Настройка Kerio WinRoute Firewall 4.2.5

Скачать Kerio WinRoute можно здесь.

Итак, допустим Вы уже скачали, активировали и теперь пытаетесь настроить.

В отличии от других фаерволлов Керио отличается тем, что практически не создает нагрузки на процессор и память, при этом его можно очень точно настроить под Ваши требования.

Поехали:

1. Октрываем Kerio (кликаем 2-ды по значку в системном трее). Спрашивает логин и пароль, жмем ОК.

Для начала настроим автоматическое подключение VPN если у Вас интернет через VPN или PPPoE, если нет можете этот пункт пропустить.

В верхнем меню открываем таблицу интерфейсов Настройки/Таблица интерфейсов

В открывшемся окне Вы увидите свои сетевые интерфейсы, один из этих интерфейсов и будет наше VPN соединение. Выбираем этот интерфейс RAS и нажимаем кнопку Свойства

Далее для удобства вводим название интерфейса - например название Вашего провайдера и переходим на Вкладку Удаленный сервер.

Галочки: Преобразовывать IP-адреса этого интерфейса во всех случаях установки связи и Исключить этот компьютер из списка трансляции адресов не играют никакой роли, если Вы не намерены раздавать интернет.

На вкладке Удаленный сервер в поле Сервер будет указано Ваше VPN соединение, в поля Имя пользователя и Пароль введите Имя пользователя и пароль для VPN соединения, выданные Вашим провайдером. Чуть ниже выберите Подключение: постоянное и поставьте галочку Восстанавливать связь при разрыве

Если Ваш провайдер требует какие-либо настройки безопасности VPN подключения, Вы можете внести их нажав кнопку Настройки.

Далее жмем ОК и еще раз ОК.

Готово, теперь Вам не нужно подключать интернет при включении компьютера или переподключаться при разрыве связи, Kerio WinRout сделает это за Вас. Это довольно удобно, к примеру у Вас идет закачка и произошел обрыв связи, Керио автоматически восстановит подключение и Вам не нужно следить за переподключениями.Так же при включении компьютера Керио сам подключит интернет, а Вам необходимо будет только запустить браузер.

2.Настройка безопасности

Настройка безопастности Вашего компьютера это всегда индивидуально, у каждого пользователя свои требования, свои программы, соответственно и настраивать необходимо под каждый компьютер индивидуально.

Представьте что Ваш компьютер это большой улей, а пакеты с информацией, это пчелы, каждая из которых использует свою "дверцу" - порт, при этом эту "дверцу" нужно настроить как на вход так и на выход.

Так вот эти "дверцы" - это порты, они могут быть 2-х типов (протоколов) TCP и UDP.

По сути существует 2 способа настройки безопасности: нельзя все, кроме того, что можно, и можно все, кроме того, что нельзя.

Вкратце рассмотрим каждый из них.

1. Нельзя все, кроме того, что можно, - т.е. мы закрываем все "дверцы" - порты, кроме тех, которые нам необходимы, т.е. мы заведомо знаем что они нужны для нормальной работы программ.

2. Можно все, кроме того, что нельзя, - т.е. мы открываем все "дверцы" - порты, кроме тех, которые опасны, т.е. мы заведомо знаем что их используют вирусы, или знаем что эти порты нам не нужны.

Какой из методов использовать решать Вам, разумеется более безопастным будет использование первого метода, но тогда требуется очень тщательная настройка kerio.

Для того, чтобы правильно настроить фаерволл необходимо понять принцип его работы, итак приступим:

Как я уже говорил, настраивать нужно как на вход так и на выход. Начинаем с выхода, т.е. для начала нам неоходимо определить какие порты использует наш компьютер и зачем.

1. Запускаем kerio Настройки/Дополнительно/Фильтр пакетов. Тут мы видим две вкладки Входящие и Исходящие, разумеется речь идет о пакетах.

2. На вкладке Входящие опускаемся в самый низ и на интерфейсе Любой интерфейс создаем правило: Запретить все, для этого Выделяем надпись Правил нет и нажимаем кнопку Добавить.

В открывшемся окне выбираем Протокол IP, Отправитель Тип: Любой адрес, Адресат Тип: Любой адрес, Действие: Запретить и нажимаем кнопку ОК. После этого через несколько секунд у Вас отключится интернет и вообще любая сетевая активность. Этим правилом мы закрыли все "дверцы" на вход в Ваш "улей" - компьютер. Т.е. ни один пакет из вне не может попасть на Ваш компьютер, однако при этом сам компьютер может отправлять пакеты куда угодно. Вот эти пакеты нам и нужно отследить в первую очередь.

3. Переходим на вкладку Исходящие и делаем все точно так же как и на влкладке Входящие, но при этом дополнительно ставим галочку Регистр. в окне. Это позволит нам не только запретить отправку пакетов но и увидеть какие пакеты и куда шлет Ваш компьютер.

Для этого открываем Вид/Журналы/Протокол безопасности. Возможно Вы сразу же увидите там много строк, это значит что Ваш компьютер отправляет куда-то какието данные, например у Вас запущен Торрент или какая-то закачка или пытается подключиться какая-то программа.

Рассмотрим одну из таких строк более подробно:

[11/Nov/2010 05:01:08] Packet filter: ACL 1:3 int: deny packet in id=8985982 : UDP XXX.XXX.XXX.XXX:YYY -> XXX.XXX.XXX.XXX:YYY

[11/Nov/2010 05:01:08] - дата и время пакета

Packet filter: ACL 1:3 int: - интерфейс через который идут пакеты, это может быть как локальная сетевая карта, так и Ваше VPN подключение

deny packet in id=8985982 - deny-отклонить, т.е. запретить пакет, и номер пакета

UDP XXX.XXX.XXX.XXX:YYY - UDP - протокол, XXX.XXX.XXX.XXX - IP адрес отправителя пакета, т.е. Вашего компьютера, т.к. мы отслживаем исходящие пакеты, YYY - порт - "дверца", через который пакет пытается выйти во вне.

-> XXX.XXX.XXX.XXX:YYY - -> - направление пакета, т.е. еще раз указывает на то что пакет исходящий, XXX.XXX.XXX.XXX - IP адрес получателя пакета, YYY - порт с которого был запрошен пакет, т.е. порт назначения, туда, куда пакет придет на удаленном компьютере.

Итак начинаем анализировать все эти пакеты и создавать правила, каким пакетам разрешать, а каким запрещать путешествия )).... Определяем нужные нам пакеты для работы, разумеется методом тыка, т.е. запускаем допустим браузер и смотрим какие пакеты и на какой порт идут. Разрешаем эти пакеты и смотрим заработал ли интернет, и т.д. Точно такую же настройку необходимо произвести для входящих пакетов, т.к. на каждый исходящий пакет должен быть ответ, и его тоже нужно пропустить. Некоторые необходимые для работы порты я перечислю в конце статьи. Остальные Вам придется определить самостоятельно.

Приведу пример настройки:

Т.к. мы настроили автоматическое подключение VPN то керио винроут сам будет постоянно пытаться подключить VPN, и разумеется будет отправлять пакеты на сервер.

В первую очередь нам необходимо разрешить пакеты предназначенные для DNS, это протокол UDP, 53 порт. Смотрим, через какой интерфейс идут эти пакеты, разумеется это будет Ваша сетевая карта.

Выглядеть пакет будет примерно так:

[12/Nov/2010 02:45:08] Packet filter: ACL 5:0 int: deny packet out id=6231123 : UDP XXX.XXX.XXX.XXX:YYY -> XXX.XXX.XXX.XXX:53

Мы видим что запрещены пакеты UDP c XXX.XXX.XXX.XXX:YYY (Вашего IP какого-то порта) на XXX.XXX.XXX.XXX (DNS сервер Вашего провайдера) на 53-й порт.

Эти пакеты нужно разрешить, для этого создаем правило:

Настройки/Дополнительно/Фильтр пакетов

Выбираем интерфейс Вашей сетевой карты на вкладке Исходящие и нажимаем кнопку Добавить

В открывшемся окне выбираем

Протокол: UDP

Отправитель Тип: Любой (т.к. Ваш IP адрес может периодически меняться)

Отправитель Порт: Любой

Адресат Тип: Узел

Адресат IP-адрес: XXX.XXX.XXX.XXX (IP DNS сервера Вашего провайдера, его мы берем из строки, которую я описал выше)

Адресат Порт Равный (=): 53

Действие: Разрешить

И нажимаем кнопку ОК

Если Вы все сделали правильно, то в окне Журнала пропадут сообщения о том что исходящие пакеты UDP на 53 порт запрещены,

т.е. [12/Nov/2010 02:45:08] Packet filter: ACL 5:0 int: deny packet out id=6231123 : UDP XXX.XXX.XXX.XXX:YYY -> XXX.XXX.XXX.XXX:53 - таких строк больше не будет.

Далее нам необходимо сделать такое же правильно, но на вкладке Входящие, т.к. разрешить ответы с сервера. Для этого:

Настройки/Дополнительно/Фильтр пакетов

Выбираем интерфейс Вашей сетевой карты на вкладке Исходящие

и нажимаем кнопку Добавить

В открывшемся окне выбираем

Протокол: UDP

Отправитель Тип: Узел

Отправитель IP-адрес: XXX.XXX.XXX.XXX (IP DNS сервера Вашего провайдера, его мы берем из строки, которую я описал выше)

Отправитель Порт Равный (=): 53

Адресат Тип: Любой (т.к. Ваш IP адрес может периодически меняться)

Адресат Порт: Любой

Действие: Разрешить

И нажимаем кнопку ОК

В результате через несколько минут у Вас должно подключиться VPN соединение.

Далее запускаем браузер и создаем правила необходимые для работы Интернет.

Список протоколов и портов необходимых для работы Интернет и др. программ.

UDP: 53 - ДНС сервер провайдера

TCP: 80 - http (т.е. чтобы открывались сайты)

TCP: 443 - https (безопасное соединение, используется для защищенных сайтов)

TCP: 5222 - ICQ или QIP (порт может быть и другим, зависит от Вашего ICQ-клиента)

TCP: 20, 21 - ftp

TCP: 110 (получение почты через мейл-клиенты Outlook, the Bat и т.д.)

TCP: 995 (получение почты через защищенное соединение, используется гуглом)

TCP: 25 (отпавка почты через мейл-клиенты)

ICMP - используется для пингов, трейсрутов и т.п.

Повторяюсь что все эти порты необходимо открыть как на вкладке Исходящие, так и на вкладке Входящие.

Если Вы пользуетесь торрент-клиентами, то придется разрешить все TCP порты, т.к. торрент использует очень широкий диапазон.

UDP - наоборот обычно не используется и его можно смело закрывать все кроме ДНС. (53-й порт)

Остальные порты Вы сможете определить по мере необходимости.

Старался описать все наиболее подробно, если же у Вас все таки, чтото не получилось или что-либо не понятно, пишите на ящик Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript , по мере возможности постараюсь помочь и сделать статью более понятной.