Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall) > Рабочие конфигурации КВФ

Важная информация

Ответ
 
Опции темы
Старый 20.10.2010, 02:06   #1
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Как с умом настроить KerioControl For new system administrators

Уважаемые коллеги, вот и пришел новый этап в познаниях передового программного продукта KerioControl., Я в деталях постараюсь разобрать, как правильно создавать правила для чего они нужны и как их правильно применить и что не мало важно научу их понимать.
В первую очередь напомню тем кто забыл, а так же тем кто не знал, что правила в KerioControl обрабатываются сверху в низ это не мало важно в планировании и создании правил.
Итак приступим в начале я хочу вас научить читать правила и понимать, все правила создаются по "Типовому образцу" запомнив который вы сможете далее самостоятельна создавать рабочии конфигурации. В начале идет Имя правила сюда вы вводите для себя название правила,следующий пункт "Источник" здесь нужно задуматься и понять откуда поток данных пойдет это может быть из локальной сети, из интернета, из VPN туннеля или от VPN пользователя,а так же не забываем сам Firewall, следующий пункт "Назначение" по аналогии с источником данные могут направляться в следующих направлениях в локальную сеть, в интернет, в VPN туннель, VPN пользователю или на сам Firewall. Следующий пункт "Служба" Здесь советую указывать не посредственно службу или порт который должен использоваться для конкретного правила "Любой" Можно указать только для Локального трафика! в остальных случаях это делать не нужно в целях безопасности. Следующий пункт "Действие" тут можно выбрать один из 3х параметров разрешить, отказать или удалить выбираете соответственно то что вам требуется.Следующий пункт "Журнал" Тут ОБЯЗАТЕЛЬНО во всех правилах ставим галочку где регистрация соединений это Важно!.Следующий пункт "Трансляция" здесь вы должны понимать, что если пакеты идут из локальной сети в интернет то используется NAT, еже ли пакеты идут из интернета в локальную сеть применяется MAP в в других ситуациях в большинстве не ставиться не NAT не MAP например если пакеты идут от фаервола в интернет или в локальную сеть.Следующий пункт "Верно для" здесь можно задать временной интервал в который определенное правило будет работать.Заключительным пунктом является "Протокол инспектор" по умолчанию вкладка скрыта ее можно легко отобразить выбрав изменить колонки. Протокол инспектор в большинстве случаев включен по умолчанию, но существует множество ситуаций когда его нужно выключать например при работе правила которое предоставляет доступ Банк Клиенту. Также протокол инспектор отключается для Локального трафика(Local Traffic)!
Теперь Запомните следующее:
Название--Откуда---Куда--что---действие--логирование----каким методом---в какое время.
Это я написал для того что легче воспринимать правила и также помогает при их создании.
Ниже я Приведу "15 Золотых правил достижения успеха" и конечно же поясню для чего каждое правило создавалось.
Итак.
1. Local Traffic- стандартное правило для локального трафика создаеться мастером позволяет потоку информации двигаться в "локальном периметре" без преград и ограничений.
2. Service Kerio VPN in-Служит для входящих VPN подключений.
3. Service Kerio VPN out-Служит для исходящих VPN подключений.
4. KerioControl WebAdmin-служит для подключения из глобальной сети через любой web браузер к Web администрированию KerioControl например имеем домен [Для просмотра данной ссылки нужно зарегистрироваться] так вот введя в строке браузера: [Для просмотра данной ссылки нужно зарегистрироваться] вы попадете в Web интерфейс KerioControl, а если добавите еще
https://Test.ru:4081/admin то попадете непосредственно в Web интерфейс администрирования KerioControl.(Это правило для того чтобы управлять KerioControl из любой точки мира где есть интернет не забываем при этом ставить стойкие пароли!На учетки администраторов KerioControl).
5. MAP Kerio_Connect _WebAdmin- это то же самое только для Почтового сервера для управления им из любой точки мира нужно в строке браузера ввести:
[Для просмотра данной ссылки нужно зарегистрироваться] (Так как в последних версиях KerioConnect полностью все управление перенесено в Web интерфейс то данное правило очень пригодиться).
6. MAP Kerio_Connect_WebMail -это правило служит для того чтобы любой пользователь компании мог получить доступ к своей почте через Web интерфейс из любого браузера в любой точки земли где есть интернет для этого всего лишь нужно ввести в браузере [Для просмотра данной ссылки нужно зарегистрироваться] и пользователь автоматически пере направиться на Web интерфейс KerioConnect где введя свой логин и пароль сможет пользоваться почтой.
7.MAP Http- служит для доступа на Web сервер который находиться внутри сети.
8. MAP SMTP-Служит для того чтобы SMTP пакеты шли на почтовый сервер который находиться в локальной сети.
9. NAT SMTP-Служит чтобы определенная группа IP адресов в которой должен быть и адрес Почтового сервера отправляла пакеты SMTP из локальной сети в глобальную.
10. NAT FTP -Служит
чтобы определенная группа IP адресов из локальной сети могла работать с FTP протоколом.
11.NAT ICQ -Служит чтобы определенная группа IP адресов имела возможность подключаться из локальной сети к серверам ICQ.
12. NAT Ping-Служит чтобы с любого компьютера в локальной сети можно было пропинговать не только внутренние ресурсы, но так же и внешний то есть ресурсы в сети интернет.
13. NAT Telnet-
Служит чтобы с любого компьютера в локальной сети можно было подключиться по Telnet к ресурсам в глобальной сети.
14. NAT- Служит чтобы пользователи могли работать с интернетом по протоколам http, https ,а также что бы была возможность DNS
запроса ко внешним DNS серверам глобальной сети.
15.Firewall Traffic-правило Фаервола то есть используя какие службы или порты сам фаервол подключается во внешний мир (В глобальную сеть).
Итак подведем итог, для начальной стадии данной информации предостаточно я буду добавлять полезную информацию по мере возможности.
192.168.0.99 - Почтовый Сервер.
192.168.0.100 -Web сервер.
[Для просмотра данной ссылки нужно зарегистрироваться] -это ваш домен! В моем случае это пример.
Соответственно меняем на свои конкретные адреса своих серверов.
Успехов в построении своих конфигураций.!
Изображения
Тип файла: jpg KerioControl.jpg (234.0 Кб, 3509 просмотров)
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 28.12.2010, 16:01   #2
slalom
Навичёг
 
Аватар для slalom
 
Регистрация: 26.11.2010
Адрес: Moscow
Сообщений: 44
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

ИМХО:
правило 15 перенести на 2 позицию (в целях оптимизации и ускорения работы именно шлюза)

объединить (в целях ускорения обработки правил):
5 и 8
12, 13, 14

имеет смысл, чтобы правил было меньше. а уж озаглавить их правильно и разобраться что-куда-откуда особого труда не составит.
__________________
А все так хорошо начиналось...
slalom вне форума   Ответить с цитированием Вверх
Старый 29.12.2010, 09:46   #3
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

Цитата:
Сообщение от slalom Посмотреть сообщение
ИМХО:
правило 15 перенести на 2 позицию (в целях оптимизации и ускорения работы именно шлюза)

объединить (в целях ускорения обработки правил):
5 и 8
12, 13, 14

имеет смысл, чтобы правил было меньше. а уж озаглавить их правильно и разобраться что-куда-откуда особого труда не составит.
Не нужно думать что ты умнее других,15 Значит 15, а каждый делает под себя 15т.к описывается каждое правило.)
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 19.01.2011, 12:23   #4
Skyner
Песака
 
Аватар для Skyner
 
Регистрация: 24.12.2010
Адрес: Ростов-на-Дону, Россия
Сообщений: 176
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

Цитата:
Сообщение от kuvl-vrn Посмотреть сообщение
Не нужно думать что ты умнее других,15 Значит 15, а каждый делает под себя 15т.к описывается каждое правило.)
Согласен. Каждый делает как кому удобно.
Skyner вне форума   Ответить с цитированием Вверх
Старый 10.02.2011, 18:12   #5
bit007
Песака
 
Аватар для bit007
 
Регистрация: 06.01.2011
Адрес: Красноярск
Сообщений: 72
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

1. ВПН соединений у меня нет
2 и 3 ненужны
4. управлять из иента Керио не требуется
5 и 6. так же
7 и 8 следоват тоже не нужны
9. почтовиками не пользуемся
10-14 объеденены во 2е правило
15. если Брандмавуэру назначение ставлю интернет, то вся сеть теряет выход в инет. Стоит любое назначение.

локальный трафик не считается.
Что не так в моих правилах?
правила:[Для просмотра данной ссылки нужно зарегистрироваться]
__________________
Казнить нельзя помиловать.
bit007 вне форума   Ответить с цитированием Вверх
Старый 11.02.2011, 12:45   #6
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию ДЛЯ ДОЛБАЕБОВ!

БЛЯДЬ! Этот топик не для постинга всякой чуши Если Настроить как представлены правила все работает! И Какого ХУЯ везде стоит "ЛЮБОЙ!????" не надо спрашивать почему не работает статистика если не понимаем как работают правила.Даже специально написал расписал и на принскрине все видно, нет похуй делают по своему и задумавыються а почему не чего не работает.
ЕЩЕ ОДИН ПОСТ в эту ТЕМУ с дебильным вопросом БУДЕТ БАН
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 31.03.2011, 21:31   #7
Morphey
Песака
 
Регистрация: 25.01.2010
Сообщений: 60
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

kuvl-vrn,в Воронеже все такие или Вы уникум? Раз позиционируете себя хорошо знающим продукт, объясните, почему Керио 7.1.0 patch 2 build 1694 на WinServ2008R2Ent на правиле "из локальной/довереной сети в инет любой службе" с распределением нагрузки по каналам, пропадает доступ в инет у локальных пользователей если включить "инспектор протокола"? На 2003-ем эти правила (перенес сохраненный конфиг средствами Керио) отлично работали с инспектором и без. Вынос отдельно правила НТТР, с включением НТТР инспектора так - же приводит к блокировке доступа. Включённый же на правиле, аналогичном Вашему 15-му, инспектор "по умолчанию" никаких проблем не вызывает. Переустановка/перенастройка Керио проблемы не решает, установка последней на текущей момент версии так - же проблему не решила, была заменена предидущей из-за недружелюбности к МакАфее.
И попрошу без высказываний на тему "долбоёбов", "пиздеть не мешки ворочать"!
Morphey вне форума   Ответить с цитированием Вверх
Старый 01.04.2011, 08:14   #8
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

Цитата
Сообщение от Morphey Посмотреть сообщение
kuvl-vrn,в Воронеже все такие или Вы уникум? Раз позиционируете себя хорошо знающим продукт, объясните, почему Керио 7.1.0 patch 2 build 1694 на WinServ2008R2Ent на правиле "из локальной/довереной сети в инет любой службе" с распределением нагрузки по каналам, пропадает доступ в инет у локальных пользователей если включить "инспектор протокола"? На 2003-ем эти правила (перенес сохраненный конфиг средствами Керио) отлично работали с инспектором и без. Вынос отдельно правила НТТР, с включением НТТР инспектора так - же приводит к блокировке доступа. Включённый же на правиле, аналогичном Вашему 15-му, инспектор "по умолчанию" никаких проблем не вызывает. Переустановка/перенастройка Керио проблемы не решает, установка последней на текущей момент версии так - же проблему не решила, была заменена предидущей из-за недружелюбности к МакАфее.
И попрошу без высказываний на тему "долбоёбов", "пиздеть не мешки ворочать"!
"Уникум" из Воронежа перешел на более продвинутые и сложные системы как ISA and TMG. Что касаемо вашей проблемы если у других такого не наблюдается то проблема соответственно у вас если это и у других то проблема в косяке продукта значит в тех подержку если имеется лиц!))
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 01.04.2011, 17:26   #9
Morphey
Песака
 
Регистрация: 25.01.2010
Сообщений: 60
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

kuvl-vrn, сервер живёт дома и мне ни к чему громоздить что - то сложное/продвинутое. Проблема эта, видимо, не только у меня, раз [Для просмотра данной ссылки нужно зарегистрироваться]. Сообщает о ней и консоль последней на текущий момент версии Керио. Но раз проблема проявляется только при влючённом инспекторе, возникает подозрение, что дело именно в ПО, а не ОС, вот и запостил здесь, в надежде на народных умельцев
Morphey вне форума   Ответить с цитированием Вверх
Старый 22.04.2011, 13:55   #10
VampirBFW
Редкостный Азизяй
 
Аватар для VampirBFW
 
Регистрация: 10.04.2008
Адрес: Ростов на Дону
Сообщений: 2,171
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

Да есть там такой косягг. Сам сижу жду, ты еще не пробовал инспектор протоколов включить на почтовый сервер. там вообще начинается веселье.
__________________
Сидит Дъвол в интернете и думает
Какой же я дурак, я просто идиот это же я должен был придумать! Это же так гениально!
2 скрижали с записями и 20 скрижалий срача в комментах!
VampirBFW вне форума   Ответить с цитированием Вверх
Старый 22.04.2011, 16:59   #11
Morphey
Песака
 
Регистрация: 25.01.2010
Сообщений: 60
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

VampirBFW,если ты мне, то нет, не пробовал. Нафиг мне почтовик дома )
Morphey вне форума   Ответить с цитированием Вверх
Старый 30.09.2011, 23:21   #12
Карапузик
Навичёг
 
Регистрация: 08.08.2010
Сообщений: 34
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

Ууу.. так значит я е один такой бедовый с "Инспектрором протокола"? такая же шляпа.. установил "По умолчанию" и ничего понять не мог.. все работает черех одно место, причем странно.. пинг шпарит нормально но доступ закрыт, ночь голову ломал...
Карапузик вне форума   Ответить с цитированием Вверх
Старый 01.10.2011, 07:50   #13
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,549
Поблагодарили 22 раз(а) в 16 сообщениях
По умолчанию

Цитата
Сообщение от Карапузик Посмотреть сообщение
Ууу.. так значит я е один такой бедовый с "Инспектрором протокола"? такая же шляпа.. установил "По умолчанию" и ничего понять не мог.. все работает черех одно место, причем странно.. пинг шпарит нормально но доступ закрыт, ночь голову ломал...
вы, блеать, хоть бы читали что на сайте Керио вообще пишут. А то на официальном сайте... на официальном сайте... у меня так тоже... Керио гавно... я песдатый арень... Хде правила, и конфигурации сетевых интерфейсов, нахера вы отрываете темы которые к вашей проблеме не имеют отношения? Заведите новую, оформите согласно правилам постинга, емае! И тогда вам помогут в 99% случаев
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 01.10.2011, 10:58   #14
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,689
Поблагодарили 171 раз(а) в 140 сообщениях
По умолчанию

Карапузик, в чём проблема??
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 01.10.2011, 11:16   #15
Карапузик
Навичёг
 
Регистрация: 08.08.2010
Сообщений: 34
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

Цитата:
Сообщение от EnMan Посмотреть сообщение
Керио гавно... я песдатый арень..
я где-то написал или то или другое? или про то что у меня что-то не работает?

Цитата:
Сообщение от naliman Посмотреть сообщение
в чём проблема??
да в том что инспектор протокола пришлось отключить на исходящие
после этого все заработало (2008R2) сейчас сижу копаю документацию, просто непонятны столь эмоциональные высказывания

Добавлено через 1 час 6 минут
Цитата
Сообщение от Morphey Посмотреть сообщение
Но раз проблема проявляется только при влючённом инспекторе, возникает подозрение, что дело именно в ПО, а не ОС, вот и запостил здесь, в надежде на народных умельцев
справедливости ради надо заметить что прблема имеет место быть если используются протоколы РРТР или РРР.. и связано и с ОС и с ПО о чем и написано (как раз моя проблема балансировка между двумя VPN-интерфейсами) но что-то с исправлением от МС не так, надо еще покопать, пока решилось отключением Протокол инспектора на данном источнике. Некоторое по этой проблеме здесь [Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось Карапузик; 01.10.2011 в 12:22. Причина: Добавлено сообщение
Карапузик вне форума   Ответить с цитированием Вверх
Старый 01.10.2011, 14:06   #16
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,549
Поблагодарили 22 раз(а) в 16 сообщениях
По умолчанию

Цитата
Сообщение от Карапузик Посмотреть сообщение
протокола пришлось отключить на исходящие
= отключить подсчет трафика, квотирование и все, что с этим связано. У меня несколько 2008R2 ни на одном я не сталкивался с подобным, т.к. везде прямая линковая сеть без каких то PPPoE или VPN до провайдера. Мое возмущение было вызвано большей часть некропостингом
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 01.10.2011, 15:38   #17
Карапузик
Навичёг
 
Регистрация: 08.08.2010
Сообщений: 34
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

Цитата:
Сообщение от EnMan Посмотреть сообщение
= отключить подсчет трафика, квотирование и все, что с этим связано. У меня несколько 2008R2 ни на одном я не сталкивался с подобным, т.к. везде прямая линковая сеть без каких то PPPoE или VPN до провайдера. Мое возмущение было вызвано большей часть некропостингом
ну скорее всего у Инспектора протокола есть функции позволяющие ему блокиовать трафик, иначе я никак не могу разобраться с этой проблемой, а именно: пока включен ПИ кроме пинга ничего не идет, после отключения ПИ работают оба VPN соединения
Карапузик вне форума   Ответить с цитированием Вверх
Старый 17.09.2012, 01:34   #18
Morphey
Песака
 
Регистрация: 25.01.2010
Сообщений: 60
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Как с умом настроить KerioControl For new system administrators

Почти год прошел, вышел 2012й сервер, а проблема так и осталась и переехала в него... Патч от Microsoft с у помянутой там правкой реестра проблемы не решил, здравствуй родной 2003й, SSD мужайся...
Morphey вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 05:34. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях