» Kerio WinRoute Firewall (часть 4)

Ruza

Цитата:

Что тут отвечать? Кроме того что вопросивший не понимает разницу между корпоративным брандмауэром и персональным firewall.

слегка понимаю

Цитата:

Паранойя иногда принимает и более изощерённые формы.

не спорю, но решил переспросить для надежности

Цитата:

Это бред сильно расширившегося сознания, не? Брось самокрутку.

Цитата:

Немного неточно описал,- есть доменная сетка,на домене Винь 2003 стоит Керио,
АДСЛ модем который для типа ВПН настроен в режиме роутера и воткнут в свитч,в сетке
20 компов

Цитата:

Сам то понял?

У меня народ конектикся в нет через керио, в свойствах сетевухи юзеров прописан
айпишник сервака с керио. А чтом юзер смог законектится на удаленный комп через ВПН
модем, который настроен как роутер и воткнут в свич, пришлось в свойствах ТСП/ИП добавлять шлюз - айпишник роутера + через route добавлять маршрут на удаленный комп . По другому уже не знаю как и написать

Цитата:

Второе правило полный глюк, вы почитайте, как работает механизм НАТа.

а какое отношение имет 2-е правило к пакетам между сервером и локальной сетью? они помоему идут по первому правилу, или я ошибаюсь?

Цитата:

правой кнопой по Trafic Policy, выбери "Изменить колонки", добавь "Инспектор протокола", для правила локальной сети выключи его.

нашел, выключил, не помогло, всё равно при простое более 10-15 мин "соединение потеряно" будут ещё какие нибудь идеи?

amonra666

Цитата:

да впн к провайдеру у меня поднимается
но вся засада в том что после 1впн в инет мне нужно поднимать еще 1 впн
каторый уже смотрит в инет а он стучится в локалку провайдера!

Какой интерфейс у тебя в KWF значится как Internet? Локалка прова? А надоть вот как раз это VPN соединение.
В таблице маршрутизации первая строчка должна быть вида
Сеть 0.0.0.0 Маска 0.0.0.0 Интерфейс VPN1
Таким образом, всё, что не относится к описанным ниже маршрутам (сеть провайдера, твоя локалка etc), попрёт туда.

Добавлено:
rough84

Цитата:

В результате не удается подключиться через внешний ip *.*.*.*:44441 и 44440

Как уже тут напомнили, не получается ли инет через какой-нить модем с функциями роутера? Если так, то данные порты надо и там открыть. Или вообще сервер с KWF в DMZ загнать - нехай батька сам рулит, без посторонней помощи

Добавлено:
MagistrAnatol

Цитата:

У меня народ конектикся в нет через керио, в свойствах сетевухи юзеров прописан
айпишник сервака с керио. А чтом юзер смог законектится на удаленный комп через ВПН модем, который настроен как роутер и воткнут в свич, пришлось в свойствах ТСП/ИП добавлять шлюз - айпишник роутера + через route добавлять маршрут на удаленный комп . По другому уже не знаю как и написать

это называется "через раком"
если (цитирую) "народ конектикся в нет через керио", то чем оно отличается от "законектится на удаленный комп"? Инет по-любасу через сей модем идёт.
Что в правиле раздачи инета написано? Мож нужный порт не открыт?
Ну и, наконец, как настроен роутер на модеме?

AlOne
Ничего не понял из совета ( Сознаюсь сразу, в принципе не понимаю, как в керио мониторить ( Что мне покажет ентот лог? Что блочатся соединения по порту 5999? Но это очевидно ) А как понять ПОЧЕМУ? ((

AlOne
Дело в том, чтоу меня два модема - один на нет,воткнут во вторую сетевую на серваке с керио, и второй ВПН модем воткнут в свич.Еще одну сетевуху пока поставить немогу

Короче, разобрался, поставил в Traffic Policy около свого правила переадресации портов в разделе Log обе галочки. Пошёл в фильтр, попробовал подключиться по порту 5999, мне в фильтре написало, что Permit согласно правилу, т.е. если верить логу, то запрос фаер обрабатывает корректно и пропускает (( Но переадресации в локаль на сервер 10.0.0.3 не происходит.... Что за беда? Что может блочить соединения по порту 5999 дальше, как отследить?

Ruza
Если на внешнее сетевое подключение NIC100, в которое приходит шнурок c инетом, на Firewall (сервак, на котором стоит керио, на котором есть интерфейс NIC100) по порту TCP 5999 приходит запрос, то переадресовывать его на IP 10.0.0.3 на порт 5999 в локалку. Вот что я хочу сваять. Правильно объяснил? Или опять непонятка? ))

kaskad,
any --- Firewall --- 5999 --- permit --- map 10.0.0.3:5999;nat(NIC100)

sNAlexis
Что в конце за NAT (NIC100)?

Добавлено:
Сорри за тупку - понял ) Но не заработало (

Добавлено:
Причём в Connections появляется соединение с Source 89.179.xx.x (Откуда я коннекчусь к серверу из инета IP) с Rule TCP 5999 и Destination 10.0.0.3, но соединение не происходит. Если же я тупо стучусь с фаервола на порт 5999 в локаль, то соединение устанавливается. Такое ощущение, что сервер принимает запрос на порт 5999 фаерволла и не отсылает на IP 10.0.0.3 (( Почему?

Добавлено:
Вот кто настраивал удалённый доступ к серверу в локалке из интернета? Я порт 5999 открыл для VNC (вернее, хочу открыть), с прокси с керио VNC на 10.0.0.3 цепляется. Делаю правило, как писал выше, чтобы по порту 5999 коннектиться на прокси, а он бы меня ловко перекидывал на сервер в локали - не работает ( Как отследить в логах причину граблей? ((

Добавлено:
Кстати, по идее, когда всё ок, порт 5999 должен быть постоянно открыт, ожидая соединений. У меня же закрыт (

Привет всем!
Странная вешь у меня творится... Не могу зайти на ру-борд из локальной сети с выходом в инет через прокси на сервере с Керио... Другие сайты - пожалуйста, сюда - нет... Адрес недоступен. Как такое может быть? Нигде не блокировал его однозначно...

sNAlexis

Цитата:

any --- Firewall --- 5999 --- permit --- map 10.0.0.3:5999;nat(NIC100)

Хм... Сам то понял?

kaskad

Цитата:

Правильно объяснил?

Нет. Я просил объяснить правило а не как должно быть...

Цитата:

Или опять непонятка?

У меня??? Помоему непонятки тут только:

Цитата:

А как понять ПОЧЕМУ?

Цитата:

any --- Firewall --- 5999 --- permit --- map 10.0.0.3:5999;nat(NIC100)

Никаих нат не надо, особенно в конце... Разве что натить через локальный интерфейс, можно попробовать...

Цитата:

Причём в Connections появляется соединение с Source 89.179.xx.x (Откуда я коннекчусь к серверу из инета IP) с Rule TCP 5999 и Destination 10.0.0.3, но соединение не происходит.

Значится всё в порядке, дальше смотрим на VNC есть ли соединение, разрешено ли к нему подключаться с инет-адресов...
И самое главное!
нужно ещё и правило типа:
vnc - any - permit - nat (NIC100) - PI off

Ruza

Цитата:

vnc - any - permit - nat (NIC100) - PI off

какое-то кривоватое правило. не находишь?

Ruza

Цитата:

Хм... Ну раз дискуссия то тогда давайте рассмотрим правило на примере одного пакета пришедшего с any и дошедшего по разбору до этого правила:
Source Dst
195.10.1.1 Firewall.........
Как поведёт себя керио, если оно сцуко телепатических хотелок админа не понимает?

З.Ы. NIC 100 в данном случае является, не всё что приходит, а именно IP этого интерфейса...

Если NIC 100 это мнемоника внешнего IP (группы адреснов) , а не внешнего интерфейса, то правило конечно неработоспособное....


Добавлено:
kaskad

Цитата:

Ничего не понял из совета ( Сознаюсь сразу, в принципе не понимаю, как в керио мониторить ( Что мне покажет ентот лог? Что блочатся соединения по порту 5999? Но это очевидно ) А как понять ПОЧЕМУ? ((

Цитата:

Короче, разобрался, поставил в Traffic Policy около свого правила переадресации портов в разделе Log обе галочки. Пошёл в фильтр, попробовал подключиться по порту 5999, мне в фильтре написало, что Permit согласно правилу, т.е. если верить логу, то запрос фаер обрабатывает корректно и пропускает (( Но переадресации в локаль на сервер 10.0.0.3 не происходит.... Что за беда? Что может блочить соединения по порту 5999 дальше, как отследить?

Я вам привожу пример живого правила и логов моего почтовика. Случай аналогичный вашему: почтовик в локалке, порт смаплен наружу. Сравнивайте и думайте, где что не так. Попробуйте сделать правило точь в точь как у меня.

name=(Mail server) src=(iface:"Intergate") dst=(81.2.ххх.ххх) service=("SMTP") snat=(any) dnat=(192.168.0.4) action=(permit,logpkt,logconn),

time_range=(always) inspector=(none),
где "Intergate" - это мнемоника внешнего интерфейса,
81.2.ххх.ххх - это реальный IP адрес почтовика (в который рарешается доменное имя mail.xxxxx.ru

вот лог из файла connection:
[30/Jan/2009 12:04:54] [ID] 887544 [Rule] Mail server [Service] SMTP [Connection] TCP 116.233.203.188:4496 -> dcs.dzl.local:25 [Duration] 54 sec [Bytes] 633/806/1439 [Packets] 12/9/21
обратите внимание в нем сразу фигурирует локальное доменное имя почтовика dcs.dzl.local:25

вот лог из файла filter:
[30/Jan/2009 12:06:13] PERMIT "Mail server" packet from Intergate, proto:TCP, len:48, ip/port:121.55.132.160:55426 -> 81.2.ххх.ххх:25, flags: SYN, seq:4014680618 ack:0, win:65535, tcplen:0
[30/Jan/2009 12:06:13] PERMIT "Mail server" packet to Local Area Connection, proto:TCP, len:48, ip/port:121.55.132.160:55426 -> 192.168.0.4:25, flags: SYN , seq:4014680618 ack:0, win:65535, tcplen:0

Видите, здесь уже произошла трансляция реального IP в локальный, а дальше пошли ответные пакеты:
[30/Jan/2009 12:06:13] PERMIT "Mail server" packet from Local Area Connection, proto:TCP, len:48, ip/port:192.168.0.4:25 -> 121.55.132.160:55426, flags: SYN ACK , seq:17444666 ack:4014680619, win:64512, tcplen:0
[30/Jan/2009 12:06:13] PERMIT "Mail server" packet to Intergate, proto:TCP, len:48, ip/port:192.168.0.4:25 -> 121.55.132.160:55426, flags: SYN ACK , seq:17444666 ack:4014680619, win:64512, tcplen:0

Ruza,

Цитата:

Хм... Сам то понял?

мне привычнее на Вы.

Моё правило будет работать только в случае, если фаерволу разрешен 5999 порт наружу.


Цитата:

нужно ещё и правило типа:
vnc - any - permit - nat (NIC100) - PI off

чушь.

[off]надеюсь, участники беседы перед тем, как задавать вопросы, ознакомились с простейшими правилами настройки ТП и пояснять ничего не надо[/off]

Добрый день!!!
Не могу разобраться, стоит kerio winrout firewall 6.2.2
раздает сеть, блокирует, все нормально, вот только не пойму почему не видит кто в локальной сети, и наоборот этой машины нет в сети, как только останавливаю, керио, он появляется в сети и выход появляется, подскажите пжл, где настроить?

Blaze07, читайте инструкцию или сделайте правило:
керио, локалка --- керио, локалка --- любой --- разрешить --- PI выключен

это правило должно быть самым верхним.
Если же по религиозным соображениям, шлюз не должен полноценно дружить с локалкой, то просто открываем на керио 137 порт.

Кстати, в инструкции указано, что не ст0ит на сетевых интерфейсах оставлять включенными протоколы виндовых сетей и шар. Там должно стоять только две галки: протокол TCP/IP и драйвер фаервола.

Добавлено:
Кстати, это очередная мера безопасности, т.к. в сети гуляют черви, которые используют именно нетбиос для заражения компьютера и удаленного выполнения вредоносного кода. К примеру, Conficker.AA по версии NOD32.

sNAlexis
http://i026.radikal.ru/0901/d7/c37ae868a10d.jpg
137 порт открываю все равно не идет

http://i035.radikal.ru/0901/a8/775684f8ca4a.png
на самый верх.

в правиле Ident желательно указать источником внешний интерфейс.

sNAlexis
Спасибо тебе огромное!!! Заработало, еще вопрос возник wrspy не хочет читать логи керио, все другие читают нормально, в чем может быть проблема? В настройках керио или уже wrspy?

Blaze07
http://pcsecurity.net.ru/forum/viewtopic.php?t=1373
почитай внимательно о настройке DNS и в частности о настройке NIC внешнего интерфейса.
Цитатка оттуда:
"Жмем Advanced. В закладке DNS убираем галочку на Register this connections addresses in DNS, в закладке WINS убираем Enable LMHOSTS lookup и ставим Disable NetBIOS over TCP/IP. Также, галочек НЕ ДОЛЖНО БЫТЬ на Client for Microsoft Networks, Network Load Balancing, File and Printer Sharing Microsoft Networks.

Кстати, удобно переименовать внешний интерфейс, назвать не Local Area Connection (Подключение по локальной сети), а например Internet Interface.

Дальше, заходим в Панель управления, Cетевые подключения, в этом окне (окно проводника) меню Дополнительно -> Дополнительные параметры. Во вкладке "Адаптеры и привязки" передвигаем "Local Area Connection" ("Подключение по локальной сети") на самую верхнюю позицию. "

AlOne

Цитата:

какое-то кривоватое правило. не находишь?

Не нахожу... Так как лень было искать адрес машины с VNC.

sNAlexis

Цитата:

мне привычнее на Вы.

Не вопрос...
Цитата:

нужно ещё и правило типа:
vnc - any - permit - nat (NIC100) - PI off
чушь.

В чём же?

Цитата:

В чём же?

оно лишнее.

Встройнный антивирь как часто обновляется?? а то у меня базы 19дн актуальности.

AlexRT
примерно раз в 2 дня.

sNAlexis

Цитата:

оно лишнее.

Можно толковое пояснение? А то как то не затягивет заете ли...
Вот к примеру я могу объяснить почему не нужен nat(NIC100) в этом примере:

Цитата:

map 10.0.0.3:5999;nat(NIC100)

А вот с таким утверждением я даже и спорить не могу... если фаерволу разрешено то как это относится к внутренним адресам...

Цитата:

Моё правило будет работать только в случае, если фаерволу разрешен 5999 порт наружу.

Цитата:

Можно толковое пояснение? А то как то не затягивет заете ли...

большое количество правил порождает долгую обработку тех, что описаны в самом низу. нагрузка на сервер увеличивается из-за множественного анализа.
думаю, что доступно рассказал.
если человек не счёл нужным выложить ТП, это означает, что у него все нормально кроме этой проблемы. подразумевается, что в правиле НАТ разрешен VNC. или тогда уж лучше начать с начала и осведомиться, а установлен ли вообще фаервол.


Цитата:

Вот к примеру я могу объяснить почему не нужен nat(NIC100) в этом примере:

с удовольствием выслушаю точку зрения. допускаю, что нат здесь необязателен.


Цитата:

А вот с таким утверждением я даже и спорить не могу... если фаерволу разрешено то как это относится к внутренним адресам...

это я о своём задумался =) голова болит.

sNAlexis

Цитата:

если человек не счёл нужным выложить ТП, это означает, что у него все нормально кроме этой проблемы.

Это как раз ни о чём не говорит т.к. иногда такие перлы появляются - мама не горюй...


Цитата:

большое количество правил порождает долгую обработку тех, что описаны в самом низу. нагрузка на сервер увеличивается из-за множественного анализа.

Гм... Ладно закончим на этом, а переходит во флейм.

Господа, такой вопрос - можно ли в KWF каким-либо образом разрешить использование определенных номеров ICQ из лок. сети? Может можно как-то "резать" ICQ трафик если номер не из пула разрешенных?
Спасибо.

Jonny_Grekoff

Цитата:

использование определенных номеров ICQ из лок. сети?

Нет.

Добавлено:
sNAlexis

Цитата:

можно ли в KWF каким-либо образом разрешить использование определенных номеров ICQ из лок. сети?

А Вы говорите: "что это означает, что у него все нормально кроме этой проблемы."

Jonny_Grekoff

Цитата:

"резать" ICQ трафик если номер не из пула разрешенных?

проще разрешить аськи только с определенных компов или у вас пользователи мигрируют от компа к компу в течении дня?

sNAlexis

Цитата:

Значится всё в порядке, дальше смотрим на VNC есть ли соединение, разрешено ли к нему подключаться с инет-адресов...
И самое главное!
нужно ещё и правило типа:
vnc - any - permit - nat (NIC100) - PI off

А как разрешить-запретить подключение к VNC с интернет-адресов? По-идее, ему пофик с каких подключаются... Или енто где-то в керио?