» Kerio WinRoute Firewall (часть 2)

Labutin
ваши вопросы выдают ваше не совсем понимание самой логики правил создаваемых в керио... может помочь инструкия русская и примеры с картинками с сайта _http://kerio-rus.ru/ главное понять логику, а уж с ней - вы сами все заточите как вам захочеться под любую задачу...

MoRoZ

Цитата:

можно же разбить диапазон внутренней локалки на два, исключив из них адрес сервака. и усе. например 192,168,1,1-192,168,1,9 и 192,168,1,11-192,168,1,254

Я же написал, что адрес заранее неизвестен! Его по DHCP раздают.

Labutin
Дык че же у тя, шлюз в интернет тоже имеет динамический IP? Это, как бы по мягче сказать, совсем не есть правильно... Значит на DHCP (не знаю, чем у тебя его в сети раздают, но это практически везде можно сделать по притяжке к MAC) надо назначить для этого компа постоянный IP.

crapaud

Цитата:

Дык че же у тя, шлюз в интернет тоже имеет динамический IP? Это, как бы по мягче сказать, совсем не есть правильно... Значит на DHCP (не знаю, чем у тебя его в сети раздают, но это практически везде можно сделать по притяжке к MAC) надо назначить для этого компа постоянный IP.

Да - имеет. Шлюз - это домашняя машина, получающая IP динамически от провайдера, и через нее в инет ходят другие домашние компы. Что в этом странного?

Labutin
Внеси МАК адрес карты и присвой ей резервирование на адрес, тогда сервер всегда одby и тот же ИП будет получать.

Labutin
Ну тада все еще проще, че же ты голову морочишь ))). Я-то думал, у тебя в этой же локальной сети AD развернуто и т.п....
Тогда действительно, иди на http://kerio-rus.ru/ и читай, читай... У тебя самый простой случай. Тебе вообще не важно, что к тебе приходит (какой IP), т.к. для тебя сеть прова - это внешняя сеть. В керио есть собственный DHCP. Создашь отдельную внутреннюю подсеть либо с его помощью либо статические айпишники пропишешь, и усе...

Arakcheev

Цитата:

Внеси МАК адрес карты и присвой ей резервирование на адрес, тогда сервер всегда одby и тот же ИП будет получать.

Господа, вы сообщения мои через слово читаете? IP получается динамически от провайдера! На провайдера я повлиять никак не могу. Что мне присваивают, с тем и приходится жить...

Добавлено:
crapaud

Цитата:

для тебя сеть прова - это внешняя сеть

Напоминаю свой вопрос Я хочу разрешить доступ вот в эту "внешнюю" сеть провайдера 192.168.1.1 - 192.168.1.254 Но где-то в этом диапазоне будет мой адрес (который мне выделят динамически). Как мне его исключить?

Labutin
Еще раз. Для тебя вся сеть прова - внешняя сеть. Но себя керио выделяет из нее (так же как и из внутренней) как фаервол хост. Поэтому, в зависимости от того, что ты конкретно хочешь и кому разрешить или запретить, манипулируй не IP адресом хоста а именно названием Фаервол хост. Керио сам определит, какой у него сегодня ip (при чем как для внутренней сети так и для внешней).

Labutin

Цитата:

Напоминаю свой вопрос Я хочу разрешить доступ вот в эту "внешнюю" сеть провайдера 192.168.1.1 - 192.168.1.254 Но где-то в этом диапазоне будет мой адрес (который мне выделят динамически). Как мне его исключить?

Проще некуда, если я тебя правильно понял. Создаём ДВА правила: _верхнее_ - запретить (всё что ты хочешь запретить) - destination: Firewall host. _нижнее_ - разрешить (всё что ты хочешь разрешить) destination: сеть 192.168.1.0 mask 255.255.255.0. Что должно получаться: Firewall получает динамич IP - и первое правило запрещает вход. А второе правило действует после первого - и разрешает всё оставшееся. Переставляем правила местами - и становится можно всё. Мне кажется - понятно?

Добавлено:
Starry

Цитата:

как сделать правила для VPN-подключения. Есть adsl-модем, он подключается к серверу по ethernet, т.е. создано подключение под названием ADSL. Создаю VPN-подключение (виноузное, PPTP) под названием U-Link. Чтобы подключиться к Инету нужно поднять U-Link.

У меня в аналогичной ситуации работает так:
1. Sorce - Firewall Dest - PPTP сервер прова services PPTP, GRE, DNS. Трансляции нет.
2. Sorce - Firewall+LAN, Destin - VPN (u-link) services (твой список, можно all), Transl - NAT на VPN (u-link).
Соединение VPN - у меня - постоянное.
А остальное - ньюансики.

CuS

Цитата:

Проще некуда, если я тебя правильно понял. Создаём ДВА правила: _верхнее_ - запретить (всё что ты хочешь запретить) - destination: Firewall host. _нижнее_ - разрешить (всё что ты хочешь разрешить) destination: сеть 192.168.1.0 mask 255.255.255.0. Что должно получаться: Firewall получает динамич IP - и первое правило запрещает вход. А второе правило действует после первого - и разрешает всё оставшееся. Переставляем правила местами - и становится можно всё. Мне кажется - понятно?

Да, кажется то, что нужно. Просто вначале меня смутило отсутствие возможности устанавливать флаги. Попробовал - вроде работает.
Спасибо.

ну что ж ... сам отвечаю на свой вопрос... мало ли еще кому пригодиться...

что бы после редактирования логов не сбивался порядок строк и вообще текст - нужно удалить файл соотв логу *.idx это типа индекс текстового файла - при включении керио сам проиндексирует его заново...


Добавлено:
Labutin

Цитата:

Еще такой вопрос. Могу ли я как-то из диапазона исключить фаервол хост?
Поясняю.
1. IP-адрес выдает автоматически и может быть любым из диапазона 192.168.1.1 - 192.168.1.254
2. Хочу разрешить исходящие соединения в локальную сеть 192.168.1.1 - 192.168.1.254 (тот же самый диапазон)

Если я добавлю правило можно соединяться по любым портам на 192.168.1.1 - 192.168.1.254, то в этом диапазоне окажется и мой IP, в результате я разрешу к себе все входящие соединения! А я этого делать не хочу. Т.е. нужно правило типа: можно в 192.168.1.1 - 192.168.1.254 кроме фаервол хост. Как это сделать?

зачем играться айпишниками? это крайний случай в керио. он прекрасно справляеться с указанием в правилах самих сетевых интерфейсоф... т.е. если создать правило (провайдер)->сетевуха смотрящая в сетку-разрешить - то будут разрешены все входящие в локальну сетку. а фаервол хост в это правило не попадет... правда сложно понять зачем такое правило - ведь ты откроешь для хакеров доступ в твою локалку...

вообще что бы правильно построить логику - нужно знать как минимум как ты подключаешься к интернету - какой модем, сколько сетевух и какие у них ип, результат ipconfig...

Добавлено:
Labutin
кстати - то что пров выдает ип входящий в диапазон твоей же локалки - не есть гуд... это дыра в локалку... тут два варианта - или этот ип выдает не пров - а адсл модем чисто для интерфейса - сетевуха компа-модем - а дальше у него уже свой внешний ип, или все же это пров.

в первом случае - получиться что твой модем будет видет вся локалка - и в обход керио хирые люди смогут ходить в интернет указав ип сетевухи смотрящей в интернет как шлюз...

во втором случае - как и говорил дыра от прова и из интета в локалку...

в первом случае - проще поменять настройки модема что бы выдавал ип из другого диапазона (а еще лучше и не выдавал а изменить локальный ип модема и забить в сетевуху дргой ип из того же диапазона как и модем)

во втором случае - поменять диапазон ип всей сетки, или давить на прова что бы выдавал ип из другого диапазона.

короче - дашь больше данных - можно будет не гадать а помочь квалифицированно...

Micriosoft VPN через КЕРИО


Настроил правило в Керио(версия 6.1.4 pacth 2)

Правило:

Source Destination Service Action NAT Protocol inscpector

Internet Firewall PPTP,GRE Permit map 192.168.0.3 PPTP


В логах пишет:


Цитата :
[08/Jun/2006 13:17:43] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:17:43] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:17:47] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:17:47] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:17:51] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:17:51] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:17:55] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:17:55] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:17:59] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:17:59] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:18:03] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:18:03] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:18:07] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:18:07] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:18:11] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:18:11] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet from Internet, proto:TCP, len:56, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: ACK PSH , seq:1562627426 ack:4286982064, win:65347, tcplen:16
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:188, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK PSH , seq:4286982064 ack:1562627442, win:17156, tcplen:148
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet from Internet, proto:TCP, len:56, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: ACK PSH , seq:1562627442 ack:4286982212, win:65199, tcplen:16
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:56, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK PSH , seq:4286982212 ack:1562627458, win:17140, tcplen:16
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:40, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: FIN ACK , seq:4286982228 ack:1562627458, win:17140, tcplen:0
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet from Internet, proto:TCP, len:40, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: FIN ACK , seq:1562627458 ack:4286982229, win:65183, tcplen:0
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:40, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK , seq:4286982229 ack:1562627459, win:17140, tcplen:0

Napalm2005
Я верно понимаю что ваш впн сервер находится на какойто машине внутри локалки просто?
Если да то вы с машин в локалке к нему цепляетесь без проблем?

я делал точно также и у меня все работало именно для PPTP

AnLe

В локалке без проблем. как только через керио то проблема вот такая возникает, последнюю версии керио ставил, стандартные правила ставил + это всеравно таже фигня..... кстати последняя версия не вылетала пока не разу, кабанчик только старый воткнут......

Napalm2005
Аналогично, стоит 621 и внутри локалки машинка с отдельным впн сервером.
На него также бросал пптп и гре извне. На 6.1.х точно всё работало, вечером опробую тогда поднять эту схему ещё раз и проверить.

Napalm2005
с впн не заморачивался еще...
но так на вскидку - пробовали отключать - антиспуфинг? протокол инспектор?

Господа, подскажите, как с помощью KWRF запретить выход в нет определенному приложению? Спасибо.

Germanus
Эм. ВЫ не забыли что квф это фаервол с несколько иными задачими?

Как вариант узнать куда лезет эта прога и забанить её хосты или порты.

Цитата:

ВЫ не забыли что квф это фаервол с несколько иными задачими?

Нет. Просто думал, что к 6 версии разработчики уже всеже смогли вставить столь ОБЫДЕННУЮ и тривиальную (пусть и банальную), для ЛЮБОГО файровола, функцию. Видимо нет... А жаль

Цитата:

Как вариант узнать куда лезет эта прога и забанить её хосты или порты.

К сожалению в моем случае не подходит (соотношение затраченное время/результат)
Спасибо.

Hrist
Пробовал, всеравно тоже самое. Самое интереское что соединение идёт....... Аутентификация..все дела а потом ошибка 721......

Napalm2005
Попробовал.
Всё работает отлично.
То что вы описываете, у меня сегодня днём при попытке поднять эту схему было, когда, имхо, резался гре у прова, соединяется, висит на проверке логин пароля, и 721.
Щас с диалапа другово прова опробовал, всё прекрасно законектилось. На сервак внутрях локалки форвардю пптп и гре и всё ок. (ещё в правиле из локалки в инет натящщем добавил гре на всякий случай, хотя это лишнее в данном случае было на мой взгляд)

Добавлено:
Germanus
Это фаервол не того уровня. не для этого он предназначен

Цитата:

Это фаервол не того уровня. не для этого он предназначен

Класс! Веселое суждение! Однако, по моему убеждению, файрволл ОБЯЗАН контролировать ВЕСЬ трафик: входящий, выходящий, по приложениям, по портам, по протоколам, по хостам... особенно если этот файрволл претендует на звание сетевого пакетного фильтра.
Хотя... это ИМХО и может быть расценено как флуд, при этом некто другой позже зайдя и прочитав сие однозначно получит ответ на свои будущие вопросы ... :-\

Germanus
вам же сказали что это фаервол, не того уровня, он предназначен для шлюза!!
ставьте персональный фаервол если хотите смотреть какие приложения куда полезли!!
а сидя на шлюзе нельзя понять какой exe на клиенте какой трафик генерирует!

Цитата:

ставьте персональный фаервол если хотите смотреть какие приложения куда полезли!!

Ставить куда? На клиентов? А если их более сотни? На все? А если персональные фаеры не контролируют пакеты? Вопросы... вопросы... вопросы. Это я к тому что страшно не хватает именно этой функциональности в фаере, будь то KWRF или кто другой.

Germanus
Я чевота не понял.
Вы наверно шибко умный.
Как может один фаервол класса квф, стоя на машине шлюзовой определять что за приложение с какого компа полезло и блокировать разблокировать ещё наверно по запросу юзеру да?

Можно хотябы один продукт с подобным функционалом?

Точто вы описали поначалу это именно залача персональных фаеров а не как систем типа винрута. Разный у них круг задач поймите это.

Да, блин, я это понимаю!
А вот вопрос

Цитата:

Можно хотябы один продукт с подобным функционалом?

Я как раз сам и задаю меж строк! Или это нужно было явно написать?

Germanus
да нету подобных продуктов..
едиственное подобие это клиенсткая часть у ISA где админ может запретить то или иное приложение.. ноне сам пользователь.. а вообще проблемы разных приложений на клиенстких компах решаются стредства AD путём запрета устанвки програмных продуктов

а шлюзу действительно всё равно какое приложение пытается выйти в инет скажем на 80 порту будть то IE Opera и тд.. они посылают одинаковые запросы.

и напоследок.. представь себе админа который разбирается вручную какое приложение разрешать или запрещать на 100-200 машин клиентах припомощи такого мегафайрвола.. утопия да и только

Germanus
Я знаю корпоративный фаер, который кроме своих обычных обязянностей может мониторить приложения, но только на собственном хосте. Это VipNet Office Firewall. Но вот другой функционал (как шлюза) у него по сравнению с керио подкачал.
Вообще представить себе подобный фаер можно. Только вот он должен представлять из себя клиент-серверный вариант, где клиентская часть посылает запрос на сервер, по поводу приложения, выходящего в сеть... Но уж очень монстроидальная конструкция получится...

Mikes
иса само собой, но тут тогда подозревается наличие дополнительных приложений (клиентов) которые надо также ставить на компы в локалке.