Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio WinRoute Firewall (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (24-05-2009 12:47): Переезжаем в следующую часть - Kerio WinRoute Firewall (часть 5).  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kerio WinRoute Firewall ™






Kerio WinRoute Firewall™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный McAfee Antivirus, мощные инструменты для управления доступом в Интернет на базе IBM Orange Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.
 
Текущая версия: 6.6.0 - March 31, 2009
Скачать последнюю версию с оффсайта -> win32 | win64 | Release history
 
Kerio WinRoute Firewall с интегрированным McAfee Antivirus и без него теперь поставляется в едином дистрибутиве. Активизация соответствующих функций происходит автоматически в зависимости от типа приобретенной лицензии. Дистрибутив WinRoute Firewall также содержит Administration Console. Переключение языков доступно непосредственно в интерфейсе пользователя.

C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...  

Manual на Русском [?]
Бета версии
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)
 
 
 
Сброс пароля администратора [?]
 
Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall [?]

F.A.Q. на PC Security - F.A.Q. - Часто задаваемые вопросы
На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!
 
FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное  
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html
 
Тут одна компания полностью на русский язык перевела хелп  
Kerio WinRoute Firewall 6.0. Руководство Администратора  
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)
 
также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru


WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.
 
Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.

Всего записей: 11868 | Зарегистр. 05-06-2002 | Отправлено: 10:51 13-07-2008 | Исправлено: niichavo, 09:30 13-05-2009
AlOne



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
kaskad
вроде всё правильно. разве что это правило может стоять ниже другого, который до него блокирует соединение.
ну и в любом случае смотрим лог filter (включив логирование DefaultRule)
 
Да, и при чём тут кабан вообще?

Всего записей: 716 | Зарегистр. 14-11-2003 | Отправлено: 01:10 29-01-2009
vimaret



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kaskad

Цитата:
Пытаюсь сваять правило в самом верху списка:  
 
Source      Destination  Service        Action     Translation  
NIC 100    Firewall        TCP 5999     Allow       MAP 10.0.0.3:5999  
 
 
Вот почему не работает??? (((

 
в MAP 10.0.0.3:5999 достаточно написать только MAP 10.0.0.3, но это не существенно в данном случае.  
Посмотрите вот на, что: не стоит ли у вас роутер (АДСЛ модем в режиме роутера или авторизации по pppoe да еще и с динамическим IP) перед NIC 100. (другими словами  NIC 100 должен иметь реальный IP адрес, в противном случае в роутере тоже нужен мапинг)
И еще, я бы для более тонкой работы маппинга написал бы в Destination не Firewall, а ваш внешний IP адрес, т.е. адрес по которому внешние клиенты обращаются к файерволу.  

Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 03:42 29-01-2009
amonra666

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlOne
ты меня немного не до понял
да впн к провайдеру у меня поднимается
но вся засада в том что после 1впн  в инет  мне нужно поднимать еще 1 впн
каторый уже смотрит в инет а он стучится в локалку провайдера!

Всего записей: 7 | Зарегистр. 07-04-2008 | Отправлено: 08:39 29-01-2009
MagistrAnatol



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AlOne

Цитата:
скажите честно, вот если бы не сами писали сие, поняли бы что-нить из сего описалова?  
то есть имеется модем, который по VPN логиниццо у прова и после этого воткнут в свитч? И сколько же компов на данном свитче висят? Уже попахивает ересью  Или модем всё-таки не модем, а роутер? И где же сам Kerio находится?

Немного неточно описал,- есть доменная сетка,на домене Винь 2003 стоит Керио,
АДСЛ модем который для типа ВПН настроен в режиме роутера и воткнут в свитч,в сетке
20 компов. Какие еще нужны данные?

Всего записей: 2138 | Зарегистр. 09-04-2003 | Отправлено: 08:48 29-01-2009
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Cosmit
Черкани в ПМ а то несколько потерял нить разговора...
 
MagistrAnatol

Цитата:
Народ,посоветуйте нормальный фаервол под Керио+Винь 2003 +АД+ДНС.
Долбаный аутпост блокирует транзитные пакеты и не могу найти как ето отключить.
Sunbelt Personal Firewall не стает на сервак  

Плакаль...

Цитата:
в какой-то из веток про керио вычитал шо он не является полноценным фаером,правда теперь не могу найти ссылку шоб цытировать.
Тогда перефразирую вопрос - достаточно ли одного керио для защиты корпоративной сетки?  

Гы...  

Цитата:
Немного неточно описал,- есть доменная сетка,на домене Винь 2003 стоит Керио,
АДСЛ модем который для типа ВПН настроен в режиме роутера и воткнут в свитч,в сетке
20 компов. Какие еще нужны данные?  

Рост, вес...
 
