kerio-rus.ru - KWF в домене

Сеть выглядит примерно так:

qweqwe

Можно приступать к настройке :

1.  Первое что вам нужно сделать - установить продукт на компьютер ЖЕЛАТЕЛЬНО не являющийся Active Directory Domain Controller - ом, перегрузиться, зарегистрировать вашу версию и после этого приступить к конфигурации: открываем пункт меню "Interfaces":

 

назначения интерфейсов:
LAN - сетевуха , смотрящая в локальную сеть
INTERNET - сетевуха , смотрящая в ИНТЕРНЕТ и имеющая реальный IP

2. Переходим к самому главному - пункту TRAFFIC POLICY, где будем настраивать (в этом примере руками) доступ в интернет для локальной сети:

смысл полей и правил в целом: 

- поле SOURCE - ИСТОЧНИК трафика ( то есть КТО )
- поле
DESTINATION - получатель траффика ( то есть КУДА )
- поле
SRVICE - типа трафика ( протоколы) которые вы хотите разрешитьзапретить создаваемым правилом
- поле
ACTION - запретразрешение трафика для созданного правила
- поле
TRANSLATION - тут включается трансляция адреса ( NAT) и так же делается Port-mapping
- поле
VALID ON - тут можно выбрать в какой интервал времени действует данное правило ( интервалы времени можно определить в меню TIME RANGES ( в данной инструкции рассматривать не будем)
- поле
LOG - для включения записи в лог результата действия данного правила

- правило 1 разрешает серверу "ходить" в локалку
- правило 2 разрешает любой трафик из локалки на сервер
- правило 3 разрешает любой трафик от самого сервера в интернет
- правило 4 разрешает любой трафик из локалки в интерфейс , подключенный к интернету, то есть в инет, при этом включена трансляция адресов ( NAT) и пользователи имеют ПРОЗРАЧНЫЙ доступ в интернет по любому протоколу
- правило 5 разрешает доступ из интернета на сервер по HTTP и производит перенаправление пакетов на WEB-сервер, находящийся во внутренней сети (то есть внутренний веб-сервер становится доступен из сети интернет)
Примечание: правила обрабатываются сверху вниз и действуют по принципу " запрещено ВСЁ кроме разрешенного"

3. Пункт DNS FORVARDER - служит для включения перенаправления ДНС запросов ( для разрешения имён интернета) на указанные сервера + возможна настройка файла HOSTS

можно для определенных доменов и IP-диапазонов ( обычно если имеются всякие "дружественные" подсети ) настраивать жёсткую привязку к определенным ДНС:

для нормальной работы компьютеров в домене вы должны настроить ваш доменный DNS- сервер для пересылки неразрешенных запросов (НАПРИМЕР на адрес машины с Керио):

(это настраивается в свойствах ДНС в Win2k(3), при этом сервер не должен быть корневым)

(на машине с керио в свою очередь должен быть включен DNS Forwarding )

Вообще если вы настроите пересылку в доменном ДНС-е на ДНС-ы провайдера - это не будет неправильно, скорее будет более оптимально....

в статье показана пересылка на машину керио - ЛИШЬ ДЛЯ ПРИМЕРА!

4. В "URL GROUPS" можно создавать группы , в которые вносить сайты , схожие по содержанию ( например банерные сети, порноресурсы) и потом использовать эти группы для ограничения к ним доступа локальных пользователей ( будет показано чуть ниже):

на данной картинке создана группа "локал" и она содержит маску внутрисетевых ресурсов , далее мы к ним разрешим доступ БЕЗ авторизации)

на следующей картинке показаны HTTP - правила, с применением групп адресов:

первое правило разрешает всем локальным пользователям доступ БЕЗ авторизации к локальным ресурсам веб (например если на шлюзе поднят веб-сервер), второе правило разрешает автоматическое обновление антивирусов установленных на шлюзе (где наш керио) так же без авторизации, третье правило разрешает доступ снаружи к локальному сайту к определенным страницам(не показано), четвертое правило запрещает доступ к остальным страницам ( не указаным в группе), последнее правило позволяет прользователю "генка" доступ по HTTP - БЕЗ авторизации.

Контентные правила оставляем по умолчанию:

КЕШ отключаем нафиг:

на закладке PROXY отключаем непрозрачный (non-transparent) прокси , работающий на 3128 порту ( для данной конфигурации), закладку FORBIDDEN WORDS не трогаем:

5. переходим к пункту ANTIVIRUS  и отключаем его (грузит машину, из-за него не работает докачка, да ещё ХЗ ваще он работает или нет):


следующая закладка для настроек какое содержимое будет сканировать антивирь ( если включён конечно же ):

можно настроить отсылку сообщений на мыло администратора ( или там например вашего начальника) когда антивирус кериовский обнаружит в почтовом трафике (который в принципе проходит через ваш шлюз) вирусы + он ( керио) может вставлять в тему письма предупреждающее слово ( ***VIRUS*** ):

6. пункт меню ADDRESS GROUPS служит для составления групп адресов локальных или интернетовских, эти группы адресов можно применять в политиках трафика для создания "индивидуальных" правил (запрещать или разрешать кому либо или всем доступ к этим адресным группам):

 

7. в меню TIME RANGES настраиваются временные интервалы , которые потом могут быть указаны в политиках трафика для действия правил в указанные часы( интервалы):

8. Меню SERVICES:

список всевозможных "сервисов", которые применяются в трафикполисях ( собственноговоря применяются в настройках пакетного фильтра), красным обведено включённое использоватние так называемого "протоколинспектора", призванного следить за "правильностью" пакетов и отличать настоящий трафик от "ложного"

Пример создания нового "сервиса" для винрута  с названием "http ( на нестандартном порту)", это обычно нужно если требуется выхад в интернет некоторым сервисам, работающим на НЕСТАНДАРТНОМ порту:

9. меню ADVANCED OPTIONS:

отключаем все галочки

включаем встроенный web-интерфейс, через который будет происходить авторизация пользователей

в общем настройки ISS ( оранж фильтра ) заключаются в его включении...
что бы осуществлялась фильтрация содержимого и запрет сайтов по категориям - создаётся в HTTP-Rules соответсвующее правило

настроечки для автоматической проверки новых версий

тут настраиваем через какой почтовый сервер винроут сможет отправлять письма ( предупреждения о найденых вирусах в почтовом трафике + всевозможные алерты)

тут включаем пользовательскую статистику

Настраиваем логи:

Ниже показано как сделать Алерт ( который пошлётся по имайлу ) , сообщающий о начале сканирования портов:

9. меню  USERS и GROUP - там вы создаете пользователей и группы, распихиваете пользователей по группам, это сделано для того, что бы можно было делать разные трафик полиси для пользователей\групп, а так же применять HTTP -правила доступа для юзеров\групп индивидуально

на картиночке так же показано как "привязать" пользователя к опредеренному IP (или имени компа) , в этом случае будет происходить АВТОМАТИЧЕСКАЯ АВТОРИЗАЦИЯ и весь трафик от указанного IP (компа) будет ассоциироваться с данным пользователем и начисляться в его ( пользовательскую) статистику.
в общем тут всё понятно

10. Включаем обязательную HTTP-авторизацию

ставим галочку для того что бы всегда запрашивалась авторизация перед посещением страниц интернета

Можно настроить авторизацию пользователей из домена:

11. последнее что нам остается сделать - настроить компьютеры локальной сети для того что бы они ходили в инет через наш УЖЕ настроенный Kerio Winroute Firewall, являющимся роутером + NAT в интернет

приведен скриншот настройки одного из пользовательских компьютеров:

НА КЛИЕНТАХ:

в качестве ОСНОВНОГО ШЛЮЗА  указываете адрес вашего КЕРИО-маршрутизатора ,
а в качестве ПРЕДПОЧИТАЕМОГО ДНС СЕРВЕРА следует указывать ТОЛЬКО АДРЕС ЛОКАЛЬНОГО DNS

P.S. 

данные настройки приведены в самом простом  виде, думать практически не надо, тупо по картинкам настроил и будет работать, если кто-то чего то для своих нужд не нашёл среди картинок - попробуйте подумать головой.

(C) Kerio-rus.ru