Kerio winroute firewall настройка прокси
Для более наглядной настройки файрвола составим схему локальной сети, пример которой показан на рисунке 1.
Первое что вам нужно сделать — это конечно же установить Kerio Winroute на компьютер, ЖЕЛАТЕЛЬНО не являющийся DC. Перегрузиться, зарегистрировать файрвол и после этого приступить к конфигурации.
Открываем пункт меню Interfaces:
Поясню назначения интерфейсов:
- LAN — сетевая карта, смотрящая в локальную сеть
- INTERNET — сетевая карта, смотрящая в интернет и имеющая реальный IP
Переходим к самому главному — пункту Traffic policy, где будем настраивать (в моём примере ручками) доступ в интернет для локальной сети:
Поясню смысл полей и правил в целом:
- поле Source — источник трафика (то есть КТО)
- поле Destination — получатель траффика (то есть КУДА)
- поле Service — типа трафика (протоколы) которые вы хотите разрешить или запретить создаваемым правилом
- поле Action — запрет или разрешение трафика для созданного правила
- поле Translation — тут включается трансляция адреса (NAT) и также делается Port-mapping
- поле Valid on — тут можно выбрать в какой интервал времени действует данное правило (интервалы времени можно определить в меню Time Ranges (в данной статье рассматривать не будем)
- поле Log — для включения записи в лог результата действия данного правила
Пояснения по правилам, показанным на рисунке 3:
- правило 1 разрешает серверу «ходить» в локалку
- правило 2 разрешает любой трафик из локалки на сервер
- правило 3 разрешает любой трафик от самого сервера в интернет
- правило 4 разрешает любой трафик из локалки в интерфейс, подключенный к интернету, то есть в инет, при этом включена трансляция адресов (NAT) и пользователи имеют прозрачный доступ в интернет по любому протоколу
- правило 5 разрешает доступ из интернета на сервер по HTTP и производит перенаправление пакетов на WEB-сервер, находящийся во внутренней сети (то есть внутренний веб-сервер становится доступен из сети интернет)
Примечание: правила обрабатываются сверху вниз и действуют по принципу «запрещено ВСЁ кроме разрешенного»
Пункт DNS Forvarder служит для включения перенаправления ДНС запросов (для разрешения имён интернета) на указанные сервера + возможна настройка файла HOSTS
Можно для определенных доменов и IP-диапазонов (обычно если имеются всякие «дружественные» подсети) настраивать жёсткую привязку к определенным ДНС:
Для нормальной работы компьютеров в домене вы должны настроить ваш доменный DNS-сервер для пересылки неразрешенных запросов на адрес машины с КЕРИО:
Эти настройки находятся в свойствах ДНС в Win2k(3), при этом сервер не должен быть корневм, т.е., должна быть удалена зона . (точка). На машине с Керио в свою очередь должен быть включен DNS Forwarding.
HTTP Policy:
В URL Groups можно создавать группы, в которые вносить сайты, схожие по содержанию (например банерные сети, порноресурсы) и потом использовать эти группы для ограничения к ним доступа локальных пользователей (будет показано чуть ниже):
На рисунке 7 создана группа «локал» и она содержит маску внутрисетевых ресурсов, далее мы к ним разрешим доступ БЕЗ авторизации.
На следующей картинке показаны HTTP — правила, с применением групп адресов:
Авторизации к локальным ресурсам веб (например, если на шлюзе поднят веб-сервер), второе правило разрешает автоматическое обновление антивирусов установленных на шлюзе (где наш Керио) так же без авторизации, третье правило разрешает доступ снаружи к локальному сайту к определенным страницам (не показано), четвертое правило запрещает доступ к остальным страницам (не указаным в группе), последнее правило позволяет прользователю «генка» доступ по HTTP — БЕЗ авторизации.
Контентные правила оставляем по умолчанию:
На закладке Proxy отключаем непрозрачный (non-transparent) прокси, работающий на 3128 порту (для данной конфигурации):
Закладку Forbidden words не трогаем.
Переходим к пункту Antivirus и отключаем его (грузит машину, из-за него не работает докачка, да ещё непонятно вообще, он работает или нет):
Следующая закладка для настроек того, какое содержимое будет сканировать антивирь (если включён конечно же):
Можно настроить отсылку сообщений на мыло администратора (или, например, начальника) когда антивирус кериовский обнаружит в почтовом трафике (который, в принципе, проходит через ваш шлюз) вирусы + он (Керио) может вставлять в тему письма предупреждающее слово (**VIRUS**):
Пункт меню Address Group служит для составления групп адресов локальных или интернетовских, эти группы адресов можно применять в политиках трафика для создания «индивидуальных» правил (запрещать или разрешать кому либо или всем доступ к этим адресным группам):
В меню Time Ranges настраиваются временные интервалы, которые потом могут быть указаны в политиках трафика для действия правил в указанные часы (интервалы):
Меню Services:
Список всевозможных «сервисов», которые применяются в трафикполисях (собственно говоря, применяются в настройках пакетного фильтра), красным обведено включённое использоватние так называемого «протоколинспектора», призванного следить за «правильностью» пакетов и отличать настоящий трафик от «ложного».
Ниже приведен пример создания нового «сервиса» для винрута с названием «http (на нестандартном порту)», это обычно нужно если требуется выход в интернет некоторым сервисам, работающим на НЕСТАНДАРТНОМ порту:
Данная картинка показывает, как сделать «сервис», например, для web-сервера, работающего на НЕСТАНДАРТНОМ (отличном от общепринятого) порту, то есть, вместо 80-го на 888. Далее этот сервис можно указывать в политиких трафика для разрешения или явного запрета.
Меню Advanced Options:
Отключаем все галочки.
Включаем встроенный web-интерфейс, через который будет происходить авторизация пользователей.
В общем, настройки ISS (оранж фильтра) у меня вот такие.
Настроечки для автоматической проверки новых версий.
Тут настраиваем через какой почтовый сервер винроут сможет отправлять письма (предупреждения о найденых вирусах в почтовом трафике + всевозможные алерты).
Тут включаем пользовательскую статистику.
Ниже показано как сделать Алерт (который пошлётся по емайлу), сообщающий о начале сканирования портов:
Меню Users и Group — там вы создаете пользователей и группы и размещаете пользователей по группам. Это сделано для того, что бы можно было делать разные трафик полиси для пользователей\групп, а так же применять HTTP-правила доступа для юзеров\групп индивидуально.
На картинке так же показано как «привязать» пользователя к определенному IP (или имени компа), в этом случае будет происходить АВТОМАТИЧЕСКАЯ АВТОРИЗАЦИЯ и весь трафик от указанного IP (компа) будет ассоциироваться с данным пользователем и начисляться в его (пользовательскую) статистику.
В общем, тут всё понятно.
Включаем обязательную авторизацию (работает только для HTTP ):
Ставим галочку для того, чтобы всегда запрашивалась авторизация перед посещением страниц интернета.
- Можно идентифицировать доменных пользователей.
Последнее, что нам остается сделать — настроить компьютеры локальной сети для того что бы они ходили в инет через наш УЖЕ настроенный Kerio Winroute Firewall, являющимся роутером + NAT в интернет.
Приведен скриншот настройки одного из пользовательских компьютеров:
В качестве основного шлюза указываете адрес вашего Керио-маршрутизатора, а в качестве предпочитаемого DNS-сервера следует указывать адрес локального DNS (во избежание долгого входа в домен).
Источник
Настройка Kerio WinRoute v6.7 для раздачи интернета пользователям в локальной сет и возможности подключения VPN клиентов
По сути, Kerio WinRoute является в первую очередь фаерволом, который может предоставить безопасное соединение рабочим станциям в локальной сети.
У нас стоит задача, предоставить некоторым пользователям локальной сети доступ к интернету, но при этом, не совершая никаких настроек со стороны клиента. Настроить подключение VPN клиентов к нашей локальной сети.
И так, приступим, первым делом нам нужно установить Kerio WinRoute:
Процесс установки весьма прост, и не должен вызвать затруднений, запускаем WinRoute и выбираем язык:
Принимаем лицензионное соглашение:
Выбираем тип установки, я выбрал «Полная», ненужные модули можно будет отключить в панели управления:
Путь установки, если хотите, то можно поменять:
Kerio WinRoute обнаружил службы с которыми могут быть конфликты, и предлагает отключить их, и мы конечно соглашаемся:
Обязательно указываем логин и пароль администратора:
Если мы выполняем установку на своём компьютере (не удалённо), просто продолжаем:
Kerio WinRoute уже готов к работе, но только на 30 дней…, перезагружаем компьютер и останавливаем службу Kerio:
Если вы скачали Kerio WinRoute с нашего сайта и установили x86 версию, то копируем winroute.exe (присутствует в архиве) в каталог с фаерволом, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\ , с заменой исходного конечно. Теперь копируем license.key в каталог с лицензиями WinRoute, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\license\. Если вы установили x64 версию, то вам нужно будет пропатчить winroute.exe и сгенерировать license.key самостоятельно (патчи тоже присутствуют).
Запускаем Kerio WinRoute, теперь он работает без ограничений пользователей и времени:
Кликаем 2 раза на иконке Kerio WinRoute в трее и попадаем в окно авторизации, где нам нужно ввести логин и пароль для доступа в панель управления, этот логин и пароль мы указывали во время установки:
После успешной авторизации, мы сразу попадаем в панель управления, откажемся от матера настройки и перейдём в раздел «Интерфейсы«. В этом разделе выберем интерфейс для подключения к интернету, нажмём на него 2 раза и укажем соответствующую группу интерфейсов:
Теперь выбираем интерфейс для локальной сети, в моём случае их два, и я для обоих указал группу «Доверенные/локальные интерфейсы«:
Сетевые платы, должны быть настроены средствами Windows, для одной локальной сети, я указал IP адрес 192.168.1.1 с маской 255.255.255.0, а для другой 192.168.2.1 с маской 255.255.255.0. Сетевая плата для получения интернета у меня была настроена на DHCP режим, то есть получение настроек автоматом.
Теперь сохраним изменения и перейдём в раздел «Политика трафика» где у нас будет уже 2 правила. Первое правило разрешает WinRoute-у ходить куда угодно на любые порты, а второе правило запрещает любой трафик откуда угодно, куда угодно. Правила трафика применяются сверху вниз, таким образом, если вы создадите какое-то разрешающее правило, и оно будет стоять выше правила, которое блокирует весь трафик, то приоритет вашего правила будет выше, и путь для трафика будет открыт:
Теперь приступим к настройкам и добавим новое правило, которое, в итоге, будет разрешать локальный трафик. Потом нажмём два раза на его названии, и укажем своё название:
Теперь нажмем два раза на поле нового правила в колонке «Источник» и поочерёдно добавим нужные объекты, а именно фаервол, VPN клиенты, VPN туннели и локальные интерфейсы:
Добавляем VPN клиентов
Добавляем VPN тунели
Добавляем локальные интерфейсы
Вот что получилось
Точно таким же образом, добавляем эти же объекты в раздел «Назначение», а в разделе «действие» указываем «разрешить«:
Теперь добавляем правило для разрешения доступа локальных пользователей в интернет:
А теперь добавляем правило для разрешения доступа для подключения VPN клиентов, если вам не нужен доступ удалённых VPN клиентов к вашей локальной сети, то можете не создавать данного правила:
А теперь очень важный момент, правило для доступа локальных пользователей в интернет мы создали, но доступа они НЕ получат, так как мы не включили NAT, в разделе «трансляция» этого правила устанавливаем флажок на включении NAT и можем выбрать тип балансировки нагрузки (балансировка нужна лишь при нескольких подключениях к интернету):
Сохраним изменения и перейдём в раздел «Фильтр содержимого => Политика HTTP» и выключим кеширование прозрачного HTTP прокси:
Выключим сам прокси:
Выключим ВЕБ фильтр:
Этими действиями мы полностью отключили фильтрацию трафика и оставили пользователей локальной сети без защиты перед загружаемыми ими данными, но нам этого и не нужно, к тому же мы снимаем большую нагрузку с нашего сервера – пусть пользователи сами беспокоятся об установке антивирусов на своём компьютере.
Включаем DHCP сервер для раздачи сетевых параметров для локальных пользователей:
Добавляем диапазон IP адресов для раздачи в нашей сети №1:
Добавляем диапазон IP адресов для раздачи в нашей сети №2 (этот шаг совсем не нужен, если у вас всего один локальный интерфейс):
Получаем вот такую картину:
Настройки DNS нас устраивают:
Выключим Anti-Spoofing:
Если вам нужно подключение VPN клиентов с использованием SSL оставим галочку, и если вы хотите предоставить пользователям доступ к статистике через ВЕБ интерфейс, тоже оставим соответствующие галочки. Если вы собираетесь проводить авторизацию пользователей через ВЕБ аутентификацию, то вам нужно будет оставить включенным ВЕБ интерфейс (ВЕБ авторизацию мы рассмотрим дальше):
Отключаем проверку обновлений (ну ели вы КУПИЛИ Kerio WinRoute, то можете не отключать):
После проведенных настроек, Kerio WinRoute раздаст сетевые настройки по протоколу DHCP всем клиентам подключенным к любому из локальных интерфейсов, и предоставит доступ к интернету.
Клиент подключенный на интерфейс №1:
Клиент подключенный на интерфейс №2:
Но, если мы хотим предоставить доступ к интернету не всем пользователям, нам нужно включить HTTP авторизацию и добавить каждого пользователя. Можно конечно задать фильтр по IP адресам в политиках трафика, но что стоит клиенту сменить свой IP адрес вручную и получить доступ к интернету?
Включаем HTTP авторизацию при доступе в ВЕБ и автоматическую аутентификацию браузерами, выставляем лимит сеанса при бездействии:
Устанавливаем нужные вам права (или не устанавливаем)
Прикрепляем к группе:
Теперь, при попытке доступа к ВЕБ странице, пользователя бросит на страницу авторизации, и только после успешной авторизации он сможет получить доступ к ВЕБ страницам:
Пару слов про VPN, к сожалению, Kerio WinRoute не поддерживает такие стандарты как PPTP и L2TP, из-за чего установить VPN соединение стандартными средствами Windows не получится, а для подключения используется специальный клиент kerio-control-vpnclient. Ещё одним недостатком, является то, что при помощи VPN соединения не получится подключить пользователя к интернету, так как WinRoute не прописывает VPN клиенту шлюз, доступ будет только к локальным ресурсам. Поддержка подключения интернета через VPN реализована в версии WinRoute 7.4
Не забываем оставлять комментарии и отзывы, нам важно ваше мнение!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|