Всё сожалею что нет одного смайлика....
 
kaskad

Цитата:
NIC 100    Firewall        TCP 5999     Allow       MAP 10.0.0.3:5999  

Своими словами объясни правило пожалуйста - и всё станет понятно
AlOne

Цитата:
вроде всё правильно.

Нифига не правильно...
vimaret

Цитата:
И еще, я бы для более тонкой работы маппинга написал бы в Destination не Firewall, а ваш внешний IP адрес, т.е. адрес по которому внешние клиенты обращаются к файерволу.  

Какой нафик мапинг? Если у него в правиле источник сам сервер...
PavelKhvalov

Цитата:
Если кто то сталкивался уже с такой задачей, и просто может натолкнуть на правильнй путь решения буду очень благодарен.
Версия моей программы Kerio winroute firewall 6.4.0

В реестре, в службах почтовика поставь что бы ждало запуска керио...

----------
Fools rush in where angels fear to tread.

Всего записей: 5483 | Зарегистр. 10-09-2003 | Отправлено: 09:51 29-01-2009 | Исправлено: Ruza, 09:52 29-01-2009
vimaret



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ruza

Цитата:
Какой нафик мапинг? Если у него в правиле источник сам сервер...  

Вы не правы коллега, у него источник внешний интерфейс (NIC 100). По крайней мере я так понял из упрощенного описания правила. А значит источник есть все, что приходит через этот интерфейс, т.е весь инет. Или я где-то недоехал?

Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 10:30 29-01-2009
rough84

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
где находятся сервера и откуда к ним надо сделать доступ?
если сервера внутри локалки, а доступ нужен по RDP извне, то сделай MAP какого-нить порта на 3389 нужной машины. Примерно так:
RDP1 -> Internet -> Firewall -> TCP 44440 -> Permit -> MAP server1:3389
RDP2 -> Internet -> Firewall -> TCP 44441 -> Permit -> MAP server2:3389
соответственно извне адрес для входа на server1 будет выглядеть так:
<внешний IP фаервола>:44440  

 
to Al0ne
оба сервака находятся внутри локалки. Да нужен доступ из вне.
Всё так и делал раньше.
Вот вид правил которые создал: хз может где ошибся или где то что то нужно ещё добавить видимо.
Name  source  destination   service   action   translation
RDP    inet       firewall        44440    permit    192.168.0.51:3389
RDP1  inet       firewall        44441    permit     192.168.0.17:3389
 
В результате не удается подключиться через внешний ip *.*.*.*:44441 и 44440  
если подключаюсь без указания порта отправляет на 192.168.0.17 как и если подключаюсь с указанием порта 3389.

Всего записей: 7 | Зарегистр. 28-01-2009 | Отправлено: 10:46 29-01-2009 | Исправлено: rough84, 10:54 29-01-2009
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
vimaret

Цитата:
Вы не правы коллега, у него источник внешний интерфейс (NIC 100).  

 
Хм... Ну раз дискуссия то тогда давайте рассмотрим правило на примере одного пакета пришедшего с any и дошедшего по разбору до этого правила:
Source       Dst
195.10.1.1  Firewall.........
Как поведёт себя керио, если оно сцуко телепатических хотелок админа не понимает?
 
З.Ы. NIC 100 в данном случае является, не всё что приходит, а именно IP этого интерфейса...
 


----------
Fools rush in where angels fear to tread.

Всего записей: 5483 | Зарегистр. 10-09-2003 | Отправлено: 10:56 29-01-2009
MagistrAnatol



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ruza
чем прикаловаться лутше бы помог с парочкой вопросов,которые задавал выше
сюди [?]

Всего записей: 2138 | Зарегистр. 09-04-2003 | Отправлено: 11:03 29-01-2009 | Исправлено: MagistrAnatol, 11:22 29-01-2009
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
чем прикаловаться лутше бы помог с парочкой вопросов,которые задавал выше  

Да я к моему сожалению не прикалываюсь... Грустно просто - смех сквозь слёзы...
Ну хорошо давай разберёмся с вопросами...

Цитата:
Народ,посоветуйте нормальный фаервол под Керио+Винь 2003 +АД+ДНС.
Долбаный аутпост блокирует транзитные пакеты и не могу найти как ето отключить.
Sunbelt Personal Firewall не стает на сервак

Что тут отвечать? Кроме того что вопросивший не понимает разницу между корпоративным брандмауэром и персональным firewall.

Цитата:
в какой-то из веток про керио вычитал шо он не является полноценным фаером,правда теперь не могу найти ссылку шоб цытировать.

тут нечего даже комментировать....

Цитата:
Тогда перефразирую вопрос - достаточно ли одного керио для защиты корпоративной сетки?  

Паранойя иногда принимает и более изощерённые формы.

Цитата:
Какое правило прописать в керио для такой ситуации - стоит ВПН модем воткнут в свитч и конектимся к удаленному компу по аипишнику чарез уд. рабочий стол.  

