Регистрация | Последние сообщения | Персональный список | Поиск | Настройка конференции | Личные данные | Правила конференции | Список участников | Top 64 | Статистика раздела | faq | Что нового v.2.3 | Чат
Skunk Forum - Техника, Наука, Общество » Коммуникации и сетевые технологии »
Kerio.WinRoute.PRO.FAQ. (страница 2)

Версия для печати (настроить)
Страницы: 1 2 3

Новая тема | Написать ответ

Подписаться

Автор Тема:   Kerio.WinRoute.PRO.FAQ.
bf
Junior Member

Сообщений: 24
Откуда: RU
Регистрация: Август 2006

написано 18 Августа 2006 11:00ИнфоПравкаОтветитьIP

В общем, резюме такое: чтобы разрешить работу определённой программы, нужно знать по крайней мере что ей надо - какой исходящий порт, какой порт назначения, протокол, требуется ли доступ к программе из внешнего мира и если да, то опять же по какому порту / протоколу.

Про базовые настройки для прохождения траффика уже упоминали, но я повторюсь:
- базовый вариант через NAT:
PERMIT Firewall -> any.IP:any
PERMIT Firewall -> any.IP:ICMP Ping
PERMIT LAN -> Firewall:ICMP Ping
DROP LAN -> Firewall:any LOG
PERMIT LAN -> any.IP:any NAT (External.IP)
PERMIT LAN -> any.IP:ICMP Ping NAT (External.IP)
...
DROP any -> any LOG

- базовый вариант через Proxy:
PERMIT Firewall -> any.IP:any
PERMIT Firewall -> any.IP:ICMP Ping
PERMIT LAN -> Firewall:ICMP Ping
PERMIT LAN -> Firewall:3128 TCP 53 UDP
PERMIT LAN -> any.IP:ICMP Ping NAT (External.IP)
PERMIT LAN -> any.IP:TCP 25 TCP 110 NAT (External.IP)
...
DROP any -> any LOG

Также возникают частные вопросы, например об использовании двух и более подключений к Интернет на одном шлюзе с KWF:
два подварианта - либо у нас в Traffic Policy
PERMIT LAN1 -> Any:53 UDP, 25, 80, 110, 3128, 8000, 8080 TCP NAT (Inet1)
PERMIT LAN2 -> Any:53 UDP, 25, 80, 110, 3128, 8000, 8080 TCP NAT (Inet2)
(каждая группа пользователей ходит в Инет по своему каналу), либо
PERMIT LAN -> Any:53 UDP, 80, 3128, 8000, 8080 TCP NAT (Inet1)
PERMIT LAN -> Any:25, 110 TCP NAT (Inet2)
(почта через подключение Inet2, всё остальное через Inet1).
Далее - что у нас в Routing Table:
Net 0.0.0.0 Mask 0.0.0.0 Gate 193.232.0.1 If Inet1 Metric 20
Net 0.0.0.0 Mask 0.0.0.0 Gate 193.232.252.1 If Inet2 Metric 10
(правило траффика для подключения с меньшей метрикой идёт в Traffic Policy первым)
Если Traffic Policy такова, что
PERMIT LAN -> Any:53 UDP, 25, 80, 110, 3128, 8000, 8080 TCP NAT (Inet1)
PERMIT LAN -> Any:53 UDP, 25, 80, 110, 3128, 8000, 8080 TCP NAT (Inet2),
есть смысл поочерёдно переключаться на разных провайдеров, включая или отключая соответствующий маршрут в Routing Table (не забудьте грохнуть маршрут 0.0.0.0 в динамической таблице при таком переключении, чтобы он пересоздался!).
Default Gateway в системе при этом должен отсутствовать (!)
Хочется обратить внимание, что многоинтерфейсность в Windows - вообще дело тонкое, есть сведения о том, что на WinXP (SP2?) это не работает (хотя вроде стек TCP/IP тот же), но я бы шлюз на XP и вовсе ставить не стал.

Ну и напоследок - об использовании VPN через KWF. Надо помнить, что PPTP-based (Windows) VPN через NAT не ходит - это связано с непереносимостью PPTP изменения контрольной суммы TCP-пакетов, что происходит в процессе NAT. SSL-based (Kerio) VPN NAT переносит вполне легко (шифрование идёт на ином уровне). Также необходимо помнить, что в KWF, если он находится на машинах Windows, между которыми предполагается осуществить связь через VPN-тоннель средствами Windows, кроме разрешения PPTP на вход и на выход, требуется также разрешить GRE (протокол 47), который надо предварительно создать в закладке Services (по умолчанию KWF о нём может не знать, смотря по версии). Ну конечно же и не стоит ставить одновременно VPN by Windows и VPN by Kerio на одной и той же машине. По понятным причинам

bf
Member

Сообщений: 132
Откуда: RU
Регистрация: Август 2006

написано 29 Октября 2006 14:07ИнфоПравкаОтветитьIP

Сегодня мы поговорим о необходимости и возможности использования Kerio WinRoute Firewall не на клиентах и клиентских шлюзах, как это обычно происходит, а на серверах и серверных шлюзах.
Возьмём простую ситуацию - HTTP-сервер в локальной сети требуется опубликовать наружу. В этом нет ничего сложного:
DROP HTTP_Banlist -> Ext.IP PI=None (Log)
PERMIT Any -> Ext.IP:80 MAP (HTTP_Server_IP) PI=Default
Таким образом, мы не только можем анализировать траффик и отрубленные пакеты, проходящие или стремящиеся пройти на HTTP-сервер, но и получаем по крайней мере два преимущества:
- не надо выставлять HTTP-сервер в DMZ (со всеми вытекающими последствиями);
- нежелательный HTTP-траффик можно не только анализировать, но и рубить по многим признакам. Например, для исключения обращения к HTTP-серверу по IP-адресу вместо FQDN или исключения запросов, содержащих (или не содержащих определённой (под)строки), можно в HTTP Rules сделать так:
- не хотим пускать по IP-адресу:
DROP IF URL = Any_where_URL_is_given_as_an_IP
- не хотим, чтобы в HTTP-запросах содержалось "vti_bin":
DROP IF URL = is in URL Group ("vti_bin").
При этом в Denial_Type желательно просто выставлять "Show Denial Page".
То же самое, по сути, можно организовать, установив KWF прямо на HTTP-сервере, если по каким-либо причинам шлюз занят другими целями и задачами, или если шлюза вообще нет как такового. В этом случае все сводится к прямому разрешению HTTP-запросов на порт Web
DROP HTTP_Banlist -> Firewall PI=None (Log)
PERMIT Any -> Firewall: TCP 80
Т.е., фактически разница с вышестоящим по отношению к Internet шлюзом только в том, что отсутствует MAP на внутренний адрес.

По сути, то же самое можно использовать для фильтрации почтового траффика от спам-сетей:
DROP SMTP_Banlist -> Ext.IP PI=None (Log)
PERMIT Any -> Ext.IP:25 MAP (HTTP_Server_IP) PI=None LogConn
http://forum.skunksworks.net/Forum13/HTML/000048.html

logos13
Junior Member

Сообщений: 1
Откуда: Минск
Регистрация: Ноябрь 2006

написано 13 Ноября 2006 12:59ИнфоПравкаОтветитьIP

1.Напишите пожалуйсто как настроить доступ к локальному ftp серверу из интернет (Winroute 4.2.5)сть один реальный ip
2. Или как в локальной сети одной машине по ip дать полный доступ в интернет в обход прокси ?
Если можно со скриншотами

Карлуш Душ Сантуш
Member

Сообщений: 123
Регистрация: Ноябрь 2005

написано 17 Ноября 2006 04:58ИнфоПравкаОтветитьIP

logos13
Вопросы, что называется, хрестоматийные:
ссылка
Protocol: TCP
Listen IP: < Внешний реальный IP >
Listen Port: Single Port, 21
Destination IP: < внутренний IP FTP-сервера >
Destination Port: 21
Тонкости работы FTP через NAT / Firewall: ссылка
Поднимаем NAT: ссылка
Разрешаем Инет напрямую только для FTP-сервера и нужного IP в Packet Filter:
Interface = Any
Outgoing:
Source = внешний_IP Protocol = TCP Port = Any Destination = Any Permit
Source = внешний_IP Protocol = UDP Port = 53 Destination = Any Permit
Source = LAN_IP Protocol = TCP Port = 3128 Destination = внутренний_IP Permit
Source = LAN_IP Protocol = TCP Port = Any Destination = внутренний_IP DROP
Source = LAN_IP Protocol = UDP Port = Any Destination = внутренний_IP DROP
Source = LAN_IP Protocol = TCP Port = Any Destination = внешний_IP DROP
Source = LAN_IP Protocol = UDP Port = Any Destination = внешний_IP DROP
Source = FTP_IP Protocol = TCP Port = Any Destination = Any Permit
Source = FTP_IP Protocol = UDP Port = 53 Destination = Any Permit
Source = нужный_IP Protocol = TCP Port = Any Destination = Any Permit
Source = нужный_IP Protocol = TCP Port = Any Destination = Any Permit

Incoming:
Source = Any Protocol = TCP Port = Any Desination = FTP_IP Permit
Source = Any Protocol = TCP Port = Any Destination = нужный_IP Permit
Source = Any Protocol = TCP Port = Any Destination = Any DROP !SYN
Source = Any Protocol = UDP Port = Any Destination = Any DROP

Warning!
ссылка

цитата:
Check than NAT is NOT ON for the Interface linking to the internal network (go to the properties of this interface in the Interface Table)

Ну а теперь ссылка под мышку (а то вдруг старик-препод чего забыл ) и с Богом!
А вообще рекомендую перейти на Kerio WinRoute Firewall 5.x - настройки гибче, да и версия оптимальная как по безопасности, так и по функционалу.

Генерал Фэйлор
Junior Member

Сообщений: 2
Регистрация: Декабрь 2006

написано 27 Января 2007 09:10ИнфоПравкаОтветитьIP

Устроился на новую работу - тут Kerio Winroute firewall стоит. Раньше работал с ISA Server, всё по аналогии, только вот не могу запретить пользователям чатиться в ICQ. Не поможет ли кто советом?

bf
Member

Сообщений: 226
Откуда: RU
Регистрация: Август 2006

написано 27 Января 2007 10:55ИнфоПравкаОтветитьIP

Генерал Фэйлор

не могу запретить пользователям чатиться в ICQ
1. Используем принцип "всё что не разрешено - запрещено" согласно посту наверху страницы.
2. Чётко указываем в Protocol Inspector нужный протокол для каждого разрешённого порта, не оставляя ни одного порта без инспектирования. Т.о. ICQ может пройти и через 80-й, и через 110-й порт, если там не включен PI для иного протокола (HTTP и POP3 в данном примере). Доступ же к ссылка можно забанить явно в HTTP Rules, при желании / необходимости.

masterboy
unregistered
написано 11 Апреля 2007 17:09  ПравкаОтветитьIP

Кто-нибудь знает, какие способы есть для обхода учёта траффика или запрета на выход в Интернет для пользователей? Дело в том, что мои пользователи всё меня этим пугают, а я не знаю, правда ли это можно.

bf
Member

Сообщений: 277
Откуда: RU
Регистрация: Август 2006

написано 13 Апреля 2007 20:20ИнфоПравкаОтветитьIP

masterboy
Если администратором чётко используется тот же принцип "всё что не разрешено - запрещено", авторизация NTLM/Kerberos и т.п., no way. Если же Интернет распределяется путём прописывания / не прописывания сетевых настроек на клиентах - достаточно их просто узнать и прописать. Иногда бывает просто достаточно указать прокси как шлюз или наоборот. Подменить чей-то IP / MAC. Более сложные методы - сниффернуть или каким-либо другим образом узнать чьи-то реквизиты (логин/пароль при plain auth или hash при NTLM). Но всегда следует помнить - при умном админе тебя не только обломают, но могут ещё и как следует взгреть..

FigPig
Junior Member

Сообщений: 1
Откуда: Россия
Регистрация: Май 2007

написано 31 Мая 2007 13:10ИнфоПравкаОтветитьIP

Hi all!

У меня в сети(из которой пытаюсь подключаться к Kerio VPN) перекрыт весь трафик протакола UDP.

Сущетсвует ли возможность в WinRote 6.x зарулить весь тарфик исходящий с машины с файрволом по протоколу UDP на протокол TCP?

bf
Member

Сообщений: 717
Откуда: RU
Регистрация: Август 2006

написано 31 Мая 2007 16:41ИнфоПравкаОтветитьIP

FigPig
У меня в сети(из которой пытаюсь подключаться к Kerio VPN) перекрыт весь трафик протакола UDP
А что админ говорит?
Сущетсвует ли возможность в WinRote 6.x зарулить весь тарфик исходящий с машины с файрволом по протоколу UDP на протокол TCP?
Средствами WinRoute - нет. А так -
ссылка
ссылка
Но сразу говорю, это вряд ли подойдёт для работы с KWF на одной машине (конфликт будет), да и Kerio VPN Tunnel создать не поможет. Так что вроде всё шикарно, но..

FigPig
Junior Member

Сообщений: 2
Откуда: Россия
Регистрация: Май 2007

написано 01 Июня 2007 03:07ИнфоПравкаОтветитьIP

bf

Спасибо большое за ответ, бум разбираться

Black Elk
Junior Member

Сообщений: 1
Регистрация: Июль 2007

написано 16 Июля 2007 03:27ИнфоПравкаОтветитьIP

Подскажите плиз, поставил 6.2.2 версию
используеться для расдачи инета в домашнюю сеть.
все работает, но есть сайт на который обрывает соединение,
livegames.ru
с сервера открывается, а склиентских машин нет,
флэшка грузиться до 45 проц, и пишет - Соединение разорвано
где засада ?
заранее спасибо

bf
Member

Сообщений: 801
Откуда: RU
Регистрация: Август 2006

написано 16 Июля 2007 14:17ИнфоПравкаОтветитьIP

Black Elk
Выкл. Protocol Inspector на правиле с NAT.
P.S.: IE 5 на этом сайте вообще вылетает с ошибкой. Уж больно флешка забористая..

Black Elk
Junior Member

Сообщений: 2
Регистрация: Июль 2007

написано 16 Июля 2007 19:20ИнфоПравкаОтветитьIP

на сайт стало заходить,
зато не могу теперь ftp..
что деалать ?
надо и то и то

[Это сообщение изменил Black Elk (изменение 16 Июля 2007 22:56).]

bf
Member

Сообщений: 802
Откуда: RU
Регистрация: Август 2006

написано 17 Июля 2007 17:34ИнфоПравкаОтветитьIP

Black Elk
Создай разные правила для HTTP и FTP:
PERMIT LAN -> Any: 80 TCP NAT (Ext.IP) PI = Off
PERMIT LAN -> Any: 21 TCP NAT (Ext.IP) PI = Default

jz
Multi-Moderator

Сообщений: 4046
Откуда: SkunksWorks
Регистрация: Сентябрь 2005

написано 23 Июня 2010 12:25ИнфоПравкаОтветитьIP

Итак, свершилось! Некогда весьма скромный продукт (KWF v.4..v.6) с выраженной целевой направленностью (шлюз, файрволл, прокси, баннерорезка) обрел поистине монстрообразный облиз а-ля MS ISA (и даже больше). Знакомьтесь:
Kerio Control 7
цитата:
Файрвол и маршрутизатор
Отслеживание подключений (SPI)
Ограничения доступа
Анти-спуфинг
Инспектор протоколов
Мастер настройки политик трафика
DHCP сервер
Перенаправляющий DNS-сервер (forwarder)
IDS/IPS (основанные на Snort)

Сертифицированные Kerio сигнатуры IDS
Черные списки IP-адресов
Три уровня серьезности инцидентов
Система отчетов
Анализатор статистики
Отчеты пользования Интернет по пользователям, группам, интерфейсам
Детализированные отчеты по пользователям
Отчеты по использованию полосы пропускания
Отчеты по безопасности
Статистика по веб-категориям посещаемых страниц с помощью Kerio Web Filter
Поддержка Syslog
Уведомления по электронной почте
Отчеты по посещенным веб-ресурсам
Отчеты по использованным протоколам
Доступ к статистике через веб-браузер

Аутентификация пользователей
Kerberos/Active Directory
NT домен
Ручная аутентификация по логину и паролю
Аутентификация через непрозрачный прокси сервер (для терминальных служб)
Аутентификация по NTLM

Сервер виртуальной частной сети (VPN)
Поддержка сплит-туннелирования
VPN клиенты для Windows/MacOS/Linux
VPN клиент может запускаться как служба
Аутентификация по пользователю
Неограниченное число туннелей (серве-сервер)
Безклиентский SSL-VPN через веб-браузер (только для Windows)

Политики трафика и NAT
Предустановленные службы
Политики трафика по пользователям
Политики трафика по временным интервалам
NAT маппинг
Политики для групп
Динамический DNS
Фильтрация по MAC-адресам
Поддержка черных списков в IDS/IPS
Возможность добавления исключений в политиках трафика

Фильтрация по содержимому
Установка временного интервала
Блокировщик P2P сетей
Категоризация URL
Страница отказа доступа с возможностью кастомизации
Оповещения для администратора по электронной почте
Возможность добавления собственных URL правил
Фильтрация по запрещенным словам
Политики FTP
Прокси серверr
Белый список URL
Антивирусная фильтрация
Интеграция с Sophos
Возможность двойной антивирусной фильтрации
Распределение нагрузки на каналы и QoS
Поддержка нескольких каналов связи Интернет
Маршрутизация на основе политик
Подключение по резервному каналу
Ограничитель полосы пропускания

Администрирование
Консоль администрирования
Веб-консоль администрирования
Несколько IP адресов на одном сетевом интерфейсе
Настраиваемые таблицы маршрутизации
Регулируемый набор привелегий администрирования
Возможность проверки обновлений
Экспорт/импорт настроек сервера
Интеграция с Active Directory
Локальная база пользователей
Доменный шаблон конфигурации пользователя по умолчанию
Fвтоматический выход пользователя после тайм-аута
Настраиваемые интервалы времени для групп
Многоязычная поддержка
Английский
Китайский (упрощенный)
Хорватский
Чешский
Немецкий
Французский
Датский
Венгерский
Итальянский
Японский
Польский
Португальский
РУССКИЙ
Испанский
Шведский
Сертификация
Сертификат ICSA Labs – Корпоративный Файрвол
Windows 7
Системные требования
Windows
CPU: 1 GHz
ОЗУ: 1 GB RAM
Жестки диск: 8 GB HDD свободного места для установки, журналов и данных статистики
Сетевой адаптер: 1 Ethernet (10/100/1000 Mb) сетевой интерфейс поддерживаемый ОС

Операционные Системы*:
Windows 7 (все версии)
Windows XP (все версии)
Windows Vista (все версии)
Windows 2000 Professional
Windows Server 2008 (все версии, кроме Core)
Windows Server 2008 R2 (все версии,кроме Core)
Windows Server 2003 (все версии)
Windows Server 2003 R2 (все версии)
Windows Server 2000 (все версии)
*Требуется установка последних обновлений, если дополнительно не оговорено

Kerio Control Software Appliance
CPU: 500 MHz
ОЗУ: 1 GB RAM
Жесткий диск: 8 GB HDD свободного места для установки ОС, продукта, журналов и данных статистики
Сетевой адаптер: 1 Ethernet (10/100/1000 Mb) сетевой интерфейс поддерживаемый ядром Linux версии 2.6.30
(Большинство существующих сетевых адаптеров поддерживаются..)

Kerio Control VMware Virtual Appliance
CPU: 2 GHz
ОЗУ: 1 GB RAM выделенный виртуальной машине
Жесткий диск: 8 GB HDD места выделенного установки ОС, продукта, журналов и данных статистики
Сетевой адаптер: 1 виртуальный сетевой адаптер

Гипервизор VMware:
VMware Workstation 6.5 или 7.0
VMware Server 1.0 или 2.0
VMware Fusion 2.0 или 3.0
VMware Player 2.5 или 3.0
VMware ESX 3.5 или 4.0
VMware ESXi 3.5 или 4.0

Kerio VPN клиент
Windows
Операционные системы&#8727;:
Windows 7 (все версии)
Windows XP (все версии)
Windows Vista (все версии)
Windows 2000 Professional
Windows Server 2008 (все версии, кроме Core)
Windows Server 2008 R2 (все версии, кроме Core)
Windows Server 2003 (все версии)
Windows Server 2003 R2 (все версии)
Windows Server 2000 (все версии)

Mac OS X
(Поддерживаются только Mac-и основанные на технологии Intel)
Операционные системы:
Mac OS X 10.4 Tiger
Mac OS X 10.5 Leopard
Mac OS X 10.6 Snow Leopard

Linux
Операционные системы:
Debian 5.0
Ubuntu 8.04 to 10.4

Веб-браузеры
Базовые функции входа/выхода пользователя:
Все HTTP (S)-совместимые браузеры, включая мобильные браузеры поддерживаются.

Консоль администрирования Kerio Control, StaR и SSL-VPN:
Microsoft Internet Explorer 7 и 8
Firefox 3 и выше
Safari 4


К великому сожалению, продукты предшествующей линейки сняты с производства наряду с "ответвлениями" а-ля Kerio Server Firewall. Видимо, и тут Kerio Inc. пошла по стопам Microsoft - закрыть предыдущие версии, дабы следующие покупались. Также увеличились системные требования:

цитата:
CPU: 1 GHz
ОЗУ: 1 GB RAM
Жестки диск: 8 GB HDD

Причём нехило увеличились, надо сказать.
Что ж, прощай, KWF - ты был удачным решением. Впрочем как и WinRoute 4 когда-то. Сижу и чешу репу: нафига мне сельхозкомбайн, когда нужен самосвал, фигурально выражаясь?

Весельчак У
Moderator

Сообщений: 10900
Откуда: Санктъ-Питербурхъ
Регистрация: Декабрь 2000

написано 24 Июня 2010 01:20ИнфоПравкаОтветитьIP

jz
Гипервизор VMware
Это что такое, и для чего нужно?

jz
Multi-Moderator

Сообщений: 4049
Откуда: SkunksWorks
Регистрация: Сентябрь 2005

написано 24 Июня 2010 13:46ИнфоПравкаОтветитьIP

Весельчак У
Это что такое, и для чего нужно?
Претензия на технологию виртуализации приложений, как в Windows 7 @ Windows Server 2008:
ссылка
ссылка

Ваш ответ:

Коды форума
Смайлики


Ник:    Пароль       
Отключить смайлики
Страницы: 1 2 3

Все время MSK

Склеить | Разбить | Закрыть | Переместить | Удалить

Новая тема | Написать ответ
Последние сообщения         
Перейти к:

Свяжитесь с нами | skunksworks.net

Copyright © skunksworks.net, 2000-2018

Разработка и техническая поддержка: skunksworks.net


Рейтинг@Mail.ru Яндекс.Метрика