Kerio winroute firewall создать правило rdp
IP компа - Any - Any - Permit
Иначе, повисает на командах (фтп-клиента):
Entering passive mode или LIST
DROP "Default traffic rule" packet from INET, proto:TCP, len:60, ip/port:<ип фтп-сервера>:20 -> <мой реальный ип>:38541, flags: SYN , seq:1642310031 ack:0, win:5840, tcplen:0
DROP "Default traffic rule" packet to INET, proto:TCP, len:48, ip/port:<мой реальный ип>:38537 -> <ип фтп-сервера>:52882, flags: SYN , seq:3117750023 ack:0, win:65535, tcplen:0
Решение вот: При возникновении затруднений при работе по FTP (клиент
зависает на команде LIST) Вам необходимо будет настроить
FTP-клиент на работу в PASSIVE MODE.
Либо на правиле FTP отключить Протокол Инстпектор (не всегда помогает)
просто стоит задача обеспечить доступ к инету локальной сетке с авторизацией по мак
т.к клинты не имеют постоянных ip да и авторизация по паролю не нужна У клиентов нет настроек на прокси только шлюз Соответственно напрашивваеться доступ через нат
Потребуеться еще фильтрация по хостам и доступ из инета в локалку.
Можно ли это сделать в KWF
и еще маленький вопрос какая версия постабильнее ибо доступ нужен 24 ч
2. Как (можно ли вообще) сделать чтобы лимиты по трафику можно было устанавливать не на пользователя, а на IP-адрес?
4.(не в тему Как раздать через AD домашнюю страницу на firefox?
На керио настроено 3 правила (сверху вниз)
1. С локалки разрешен доступ на сервер (сервис any)
2. С сервера разрешен доступ везде (сервис any)
3. C локалки в VPN (сервис any)
В правиле 3 настроен NAT (translate to IP adres of interface; и плюс портмаппинг на IP и порт proxy провайдера)
Теоретически такие правила должны бы перенаправлять все пакеты из локалки на прокси прова, а тот в свою очередь должен бы отправлять эти запросы адресатам, однако этого почему то не происходит (приложения которые настроены на прокси прова в инет выходят нормально, а все остальные, на которых прокси не настроен обрубаются намертво)
Куда прописать статический IP-адрес вида "213.184.111.111"
Есть доменная сеть. На Керио 6.5.2 отдельный сервер от контроллера домена.
На контроллере домена такие настройки:
IP-192.168.0.1
mask-255.255.255.0
(Gate)шлюз-192.168.0.2
Dns-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins- 192.168.0.1
Сервер с Kerio Winroute 6.5.2 :
2 Сетевые карты:
Первая:
Смотрит в интернет (на ADSL модем, его IP - 192.168.3.3)
IP- 192.168.3.4
mask-255.255.255.0
(Gate)шлюз-192.168.3.3
Dns-192.168.3.3
-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins-192.168.0.1
Вторая смотрит в сеть:
IP-192.168.0.2
mask-255.255.255.0
(Gate)шлюз-192.168.3.4
Dns-192.168.3.4
-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins-192.168.0.1
На клиентских машинах:
IP-192.168.0.5 - 192.168.0.100
mask-255.255.255.0
(Gate)шлюз-192.168.0.2
Dns-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins- 192.168.0.1
задача заключается в том, чтобы ноутбуки подключались к серверу 2 по wi-fi, получали IP через DHCP и имели выход в интернет и в сеть.
IP роутера: 192.168.0.1 (является шлюзом инета для всей сети)
IP сервера 1: 192.168.0.10
к серверу 1 подключен сервер 2 через сетевой мост.
IP сервера 2: 192.168.0.20
со стационарного компьютера спокойно подключаюсь к обоим серверам и оба сервера спокойно могут выходить в интернет.
На сервер 2 поставил Kerio, настроил DHCP для WI-FI
в результате wi-fi карта на сервере имеет статичный ip: 55.66.77.1
и ноутбуки, подключаясь, получают адреса в диапазоне 55.66.77.2 - 55.66.77.250
в Kerio в настройках DHCP прописал выдачу шлюза и DNS: 55.66.77.1
DNS форвардинг настроил.
