kerio-rus.ru - KWF как шлюз для нескольких сетей

Итак, предположим стоит следующая задача:
1. Имеется локальная сеть "Local" (192.168.0.1 mask 255.255.255.0)
2. Имеется выделенный сервер Kerio Winroute Firewall (192.168.1.111) с несколькими внешними адресами (111.111.111.111; 222.222.222.222).
3. Имеется вторая локальная сеть "LAN1" (172.25.0.0 mask 255.255.255.0)
4. В сети "Local" располагается корпоративный почтовый сервер, доступный их интернета, обслуживающий сеть "Local".
5. В сети "Local" находится WEB-сервер с сайтами http://site.ru и http://site1.ru, которые должны быть доступны из сети интернет.
6. В сети "LAN1" так же имеется свой почтовый сервер, который должен быть доступен из интернета.

  


Необходимо:
1. Дать сети "LAN1" доступ в интернет через имеющийся сервер KWF.
2. Ограничить для "LAN1" интернет-канал в 1000 kbps
3. У
читывать интернет-трафик (для обеих сетей).
4. Разграничить доступ из одной сети в другую:
4.1 Сеть "Local" имеет неограниченный доступ в сеть "LAN1" и неограниченный доступ в интернет.
4.2 Сеть "LAN1" имеет доступ только к серверам сети "Local" по определенным протокоам (например HTTP, FTP, RDP).
4.3 Для сети "LAN1" запретить возможность пользования Web-mail (mail.ru и т.п.).

Итак, начнем:

1. Интерфейсы
На сервере имеем несколько интерфейсов:
Internet - интерфейс "смотрящи в интернет" и имеющий несколько реальных адресов (для примера будем использовать 111.111.111.111 и 222.222.222.222).
Local - интерфейс "смотрящий" в локальную сеть.
LAN1 - интерфейс "смотрящий" вовторую сеть.



2. Traffic policy
Поясню смысл политик трафика которыфе видите на картинке ниже:
- Local Traffik - тут понятно, разрешён трафик между локальной сетью и файрволом
- Local Traffic 2  - разрешён трафик между сетью LAN1 и  файрволом (сервером керио)
- Firewall 2 Internet - разрешается весь трафик от файрвола в интернет
- SMTP IN 1 - правило, которое разрешает входящий (сто стороны интернета) трафик SMTP (для почты) на IP-адрес 111.111.111.111 и перебрасывает (включен portmapping) этот трафик на почтовый сервер находящийся внутри сети Local.
- HTTP IN - это правило разрешает WEB-трафик из интернета на файрволл (в частности на его внешний IP адрес 111.111.111.111) и этот трафик "мапится" на веб-сервер, находящийся в сети "Local"
- SMTP IN 2 - данное правило разрешает SMTP трафик из интернета уже на ДРУГОЙ внешний IP - адрес (222.222.222.222) и мапит этот трафик на постовый сервер, находящийся уже в сети "LAN1"
- Local 2 Internet - правило разрешающее сети "Local" ходить в интернет через NAT
- LAN1 2 Internet - правило  пускает сеть "LAN1" в интернет так же через NAT
- Local 2 LAN1 - правило разрешает любой трафик из сети Local  в сеть LAN1
- LAN1 2 Local  - правило разрешает только HTTP, FTP, RDP трафик из сети LAN1 в сеть Local и только на группу адресов "Local Servers".
- Ну и последнее дефолтное правило, которое запрещает весь трафик который вы забыли разрешить ручками


2.1 Группы адресов
LAN1
- группа, соответствующяс адресу сети LAN1
Local Servers - группа IP адресов серверов сети Local (используется как пункт назначения в политиках трафика в правиле "LAN1 2 Local")



3. HTTP Policy

3.1 URL Grops
Создаётся группа Local WEB с URL сайтов, которые "крутятся" на веб-сервере расположенном в сети Local


3.2 Создаётся HTTP-правило, которое разрешает доступ без авторизации к ранее созданной URL-группе сайтов




3.3 Создаётся HTTP-правило, запрещающее WEB-mail для сети LAN1, при этом используется встроенный модуль ISS (ранее назывался Cobian), при этом все запросы к запрещённым сайтам - редиректятся  на сайт site.ru:









в итоге получаются 2 HTTP-правила:


4. TMeter
Именно его будем использовать для подсчёта трафика и ограничения скорости

4.1 Включаем "активный" режим, только в этом режиме возможно ограничение скорости и корректро считается исходящий траффик, для подсчёта трафика будут задействованы все три интерфейса на сервере Керио:


4.2 Сразу вносятся адреса локальныйх сетей в таблицу LAT для правильнойц работы счётчиков трафика:


4.3 Далее создаются фильтры для подсчёта трафика сети LAN1 и сети Local


в правиле фильтра Local 2 internet задается в качестве источника - IP сеть соответствующая сети "Local", в качестве назначения - указываются "адреса глобальной сети", считатеся ВЕСЬтарфик (то есть любой IP-протокол), остальное как на картинке:



В правиле LAN1 to Internet включается ограничение скорости 128 КБайт\сек что соответствует посталенному условию 2ограничить дла сетя LAN1 интернет канал полосой 1024 kbps:



В прваиле фильтра источником указыватся IP-сеть LAN1, назначение - "IP адреса глоб. сети", подсчёт ведётся для любого IP-протокола, остальное ка на картинке:


в итоге получаем два счётчика трафика - для сети Local и для сети LAN1:

 


(C) Kerio-rus.ru