Kerio winroute firewall серверное приложение не запущено
Все ссылки на сторонние ресурсы, за исключением офсайтов программ и их зеркал, должны оформляться с помощью тега скрытого текста - [hide=1] URL [/hide] и никак иначе. За нарушение будет строгое наказание.
Есть ещё куча мыслей, но их трудно написать. проще протыкать на машине самому =))
Kudesnik, спасибо, но уже разобрался. Одна утилита установила службу, которая и саботировала всю мою настройку (IMG:style_emoticons/bfz/angry.jpg) Убита и кремирована. :P
Stranger in a Strange Land
Sidor2
А почему бы тебе не удалить (или спрятать подальше) этот eicar.tmp ? Ведь он и расчитан просто на тестирования антивирусника
Ты убери один с антивирусов:
--
выключи сканер web в AVP
просто так не выключиш потому заходим в панель управления удаления
программа выбераем авп жмем выбор компонентов и забираем галочку
с сканера веб страниц
--------
или в роутере убери использовать антивирус - !
-------
Кстати вышел winrout 6.0 - beta
Дорогие мои. Что делать то, что делать.
Столклулся я со следущей принеприятнейшей ситуацией. Быть может это только у меня, и проблема которую ниже я изложу и не из-за Winroute. Но ближе к телу. (IMG:style_emoticons/bfz/blink.jpg)
После установки винроута еще со старой повелось версии (из серии 5.х.х) стали наблюдаться "глюки" с работой NetBIOS-а. Проявляеться это при передачи файлов. Причем, что интересно, если "СЛИВАТЬ" что-либо, сидя за компютером, на котором установлен winroute - все пучком! Но вот если задача иная и нужно что-то "ЗАЛИТЬ" то наблюдаються проблемы. Выскакивает гнустная ошибка: "Ошибка отложенной записи". На маленьких файлах это может не проявляться (до 10-20 мег), но на больших или множестве маленьких файлов эта ошибка обязательно появится. Файл выше 200 мегов передать вовсе не удастся.
Тем ни менее, если "диакривировать" наш KWF (т.е. остановить), то все прокатит на "ура". Проблем как и не бывало. И где ж собака то зарылась?!
:(
Kerio Personal Firewall 4.0.16 без проблем ставится на серверные OS (проверено на w2k srv/win'2003, хотя с версии 4.0.8 официально он на сервере не работает). Нужно лишь вручную распаковать .exe инсталляционный, достать .msi оттуда, раскидать по папкам файлы, вручную создать сервис для KPF4/fwdrv и в дополнение к патчу на предмет лицензии пропатчить проверку запуска на серверной windows OS. Не знаю есть ли смысл (и можно ли такой объём - придется на части бить) - могу закинуть в обменник правленную инталляшку которая устанавливается на сервер (3.2Mb, размер меньше за счёт использования NSIS, точно так же как и родная инсталляшка удаляет предыдущую версию, сохраняет конфигурацию старую и т.п.).
а ктонубудь подскажет как бороться с следущими проблемами в Kerio WinRoute Firewall
установлен Kerio WinRoute Firewall mcafee 5.1.2 win
кряки и ключи пробовал разные.
Попробовал бы версию 5.1.10, но кряки не качаются.
Встречалась ли у кого такая проблема? (IMG:style_emoticons/bfz/cranky.jpg)
Кстате 6.0.0 версия только у меня глючит или у всех?
при загрузке не включается сетевое подключение и непускает в настройку сетевых одключений пока не вырубишь WinRoute 6.0.0.
чем отличаются Kerio WinRoute Firewall от Kerio Personal Firewall
каккой лучше из них поставитиь на комп?
спасибо.
roci
Kerio WinRoute Firewall это защита на уровне пакетов, проверка идет до подачи информации на INPUT.
Kerio Personal Firewall это защита на уровне программ.
Проще говоря, для защиты однгого компа ставь Kerio Personal Firewall, а если у тебя выделенный канал и надо защитить локальную сеть ставь Kerio WinRoute Firewall.
Народ, у вас winroute 6.0.1 безболезненно прижился?
После установки этой версии у нас перестали работать почтовые протоколы POP3 и SMTP, если обратиться к узлу, скажем, телнетом:
C:\>telnet pop3.mail.ru 25
или
C:\>telnet pop3.mail.ru 110
соединение пройдет но тутже прервется. Никто на такие грабли не наступал?
KWF 6.0.1 была установлена на компутер на котором до этого вертелась версия 5.1.10 с которой проблем не наблюдалось. На winroute давно сижу и с уверенностью могу сказать, что собаку с ним съел. Грешу на "уловки" разработчиков, что таким способом пресекают нелицензионное использование своего продукта. Хороший повод плюнуть на Kerio и начать более плотно изучать БЗДЮ, но как не самотверженный герой не хочу искать сложных путей.
Они выпустили как бы serverfirewall.. раньше был лишь personal firewall где была проверка на то чтобы на сервере не запустили.. сейчас сделали серверную версию.. визуально - совсем другое.. посмотрел по сути (под IDA) - код практически идентичный, система проверки лицензии вообще "слизана" с personal.. просто вместо отдельной проги настройки (в персонал) прицепили веб-интерфейс (в сервер-файрвол), по сути это одно и то же.. Вобщем проверку отключил (в 262 билде на который ссылка выше).
Вобщем вот принцип "лечения" программы от триальности (проверено на 262 билде установленном на windows server 2003 ent vlk):
1) останавливаем сервис serverfirewall'а
2) в файле srvfw.exe меняем по адресу 0xCD22B байт 75h на EBh (проверка сигнатуры файла лицензии)
3) создаем в каталоге \Kerio\ServerFirewall каталог License
4) кидаем в вышеуказанный каталог License приаттаченный к этому письму файл
P.S. наверное глупая прога получилась: kerio personal firewall + web interface и всё, никаких новшеств.
Прикрепленный файл - отключен :
license.key ( 210 байт ) Количество скачиваний: 23
Full Member
Доброе время суток!
У меня вот такая вот проблема.
Стояла у меня старая версия Kerio Personal Firewall 2.1.5, решыл я её обновить (насколько мне известно та што у меня оочень старая версия) на версию Kerio Personal Firewall 4.1.2 заинсталил (предварительно удалив старую версию), зарегистрировал. но она ужасть как тормозит (по сравнению с версией 2.1.5). (IMG:style_emoticons/bfz/angry.jpg)
Большая ли разница в зашите (ну и во всём остальном) между етими версиями?
Собственно стОило ли обновлять мне версию или же вернуться на старую?
Лююди . А как сделать, шоб Cobian Orange Filter дольше 7 дней работал, а то он вроде бы идёт как плагин к керио, но если керио зарегить, то cobian-у по барабану.
- Ведь полезная вещица. Порнуху всю отфильтровывает начисто.
Настройка Kerio Winroute Firewall 6 в сети с доменом
Настройка Kerio Winroute Firewall 6.0.11 в сети с доменом
Для более наглядной настройки файрвола составим схему локальной сети, пример которой показан на рисунке 1.
Рис. 1. Схема локальной сети.
Первое что вам нужно сделать - это конечно же установить Kerio Winroute на компьютер, ЖЕЛАТЕЛЬНО не являющийся DC. Перегрузиться, зарегистрировать файрвол и после этого приступить к конфигурации.
Рис. 2. Interfaces.
Поясню назначения интерфейсов:
- LAN - сетевая карта, смотрящая в локальную сеть
- INTERNET - сетевая карта, смотрящая в интернет и имеющая реальный IP
Рис. 3. Traffic policy.
Поясню смысл полей и правил в целом:
- поле Source - источник трафика (то есть КТО)
- поле Destination - получатель траффика (то есть КУДА)
- поле Service - типа трафика (протоколы) которые вы хотите разрешить или запретить создаваемым правилом
- поле Action - запрет или разрешение трафика для созданного правила
- поле Translation - тут включается трансляция адреса (NAT) и также делается Port-mapping
- поле Valid on - тут можно выбрать в какой интервал времени действует данное правило (интервалы времениможно определить в менюTime Ranges (в данной статье рассматривать не будем)
- поле Log - для включения записи в лог результата действия данного правила
Пояснения по правилам, показанным на рисунке 3:
Рис. 4. DNS Forvarder.
Можно для определенных доменов и IP-диапазонов (обычно если имеются всякие "дружественные" подсети) настраивать жёсткую привязку к определенным ДНС:
Рис. 5. Custom DNS Forvarding.
Для нормальной работы компьютеров в домене вы должны настроить ваш доменный DNS-сервер для пересылки неразрешенных запросов на адрес машины с КЕРИО:
Рис. 6. Настрока пересылки.
Эти настройки находятся в свойствах ДНС в Win2k(3), при этом сервер не должен быть корневм, т.е., должна быть удалена зона . (точка). На машине с Керио в свою очередь должен быть включен DNS Forwarding.
В URL Groups можно создавать группы, в которые вносить сайты, схожие по содержанию (например банерные сети, порноресурсы) и потом использовать эти группы для ограничения к ним доступа локальных пользователей (будет показано чуть ниже):
На рисунке 7 создана группа "локал" и она содержит маску внутрисетевых ресурсов, далее мы к ним разрешим доступ БЕЗ авторизации.
Контентные правила оставляем по умолчанию:
Рис. 9. Content Rules.
На закладке Proxy отключаем непрозрачный (non-transparent) прокси, работающий на 3128 порту (для данной конфигурации):
Закладку Forbidden words не трогаем.
Рис. 12. Antivirus.
Следующая закладка для настроек того, какое содержимое будет сканировать антивирь (если включён конечно же):
Рис. 14. Email Scanning.
Рис. 15. Address Group.
Рис. 16. Time Ranges.
Рис. 17. Services.
Список всевозможных "сервисов", которые применяются в трафикполисях (собственно говоря, применяются в настройках пакетного фильтра), красным обведено включённое использоватние так называемого "протоколинспектора", призванного следить за "правильностью" пакетов и отличать настоящий трафик от "ложного".
Ниже приведен пример создания нового "сервиса" для винрута с названием "http (на нестандартном порту)", это обычно нужно если требуется выход в интернет некоторым сервисам, работающим на НЕСТАНДАРТНОМ порту:
Рис. 18. Создание сервиса.
Данная картинка показывает, как сделать "сервис", например, для web-сервера, работающего на НЕСТАНДАРТНОМ (отличном от общепринятого) порту, то есть, вместо 80-го на 888. Далее этот сервис можно указывать в политиких трафика для разрешения или явного запрета.
Рис. 19. Advanced Options.
Отключаем все галочки.
Рис. 20. Advanced Options.
Включаем встроенный web-интерфейс, через который будет происходить авторизация пользователей.
Рис. 21. Advanced Options.
В общем, настройки ISS (оранж фильтра) у меня вот такие.
Рис. 22. Advanced Options.
Настроечки для автоматической проверки новых версий.
Рис. 23. Advanced Options.
Тут настраиваем через какой почтовый сервер винроут сможет отправлять письма (предупреждения о найденых вирусах в почтовом трафике + всевозможные алерты).
Рис. 24. Advanced Options.
Тут включаем пользовательскую статистику.
Рис. 25. Logs and Alerts.
Ниже показано как сделать Алерт (который пошлётся по емайлу), сообщающий о начале сканирования портов:
Рис. 26. Add Alert.
На картинке так же показано как "привязать" пользователя к определенному IP (или имени компа), в этом случае будет происходить АВТОМАТИЧЕСКАЯ АВТОРИЗАЦИЯ и весь трафик от указанного IP (компа) будет ассоциироваться с данным пользователем и начисляться в его (пользовательскую) статистику.
В общем, тут всё понятно.
Ставим галочку для того, чтобы всегда запрашивалась авторизация перед посещением страниц интернета.
Можно идентифицировать доменных пользователей.
Последнее, что нам остается сделать - настроить компьютеры локальной сети для того что бы они ходили в инет через наш УЖЕ настроенный Kerio Winroute Firewall, являющимся роутером + NAT в интернет.
Приведен скриншот настройки одного из пользовательских компьютеров:
Рис. 30. Настройка компьютера пользователя.
В качестве основного шлюза указываете адрес вашего Керио-маршрутизатора, а в качестве предпочитаемого DNS-сервера следует указывать адрес локального DNS (во избежание долгого входа в домен).
P.S. Данные настройки приведены в самом простом виде, думать практически не надо. Для более тщательной настройки защищенности сервера от локальной сети и от интернета ВЫ САМИ в силах придумать и создать правила, ведь конфигурации сетей у всех разные и требования у всех разные.
Настройка Kerio WinRoute v6.7 для раздачи интернета пользователям в локальной сет и возможности подключения VPN клиентовПо сути, Kerio WinRoute является в первую очередь фаерволом, который может предоставить безопасное соединение рабочим станциям в локальной сети.
У нас стоит задача, предоставить некоторым пользователям локальной сети доступ к интернету, но при этом, не совершая никаких настроек со стороны клиента. Настроить подключение VPN клиентов к нашей локальной сети.
И так, приступим, первым делом нам нужно установить Kerio WinRoute:
Процесс установки весьма прост, и не должен вызвать затруднений, запускаем WinRoute и выбираем язык:
Принимаем лицензионное соглашение:
Выбираем тип установки, я выбрал «Полная», ненужные модули можно будет отключить в панели управления:
Путь установки, если хотите, то можно поменять:
Kerio WinRoute обнаружил службы с которыми могут быть конфликты, и предлагает отключить их, и мы конечно соглашаемся:
Обязательно указываем логин и пароль администратора:
Если мы выполняем установку на своём компьютере (не удалённо), просто продолжаем:
Kerio WinRoute уже готов к работе, но только на 30 дней…, перезагружаем компьютер и останавливаем службу Kerio:
Если вы скачали Kerio WinRoute с нашего сайта и установили x86 версию, то копируем winroute.exe (присутствует в архиве) в каталог с фаерволом, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\ , с заменой исходного конечно. Теперь копируем license.key в каталог с лицензиями WinRoute, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\license\. Если вы установили x64 версию, то вам нужно будет пропатчить winroute.exe и сгенерировать license.key самостоятельно (патчи тоже присутствуют).
Запускаем Kerio WinRoute, теперь он работает без ограничений пользователей и времени:
Кликаем 2 раза на иконке Kerio WinRoute в трее и попадаем в окно авторизации, где нам нужно ввести логин и пароль для доступа в панель управления, этот логин и пароль мы указывали во время установки:
После успешной авторизации, мы сразу попадаем в панель управления, откажемся от матера настройки и перейдём в раздел "Интерфейсы". В этом разделе выберем интерфейс для подключения к интернету, нажмём на него 2 раза и укажем соответствующую группу интерфейсов:
Теперь выбираем интерфейс для локальной сети, в моём случае их два, и я для обоих указал группу "Доверенные/локальные интерфейсы":
Сетевые платы, должны быть настроены средствами Windows, для одной локальной сети, я указал IP адрес 192.168.1.1 с маской 255.255.255.0, а для другой 192.168.2.1 с маской 255.255.255.0. Сетевая плата для получения интернета у меня была настроена на DHCP режим, то есть получение настроек автоматом.
Теперь сохраним изменения и перейдём в раздел "Политика трафика" где у нас будет уже 2 правила. Первое правило разрешает WinRoute-у ходить куда угодно на любые порты, а второе правило запрещает любой трафик откуда угодно, куда угодно. Правила трафика применяются сверху вниз, таким образом, если вы создадите какое-то разрешающее правило, и оно будет стоять выше правила, которое блокирует весь трафик, то приоритет вашего правила будет выше, и путь для трафика будет открыт:
Теперь приступим к настройкам и добавим новое правило, которое, в итоге, будет разрешать локальный трафик. Потом нажмём два раза на его названии, и укажем своё название:
Теперь нажмем два раза на поле нового правила в колонке "Источник" и поочерёдно добавим нужные объекты, а именно фаервол, VPN клиенты, VPN туннели и локальные интерфейсы:
Добавляем VPN клиентов
Добавляем VPN тунели
Добавляем локальные интерфейсы
Вот что получилось
Точно таким же образом, добавляем эти же объекты в раздел «Назначение», а в разделе "действие" указываем "разрешить":
Теперь добавляем правило для разрешения доступа локальных пользователей в интернет:
А теперь добавляем правило для разрешения доступа для подключения VPN клиентов, если вам не нужен доступ удалённых VPN клиентов к вашей локальной сети, то можете не создавать данного правила:
А теперь очень важный момент, правило для доступа локальных пользователей в интернет мы создали, но доступа они НЕ получат, так как мы не включили NAT, в разделе "трансляция" этого правила устанавливаем флажок на включении NAT и можем выбрать тип балансировки нагрузки (балансировка нужна лишь при нескольких подключениях к интернету):
Выключим сам прокси:
Выключим ВЕБ фильтр:
Этими действиями мы полностью отключили фильтрацию трафика и оставили пользователей локальной сети без защиты перед загружаемыми ими данными, но нам этого и не нужно, к тому же мы снимаем большую нагрузку с нашего сервера – пусть пользователи сами беспокоятся об установке антивирусов на своём компьютере.
Включаем DHCP сервер для раздачи сетевых параметров для локальных пользователей:
Добавляем диапазон IP адресов для раздачи в нашей сети №1:
Добавляем диапазон IP адресов для раздачи в нашей сети №2 (этот шаг совсем не нужен, если у вас всего один локальный интерфейс):
Получаем вот такую картину:
Настройки DNS нас устраивают:
Выключим Anti-Spoofing:
Если вам нужно подключение VPN клиентов с использованием SSL оставим галочку, и если вы хотите предоставить пользователям доступ к статистике через ВЕБ интерфейс, тоже оставим соответствующие галочки. Если вы собираетесь проводить авторизацию пользователей через ВЕБ аутентификацию, то вам нужно будет оставить включенным ВЕБ интерфейс (ВЕБ авторизацию мы рассмотрим дальше):
Отключаем проверку обновлений (ну ели вы КУПИЛИ Kerio WinRoute, то можете не отключать):
После проведенных настроек, Kerio WinRoute раздаст сетевые настройки по протоколу DHCP всем клиентам подключенным к любому из локальных интерфейсов, и предоставит доступ к интернету.
Клиент подключенный на интерфейс №1:
Клиент подключенный на интерфейс №2:
Устанавливаем нужные вам права (или не устанавливаем)
Прикрепляем к группе:
Теперь, при попытке доступа к ВЕБ странице, пользователя бросит на страницу авторизации, и только после успешной авторизации он сможет получить доступ к ВЕБ страницам:
Пару слов про VPN, к сожалению, Kerio WinRoute не поддерживает такие стандарты как PPTP и L2TP, из-за чего установить VPN соединение стандартными средствами Windows не получится, а для подключения используется специальный клиент kerio-control-vpnclient. Ещё одним недостатком, является то, что при помощи VPN соединения не получится подключить пользователя к интернету, так как WinRoute не прописывает VPN клиенту шлюз, доступ будет только к локальным ресурсам. Поддержка подключения интернета через VPN реализована в версии WinRoute 7.4
Всем привет, народ, нужна помощь, я не особый специалист в Керио.
Необходимо дать доступ по VPN двум сотрудникам с разных городов
(будут подключатся с домашних компов, им нужен доступ к одному из серверов, к папке 1C Bases)
Не могу настроить VPN Kerio, все вроде прописал, не подключается, ошибка 800.
Kerio Winroute 6.0.7 Build 6161. Конфигурация во вложении. Заранее Всех Благодарю!
Kerio winroute firewall нужна консультация специалиста
дело в том что на работе сервак полетел, какой то гусь пришел хрен знает как собрал керио на.
Обеспечить удаленный доступ из вне Kerio Winroute Firewall
Всем доброе время суток. Необходимо решить следующую задачу. Провайдер - Укртелеком. Интернет.
KERIO+VPN
Всем доброго времени суток. У нас на предприятии стоит Kerio Control 9.2.6. Имеется около 200.
Если еще актуально.
Помимо того что ты уже показал.
Пользователям ставишь клиента впн (у меня подключение по внешнему статическому айпи сети). В их антивируснике исключение для файла сервиса клиента ( в DrWeb к примеру и в гуарде и в гейте исключение).
В настройках керио у себя в сети - этим пользователям права на доступ по впн.
Они окажутся у тебя в сети со всеми правами какие ты им давал в домене.
У меня так работают.
П.С. И наиболее удобно когда подключаются к своим компам по "удаленному рабочему столу". Там сразу все их "ну очень важные" файлы и файлики .
В настройках керио у себя в сети - этим пользователям права на доступ по впн.
Они окажутся у тебя в сети со всеми правами какие ты им давал в домене.
Подключился, только доступа нету к папкам в локалке.
И наиболее удобно когда подключаются к своим компам по "удаленному рабочему столу". Там сразу все их "ну очень важные" файлы и файлики
RDP, да пользователю этому ,только доступ в одну базу нужен, ставить комп комп из-за этого такое себе.
Я там выше не совсем точно написал. Все права клиент получит только если по RDP на свой комп. Или если сможешь ввести в домен удаленный комп.
Если не удалось задействовать DNS-сервер локалки, то по айпи компа, на котором база, подключаться из проводника. (типа - file://*.*.*.* ) Запросит логин\пароль - пишешь с указанием домена .
П.С.Если ты хочешь получить доступ именно к папке, значит файловый режим 1с. Считаю это очень медленно даже при хорошей сети.
Про RDP: На определенном этапе, когда у нас не было сервера 1с - я использовал сервер терминалов контроллера домена.
Понятно ,что по RDP лучше будет, а если их 50 клиентов будет, каждому комп ставить отдельно надо будет)))
Kerio и подключение по VPN
Всем привет! начинающий сис.админ и начал знакомится с Kerio. Провел wan подключение(но при этом.
Kerio и 50 VPN-соединений
Добрый день! Коллеги, подскажите реально ли выполнить следующую задачу посредством Kerio и какой.
Kerio vpn сбой аутентификации
Добрый день тыжпрограммисты :) В общем по сабжу понятно, что речь идет про Керио ВПН и с.
Kerio VPN и аутентификация пользователей
Всем добрый день! Kerio Control 8.6.2 build 3847. Вопросов несколько. 1) Аутентификация.
Kerio WinRoute Firewall 6.0 - это комплексный инструмент для соединения локальной сети с Интернет и защиты сети от несанкционированного доступа.
- Unregistered
- Статус:
- Свободен
Приложения для Общего Соединения с Интернет — например, Microsoft Internet Connection Sharing, Microsoft Прокси-сервер, Microsoft Proxy Client, и т.д.
Сетевые брандмауэры, такие как Microsoft ISA Server, CheckPoint Firewall-1, WinProxy (компании Ositis), Sygate Office Network and Sygate Home Network, и т.д.
Персональные брандмауэры: Kerio Personal Firewall, Internet Connection Firewall (включенный в Windows XP), Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall, и т.д.
Программное обеспечение, разработанное для создания частных виртуальных сетей (VPN): CheckPoint, Cisco Systems, Nortel, и т.д. Примечание: Решение VPN, включенное в операционную систему Windows (основанное на протоколе Microsoft PPTP) поддерживается WinRoute.
Приложения, которые используют те же самые порты что и брандмауэр, нельзя запускать на хосте WinRoute (или конфигурация портов должна быть изменена). Если все службы запущены, WinRoute использует следующие порты:
Первое что вам нужно сделать - это конечно же установить Kerio Winroute на компьютер, ЖЕЛАТЕЛЬНО не являющийся DC. Перегрузиться, зарегистрировать файрвол и после этого приступить к конфигурации.
Открываем пункт меню Interfaces:
Рис. 2. Interfaces.
Поясню назначения интерфейсов:
LAN - сетевая карта, смотрящая в локальную сеть
INTERNET - сетевая карта, смотрящая в интернет и имеющая реальный IP
Переходим к самому главному - пункту Traffic policy, где будем настраивать (в моём примере ручками) доступ в интернет для локальной сети:
Рис. 3. Traffic policy.
Поясню смысл полей и правил в целом:
поле Source - источник трафика (то есть КТО)
поле Destination - получатель траффика (то есть КУДА)
поле Service - типа трафика (протоколы) которые вы хотите разрешить или запретить создаваемым правилом
поле Action - запрет или разрешение трафика для созданного правила
поле Translation - тут включается трансляция адреса (NAT) и также делается Port-mapping
поле Valid on - тут можно выбрать в какой интервал времени действует данное правило (интервалы времени можно определить в меню Time Ranges (в данной статье рассматривать не будем)
поле Log - для включения записи в лог результата действия данного правила
Пояснения по правилам, показанным на рисунке 3:
правило 1 разрешает серверу "ходить" в локалку
правило 2 разрешает любой трафик из локалки на сервер
правило 3 разрешает любой трафик от самого сервера в интернет
правило 4 разрешает любой трафик из локалки в интерфейс, подключенный к интернету, то есть в инет, при этом включена трансляция адресов (NAT) и пользователи имеют прозрачный доступ в интернет по любому протоколу
правило 5 разрешает доступ из интернета на сервер по HTTP и производит перенаправление пакетов на WEB-сервер, находящийся во внутренней сети (то есть внутренний веб-сервер становится доступен из сети интернет)
Примечание: правила обрабатываются сверху вниз и действуют по принципу "запрещено ВСЁ кроме разрешенного"
Пункт DNS Forvarder служит для включения перенаправления ДНС запросов (для разрешения имён интернета) на указанные сервера + возможна настройка файла HOSTS
Рис. 4. DNS Forvarder.
Можно для определенных доменов и IP-диапазонов (обычно если имеются всякие "дружественные" подсети) настраивать жёсткую привязку к определенным ДНС:
Рис. 5. Custom DNS Forvarding
Эти настройки находятся в свойствах ДНС в Win2k(3), при этом сервер не должен быть корневм, т.е., должна быть удалена зона . (точка). На машине с Керио в свою очередь должен быть включен DNS Forwarding.
На рисунке 7 создана группа "локал" и она содержит маску внутрисетевых ресурсов, далее мы к ним разрешим доступ БЕЗ авторизации.
Контентные правила оставляем по умолчанию:
Рис. 9. Content Rules.
На закладке Proxy отключаем непрозрачный (non-transparent) прокси, работающий на 3128 порту (для данной конфигурации):
Рис. 11. Proxy Server.
Закладку Forbidden words не трогаем.
- Unregistered
- Статус:
- Свободен
Рис. 12. Antivirus.
Следующая закладка для настроек того, какое содержимое будет сканировать антивирь (если включён конечно же):
Рис. 14. Email Scanning.
Пункт меню Address Group служит для составления групп адресов локальных или интернетовских, эти группы адресов можно применять в политиках трафика для создания "индивидуальных" правил (запрещать или разрешать кому либо или всем доступ к этим адресным группам):
Рис. 15. Address Group.
В меню Time Ranges настраиваются временные интервалы, которые потом могут быть указаны в политиках трафика для действия правил в указанные часы (интервалы):
Рис. 16. Time Ranges.
Рис. 17. Services.
Список всевозможных "сервисов", которые применяются в трафикполисях (собственно говоря, применяются в настройках пакетного фильтра), красным обведено включённое использоватние так называемого "протоколинспектора", призванного следить за "правильностью" пакетов и отличать настоящий трафик от "ложного".
Ниже приведен пример создания нового "сервиса" для винрута с названием "http (на нестандартном порту)", это обычно нужно если требуется выход в интернет некоторым сервисам, работающим на НЕСТАНДАРТНОМ порту:
Рис. 18. Создание сервиса.
Данная картинка показывает, как сделать "сервис", например, для web-сервера, работающего на НЕСТАНДАРТНОМ (отличном от общепринятого) порту, то есть, вместо 80-го на 888. Далее этот сервис можно указывать в политиких трафика для разрешения или явного запрета.
Меню Advanced Options:
Рис. 19. Advanced Options.
Отключаем все галочки.
Рис. 20. Advanced Options.
Включаем встроенный web-интерфейс, через который будет происходить авторизация пользователей.
Рис. 21. Advanced Options.
В общем, настройки ISS (оранж фильтра) у меня вот такие.
Рис. 22. Advanced Options.
Настроечки для автоматической проверки новых версий.
Рис. 23. Advanced Options.
Тут настраиваем через какой почтовый сервер винроут сможет отправлять письма (предупреждения о найденых вирусах в почтовом трафике + всевозможные алерты).
Рис. 24. Advanced Options.
Тут включаем пользовательскую статистику.
Рис. 25. Logs and Alerts.
Ниже показано как сделать Алерт (который пошлётся по емайлу), сообщающий о начале сканирования портов:
Рис. 26. Add Alert.
- Unregistered
- Статус:
- Свободен
На картинке так же показано как "привязать" пользователя к определенному IP (или имени компа), в этом случае будет происходить АВТОМАТИЧЕСКАЯ АВТОРИЗАЦИЯ и весь трафик от указанного IP (компа) будет ассоциироваться с данным пользователем и начисляться в его (пользовательскую) статистику.
В общем, тут всё понятно.
Ставим галочку для того, чтобы всегда запрашивалась авторизация перед посещением страниц интернета.
Можно идентифицировать доменных пользователей.
Последнее, что нам остается сделать - настроить компьютеры локальной сети для того что бы они ходили в инет через наш УЖЕ настроенный Kerio Winroute Firewall, являющимся роутером + NAT в интернет.
Приведен скриншот настройки одного из пользовательских компьютеров:
Рис. 30. Настройка компьютера пользователя.
В качестве основного шлюза указываете адрес вашего Керио-маршрутизатора, а в качестве предпочитаемого DNS-сервера следует указывать адрес локального DNS (во избежание долгого входа в домен).
P.S. Данные настройки приведены в самом простом виде, думать практически не надо. Для более тщательной настройки защищенности сервера от локальной сети и от интернета ВЫ САМИ в силах придумать и создать правила, ведь конфигурации сетей у всех разные и требования у всех разные.
Версия 5.1 не намного отличается от данной. К тому русификатор для нее не такой обстоятельный как этот. Версии выше v5.1.033 при подключении к сети вызывают перезагрузку компа в 7 из 10 случев после первоначальной установки. Вот такая - "засада" с обновлениями.
Назначение Kerio Winroute Firewall
Kerio WinRoute Firewall 6.0 - это комплексный инструмент для соединения локальной сети с Интернет и защиты сети от несанкционированного доступа.
Следует обязательно помнить о том, что на компьютере, где установлен WinRoute, не должно использоваться следующее программное обеспечение, т.к. оно конфликтует с Kerio:
- Приложения для Общего Соединения с Интернет — например, Microsoft Internet Connection Sharing, Microsoft Прокси-сервер, MicrosoftProxy Client, и т.д.
- Сетевые брандмауэры, такие как Microsoft ISA Server, CheckPoint Firewall-1, WinProxy (компании Ositis), Sygate Office Network and Sygate Home Network, и т.д.
- Персональные брандмауэры: Kerio Personal Firewall, Internet Connection Firewall (включенный в Windows XP), Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall, и т.д.
- Программное обеспечение, разработанное для создания частных виртуальных сетей (VPN): CheckPoint, Cisco Systems, Nortel, и т.д. Примечание: Решение VPN, включенное в операционную системуWindows (основанное на протоколе Microsoft PPTP) поддерживается WinRoute.
Приложения, которые используют те же самые порты что и брандмауэр, нельзя запускать на хосте WinRoute (или конфигурация портов должна быть изменена). Если все службы запущены, WinRoute использует следующие порты:
Следующие службы используют соответствующие порты по умолчанию. Порты для этих служб могут быть изменены.
Записки по настройке Debian Ubuntu и Microsoft Windows
Читайте также: