimir
 
Аватар для Ratimir
 
Регистрация: 14.10.2010
Адрес: Новосибирск
Сообщений: 6
По умолчанию

Цитата:
Сообщение от kuvl-vrn Посмотреть сообщение
Позвони в поддержку каждой из программ и узнай какие порты каждая программа использует соответственно на основе полученных данных будешь составлять правила.
Уже звонил, точного ответа не получил, знаю только их IP. Позвоню еще раз. Так ктонибудь использует софт для мониторинга какие порты какая программа использует?
Ratimir вне форума   Ответить с цитированием Вверх
Старый 15.10.2010, 08:29   #14
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию

Цитата:
Сообщение от Ratimir Посмотреть сообщение
Уже звонил, точного ответа не получил, знаю только их IP. Позвоню еще раз. Так ктонибудь использует софт для мониторинга какие порты какая программа использует?
Не пиши бред, все они знают узнай какие порты нужны пробрасывать на фаерволе и про брось на Керио.
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 15.10.2010, 08:32   #15
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 1,125
По умолчанию

Цитата:
Сообщение от Ratimir
Так ктонибудь использует софт для мониторинга какие порты какая программа использует?
Снифферы ищи - их великое множество.
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Ответить с цитированием Вверх
Старый 23.10.2010, 01:50   #16
Stalker777
 
Аватар для Stalker777
 
Регистрация: 05.09.2007
Сообщений: 13
По умолчанию

Доброй ночи или уже Доброго Утра-)
Хотелось уточнить у kuvl-vrn по настройкам сетевых карт на DC и Шлюзе (пост #1).
Я думаю настройки д.б такие: ???

Контролер домена (DC
)
IP 192.168.108.1
mask 255.255.255.0
gate 192.168.108.254

dns 192.168.108.1 ( на себя)

Шлюз
Внутр сетевая

IP 192.168.108.254
mask 255.255.255.0
gate -

dns 192.168.108.1 ( на DC)

Внеш сетевая

IP 192.168.3.1
mask 255.255.255.0
gate 192.168.3.
254 (не уверен)
dns 192.168.108.1 ( на DC)
Stalker777 вне форума   Ответить с цитированием Вверх
Старый 23.10.2010, 06:31   #17
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию

Цитата
Сообщение от Stalker777 Посмотреть сообщение
Доброй ночи или уже Доброго Утра-)
Хотелось уточнить у kuvl-vrn по настройкам сетевых карт на DC и Шлюзе (пост #1).
Я думаю настройки д.б такие: ???

Контролер домена (DC
)
IP 192.168.108.1
mask 255.255.255.0
gate 192.168.108.254

dns 192.168.108.1 ( на себя)

Шлюз
Внутр сетевая

IP 192.168.108.254
mask 255.255.255.0
gate -

dns 192.168.108.1 ( на DC)

Внеш сетевая

IP 192.168.3.1
mask 255.255.255.0
gate 192.168.3.
254 (не уверен)
dns 192.168.108.1 ( на DC)
Совершенно верно!
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 23.10.2010, 10:43   #18
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию

Цитата
Сообщение от Stalker777 Посмотреть сообщение
Внеш сетевая

IP 192.168.3.1
mask 255.255.255.0
gate 192.168.3.254 (не уверен)
dns 192.168.108.1 ( на DC)
Я бы ДНС направил на провайдера на этом интерфейсе, отключил бы регистрацию ДНС и в привязках поднял бы LAN в самый верх
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 23.10.2010, 14:13   #19
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 1,125
По умолчанию

Цитата:
Сообщение от EnMan Посмотреть сообщение
Я бы ДНС направил на провайдера на этом интерфейсе
Я, конечно, ламер и, скорее всего, глупость сейчас сморозю, но, как я понял, у камрада Керио на контроллере домена - значит, на сервере - значит, скорее всего, поднят сервер ДНС (Если нет, то лучше это сделать, ибо, как все гуру тут твердят, встроенный в Керио ДНС - глючный) - так вот, во всех мануалах по настройке ДНС-сервера пишут, что надо делать пересылку на ДНС провайдера в свойствах ДНС-сервера и более ни где ни в коем случае не указывать ДНС провайдера. Пока я так в своё время не сделал у меня бывали глюки - не открывались некоторые сайты, причём на одном клиенте могут нормально открываться, а на соседнем, с теми же настройками, в тех же группах - ни фига. Поправьте меня, если я не прав
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Ответить с цитированием Вверх
Старый 23.10.2010, 15:56   #20
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию

Ну это лично мое. Я считаю. что на внешнем интерфейсе шлюза, даже если он является DC, можно указывать сервер провайдера. И в случае, если шлюз не DC, то так делать нужно. В обоих случаях, я считаю, что не хер регистрировать адреса этого подключения в локальном DNS. Все абсолютно логично. Но только не забыть в привязках сетевого адаптера локальную сеть поднять в самый верх. Это важно.

Добавлено через 48 секунд
иначе в домене начнутся пиздарики
__________________
керио

Последний раз редактировалось EnMan; 23.10.2010 в 15:57. Причина: Добавлено сообщение
EnMan вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 04:24. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях