Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall) > Рабочие конфигурации

Важная информация

Закрытая тема
 
Опции темы
Старый 20.10.2010, 03:06   #1
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию Как с умом настроить KerioControl For new system administrators

Уважаемые коллеги, вот и пришел новый этап в познаниях передового программного продукта KerioControl., Я в деталях постараюсь разобрать, как правильно создавать правила для чего они нужны и как их правильно применить и что не мало важно научу их понимать.
В первую очередь напомню тем кто забыл, а так же тем кто не знал, что правила в KerioControl обрабатываются сверху в низ это не мало важно в планировании и создании правил.
Итак приступим в начале я хочу вас научить читать правила и понимать, все правила создаются по "Типовому образцу" запомнив который вы сможете далее самостоятельна создавать рабочии конфигурации. В начале идет Имя правила сюда вы вводите для себя название правила,следующий пункт "Источник" здесь нужно задуматься и понять откуда поток данных пойдет это может быть из локальной сети, из интернета, из VPN туннеля или от VPN пользователя,а так же не забываем сам Firewall, следующий пункт "Назначение" по аналогии с источником данные могут направляться в следующих направлениях в локальную сеть, в интернет, в VPN туннель, VPN пользователю или на сам Firewall. Следующий пункт "Служба" Здесь советую указывать не посредственно службу или порт который должен использоваться для конкретного правила "Любой" Можно указать только для Локального трафика! в остальных случаях это делать не нужно в целях безопасности. Следующий пункт "Действие" тут можно выбрать один из 3х параметров разрешить, отказать или удалить выбираете соответственно то что вам требуется.Следующий пункт "Журнал" Тут ОБЯЗАТЕЛЬНО во всех правилах ставим галочку где регистрация соединений это Важно!.Следующий пункт "Трансляция" здесь вы должны понимать, что если пакеты идут из локальной сети в интернет то используется NAT, еже ли пакеты идут из интернета в локальную сеть применяется MAP в в других ситуациях в большинстве не ставиться не NAT не MAP например если пакеты идут от фаервола в интернет или в локальную сеть.Следующий пункт "Верно для" здесь можно задать временной интервал в который определенное правило будет работать.Заключительным пунктом является "Протокол инспектор" по умолчанию вкладка скрыта ее можно легко отобразить выбрав изменить колонки. Протокол инспектор в большинстве случаев включен по умолчанию, но существует множество ситуаций когда его нужно выключать например при работе правила которое предоставляет доступ Банк Клиенту. Также протокол инспектор отключается для Локального трафика(Local Traffic)!
Теперь Запомните следующее:
Название--Откуда---Куда--что---действие--логирование----каким методом---в какое время.
Это я написал для того что легче воспринимать правила и также помогает при их создании.
Ниже я Приведу "15 Золотых правил достижения успеха" и конечно же поясню для чего каждое правило создавалось.
Итак.
1. Local Traffic- стандартное правило для локального трафика создаеться мастером позволяет потоку информации двигаться в "локальном периметре" без преград и ограничений.
2. Service Kerio VPN in-Служит для входящих VPN подключений.
3. Service Kerio VPN out-Служит для исходящих VPN подключений.
4. KerioControl WebAdmin-служит для подключения из глобальной сети через любой web браузер к Web администрированию KerioControl например имеем домен [Для просмотра данной ссылки нужно зарегистрироваться] так вот введя в строке браузера: [Для просмотра данной ссылки нужно зарегистрироваться] вы попадете в Web интерфейс KerioControl, а если добавите еще
https://Test.ru:4081/admin то попадете непосредственно в Web интерфейс администрирования KerioControl.(Это правило для того чтобы управлять KerioControl из любой точки мира где есть интернет не забываем при этом ставить стойкие пароли!На учетки администраторов KerioControl).
5. MAP Kerio_Connect _WebAdmin- это то же самое только для Почтового сервера для управления им из любой точки мира нужно в строке браузера ввести:
[Для просмотра данной ссылки нужно зарегистрироваться] (Так как в последних версиях KerioConnect полностью все управление перенесено в Web интерфейс то данное правило очень пригодиться).
6. MAP Kerio_Connect_WebMail -это правило служит для того чтобы любой пользователь компании мог получить доступ к своей почте через Web интерфейс из любого браузера в любой точки земли где есть интернет для этого всего лишь нужно ввести в браузере [Для просмотра данной ссылки нужно зарегистрироваться] и пользователь автоматически пере направиться на Web интерфейс KerioConnect где введя свой логин и пароль сможет пользоваться почтой.
7.MAP Http- служит для доступа на Web сервер который находиться внутри сети.
8. MAP SMTP-Служит для того чтобы SMTP пакеты шли на почтовый сервер который находиться в локальной сети.
9. NAT SMTP-Служит чтобы определенная группа IP адресов в которой должен быть и адрес Почтового сервера отправляла пакеты SMTP из локальной сети в глобальную.
10. NAT FTP -Служит
чтобы определенная группа IP адресов из локальной сети могла работать с FTP протоколом.
11.NAT ICQ -Служит чтобы определенная группа IP адресов имела возможность подключаться из локальной сети к серверам ICQ.
12. NAT Ping-Служит чтобы с любого компьютера в локальной сети можно было пропинговать не только внутренние ресурсы, но так же и внешний то есть ресурсы в сети интернет.
13. NAT Telnet-
Служит чтобы с любого компьютера в локальной сети можно было подключиться по Telnet к ресурсам в глобальной сети.
14. NAT- Служит чтобы пользователи могли работать с интернетом по протоколам http, https ,а также что бы была возможность DNS
запроса ко внешним DNS серверам глобальной сети.
15.Firewall Traffic-правило Фаервола то есть используя какие службы или порты сам фаервол подключается во внешний мир (В глобальную сеть).
Итак подведем итог, для начальной стадии данной информации предостаточно я буду добавлять полезную информацию по мере возможности.
192.168.0.99 - Почтовый Сервер.
192.168.0.100 -Web сервер.
[Для просмотра данной ссылки нужно зарегистрироваться] -это ваш домен! В моем случае это пример.
Соответственно меняем на свои конкретные адреса своих серверов.
Успехов в построении своих конфигураций.!
Изображения
Тип файла: jpg KerioControl.jpg (234.0 Кб, 3589 просмотров)
__________________
_____________
керио
kuvl-vrn вне форума   Вверх
Старый 28.12.2010, 16:01   #2
slalom
Навичёг
 
Аватар для slalom
 
Регистрация: 26.11.2010
Адрес: Moscow
Сообщений: 44
По умолчанию

ИМХО:
правило 15 перенести на 2 позицию (в целях оптимизации и ускорения работы именно шлюза)

объединить (в целях ускорения обработки правил):
5 и 8
12, 13, 14

имеет смысл, чтобы правил было меньше. а уж озаглавить их правильно и разобраться что-куда-откуда особого труда не составит.
__________________
А все так хорошо начиналось...
slalom вне форума   Вверх
Старый 29.12.2010, 09:46   #3
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию

Цитата:
Сообщение от slalom Посмотреть сообщение
ИМХО:
правило 15 перенести на 2 позицию (в целях оптимизации и ускорения работы именно шлюза)

объединить (в целях ускорения обработки правил):
5 и 8
12, 13, 14

имеет смысл, чтобы правил было меньше. а уж озаглавить их правильно и разобраться что-куда-откуда особого труда не составит.
Не нужно думать что ты умнее других,15 Значит 15, а каждый делает под себя 15т.к описывается каждое правило.)
__________________
_____________
керио
kuvl-vrn вне форума   Вверх
Старый 19.01.2011, 12:23   #4
Skyner
Песака
 
Аватар для Skyner
 
Регистрация: 24.12.2010
Адрес: Ростов-на-Дону, Россия
Сообщений: 176
По умолчанию

Цитата:
Сообщение от kuvl-vrn Посмотреть сообщение
Не нужно думать что ты умнее других,15 Значит 15, а каждый делает под себя 15т.к описывается каждое правило.)
Согласен. Каждый делает как кому удобно.
Skyner вне форума   Вверх
Старый 10.02.2011, 18:12   #5
bit007
Песака
 
Аватар для bit007
 
Регистрация: 06.01.2011
Адрес: Красноярск
Сообщений: 72
По умолчанию

1. ВПН соединений у меня нет
2 и 3 ненужны
4. управлять из иента Керио не требуется
5 и 6. так же
7 и 8 следоват тоже не нужны
9. почтовиками не пользуемся
10-14 объеденены во 2е правило
15. если Брандмавуэру назначение ставлю интернет, то вся сеть теряет выход в инет. Стоит любое назначение.

локальный трафик не считается.
Что не так в моих правилах?
правила:[Для просмотра данной ссылки нужно зарегистрироваться]
__________________
Казнить нельзя помиловать.
bit007 вне форума   Вверх
Старый 11.02.2011, 12:45   #6
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию ДЛЯ ДОЛБАЕБОВ!

БЛЯДЬ! Этот топик не для постинга всякой чуши Если Настроить как представлены правила все работает! И Какого ХУЯ везде стоит "ЛЮБОЙ!????" не надо спрашивать почему не работает статистика если не понимаем как работают правила.Даже специально написал расписал и на принскрине все видно, нет похуй делают по своему и задумавыються а почему не чего не работает.
ЕЩЕ ОДИН ПОСТ в эту ТЕМУ с дебильным вопросом БУДЕТ БАН
__________________
_____________
керио
kuvl-vrn вне форума   Вверх
Старый 31.03.2011, 22:31   #7
Morphey
Песака
 
Аватар для Morphey
 
Регистрация: 25.01.2010
Сообщений: 60
По умолчанию

kuvl-vrn,в Воронеже все такие или Вы уникум? Раз позиционируете себя хорошо знающим продукт, объясните, почему Керио 7.1.0 patch 2 build 1694 на WinServ2008R2Ent на правиле "из локальной/довереной сети в инет любой службе" с распределением нагрузки по каналам, пропадает доступ в инет у локальных пользователей если включить "инспектор протокола"? На 2003-ем эти правила (перенес сохраненный конфиг средствами Керио) отлично работали с инспектором и без. Вынос отдельно правила НТТР, с включением НТТР инспектора так - же приводит к блокировке доступа. Включённый же на правиле, аналогичном Вашему 15-му, инспектор "по умолчанию" никаких проблем не вызывает. Переустановка/перенастройка Керио проблемы не решает, установка последней на текущей момент версии так - же проблему не решила, была заменена предидущей из-за недружелюбности к МакАфее.
И попрошу без высказываний на тему "долбоёбов", "пиздеть не мешки ворочать"!
Morphey вне форума   Вверх
Старый 01.04.2011, 09:14   #8
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию

Цитата
Сообщение от Morphey Посмотреть сообщение
kuvl-vrn,в Воронеже все такие или Вы уникум? Раз позиционируете себя хорошо знающим продукт, объясните, почему Керио 7.1.0 patch 2 build 1694 на WinServ2008R2Ent на правиле "из локальной/довереной сети в инет любой службе" с распределением нагрузки по каналам, пропадает доступ в инет у локальных пользователей если включить "инспектор протокола"? На 2003-ем эти правила (перенес сохраненный конфиг средствами Керио) отлично работали с инспектором и без. Вынос отдельно правила НТТР, с включением НТТР инспектора так - же приводит к блокировке доступа. Включённый же на правиле, аналогичном Вашему 15-му, инспектор "по умолчанию" никаких проблем не вызывает. Переустановка/перенастройка Керио проблемы не решает, установка последней на текущей момент версии так - же проблему не решила, была заменена предидущей из-за недружелюбности к МакАфее.
И попрошу без высказываний на тему "долбоёбов", "пиздеть не мешки ворочать"!
"Уникум" из Воронежа перешел на более продвинутые и сложные системы как ISA and TMG. Что касаемо вашей проблемы если у других такого не наблюдается то проблема соответственно у вас если это и у других то проблема в косяке продукта значит в тех подержку если имеется лиц!))
__________________
_____________
керио
kuvl-vrn вне форума   Вверх
Старый 01.04.2011, 18:26   #9
Morphey
Песака
 
Аватар для Morphey
 
Регистрация: 25.01.2010
Сообщений: 60
По умолчанию

kuvl-vrn, сервер живёт дома и мне ни к чему громоздить что - то сложное/продвинутое. Проблема эта, видимо, не только у меня, раз [Для просмотра данной ссылки нужно зарегистрироваться]. Сообщает о ней и консоль последней на текущий момент версии Керио. Но раз проблема проявляется только при влючённом инспекторе, возникает подозрение, что дело именно в ПО, а не ОС, вот и запостил здесь, в надежде на народных умельцев
Morphey вне форума   Вверх
Старый 22.04.2011, 14:55   #10
VampirBFW
Редкостный Азизяй
 
Аватар для VampirBFW
 
Регистрация: 10.04.2008
Адрес: Ростов на Дону
Сообщений: 2,171
По умолчанию

Да есть там такой косягг. Сам сижу жду, ты еще не пробовал инспектор протоколов включить на почтовый сервер. там вообще начинается веселье.
__________________
Сидит Дъвол в интернете и думает
Какой же я дурак, я просто идиот это же я должен был придумать! Это же так гениально!
2 скрижали с записями и 20 скрижалий срача в комментах!
VampirBFW вне форума   Вверх
Старый 22.04.2011, 17:59   #11
Morphey
Песака
 
Аватар для Morphey
 
Регистрация: 25.01.2010
Сообщений: 60
По умолчанию

VampirBFW,если ты мне, то нет, не пробовал. Нафиг мне почтовик дома )
Morphey вне форума   Вверх
Старый 01.10.2011, 00:21   #12
Карапузик
Навичёг
 
Аватар для Карапузик
 
Регистрация: 08.08.2010
Сообщений: 34
По умолчанию

Ууу.. так значит я е один такой бедовый с "Инспектрором протокола"? такая же шляпа.. установил "По умолчанию" и ничего понять не мог.. все работает черех одно место, причем странно.. пинг шпарит нормально но доступ закрыт, ночь голову ломал...
Карапузик вне форума   Вверх
Старый 01.10.2011, 08:50   #13
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию

Цитата
Сообщение от Карапузик Посмотреть сообщение
Ууу.. так значит я е один такой бедовый с "Инспектрором протокола"? такая же шляпа.. установил "По умолчанию" и ничего понять не мог.. все работает черех одно место, причем странно.. пинг шпарит нормально но доступ закрыт, ночь голову ломал...
вы, блеать, хоть бы читали что на сайте Керио вообще пишут. А то на официальном сайте... на официальном сайте... у меня так тоже... Керио гавно... я песдатый арень... Хде правила, и конфигурации сетевых интерфейсов, нахера вы отрываете темы которые к вашей проблеме не имеют отношения? Заведите новую, оформите согласно правилам постинга, емае! И тогда вам помогут в 99% случаев
__________________
керио
EnMan вне форума   Вверх
Старый 01.10.2011, 11:58   #14
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,486
По умолчанию

Карапузик, в чём проблема??
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Вверх
Старый 01.10.2011, 12:16   #15
Карапузик
Навичёг
 
Аватар для Карапузик
 
Регистрация: 08.08.2010
Сообщений: 34
По умолчанию

Цитата:
Сообщение от EnMan Посмотреть сообщение
Керио гавно... я песдатый арень..
я где-то написал или то или другое? или про то что у меня что-то не работает?

Цитата:
Сообщение от naliman Посмотреть сообщение
в чём проблема??
да в том что инспектор протокола пришлось отключить на исходящие
после этого все заработало (2008R2) сейчас сижу копаю документацию, просто непонятны столь эмоциональные высказывания

Добавлено через 1 час 6 минут
Цитата
Сообщение от Morphey Посмотреть сообщение
Но раз проблема проявляется только при влючённом инспекторе, возникает подозрение, что дело именно в ПО, а не ОС, вот и запостил здесь, в надежде на народных умельцев
справедливости ради надо заметить что прблема имеет место быть если используются протоколы РРТР или РРР.. и связано и с ОС и с ПО о чем и написано (как раз моя проблема балансировка между двумя VPN-интерфейсами) но что-то с исправлением от МС не так, надо еще покопать, пока решилось отключением Протокол инспектора на данном источнике. Некоторое по этой проблеме здесь [Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось Карапузик; 01.10.2011 в 13:22. Причина: Добавлено сообщение
Карапузик вне форума   Вверх
Старый 01.10.2011, 15:06   #16
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию

Цитата
Сообщение от Карапузик Посмотреть сообщение
протокола пришлось отключить на исходящие
= отключить подсчет трафика, квотирование и все, что с этим связано. У меня несколько 2008R2 ни на одном я не сталкивался с подобным, т.к. везде прямая линковая сеть без каких то PPPoE или VPN до провайдера. Мое возмущение было вызвано большей часть некропостингом
__________________
керио
EnMan вне форума   Вверх
Старый 01.10.2011, 16:38   #17
Карапузик
Навичёг
 
Аватар для Карапузик
 
Регистрация: 08.08.2010
Сообщений: 34
По умолчанию

Цитата:
Сообщение от EnMan Посмотреть сообщение
= отключить подсчет трафика, квотирование и все, что с этим связано. У меня несколько 2008R2 ни на одном я не сталкивался с подобным, т.к. везде прямая линковая сеть без каких то PPPoE или VPN до провайдера. Мое возмущение было вызвано большей часть некропостингом
ну скорее всего у Инспектора протокола есть функции позволяющие ему блокиовать трафик, иначе я никак не могу разобраться с этой проблемой, а именно: пока включен ПИ кроме пинга ничего не идет, после отключения ПИ работают оба VPN соединения
Карапузик вне форума   Вверх
Старый 17.09.2012, 02:34   #18
Morphey
Песака
 
Аватар для Morphey
 
Регистрация: 25.01.2010
Сообщений: 60
По умолчанию Re: Как с умом настроить KerioControl For new system administrators

Почти год прошел, вышел 2012й сервер, а проблема так и осталась и переехала в него... Патч от Microsoft с у помянутой там правкой реестра проблемы не решил, здравствуй родной 2003й, SSD мужайся...
Morphey вне форума   Вверх
Старый 23.10.2018, 11:01   #19
vva
 
Аватар для vva
 
Регистрация: 03.09.2018
Сообщений: 5
По умолчанию Re: Как с умом настроить KerioControl For new system administrators

Цитата:
Сообщение от EnMan Посмотреть сообщение
вы, блеать, хоть бы читали что на сайте Керио вообще пишут. А то на официальном сайте... на официальном сайте... у меня так тоже... Керио гавно... я песдатый арень... Хде правила, и конфигурации сетевых интерфейсов, нахера вы отрываете темы которые к вашей проблеме не имеют отношения? Заведите новую, оформите согласно правилам постинга, емае! И тогда вам помогут в 99% случаев
Вот честно, просто зашел почитать, узнать и т.д. Но вот после таких КОМЕНТОВ как-то расхотелось (как там у Вас БЛЕАТЬ).
vva вне форума   Вверх
Старый 23.10.2018, 11:54   #20
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,561
По умолчанию Re: Как с умом настроить KerioControl For new system administrators

Цитата
Сообщение от vva Посмотреть сообщение
Вот честно, просто зашел почитать, узнать и т.д. Но вот после таких КОМЕНТОВ как-то расхотелось (как там у Вас БЛЕАТЬ).

это местная специфика.

тут уже нет официальной техподдержки, но есть люди, которых достало более чем частое игнорирование простейших правил форума.
Без мата и прочей радости есть статьи kerio kb от разрабов
а что у тебя был за вопрос-то?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar на форуме   Вверх
Закрытая тема


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 17:12. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях