Настройка Kerio Winroute Firewall 6 в сети с доменом

Понедельник, 27 июня 2011 г.
Рубрика: Архив Itword.net (2007-10) -> В помощь сисадмину
Метки: | |
Просмотров: 27126
Подписаться на комментарии по RSS

Настройка Kerio Winroute Firewall 6 в сети с доменом

Автор статьи NALIMAN, его сайт www.kerio-rus.narod.ru. На сайте автора доступны дополнительные материалы о настройке Kerio Winroute Firewall 6, русификации интерфейса и руководства пользователя на русском языке.

Назначение Kerio Winroute Firewall

Kerio WinRoute Firewall 6.0 - это комплексный инструмент для соединения локальной сети с Интернет и защиты сети от несанкционированного доступа.

Базовые Функции:

  • Network Address Translation (NAT) позволяет соединять локальную сеть с Интернет через один общий IP адрес (статический или динамический).
  • Интегрированный брандмауэр (файрвол) защищает всю локальную сеть, включая рабочую станцию, на которой он установлен, независимо от того, используется ли функция NAT (передача IP) или WinRoute используется как "нейтральный" маршрутизатор между двумя сетями.
  • Всеми установками безопасности в WinRoute можно управлять через так называемые правила политики трафика. Это обеспечивает эффективную защиту сети от внешних атак, при этом обеспечивая легкий доступ ко всем службам, работающим на серверах в пределах защищенной локальной сети (например, Web сервер, почтовый сервер, FTP сервер и др.). Правила Коммуникации в политике трафика могут ограничивать доступ локальных пользователей к определенным службам в Интернет.
  • Вам могут встретиться приложения, которые не поддерживают стандартные связи, которые могут использовать несовместимые протоколы соединений, и т.д. Для решения этой проблемы WinRoute включает так называемые инспекторы протоколов (protocol inspectors), которые определяют необходимый приложению протокол и динамически модифицируют работу брандмауэра, например, обеспечивая временный доступ к определенному порту (при этом будет временно открываться требуемый серверу порт). FTP в активном режиме, Real Audio или PPTP - вот лишь несколько примеров.
  • Фильтр Контента может отслеживать все коммуникации HTTP и FTP и блокировать объекты, не отвечающие установленным критериям. Установки могут быть глобальными или определяться отдельно для каждого пользователя. Скачанные объекты могут также прозрачно проверяться внешними антивирусными приложениями.
  • WinRoute имеет встроенный сервер DHCP, который устанавливает параметры TCP/IP для каждой рабочей станции вашей локальной сети.
  • Модуль DNS Форвардер обеспечивает легкую конфигурацию DNS и ускоряет ответы на запросы DNS. Это простой тип кеширования имени сервера, при котором запросы пересылаются другому серверу DNS. Ответы хранятся в кеш-памяти.
  • Удаленное Администрирование.
  • WinRoute может выполнять антивирусную проверку передаваемых файлов. Для этого доступны встроенный антивирус McAfee или внешние антивирусные программы (например, NOD32, AVG и др.). Проверка на вирусы может применяться к протоколам HTTP, FTP, SMTP и POP3.
  • WinRoute может отправлять пользователям почтовые уведомления, информируя их о различных событиях.
  • Для каждого пользователя можно установить квоты по передаче данных. Эти ограничения можно устанавливать на количество данных в день/месяц.
  • Блокировка P2P сетей.
  • WinRoute позволяет просматривать подробную статистику интерфейса брандмауэра (текущая скорость передачи данных, количество переданной информации за определенный период) и отдельных пользователей (количество переданной информации, используемые службы, категории посещаемых сайтов и др.).
  • WinRoute также решает проблему личного VPN, который можно использовать в режимах сервер-сервер и клиент-сервер. VPN может с обоих сторон использовать NAT (даже множественный). Программа Kerio VPN Client включена в пакет WinRoute и может использоваться для создания клиент-сервер VPN (соединение удаленных клиентов с локальной сетью).

Следует обязательно помнить о том, что на компьютере, где установлен WinRoute, не должно использоваться следующее программное обеспечение, т.к. оно конфликтует с Kerio:

  • Приложения для Общего Соединения с Интернет — например, Microsoft Internet Connection Sharing, Microsoft Прокси-сервер, Microsoft Proxy Client, и т.д.
  • Сетевые брандмауэры, такие как Microsoft ISA Server, CheckPoint Firewall-1, WinProxy (компании Ositis), Sygate Office Network and Sygate Home Network, и т.д.
  • Персональные брандмауэры: Kerio Personal Firewall, Internet Connection Firewall (включенный в Windows XP), Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall, и т.д.
  • Программное обеспечение, разработанное для создания частных виртуальных сетей (VPN): CheckPoint, Cisco Systems, Nortel, и т.д. Примечание: Решение VPN, включенное в операционную систему Windows (основанное на протоколе Microsoft PPTP) поддерживается WinRoute.

Приложения, которые используют те же самые порты что и брандмауэр, нельзя запускать на хосте WinRoute (или конфигурация портов должна быть изменена). Если все службы запущены, WinRoute использует следующие порты:

  • 53/UDP — DNS Форвардер
  • 67/UDP — DHCP Сервер
  • 1900/UDP — SSDP Discovery service
  • 2869/TCP — UPnP Host service
  • 3128/TCP — HTTP Прокси-сервер
  • 44333/TCP+UDP — связь между Администраторский Терминал Kerio и Брандмауэр WinRoute. Эта служба не может быть остановлена.

Следующие службы используют соответствующие порты по умолчанию. Порты для этих служб могут быть изменены.

  • 3128/TCP — HTTP Прокси-сервер
  • 4080/TCP — Администрирование Web Интерфейса
  • 4081/TCP — безопасная (SSL-encrypted) версия Администрирования Web Интерфейса
  • 4090/TCP+UDP — личный VPN сервер

Настройка Kerio Winroute Firewall 6.0.11 в сети с доменом

Для более наглядной настройки файрвола составим схему локальной сети, пример которой показан на рисунке 1.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru myspace.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com

Комментариев: 8

  1. Керио клиент не соединяется с сервером. Пинг с клиентской машины на сервер идет. интернет подан на клиентмашину через проксю на линуксе. какие порты надо открыть на проксе?

  2. Смотри очень внимательно какой версии Керио такой должен быть и vpn-клиент, по умолчанию сервис Kerio VPN определен для протоколов TCP и UDP, как порт 4090.

  3. а как клиенту керио VPN дать возможность выхода в интернет?

  4. В Traffic policy создать правила для VPN,

    Например доступ в Интернет нужно дать какой-то группе пользователей или IP-адресов, то создаете правило, подобное NAT, только в качестве источника у него не Local Interface, а ваша группа что-то вроде этого:

    Name Source Destination
    VPN clients VPN clients Firewall
  5. В правиле 5, которое разрешает доступ из интернета на внутренний web-сервер, какой источник ставить?

  6. Ну подскажите пожалуйста какой источник указывать в 5 правиле. Ну очень нужно

  7. Уже не нужно. Разобралась)

  8. Здравствуйте!

    В локальной сети стоит WiFi роутер. (после Kerio). Как прописать роутер что бы он раздавал интернет через WiFi.

Оставьте комментарий!

grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)