Kerio Winroute Firewall: ПРАВИЛЬНЫЕ Traffic Policy.
Posted by Retifff на 05.12.2009
Перед тем, как что-то делать с правилами, необходимо настроить сетевые интерфейсы по-человечески, так что кто не читал статью ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов. , сделайте это сейчас.
Все ниженаписанное было испробовано на версии KWF 6.2.1, но будет работать и на всех версиях 6.xx, для следующих версий если и будут изменения, то не думаю, что значительные.
Итак, сетевые интерфейсы настроены, Kerio Winroute Firewall установлен, первое, что делаем, заходим в Configuration > Traffic Policy и запускаем Wizard. Даже если до этого вы его уже запускали. Мы же делаем правильно, так?
1. С первым и вторым шагами визарда все понятно, на третьем выбираем внешний сетевой интефейс (Internet Interface, Wizard почти всегда сам определяет его правильно).
Поэтому выбираем второй вариант, Allow access to the following services only. Неважно, что KWF вам возможно предложит немного не те сервисы, какие вам нужны, но все это можно добавить или убрать позднее.
3. На пятом шаге создаем правила для VPN, те кому они не нужны, могут убрать галки. Но опять же можно это сделать и потом, если не уверены.
4. Шаг 6-й, тоже довольно важный. Здесь создаем правила для тех сервисов, которые должны быть доступы извне, из Интернета. Советую добавить хотя бы парочку сервисов, вам самим потом проще будет увидеть, как строится такое правило.
Например:
сервис KWF Admin на Firewall
сервис RDP на 192.168.0.15
5. Шаг седьмой, естественно включаем NAT, даже кому и не нужно будет (маловероятно конечно), всегда его можно выключить.
На восьмом шаге жмем Finish.
Получается у нас что-то типа того:
В принципе уже работать можно, но ведь нужно KWF немного настроить, поэтому дальше:
6. Правило Local Traffic передвигаем на самый верх, ибо правила обрабатываются сверху вниз и поскольку локальный трафик как правило превалирует над остальным, это позволит снизить нагрузку на шлюз, чтоб он не гнал пакеты от локального трафика через всю таблицу правил.
7. В правиле Local Traffic Protocol Inspector отключаем, ставим в None.
8. Из правил NAT и Firewall Traffic убираем ненужные нам сервисы, а нужные соответственно добавляем. Ну например ICQ 🙂 Советую думать над тем, что вы добавляете и удаляете.
9. Иногда для некоторых сервисов требуется отдельное правило, потому что вместе с остальными начинаются непонятные глюки. Ну и отследить как оно отрабатывает проще конечно, поставив логгирование этого правила.
В принципе все, дальше уже все зависит от вас, что именно вам нужно, каким сервисам вы хотите дать доступ в интернет, какие должны быть доступны снаружи.
Несколько примечаний:
10. Если хотите, чтобы с клиентских компьютеров можно было пинговать внешние адреса, то добавьте сервис Ping в правило NAT.
11. Eсли не используете VPN совсем, отключите VPN-сервер (Configuration > Interfaces > VPN Server правой кнопкой > Edit > убрать галку Enable VPN Server).
Еще можно отключить интерфейс Kerio VPN.
13. Если доступ в Интернет нужно дать какой-то группе пользователей или IP-адресов, то создаете правило, подобное NAT, только в качестве источника у него не Local Interface, а ваша группа.
Ниже более-менее похожий на реальность (мою естественно 🙂 , но не совсем) пример.
Пример.
Задача: раздать интернет всем компьютерам из сети, используя непрозрачный прокси, разрешить ICQ и FTP избранным группам, а скачивание почты по POP3 всем. Запретить отсылать письма напрямую в Интернет, только через почтовик. Сделать доступ к этому компьютеру из интернета. Ну и учесть примечания естественно.
Вот сразу правила готовые:
Здравствуйте. Вопрос подобного плана.
Имеется основная локальная сеть на отдельном сетевом интерфейсе 10.10.0.0, на нее через таблицу маршрутизации направляется трафик с сетей 192.168.1.0, 192.168.2.0 и.т.д. Требуется разрешить RDP доступ на компьютеры в маршрутизируемых сетях, но никак не могу понять как должно выглядеть правило проброса в маршрутизируемые сети. Все работает на Kerio Control 9.2.5 build 2532.
Заранее огромное спасибо.
Да вроде там все очевидно делается. В правилах трафика делаете правило, где указываете источником то откуда будут идти запросы (обычно это сетевой интерфейс), назначением указываете Брандмауэр или отдельный сетевой интерфейс (если она у вас отдельно идет) в службах указываете порт 3389. и доступ разрешить - все.
Если нужно на какой то контретный ИП перенаправлять то в том же правиле указываете Трансляцию и порт.
А так для ясности не помешал бы скрин сетевых и маршрутизации в керио как настроено.
prizrak5033, Чет не пойму, у вас получается сделаны Вланы и вы хотите из внутренней сети зайти на другую внутреннюю?
Если да, тогда никакие правила не нужно создавать. У вас все работает по-умолчанию на втором правиле под названием "Внутренняя сеть".
Если у вас не пингуется другой Влан, то это вам надо смотреть L3 коммутатор и порты, и на них уже рулить доступом одного Влана в другой.
prizrak5033, С другой стороны если у вас маршрутами рулит сам керио и адреса 10.10.2.200-205 - это адрес одного керио, что довольно странно, то попробуйте поменять правило. И в источнике и в назначении сделайте две записи подсетей куда и откуда ходят, т.е. в правиле выберите "Адреса" и вбейте?
192.168.2.0/24 и 192.168.3.0/24 эти две строки должны быть в обоих столбцах.
Но сдается мне что тут надо рулит доступом там где Вланы сделаны, скорее всего вы просто не видите другой Влан.
По сути, Kerio WinRoute является в первую очередь фаерволом, который может предоставить безопасное соединение рабочим станциям в локальной сети.
У нас стоит задача, предоставить некоторым пользователям локальной сети доступ к интернету, но при этом, не совершая никаких настроек со стороны клиента. Настроить подключение VPN клиентов к нашей локальной сети.
И так, приступим, первым делом нам нужно установить Kerio WinRoute:
Процесс установки весьма прост, и не должен вызвать затруднений, запускаем WinRoute и выбираем язык:
Принимаем лицензионное соглашение:
Выбираем тип установки, я выбрал «Полная», ненужные модули можно будет отключить в панели управления:
Путь установки, если хотите, то можно поменять:
Kerio WinRoute обнаружил службы с которыми могут быть конфликты, и предлагает отключить их, и мы конечно соглашаемся:
Обязательно указываем логин и пароль администратора:
Если мы выполняем установку на своём компьютере (не удалённо), просто продолжаем:
Kerio WinRoute уже готов к работе, но только на 30 дней…, перезагружаем компьютер и останавливаем службу Kerio:
Если вы скачали Kerio WinRoute с нашего сайта и установили x86 версию, то копируем winroute.exe (присутствует в архиве) в каталог с фаерволом, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\ , с заменой исходного конечно. Теперь копируем license.key в каталог с лицензиями WinRoute, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\license\. Если вы установили x64 версию, то вам нужно будет пропатчить winroute.exe и сгенерировать license.key самостоятельно (патчи тоже присутствуют).
Запускаем Kerio WinRoute, теперь он работает без ограничений пользователей и времени:
Кликаем 2 раза на иконке Kerio WinRoute в трее и попадаем в окно авторизации, где нам нужно ввести логин и пароль для доступа в панель управления, этот логин и пароль мы указывали во время установки:
После успешной авторизации, мы сразу попадаем в панель управления, откажемся от матера настройки и перейдём в раздел "Интерфейсы". В этом разделе выберем интерфейс для подключения к интернету, нажмём на него 2 раза и укажем соответствующую группу интерфейсов:
Теперь выбираем интерфейс для локальной сети, в моём случае их два, и я для обоих указал группу "Доверенные/локальные интерфейсы":
Сетевые платы, должны быть настроены средствами Windows, для одной локальной сети, я указал IP адрес 192.168.1.1 с маской 255.255.255.0, а для другой 192.168.2.1 с маской 255.255.255.0. Сетевая плата для получения интернета у меня была настроена на DHCP режим, то есть получение настроек автоматом.
Теперь сохраним изменения и перейдём в раздел "Политика трафика" где у нас будет уже 2 правила. Первое правило разрешает WinRoute-у ходить куда угодно на любые порты, а второе правило запрещает любой трафик откуда угодно, куда угодно. Правила трафика применяются сверху вниз, таким образом, если вы создадите какое-то разрешающее правило, и оно будет стоять выше правила, которое блокирует весь трафик, то приоритет вашего правила будет выше, и путь для трафика будет открыт:
Теперь приступим к настройкам и добавим новое правило, которое, в итоге, будет разрешать локальный трафик. Потом нажмём два раза на его названии, и укажем своё название:
Теперь нажмем два раза на поле нового правила в колонке "Источник" и поочерёдно добавим нужные объекты, а именно фаервол, VPN клиенты, VPN туннели и локальные интерфейсы:
Добавляем VPN клиентов
Добавляем VPN тунели
Добавляем локальные интерфейсы
Вот что получилось
Точно таким же образом, добавляем эти же объекты в раздел «Назначение», а в разделе "действие" указываем "разрешить":
Теперь добавляем правило для разрешения доступа локальных пользователей в интернет:
А теперь добавляем правило для разрешения доступа для подключения VPN клиентов, если вам не нужен доступ удалённых VPN клиентов к вашей локальной сети, то можете не создавать данного правила:
А теперь очень важный момент, правило для доступа локальных пользователей в интернет мы создали, но доступа они НЕ получат, так как мы не включили NAT, в разделе "трансляция" этого правила устанавливаем флажок на включении NAT и можем выбрать тип балансировки нагрузки (балансировка нужна лишь при нескольких подключениях к интернету):
Выключим сам прокси:
Выключим ВЕБ фильтр:
Этими действиями мы полностью отключили фильтрацию трафика и оставили пользователей локальной сети без защиты перед загружаемыми ими данными, но нам этого и не нужно, к тому же мы снимаем большую нагрузку с нашего сервера – пусть пользователи сами беспокоятся об установке антивирусов на своём компьютере.
Включаем DHCP сервер для раздачи сетевых параметров для локальных пользователей:
Добавляем диапазон IP адресов для раздачи в нашей сети №1:
Добавляем диапазон IP адресов для раздачи в нашей сети №2 (этот шаг совсем не нужен, если у вас всего один локальный интерфейс):
Получаем вот такую картину:
Настройки DNS нас устраивают:
Выключим Anti-Spoofing:
Если вам нужно подключение VPN клиентов с использованием SSL оставим галочку, и если вы хотите предоставить пользователям доступ к статистике через ВЕБ интерфейс, тоже оставим соответствующие галочки. Если вы собираетесь проводить авторизацию пользователей через ВЕБ аутентификацию, то вам нужно будет оставить включенным ВЕБ интерфейс (ВЕБ авторизацию мы рассмотрим дальше):
Отключаем проверку обновлений (ну ели вы КУПИЛИ Kerio WinRoute, то можете не отключать):
После проведенных настроек, Kerio WinRoute раздаст сетевые настройки по протоколу DHCP всем клиентам подключенным к любому из локальных интерфейсов, и предоставит доступ к интернету.
Клиент подключенный на интерфейс №1:
Клиент подключенный на интерфейс №2:
Устанавливаем нужные вам права (или не устанавливаем)
Прикрепляем к группе:
Теперь, при попытке доступа к ВЕБ странице, пользователя бросит на страницу авторизации, и только после успешной авторизации он сможет получить доступ к ВЕБ страницам:
Пару слов про VPN, к сожалению, Kerio WinRoute не поддерживает такие стандарты как PPTP и L2TP, из-за чего установить VPN соединение стандартными средствами Windows не получится, а для подключения используется специальный клиент kerio-control-vpnclient. Ещё одним недостатком, является то, что при помощи VPN соединения не получится подключить пользователя к интернету, так как WinRoute не прописывает VPN клиенту шлюз, доступ будет только к локальным ресурсам. Поддержка подключения интернета через VPN реализована в версии WinRoute 7.4
Читайте также: