Kerio winroute firewall настроить в качестве шлюза. Настройка Kerio winroute firewall для работы с p2p. И последнее правило
В данной статье отображена детальная настройка KWF для создания активного подключения с p 2 p .
Прежде чем приступить к настройке KWF , убедитесь, что если модем настроен роутером, то в нем сделан маппинг портов на сервер с KWF , если модем настроен в режиме моста, то ничего делать не надо.
1. Настройка Kerio winroute firewall
Резервное копирование автоматизировано и не требует вмешательства администратора.
- Адрес сервера: 1 - Помните данные пользователя.
- Проверьте, активна ли кнопка блокировки и неправильный пароль.
- Если открыто приглашение ввода.
- Откроется приглашение ввода.
2. Настройка Traffic Police
1. Настройка Kerio winroute firewall
В Traffic Police создаем правила для сервера:
первое правило настраивает сервер с KWF на отдачу информации, т.е. на отдачу файлов по TCP 1234 и отправку поисковых запросов по порту UDP 1234.
второе правило настраивает сервер с KWF на прием информации от хаба и на прием информации по порту TCP 1234, для приема поисковых запросов открыт UDP 1234.
Устранение неполадок на стороне клиента
Как это делается, объясняется в ответе на следующий вопрос. В локальной сети разрешение имен также работает с помощью имени компьютера. Вход должен также работать. 
Давайте укажем, как микрофоны могут получить доступ к общей сети. Общая сеть с фиксированным адресом.
Общая сеть с автоматической адресацией. Заполните описание, первый адрес, используя наш пример, мы бы. Блокировать доступ и содержимое. Для этого мы создадим список с ключевыми словами, которые соответствуют страницам, которые мы хотим заблокировать. Нажмите «Добавить».
Во втором правиле, в столбце Translation указываем, что маппинг портов идет на компьютер, на котором установлен сервер KWF и программа для работы с p 2 p .
Хочу оговориться, что в правиле DC ++ на отдачу открыт только TCP 1234, соответственно скачивать информацию с Вас могут только те пользователи хаба, кто в настройках программы указал порт TCP 1234. Для тех кто находится в пассиве это неважно. Для того, что бы могли качать и другие пользователи, нужно открыть диапазон портов с 1024 по 65535, но это уже на ваше усмотрение, потому что лишний открытый порт – лишняя лазейка в ваш компьютер.
Введите имя правил правила блока. Для паузы вручную достаточно соединения. Чтобы снова запустить соединение. Мастер появится во время установки. Чтобы вручную настроить или изменить настройки подключения. Каковы свойства этих популярных продуктов? Система предотвращения атак защищает ваши серверы от интернет-атак более эффективно, чем когда-либо прежде. Их легко определить и обеспечить полную проверку всех исходящих и входящих интернет-сообщений. Используя мастер правил связи, брандмауэр можно настроить быстро и легко.
Блокировать доступ к веб-страницам
Контроль доступа пользователями
Одно подключение к Интернету может использоваться несколькими пользователями. Администрирование, оповещения, статистика. Для каждого важного события администратор получает специальное электронное сообщение. Четкие графики и статистика позволяют легко локализовать проблемы и эффективную ориентацию. Виртуализация позволяет малым и средним предприятиям использовать только один мощный сервер, обеспечивающий большую стабильность при одновременном снижении затрат на оборудование и электроэнергию.Переходим на вкладку Advanced options , выбираем кладку P 2 P Eliminator . На этой вкладке выбираем пункт Block traffic except the predefined services , потом собственно жмем на кнопку Services …
Выбираем здесь интересующий наш service DC ++
настройки клиента:
2. Настройка Traffic Police для локального компьютера в сети.
Система обнаружения и предотвращения нападений. Прозрачный контроль всей сетевой связи между локальной сетью и Интернетом. Захваченные попытки атаки могут быть заблокированы, зарегистрированы или проигнорированы в зависимости от их уровня серьезности. На любом сетевом интерфейсе брандмауэра вы можете настроить группу устройств, к которой разрешен доступ, или который отключен с другой стороны. Лицензия позволяет каждому пользователю использовать до 5 различных устройств. Защитите серверы из Интернета, не создавая демилитаризованную зону.
По аналогии с сервером настраиваем правила Traffic Police на локальный компьютер в сети,
Пример показывает, что компьютер с адресом 192.168.2.2 подключается к хабу по порту 1236, за это отвечает второе правило. Маппинг портов в этом правиле делается на компьютер с адресом 192.168.2.2
Клиента p 2 p на этой машине настраиваем на порт 1236.
По аналогии с сервером качать с этой машины могут только те активные пользователи, которые подключены по порту 1234, это следует из первого правила. Для пассивных неважно.
При проверке всех этих правил, я выяснил, что если у пользователя хаба стоит в настройках клиента прямое подключение, то у него диапазон портов по которым он качает с других, выбирается случайным образом при каждом запуске программы, из диапазона 1024-65535, поэтому, чтобы он мог качать с Вас, то необходимо расширить диапазон портов, но это уже оставляю на Ваше усмотрение.
Адаптация: hex
Перед тем, как что-то делать с правилами, необходимо настроить сетевые интерфейсы по-человечески, так что кто не читал статью , сделайте это сейчас.
Все ниженаписанное было испробовано на версии KWF 6.2.1, но будет работать и на всех версиях 6.xx, для следующих версий если и будут изменения, то не думаю, что значительные.
Итак, сетевые интерфейсы настроены, Kerio Winroute Firewall установлен, первое, что делаем, заходим в Configuration > Traffic Policy и запускаем Wizard. Даже если до этого вы его уже запускали. Мы же делаем правильно, так?
1. С первым и вторым шагами визарда все понятно, на третьем выбираем внешний сетевой интефейс (Internet Interface, Wizard почти всегда сам определяет его правильно).
2.
Далее, шаг четветый, самый важный.
По умолчанию KWF предлагает вариант «Allow access to all services (no limitations)», но! Постоянно сталкиваемся с тем, что такие правила KWF обрабатыват мягко говоря странно, проблемы с сервисом 🙂 ANY
сплошь и рядом.
Поэтому выбираем второй вариант, Allow access to the following services only . Неважно, что KWF вам возможно предложит немного не те сервисы, какие вам нужны, но все это можно добавить или убрать позднее.
3. На пятом шаге создаем правила для VPN, те кому они не нужны, могут убрать галки. Но опять же можно это сделать и потом, если не уверены.
4.
Шаг 6-й, тоже довольно важный. Здесь создаем правила для тех сервисов, которые должны быть доступы извне, из Интернета. Советую добавить хотя бы парочку сервисов, вам самим потом проще будет увидеть, как строится такое правило.
Например:
сервис KWF Admin на Firewall
сервис RDP на 192.168.0.15
5.
Шаг седьмой, естественно включаем NAT, даже кому и не нужно будет (маловероятно конечно), всегда его можно выключить.
На восьмом шаге жмем Finish.
Получается у нас что-то типа того:
Небольшие пояснения для тех, кто мануал не хочет читать:
Правило NAT
— в нем собственно те сервисы, которым разрешен доступ в интерет с клиентских машин.
А правило Firewall Traffic
— это правило для той машины, на которой KWF стоит.
Красненькие правила ниже — для доступа из Интернета к одноименным сервисам.
В принципе уже работать можно, но ведь нужно KWF немного настроить, поэтому дальше:
6. Правило Local Traffic передвигаем на самый верх, ибо правила обрабатываются сверху вниз и поскольку локальный трафик как правило превалирует над остальным, это позволит снизить нагрузку на шлюз, чтоб он не гнал пакеты от локального трафика через всю таблицу правил.
7. В правиле Local Traffic Protocol Inspector отключаем, ставим в None .
8. Из правил NAT и Firewall Traffic убираем ненужные нам сервисы, а нужные соответственно добавляем. Ну например ICQ 🙂 Советую думать над тем, что вы добавляете и удаляете.
9. Иногда для некоторых сервисов требуется отдельное правило, потому что вместе с остальными начинаются непонятные глюки. Ну и отследить как оно отрабатывает проще конечно, поставив логгирование этого правила.
Несколько примечаний:
10. Если хотите, чтобы с клиентских компьютеров можно было пинговать внешние адреса, то добавьте сервис Ping в правило NAT.
11.
Eсли не используете VPN совсем, отключите VPN-сервер (Configuration > Interfaces > VPN Server правой кнопкой > Edit > убрать галку Enable VPN Server).
Еще можно отключить интерфейс Kerio VPN.
12. Если используете Parent proxy, добавьте в правило Firewall Traffic соответствующий порт (Если стандартный 3128, то можно добавить сервис HTTP Proxy). А из правила NAT тогда нужно убать как минимум HTTP и HTTPS сервисы.
13. Если доступ в Интернет нужно дать какой-то группе пользователей или IP-адресов, то создаете правило, подобное NAT, только в качестве источника у него не Local Interface, а ваша группа.
Ниже более-менее похожий на реальность (мою естественно 🙂 , но не совсем) пример.
Пример.
Задача: раздать интернет всем компьютерам из сети, используя непрозрачный прокси, разрешить ICQ и FTP избранным группам, а скачивание почты по POP3 всем. Запретить отсылать письма напрямую в Интернет, только через почтовик. Сделать доступ к этому компьютеру из интернета. Ну и учесть примечания естественно.
Вот сразу правила готовые:Firewall Traffic
— с этим все понятно, разрешенные сервисы для фаервола. Обратите внимание, что сюда добавлен сервис SMTP (в случае, если почтовик находится не на том же компьютере, что и винроут, нужно сделать отдельное правило) и порт 3128 для парент прокси.
Service Ping
— правило, нужное для того, чтобы пинговать наш сервер снаружи.
Remote Admin
— правило для доступа снаружи к консоли KWF и KMS, к веб-интерфейсу их же.
Service Kerio VPN
— правило для доступа снаружи клиентов Kerio VPN.
Service Win VPN
— правило для доступа снаружи клиентов родного виндового VPN
Service RDP
— правило для доступа снаружи клиентов виндового терминала (но лучше через VPN).
Исправления и дополнения принимаются 😉
