Politica de trafic corespunzătoare Kerio WinRoute firewall, retifff - s Blog
Înainte de a face ceva cu regulile, trebuie să configurați interfețe de rețea într-un om, deci care nu a citit corect interfețele de articol de configurare DNS și rețea. . fă-o acum.
Toate nizhenapisannoe fost încercat pe o versiune a KWF 6.2.1, dar se va lucra pe toate versiunile 6.xx, pentru următoarele versiuni și în cazul în care vor exista schimbări, eu nu cred că semnificative.
interfețe de rețea Deci configurate, Kerio WinRoute Firewall este instalat, primul lucru pe care îl facem, mergeți la Configurare> Politica de trafic și executați Expertul. Chiar dacă l-ați rulat deja. Facem ceea ce trebuie, nu?
1. Cu prima și a doua etape ale expertului clar, la a treia selectați rețeaua intefeys extern (Internet Interface, asistent determină aproape întotdeauna dreptul său propriu).
2. Apoi, pas chetvety cel mai important.
Implicit KWF oferă opțiunea «Permite accesul la toate serviciile (fără limitări)», dar! Confruntat permanent cu faptul că astfel de reguli KWF Manipulați de încărcare destul de ușor, cu serviciul 🙂 orice probleme tot timpul.
Prin urmare, vom alege a doua opțiune, Se permite accesul numai următoarele servicii. Indiferent de ceea ce poate oferi aceste servicii KWF mici, ceea ce ai nevoie, dar pot fi adăugate sau eliminate ulterior.
3. Al cincilea pas pentru a crea o regulă pentru VPN, cei care nu au nevoie, poate elimina gaia. Dar, apoi, din nou, puteți face acest lucru și apoi, dacă nu sunteți sigur.
4. Etapa a 6-a, este, de asemenea, destul de important. Aici vom crea reguli pentru aceste servicii să fie accesibile din exterior, de pe Internet. Te sfătuiesc să adăugați cel puțin o pereche de servicii, atunci le va fi mai ușor pentru a vedea modul în care este construit o astfel de regulă.
De exemplu:
Serviciul KWF Admin pe Firewall
Serviciul RDP pe 192.168.0.15
5. Pasul șapte includ în mod natural NAT, și chiar și care nu vor trebui să (puțin probabil desigur), puteți dezactiva oricând.
În a opta etapă, faceți clic pe Finish.
Se pare că avem ceva de genul asta:
În principiu, unul poate fi deja de lucru, dar trebuie să se adapteze ușor KWF, așa mai departe:
Regula 6. mută locale de trafic de pe partea de sus, deoarece regulile sunt procesate de sus în jos, și pentru că traficul local predomină de obicei față de ceilalți, se va reduce sarcina pe poarta de acces, astfel încât el nu a condus pachete de la reglementările de trafic locale din tabel.
7. Articolul Trafic Local Protocol Inspector dezactivare, setați la Niciunul.
8. Din cauza regulilor NAT și de trafic Firewall elimina servicii care nu sunt necesare pentru noi și adăugați dorit respectiv. Ei bine, de exemplu, ICQ 🙂 sfătuiesc să vă gândiți la ceea ce adăugați și eliminați.
9. Uneori, unele servicii necesită o regulă separată, pentru că, împreună cu alte bug-uri ciudate încep. Deci, ține evidența modul în care își îndeplinește desigur mai ușor, punând regula de logare.
În principiu, toate, atunci totul depinde de tine, ceea ce ai nevoie, ce servicii pe care doriți să oferiți acces la Internet, care trebuie să fie accesibil din exterior.
11. Esli nu utilizează VPN, dezactivați VPN-server (Configurare> Interfețe> VPN Server, faceți clic dreapta> Editare> eliminați caseta de selectare Activare VPN Server).
Totuși, este posibil să dezactivați interfața Kerio VPN.
12. Dacă utilizați proxy-mamă, adăugați portul corespunzător regula Firewall Trafic (În cazul în care standardul 3128, puteți adăuga serviciul proxy HTTP). Și de la regula NAT, atunci ai nevoie de cel puțin ubat servicii HTTP și HTTPS.
Mai jos este mai mult sau mai puțin asemănătoare cu realitatea (desigur meu 🙂. Dar nu destul) de exemplu.
Exemplu.
Obiectiv: Pentru a distribui la Internet pentru toate calculatoarele din rețea, folosind un proxy opac, FTP și ICQ permite grupurilor selectate, și e-mail prin descărcare prin POP3 toate. Interziceți trimite scrisori direct la Internet, numai prin plicului. Asigurați-vă acces la acest computer de pe Internet. Ei bine, ia în considerare observațiile desigur.
Aici sunt doar dreptul de a pregăti:
Scurte explicații ale regulilor:
Trafic local - la partea de sus, precum și merge.
NTP Trafic - de obicei pentru serverul de sincronizare de timp (192.168.0.100) cu surse exacte de timp pe Internet.
Trafic ICQ - o regulă care permite unui grup de «Permit ICQ Group» utilizatorilor de a utiliza ICQ.
Trafic FTP - o regulă care permite unui grup de «Permit FTP Group» utilizatorilor să descarce fișiere de FTP-servere.
NAT pentru toți - de la Nathan puțin la stânga (trecem printr-un proxy la Internet) doar e-mail gratuit și ping toți utilizatorii de rețea la Internet este permisă.
Firewall Trafic - acest lucru totul este clar, firewall-ul pentru serviciile autorizate. Vă rugăm să rețineți că serviciul SMTP adăugat aici (în cazul în care Plicul nu este pe același computer ca și vinrout, aveți nevoie pentru a face o regulă separată) și portul 3128 pentru proxy-mamă.
Ping Service - de obicei, necesar pentru ping serverul nostru afara.
Remote Admin - regula de acces din exterior la consola KWF și KMS, interfața lor de web, deși.
Serviciul Kerio VPN - o regulă de acces din afara clienților Kerio VPN.
Serviciul Win VPN - o regulă de acces, în afara de client VPN vindovyh nativ
PDR Service - o regulă de acces din afara ferestrelor clienților terminale (dar mai bine prin VPN).
Corecțiile și adăugirile sunt 😉
regulă
Net - firewall - portul - permite - mapish de computerul ONU la care doriți să vă conectați la portul 3389 + mapish - implicit PI
Deja de la vneshke conectat prin client RDP indicând: IP exterior: portul (care au regula de mai sus)
exemplu:
firewall ip extern 10.10.10.1
Internet - Firewall - 33389 - permite - harta 192.168.1.10:3389
A podklchyuchaeshsya 10,10,10,1: 33389