Kerio WinRoute защитна стена политика правилното движение, retifff - с блог
Преди да направите нещо с правилата, трябва да конфигурирате мрежовите интерфейси при човек, така, който не чете статията правилните DNS конфигуриране и мрежови интерфейси. , го направите сега.
Всички nizhenapisannoe били изпробвани върху версия на KWF 6.2.1, но ще работи на всички версии 6.xx, за следните версии и дали ще има промени, аз не мисля, че значителен.
Така конфигурирани мрежови интерфейси, Kerio Winroute Firewall е инсталиран, първото нещо, което правим, отидете на Configuration> Политика на трафика и стартирате програмата. Дори ако вече сте го стартирате. Правим правилните неща, нали?
1. С първото и второто стъпките на помощника ясно, в третата изберете intefeys външна мрежа (Internet Interface, Wizard почти винаги определя себе си).
2. След това стъпка chetvety най-важното.
По подразбиране KWF предлага опцията «Да се разреши достъп до всички услуги (без ограничения)», но! Непрекъснато се сблъскват с факта, че такива правила KWF Дръжка за зареждане достатъчно меко казано, с услугата 🙂 никакви проблеми през цялото време.
Ето защо, ние изберете втория вариант, Да се разреши достъп само до следните услуги. Без значение какво може да предложи KWF малко тези услуги, от което имате нужда, но тя може да се добавя или премахва по-късно.
3. Петата стъпка, за да създадете правило за VPN, тези, които не се нуждаят, може да премахне чавки. Но след това отново, можете да го направите и след това, ако не сте сигурни.
4. Стъпка 6-ти, също е доста важно. Тук ние създаваме правила за тези услуги да бъдат достъпни от външната страна, от Интернет. Съветвам ви да добавите поне няколко услуги, а след това вие сами ще бъде по-лесно да се види как се изгражда такова правило.
Например:
обслужване KWF Admin на защитната стена
ПРСР обслужване на 192.168.0.15
5. Стъпка седма естествено включва NAT, а дори и които не трябва да се (малко вероятно, разбира се), винаги можете да го изключите.
В осмия етап, кликнете Finish.
Оказва се, ние имаме нещо такова:
По принцип, един вече може да се работи, но трябва да се коригира леко KWF, така нататък:
Правило 6. Местните се извършва движението в горната част, защото правилата са обработени от горе до долу, а защото местния трафик обикновено преобладава над останалите, това ще доведе до намаляване на натоварването на врата, така че той не е шофиране пакети от местните правила за движение през масата.
7. Правило Local Traffic Inspector протокол забраните, задаване на висота.
8. Поради NAT и Firewall Трафик правила премахнете ненужните услуги за нас и добавете желаните съответно. Ами, например ICQ 🙂 ви съветваме да се мисли за това, което добавяте и премахвате.
9. Понякога, някои услуги да изискват отделен правило, тъй като заедно с други странни грешки започват. Така че да следите как тя изпълнява по-лесно, разбира се, поставяйки сеч правило.
По принцип всичко, а след това всичко зависи от вас, от което имате нужда, какви услуги искате да дадете достъп до интернет, което трябва да бъде достъпен от външната страна.
11. Esli не използва VPN, забраните VPN сървър (Configuration> Интерфейси> VPN сървър, кликнете с десен бутон> Edit> премахнете отметката Enable VPN на сървър).
Все пак е възможно да деактивирате Kerio VPN интерфейс.
12. Ако използвате прокси-майка, добавете Firewall Трафик правило съответния порт (Ако стандартната 3128, можете да добавите HTTP прокси услуга). И от NAT правило тогава ще трябва най-малко ubat HTTP и HTTPS услуги.
По-долу е повече или по-малко подобни на реалността (разбира се ми 🙂. Но не съвсем) например.
Пример.
Цел: Да се разпространява Интернет за всички компютри от мрежата, използвайки непрозрачен прокси, FTP и ICQ позволяват избрани групи, както и поща изтегляне чрез POP3 всички. Забрана изпращат писма директно към интернет, само чрез изпращане по пощата. Направи достъп до този компютър от интернет. Е, помисли коментарите на курса.
Тук са само правото да се подготви:
Кратки обяснения на правилата:
Местен трафик - до върха, както и отиваме.
NTP трафик - типично за времето на сървъра за синхронизация (192.168.0.100) с точни източници време в Интернет.
ICQ трафик - правило, което позволява на група «Позволете ICQ Group» на потребителите да използват ICQ.
FTP трафик - правило, което позволява на група «Позволете FTP Group» на потребителите да изтеглят файлове от FTP сървъри.
NAT за всички - от малко Нейтън наляво (да отидем през прокси към интернет) само свободен поща и пинг всички ползватели на мрежата до Интернет е разрешено.
Firewall трафик - всичко това е ясно, защитната стена за оторизирани сервизи. Моля, имайте предвид, че тук услуга с добавена SMTP (ако писмото не е на същия компютър като vinrout, трябва да се направи отделно правило) и порт 3128 за прокси-майка.
Ping ползване - обикновено е необходимо да пинг нашия сървър извън него.
Remote Admin - правило за достъп отвън към конзолата KWF и KMS, техния уеб интерфейс все пак.
Service Kerio VPN - правило за достъп отвън клиенти Kerio VPN.
Service Win VPN - правило за достъп извън VPN клиент родния vindovyh
Service ПРСР - правило за достъп отвън на прозорци крайни клиенти (но по-добре чрез VPN).
Корекции и допълнения са направени 😉
правило
Net - защитната стена - вашият порт - позволи - mapish от ООН компютър, към който искате да се свържете към порт 3389 + mapish - PI подразбиране
Още от vneshke свързан чрез RDP клиент се посочва: Външна IP: порт (които имат горното правило)
например:
външен IP защитна стена 10.10.10.1
Интернет - Firewall - 33389 - даде възможност - карта 192.168.1.10:3389
А podklchyuchaeshsya 10,10,10,1: 33389