Настройка Kerio Server Firewall Опции

[JoNy202]

Настройка Kerio ServerFirewall

Загружаем Kerio ServerFirewall. Программа установки потребует перезагрузки.

После перезагрузки, открываем меню ‘Пуск->Программы->Kerio->ServerFirewall’ и кликаем на ярлык ‘Administration’. В открывшемся окне ‘Login Page’ вводим ‘Username’ (учетная запись пользователя Windows, под которой Вы в данный момент работаете) и ‘Password’ (пароль учетной записи Windows, под которой Вы в данный момент работаете). Если нет пароля, то его необходимо задать. Жмем ‘Login’ и попадаем в меню управления.

В верхнем левом углу находим кнопку ‘Settings’ и жмем на нее. В открывшемся окне во вкладке ‘Updates’ убираем галку с ‘Automatically check for new versions’. Если вы хотите заходить в меню управления файервола не вводя имя учетной записи Windows и ее пароль, а просто паролю, то во вкладке ‘Administration’ перемещаем галку на ‘Use built-in account’ и жмем на кнопку ‘Change Password’. В открывшемся окне задаем пароль, который будем в дальнейшем использовать при входе. Далее во вкладке ‘Miscellaneous’ убираем галки с ‘Send crashdumps’ и ’Report Javascript errors’. Жмем ‘OK’.

В левой части экрана видим списки ‘Network status’ ‘Network Policy’ ‘Application Hardening’ ‘Intrusion Prevention’ ‘Logs’.

Кликаем на ‘Network status’. В правой части экрана видим все процессы, которые ждут соединения по различным портам. Например, если у Вас стоит ФТП сервер и он в данный момент включен, то вы обязательно должны его увидеть в списке процессов. Выбрав процесс, вы можете просмотреть его информацию.

Кликаем на ‘Network Policy’. В правой части экрана видим правила доступа приложений в Интернет. Удаляем все правила кроме ‘Default rule’ (для удаления правила выделяем его одним кликом мыши и жмем на кнопку ‘Delete Rule’ расположенную вверху). Теперь попробуем создать свое правило, для Internet Explorer. Жмем на кнопку ‘New Rule’. В открывшемся окне во вкладке ‘Name’ в поле ‘Edit rule name’ впишем имя нового правила, например ‘IE rule’. Во вкладке ‘Action’ ставим ‘Action’ в ‘Permit’ (‘Permit’ – разрешить, ‘Drop’ - запретить), а ‘Direction’ в ‘Outgoing’ (‘Incoming’ – входящий, ‘Outgoing’ – исходящий, ‘Both’ – входящий и исходящий). Далее во вкладке ‘Service’ в поле ‘Process’ выбираем путь до исполняющего файла Internet Explorer кнопкой ‘Select->Browse’. Например мой путь: ‘c:\Program Files\Internet Explorer\iexplore.exe’. В ‘Network Service’ жмем на кнопку ‘Add’ и выбираем порты к которым будет разрешено коннектиться Internet Explorer. Выберем порты 53 (DNS), 80 (HTTP), 443 (HTTPS), 21 (FTP). Все, жмем ‘Finish’ и наше правило готово. Его можно отредактировать, выбрав в списке правил и нажав на кнопку ‘Edit Rule’. Для того чтобы правило ‘IE rule’ работало (и все другие правила), необходимо чтобы ‘Action’ правила ‘Default rule’ было ‘Drop’, иначе весь входящий и исходящий трафик будет открыт.

Попробуем добавить правило для ICQ. Для этого повторяем такую же процедуру, как и для Internet Explorer, только различными будут путь до исполняемого файла ICQ и порты. Для ICQ выбираем порты 53 и 5190.

Опцией ‘Application Hardening’ я не пользуюсь.

В списке ‘Intrusion Prevention’ надо только убедиться, что стоит галка на ‘Enable specialized Intrusion Prevention’

В списке ‘Logs’ находятся пять пунктов ‘Network’ ‘Hardening’ ‘Intrusions’ ‘Error’ ‘Debug’. Нас интересует пункт ‘Network’, в котором находятся логи соединений. Для того чтобы файервол вел логи всех заблокированных соединений (входящих и исходящих), необходимо в списке ‘Network Policy’, открыть правило ‘Default rule’ на редактирование. В открывшемся окне во вкладке ‘Logging’ поставим галку ‘Log rule’. Жмем ‘OK’. Пункт ‘Intrusions’ ведет логи сканирования и атак вашего компьютера. Остальные пункты ведут логи работы файервола.

[Гость_Ea*Rais!_*]

У меня локальная сеть. Настроил как сказано но теперь у меня пропала сеть. Короче Фантом мне дал такую тему:
1)тебе нужно создать правило для всех исходящих,
2)а на входящие разрешить нужные порты,
3)отдельно для локальных ip,
5)и отдельно для adsl
6)Сказал что для локалки сделать вообще полный доступ в обе стороны
7)Сказал чделать весь доступ исходящий на adsl;
Вот тока я не знаю как это сделать. Помогите люди добрые!

[DAN]

Установил все-таки
Как я понимаю надо:
1) для локалки:
Выбрать раздел Network Policy -> New Rule ->
Name: Local (например)
Action: Permit
Direction: Both
Remote: Add->Specify by: Address Group
Group Name: Local Network
остальное оставляешь Any
могу и ошибаться - у меня нет локалки

для остального потом напишу (или другие напишут) - щас ехать надо%)

Сообщение отредактировал DAN - Nov 24 2005, 15:53

[Гость_Ea*Rais!_*]

Ага установил вот тока ща одни проблемы. Помочь надо не сображу я. Новичок в этом деле!

[DAN]

2)для адслщиков мне кажется тебе не надо ничо отдельно настривать т.к. ты не собираешься пока фтп открывать.
3)вот в портах я не шарю, поэтому создаю для каждой закачивающей проге отдельное правило; направления в обе стороны, процесс - полный путь к проге т.е. ехе-файлу, остальное Any
и все

[VasaY]

А БОЛЕЕ СВЖЕИГЕ НАТСРОЙКИ НЕ КАК НЕ ВЫДЛОЖИТЬ??? А ТО ДЖОНИИ СКАЗАЛ ЧТО У НЕГ ОСТАРЫЕ ХОЧЕТСЯЬ ЧТО БЫ ТОЧНО БЫЛ ОИ НАВСЕГДА ВОТЬ ТАК ЧТО ВЫЛОЖИТЕ ПЛЗ КОМУН Е ТРУДНО

[JoNy202]

Новых нет и не будет. Проект Kerio Server Firewall закрыт. Последняя версия 1.1.2.

Настройки приведеные выше не устарели.

[SiMM]

ХОЧЕТСЯЬ ЧТО БЫ ТОЧНО БЫЛ ОИ НАВСЕГДА

С этим к ВолгаТелекому - диапазон IP-адресов не от пользователей зависит.

Настройки приведеные выше не устарели.

Ну да К IP-то там привязок нет

[kirill]

Всё настроил как надо было. Загружаю IE, не реагирует ни на один адресс.Почему это может быть?

[DAN]

Всё настроил как надо было. Загружаю IE, не реагирует ни на один адресс.Почему это может быть?

исходящие открой

[kirill]

исходящие открой

открывал, не помагает...что только не делал...
нет инета,при включенном фаере и всё...

[DAN]

открывал, не помагает...что только не делал...
нет инета,при включенном фаере и всё...

попробуй переставить Permit all outgoing и Default Rule оставь только)и попробуй а потом уже для дц правило попробуй добавить и для других нужных прог

[LLeSS]

че то непонял я принцип работы. установил. все зделал. А эта падла фаерфокс в нет пускает. Мол пользуйся ради бога. Это если разрешить все исходящие. Я удалил правило. Дс-пашет.Аська - пашет. ХЗ вобщем.

[ASD_Phantom]

ты хоть напиши что ты хочешь сделать? если ты разрешаешь все исходящие...все и будет работать...я тя не понимаю...

[JoNy202]

ты хоть напиши что ты хочешь сделать? если ты разрешаешь все исходящие...все и будет работать...я тя не понимаю...

Там при установке по умолчанию есть правило выпускать все в инет. Он его не удалил. Либо самое последнее правило поставил в Premit, либо каким то правилом выше открыл доступ всем программам в инет.

[LLeSS]

Вот я делал все как сказал джони 202-ой, удалил все правила. Оставил дефаулт. Его в режим блокировки. Дальше создаю правило для фаерфокса: 21,53,80,443 - порты открываю. Разрешить входящие и исходящие. Удаленный ип: любой, Локальный ип: любой. В итоге непашет ниче.
Поставил оутпост 2.7, ща сижу матерюсь. Закинул р-админ в доверенные. и 1 *** неконектится домой. моя мама уже замучалась отключать фаер для меня.

[DAN]

Вот я делал все как сказал джони 202-ой, удалил все правила. Оставил дефаулт. Его в режим блокировки. Дальше создаю правило для фаерфокса: 21,53,80,443 - порты открываю. Разрешить входящие и исходящие. Удаленный ип: любой, Локальный ип: любой. В итоге непашет ниче.
Поставил оутпост 2.7, ща сижу матерюсь. Закинул р-админ в доверенные. и 1 *** неконектится домой. моя мама уже замучалась отключать фаер для меня.

посмотри логи в Керио - что именно в нем запрещается как Default Rule, может что-то упустил

[LLeSS]

в логах - сообщение - блокируется сам фаер.
Мне интерестно неужели не надо разрешать стандартные службы? типа СВхост, Лсасс и пр?

[JoNy202]

в логах - сообщение - блокируется сам фаер.
Мне интерестно неужели не надо разрешать стандартные службы? типа СВхост, Лсасс и пр?

зачем они тебе.

[DAN]

в логах - сообщение - блокируется сам фаер.

керио сам себя штоли блокирует?

Мне интерестно неужели не надо разрешать стандартные службы? типа СВхост, Лсасс и пр?

у меня лично создано отдельное правило только для дц, а также работают Default Rule и Permit all outgoing - пока все стабильно

[LLeSS]

Permit all outgoing - разрешить все исходящие? а смысл? проги то в нет будут просится. допустем тот же ДС++ сигналв нет будет посылать. хм.

[DAN]

Permit all outgoing - разрешить все исходящие? а смысл? проги то в нет будут просится. допустем тот же ДС++ сигналв нет будет посылать. хм.

можно отдельно для таких вредных прог создать правила, запрещающие им исходящие в нет, точнее разрешить им только контакты с адресами ВТ, соответственно с другими адресами будет уже подпадать под Default

[LLeSS]

нет, непонял получается вирус сможет отослать инфу в нет (троян допустим) ты ведь его незаблокируешь

[ASD_Phantom]

понимаешь что firefox к примеру на исходящий канал использует динамические порты от 1024 и выше...и как ты хочешь разрешить? есть вариант разрешать по программам доступ а не по портам....

[LLeSS]

тоесть для фаерфокса создаю 1 правило - все исходящий, а входящие на нужные порты?

[ASD_Phantom]

тоесть для фаерфокса создаю 1 правило - все исходящий, а входящие на нужные порты?

блин разрешай входящие и исходящие все...и будет работать...почти все программы используют динамические порты на исходящий поток...а зачем тебе входящие? ты же не хочешь открывать свои ресы..так что тебе входящие правила вообщем не нужны вообще

[SiMM]

создаю правило для фаерфокса: 21,53,80,443 - порты открываю. Разрешить входящие и исходящие.

Зачем браузеру входящие? Он же не сервер.

почти все программы используют динамические порты на исходящий поток...

Фигню порешь. Большинство http-серверов сидит на 80м порту. И уж точно не на динамике. Где-то ты чего-то напутал.

[LLeSS]

вы сами то сначала разберитесь. А то один - одно , другой - другое.

[SiMM]

вы сами то сначала разберитесь. А то один - одно , другой - другое.

Мы то, родной, уже давно разобрались и юзаем.

[Гость_YOSHI_*]

вы сами то сначала разберитесь. А то один - одно , другой - другое.

ставь аутпост, дам мой файл с настройками.
посмотришь - разберешься, подправишь под себя.

[ASD_Phantom]

Фигню порешь. Большинство http-серверов сидит на 80м порту. И уж точно не на динамике. Где-то ты чего-то напутал.

эээ....не путай входящий порт и исходящий..ты по одному 80 порту не сможешь обращаться сразу к нескольким http сервакам...в данный момент у мя открыты исходящие на 2878 и 2879 потры firefox'om на 2 закладки...

юзайте tcpview

[SiMM]

эээ....не путай входящий порт и исходящий..ты по одному 80 порту не сможешь обращаться сразу к нескольким http сервакам...

Я ничего не путаю. Файрволу указывается порт назначения, такими заморочками, как исходящий порт, он пользователя не заморачивает, поскольку это реально пользователю по барабану и к безопасности никакого, ИМХО, отношения не имеет. По крайней мере - Kerio этим не заморачивается.

[ASD_Phantom]

в керио сервер это не прокатит...это не винрут...там не указывается входящий или исходящий порт...там порты указываются как сервис...проверено открытие 80 порта ниче не дает

[JoNy202]

в керио сервер это не прокатит...это не винрут...там не указывается входящий или исходящий порт...там порты указываются как сервис...проверено открытие 80 порта ниче не дает

Ошибаешся. Там можно указать эти порты.

[ASD_Phantom]

Ошибаешся. Там можно указать эти порты.

ты пробовал на исходящий открывать только 80 порт? и как? все работало?

[JoNy202]

ты пробовал на исходящий открывать только 80 порт? и как? все работало?

Конечно.

[Гость_-=Fighter=-_*]

керио сам себя штоли блокирует?



у меня лично создано отдельное правило только для дц, а также работают Default Rule и Permit all outgoing - пока все стабильно

при активации правила Permit all outgoing остальные теряют весь вмысл

!

Предупреждение: На дату поста смотри

Сообщение отредактировал JoNy202 - Oct 29 2006, 19:17

[s3rg]

скажите пожалуста, люди добрые, как вернуть все настройки сети (изменённые этим фаером) в первоначальное состояние, и удалить этот фаер.

[Гость_-=Fighter=-_*]

скажите пожалуста, люди добрые, как вернуть все настройки сети (изменённые этим фаером) в первоначальное состояние, и удалить этот фаер.

этот фаервол никаких настроек сети не меняет, достаточно просто его удалить

[s3rg]

этот фаервол никаких настроек сети не меняет, достаточно просто его удалить

я его уже удалял, но чат (в моей локальной сети) глючил - не принимались\не отправлялись сообщения. попробую ещё... может на этот раз всё пройдёт как надо

[Гость_Ёрофеич_*]

А как такую штуку Kerio Personal Firewall 4.1 настраивать?

[Гость_Sanek.K_*]

вроде всё настроил!!!!Парит

[Negative]

У меня проблема - при попытке загрузить файл настройки - допустим export.cfg - и выходит ошибка "Configuration restorin failed", при этом блокировка всплывающих окон выключена.
Помогите....

[JoNy202]

У меня проблема - при попытке загрузить файл настройки - допустим export.cfg - и выходит ошибка "Configuration restorin failed", при этом блокировка всплывающих окон выключена.
Помогите....

Какой браузер ???
Попробуй политику безопасности на минимум.

[Dryl]

Какой браузер ???
Попробуй политику безопасности на минимум.

это я писал, только от другого имени
Internet Explorer
политику безопасности ставил на уровень низкий - никак

[JoNy202]

это я писал, только от другого имени
Internet Explorer
политику безопасности ставил на уровень низкий - никак

У меня никогда проблем с импортом не было. Возможно файл export.cfg поврежден.

[Dryl]

У меня никогда проблем с импортом не было. Возможно файл export.cfg поврежден.

export точно не поврежден, т.к. был испытан на другом компьютере + export сам создаешь, но потом его же не експортирует

[JoNy202]

export точно не поврежден, т.к. был испытан на другом компьютере + export сам создаешь, но потом его же не експортирует

Попробуй kerio переустановить. Можету у тебя лицензия кончилась ???

[Dryl]

Попробуй kerio переустановить. Можету у тебя лицензия кончилась ???

с лицензию все нормально и переустанавливал, не помогает

[MALe]

У кого есть кериовский export.cfg для ВТ?
Скиньте плиз

[bOrIs]

Настройка Kerio ServerFirewall
В ‘Process’ выбираем путь до исполняющего файла Internet Explorer кнопкой ‘Select->Browse’.

Вот сдесь у меня выдаеть неправильный сценарий страницы.
Или достаточно прописать путь "Например мой путь: ‘c:\Program Files\Internet Explorer\iexplore.exe’. "

З.Ы. Я так и не понял до конца как все таки работает этот брэндмауэр искал инфу наткнулся сюда http://forum.ixbt.com/topic.cgi?id=7:19904 - еще больше запутался (((

Сообщение отредактировал bOrIs - Aug 5 2007, 12:52

[NiK]

Вот сдесь у меня выдаеть неправильный сценарий страницы.
Или достаточно прописать путь "Например мой путь: ‘c:\Program Files\Internet Explorer\iexplore.exe’. "

З.Ы. Я так и не понял до конца как все таки работает этот брэндмауэр искал инфу наткнулся сюда http://forum.ixbt.com/topic.cgi?id=7:19904 - еще больше запутался (((

разреши всплывающие окна в ИЕ.

[ScorP]

У меня проблема. Я жму на Загружаем Kerio ServerFirewall.и он меня выкидывает на форум......Народ че делать.?кому не трудно мож выложите установку а..

[Гость_Sum_*]

И что за фигня народ расхваливает дай думаю поставлю себе побалуюсь сделал все как ДЖОНИ написал кроме Нетворка чет не нащол там ничего нужного. А этот гад и в инет лезет и чат не пашет и ДЦ ДОТА и др... С тарые правила удалил новые поставил и нехера не пашет толком терьче.

[Bill]

Установил, ребутил, но почему когда захожу в админку где трубует логин и пароль вашей учётной записи я ввожу, а он гит типа не прально! хотя всё прально! и так до беконечности! не даёт мне вход в админку! почему? подскажите!

[SiMM]

Установил, ребутил, но почему когда захожу в админку где трубует логин и пароль вашей учётной записи я ввожу, а он гит типа не прально! хотя всё прально! и так до беконечности! не даёт мне вход в админку! почему? подскажите!

Логин (или пароль), поди, c кириллицей вбивал? И ещё - в админку можно попасть только с ослика IE.

[Bill]

Логин (или пароль), поди, c кириллицей вбивал? И ещё - в админку можно попасть только с ослика IE.

Захожу с IE нет, не кирилица) всё на английском :-)

[VlaD_LeoN 555]

А как работает фаер сейчас когда IP меняються. У меня например вообще от него сейчас толку нет.

[SiMM]

А как работает фаер сейчас когда IP меняються.

Что значит - меняются? Как были статическими, так и остались

У меня например вообще от него сейчас толку нет.

Значит настроили неправильно.

[VlaD_LeoN 555]

Далее во вкладке ‘Service’ в поле ‘Process’ выбираем путь до исполняющего файла Internet Explorer кнопкой ‘Select->Browse
Подскажите пожалуйста когда я проделываю сею операцию выходит при нажатии кнопки Browse на этой странице произошла ошибка сценария строка 1820, символ 17, обьект не поддерживает данное свойство или метод. Я не очень хорошо в этом разбираюсь, подскажите пожалуйста люди добрые как быть.
Вообщем керио у меня пока наотрез отказалось работать

Сообщение отредактировал VlaD_LeoN 555 - Jan 24 2008, 21:16