Это бред сильно расширившегося сознания, не? Брось самокрутку.

Цитата:
Сейчас я на каждой тачке прописал дополнительный шлюз - адрес модема+прописал
маршрут на аипишник через модем.  

Сам то понял?

Цитата:
И еще,вопрос может и обсуждался,как заставить керио не кешировать страницы руборда, у меня не работают ЛС. Кеширование в керио ваще выключено.
Ветку по етой теме читал,пробывал различные браузеры,и как раз в ветке об ЛС написано шо керио может намертво кешировать страницы.Как отучить его от етого???  

А мож браузер тож кеширует, не?

----------
Fools rush in where angels fear to tread.

Всего записей: 5483 | Зарегистр. 10-09-2003 | Отправлено: 11:29 29-01-2009
MagistrAnatol



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ruza

Цитата:
Что тут отвечать? Кроме того что вопросивший не понимает разницу между корпоративным брандмауэром и персональным firewall.

слегка понимаю

Цитата:
Паранойя иногда принимает и более изощерённые формы.

не спорю, но решил переспросить для надежности

Цитата:
Это бред сильно расширившегося сознания, не? Брось самокрутку.


Цитата:
Немного неточно описал,- есть доменная сетка,на домене Винь 2003 стоит Керио,  
АДСЛ модем который для типа ВПН настроен в режиме роутера и воткнут в свитч,в сетке  
20 компов


Цитата:
Сам то понял?

У меня народ конектикся в нет через керио, в свойствах сетевухи юзеров прописан
айпишник сервака с керио. А чтом юзер смог законектится на удаленный комп через ВПН
модем, который настроен как роутер и воткнут в свич, пришлось в свойствах ТСП/ИП добавлять шлюз - айпишник роутера + через route добавлять маршрут на удаленный комп . По другому уже не знаю как и написать

Всего записей: 2138 | Зарегистр. 09-04-2003 | Отправлено: 11:53 29-01-2009
XCV81



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Второе правило полный глюк, вы почитайте, как работает механизм НАТа.

а какое отношение имет 2-е правило к пакетам между сервером и локальной сетью? они помоему идут по первому правилу, или я ошибаюсь?

Цитата:
правой кнопой по Trafic Policy, выбери "Изменить колонки", добавь "Инспектор протокола", для правила локальной сети выключи его.

нашел, выключил, не помогло, всё равно при простое более 10-15 мин "соединение потеряно" будут ещё какие нибудь идеи?

Всего записей: 432 | Зарегистр. 03-10-2007 | Отправлено: 12:59 29-01-2009
AlOne



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
amonra666

Цитата:
да впн к провайдеру у меня поднимается  
но вся засада в том что после 1впн  в инет  мне нужно поднимать еще 1 впн  
каторый уже смотрит в инет а он стучится в локалку провайдера!

Какой интерфейс у тебя в KWF значится как Internet? Локалка прова? А надоть вот как раз это VPN соединение.
В таблице маршрутизации первая строчка должна быть вида
Сеть 0.0.0.0    Маска 0.0.0.0   Интерфейс VPN1
Таким образом, всё, что не относится к описанным ниже маршрутам (сеть провайдера, твоя локалка etc), попрёт туда.
 
Добавлено:
rough84

Цитата:
В результате не удается подключиться через внешний ip *.*.*.*:44441 и 44440

Как уже тут напомнили, не получается ли инет через какой-нить модем с функциями роутера? Если так, то данные порты надо и там открыть. Или вообще сервер с KWF в DMZ загнать - нехай батька сам рулит, без посторонней помощи
 
Добавлено:
MagistrAnatol

Цитата:
У меня народ конектикся в нет через керио, в свойствах сетевухи юзеров прописан  
айпишник сервака с керио. А чтом юзер смог законектится на удаленный комп через ВПН модем, который настроен как роутер и воткнут в свич, пришлось в свойствах ТСП/ИП добавлять шлюз - айпишник роутера + через route добавлять маршрут на удаленный комп . По другому уже не знаю как и написать  

это называется "через раком"
если (цитирую) "народ конектикся в нет через керио", то чем оно отличается от "законектится на удаленный комп"? Инет по-любасу через сей модем идёт.
Что в правиле раздачи инета написано? Мож нужный порт не открыт?
Ну и, наконец, как настроен роутер на модеме?

Всего записей: 716 | Зарегистр. 14-11-2003 | Отправлено: 14:32 29-01-2009
kaskad



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlOne
Ничего не понял из совета ( Сознаюсь сразу, в принципе не понимаю, как в керио мониторить ( Что мне покажет ентот лог? Что блочатся соединения по порту 5999? Но это очевидно ) А как понять ПОЧЕМУ? ((

Всего записей: 2308 | Зарегистр. 10-10-2002 | Отправлено: 15:45 29-01-2009
MagistrAnatol



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AlOne
Дело в том, чтоу меня два модема - один на нет,воткнут во вторую сетевую на серваке с керио, и второй ВПН модем воткнут в свич.Еще одну сетевуху пока поставить немогу

Всего записей: 2138 | Зарегистр. 09-04-2003 | Отправлено: 16:11 29-01-2009
kaskad



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Короче, разобрался, поставил в Traffic Policy около свого правила переадресации портов в разделе Log обе галочки. Пошёл в фильтр, попробовал подключиться по порту 5999, мне в фильтре написало, что Permit согласно правилу, т.е. если верить логу, то запрос фаер обрабатывает корректно и пропускает (( Но переадресации в локаль на сервер 10.0.0.3 не происходит.... Что за беда? Что может блочить соединения по порту 5999 дальше, как отследить?
 
Ruza
Если на  внешнее сетевое подключение NIC100, в которое приходит шнурок c инетом, на Firewall (сервак, на котором стоит керио, на котором есть интерфейс NIC100) по порту TCP 5999 приходит запрос, то переадресовывать его на IP 10.0.0.3 на порт 5999 в локалку. Вот что я хочу сваять. Правильно объяснил? Или опять непонятка? ))

Всего записей: 2308 | Зарегистр. 10-10-2002 | Отправлено: 16:12 29-01-2009
sNAlexis



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
kaskad,  
any --- Firewall --- 5999 --- permit --- map 10.0.0.3:5999;nat(NIC100)

Всего записей: 100 | Зарегистр. 28-08-2005 | Отправлено: 17:41 29-01-2009
kaskad



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sNAlexis
Что в конце за NAT (NIC100)?
 
Добавлено:
Сорри за тупку - понял ) Но не заработало (
 
Добавлено:
Причём в Connections появляется соединение с Source 89.179.xx.x (Откуда я коннекчусь к серверу из инета IP) с Rule TCP 5999 и Destination 10.0.0.3, но соединение не происходит. Если же я тупо стучусь с фаервола на порт 5999 в локаль, то соединение устанавливается. Такое ощущение, что сервер принимает запрос на порт 5999 фаерволла и не отсылает на IP 10.0.0.3 (( Почему?
 
Добавлено:
Вот кто настраивал удалённый доступ к серверу в локалке из интернета? Я порт 5999 открыл для VNC (вернее, хочу открыть), с прокси с керио VNC на 10.0.0.3 цепляется. Делаю правило, как писал выше, чтобы по порту 5999 коннектиться на прокси, а он бы меня ловко перекидывал на сервер в локали - не работает ( Как отследить в логах причину граблей? ((  
 
Добавлено:
Кстати, по идее, когда всё ок, порт 5999 должен быть постоянно открыт, ожидая соединений. У меня же закрыт (

Всего записей: 2308 | Зарегистр. 10-10-2002 | Отправлено: 18:12 29-01-2009
Vibrother



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет всем!
Странная вешь у меня творится... Не могу зайти на ру-борд из локальной сети с выходом в инет через прокси на сервере с Керио... Другие сайты - пожалуйста, сюда - нет... Адрес недоступен. Как такое может быть? Нигде не блокировал его однозначно...

Всего записей: 107 | Зарегистр. 01-08-2007 | Отправлено: 19:22 29-01-2009
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
sNAlexis

Цитата:
any --- Firewall --- 5999 --- permit --- map 10.0.0.3:5999;nat(NIC100)

Хм... Сам то понял?
 
kaskad

Цитата:
Правильно объяснил?  

Нет. Я просил объяснить правило а не как должно быть...

Цитата:
Или опять непонятка?  

У меня??? Помоему непонятки тут только:

Цитата:
А как понять ПОЧЕМУ?

 

Цитата:
any --- Firewall --- 5999 --- permit --- map 10.0.0.3:5999;nat(NIC100)

Никаих нат не надо, особенно в конце... Разве что натить через локальный интерфейс, можно попробовать...

Цитата:
Причём в Connections появляется соединение с Source 89.179.xx.x (Откуда я коннекчусь к серверу из инета IP) с Rule TCP 5999 и Destination 10.0.0.3, но соединение не происходит.  

Значится всё в порядке, дальше смотрим на VNC есть ли соединение, разрешено ли к нему подключаться с инет-адресов...
И самое главное!
нужно ещё и правило типа:
vnc - any - permit - nat (NIC100) - PI off


----------
Fools rush in where angels fear to tread.

Всего записей: 5483 | Зарегистр. 10-09-2003 | Отправлено: 19:24 29-01-2009
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio WinRoute Firewall (часть 4)
emx (24-05-2009 12:47): Переезжаем в следующую часть - Kerio WinRoute Firewall (часть 5).


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru