Kerio WinrouteЗащитна стена ПРАВИЛНА политика за трафик, Моят блог
Преди да направите нещо с правилата, трябва да конфигурирате мрежовите интерфейси по човешки начин, така че който не е чел статията ПРАВИЛНО конфигуриране на DNS и мрежови интерфейси. направи го сега.
Всичко написано по-долу е изпробвано на KWF 6.2.1, но ще работи на всички версии 6.xx, за следващите версии, ако има промени, не мисля, че ще бъдат значителни.
И така, мрежовите интерфейси са конфигурирани, Kerio Winroute Firewall е инсталиран, първото нещо, което правим, е да отидем на Configuration > Правила за трафик и стартирайте съветника. Дори ако вече сте го стартирали преди. Правим правилното нещо, нали?
1. С първата и втората стъпка на съветника всичко е ясно, на третата стъпка избираме външния мрежов интерфейс (Интернет интерфейс, съветникът почти винаги го определя правилно).
2. Следваща стъпка четвърта, най-важната. По подразбиране KWF предлага „Разрешаване на достъп до всички услуги (без ограничения)“, но! Постоянно се сблъскваме с факта, че такива правила на KWF ще бъдат третирани меко казано странно, проблемите с услугатаВСЯКАКВА са много чести.
Затова избираме втората опция,Разрешаване на достъп само до следните услуги. Няма значение, че KWF може да ви предложи малко по-различни услуги, от които се нуждаете, но всичко това може да бъде добавено или премахнато по-късно.
3. На петата стъпка създаваме правила за VPN, тези, които не се нуждаят от тях, могат да ги махнат. Но отново, можете да го направите по-късно, ако не сте сигурни.
4. Стъпка 6 също е доста важна. Тук създаваме правила за тези услуги, които трябва да бъдат достъпни отвън, от интернет. Съветвам ви да добавите поне няколко услуги, тогава ще ви бъде по-лесно да видите как е изградено такова правило. Например:
Администраторската услуга на KWF е включенаЗащитна стена RDP услуга на 192.168.0.15
5. Стъпка седма, разбира се, че включваме NAT, дори за някой, който няма да се нуждае от него (малко вероятно разбира се), винаги можете да го изключите. На осмата стъпка щракнете върху Готово.
Оказва се, че имаме нещо подобно:
По принцип вече можете да работите, но трябва да конфигурирате малко KWF, така че по-нататък:
6. Преместваме правилотоЛокален трафик най-отгоре, защото правилата се обработват отгоре надолу и тъй като локалният трафик обикновено преобладава над останалия, това ще намали натоварването на шлюза, така че да не управлява пакети от локален трафик през цялата таблица с правила.
7. Деактивирайте инспектора на протокола в правилотоLocal Traffic, задайте го наNone.
8. От правилата за NAT и Firewall Traffic премахваме услугите, от които не се нуждаем, и съответно добавяме необходимите. Е, напримерICQ Съветвам ви да помислите какво добавяте и премахвате.
9. Понякога се изисква отделно правило за някои услуги, защото странните проблеми започват заедно с останалите. Е, по-лесно е да проследите как работи, разбира се, като настроите записването на това правило.
По принцип всичко, след това всичко зависи от вас, какво точно ви трябва, какви услуги искате да дадете достъп до интернет, които трябва да бъдат достъпни навън.
Няколко бележки:
11. Ако изобщо не използвате VPN, деактивирайте VPN сървъра (Конфигурация> Интерфейси> VPN сървър, щракнете с десния бутон върху> Редактиране> премахнете отметката от Активиране на VPN сървър). Можете също да деактивирате Kerio VPN интерфейса.
12. Ако използвате родителски прокси, добавете съответния порт към правилото за трафик на защитната стена (Ако по подразбиране е 3128, тогава можете да добавите HTTP прокси услугата). И тогава трябва да премахнете поне HTTP и HTTPS от NAT правилотоУслуги.
По-долу е повече или по-малко реалистичен (моят естествен, но не съвсем) пример.
Пример. Задача: разпределете интернет до всички компютри в мрежата, като използвате непрозрачен прокси, разрешете ICQ и FTP на избрани групи и изтеглете поща чрез POP3 до всички. Забранете изпращането на писма директно в интернет, само чрез пощата. Направете достъп до този компютър от интернет. Е, вземете предвид бележките, разбира се. Ето правилата готови:
Кратко обяснение на правилата:Местен трафик — до самия връх, както е предвидено.NTP трафик — правило за синхронизиране на сървъра за време (192.168.0.100) с източници на точно време в Интернет.ICQ трафик - правило, което позволява на потребителската група "Разрешаване на ICQ група" да използва ICQ.FTP трафик - правило, което позволява на потребителската група "Разрешаване на FTP група" да изтегля файлове от FTP сървъри.NAT за всички - остава малко от NAT (влизаме в интернет през прокси), само безплатна поща и интернет пинг са разрешени за всички потребители на мрежата.Трафик на защитната стена - всичко е ясно с това, разрешените услуги за защитната стена. Моля, обърнете внимание, че тук е добавена услугата SMTP (в случай че мейлъра не е на същия компютър като winroute, трябва да направите отделно правило) и порт 3128 за родителския прокси.Service Ping е правилото, необходимо за ping на нашия сървър отвън.Remote Admin - правило за външен достъп до конзолите KWF и KMS, до техния уеб интерфейс.Услуга Kerio VPN — правило за достъп извън Kerio VPN клиенти.Service Win VPN - правило за достъп от външни клиенти на собствената VPN на WindowsService RDP - правило за достъп от външни клиенти на терминала на Windows (но по-добре чрез VPN).