Помогите настроить фаерволл.
 

В общем такая пробема. После настройки kwf (6.5), все пользователи выходят в инет по правилу межсетевого экрана (большинство служб разрешены), хотя для них выделено особое правило. Когда правило выключаю - пропадает инет уклиентов. В чем может быть проблема? Подкажите пожалуйста. В инете все перерыл, но по теме ничего.

извени, но нихрена не понятно.) сформулируй точнее вопрос. а лутше всего картинку с правилами выложи ну или пришли.

пользователям можно дать доступ в инет двумя способами:
1 - через прокси.
2 - через нат.

в любом случает интернет это не только 80(http) порт но и 53(dns).) не надо забывать про это.)

Выкладываю картинки (1,2,3) с правилами.
Так же выложил картинку с интерфейсами (4).
Задача: дать определенным пользователям доступ в инет полный, другим только на icq, pop3, smtp, третьим вообще отключить.

что то я не понял про картинки.) выкладываю куда?.)) ладно, всё приходиться делать самому.) вот тут рисунки (ftp://wertyg.homeftp.net/myUpload/worf/) и они тут будут не до бесконечности. срок годности две недели.) если я про них не забуду.))

1 - инет(HTTP;DNS;ICQ;POP3;SMTP и прочее) у тебя должен быть разрешён по умолчанию у меня так как на рис1. т.е создано правило. обрати внимание:
а - синим обведено то что я считаю инетом.) у меня это два правила но можно и совместить их.
б - фиолетовым обведено для кого они в моём и твоём случае лучше чтоб были для сетевого экрана покрайней мере все нижеприведённое для такого случая.)
в - в последствии тебе пригодиться правило разрешающее подключаться к сетевому экрану из локальной сети по порту 3128 он же HTTPproxy в "службах" и 53 он же DNS. у меня вся локальная сеть подключается без ограничения(как видно из рис1 обведено коричневым) и потому такие правила не нужны.

2 - идёшь вот сюда рис2, рис3. контролируеш наличие точек\галочек как на рисунках. таким образом мы будем разрешать адреса и кэшировать вэб для ускорения доступа и экономии пропускной способности. потом сюда рис4. красным отмечено то что обязательно должно быть включено для авторизации пользователей. синим опциональные компоненты только в том случае если у тебя авторизация через домен NT или AD.

3 - создаёшь группы рис5. набиваешь туда пользователей.

4 - создаёшь соответствуюшие правила рис6. правило для тех у кого полный инет создавать ненужно. потому как по-умолчанию на них запреты из "политики НТТР" не действуют.

5 - настраеваешь клиентов:
шлюз по умолчанию это ИП твоего сетевого экрана
предпочитаемый DNS тоже ИП сетевого экрана
в обозревателе вэб-страниц указываешь прокси ИП твоего сетевого экрана и порт 3128 если ты не изменил его на шаге 1.)

з.ы. писал на быструю руку,) доступ к инету может быть реализован и иным способом. в моём описании возможны ошибки. пробуй и пиши если что не так. ага и главное в этой статье я не учитываю прочие настройки которые ты сознательно или безсознательно сделал на сетевом экране.))

всё вышеперечисленное только для НТТР. обрати внимание что в такой конфигурации другие сервисы(SMTP,ICQ,POP3 и тп.) работать у пользователей не станут. для того чтоб они работали нужно создать правило трансляции адресов вида источник=группа\пользователь\всё; назначение=интернет(интерфейс); служба=нужный тебе сервис; трансляция=по-умолчанию или исходящий интерфейс.

Извини, тут запарка произошла. вот рисунки
http://forum.oszone.net/attachment.p...7&d=1249540320 это 1
http://forum.oszone.net/attachment.p...8&d=1249540320 это 2
http://forum.oszone.net/attachment.p...9&d=1249540345 это 3
http://forum.oszone.net/attachment.p...0&d=1249540345 это 4
http://forum.oszone.net/attachment.p...2&d=1249540527 это 5 - рисунок с подключениями.

когда в керио включаю переадресацию DNS - пишет, что переадресация DNS конфликтует с DNS службой Windows. Все что надо отклчено (Брэндмауер виндовый, а вот SSDP discovery, universal PnP службы так и не нашел :(...)
DHCP я использую на сервере, поэтому нет необходимости включать галочку в керио как на рис 2.

а так это понятно.) я же не знал что у тебя виндовая поднята. значит галку не ставь! выбери что то одно.

о блин!.) ну брандмауэр то понятно Керио с ним работать не будет а что за SSDP и UPnP это откуда и причём тут понять не могу. они включаються когда шариш подключение к инету, ну и выключаються когда шару снимаешь. но зачем тебе шарить подключение к инету если у тебя Керио этим занимается? а вообщем что получилось?

по картинкам:

2 правило(PING) избыточное\неКоррктное - источникЛюбой\назначениеСетевойЭкран\службаЛюбойICMP+ping --- это правило позволяет любому хосту из любой сети послать тебе любой паке ICMP. протокол ICMP это не только ping но и многое другое. потому рекомендую убрать любойICMP оставив только ping.

3 правило(RDP) избыточное\неКорректное --- протокол RDP использует порт 3389 потому порт 3389 и службаRDP это одно и тоже, оставь что то одно или порт 3389 или службу RDP.

5 правило(SQL) избыточное\неКорректное --- сервер MS-SQL работает по-моему только с протоколом TCP. и MS-SQL и порты 1433 это одно и тоже(если конечно у тебя не SQL2005Express) рекомендую оставить только службу MS-SQL.

что за оранжВэбФильтр. по-моему он работает по протоколу COFS в службах который ну или 6000 TCP порту, а HTTPS там зачем?

правила FTP и NAT пересмотри пож. так как они дублируют друг друга(избыточные то есть) кроме двух нижних строчек в правиле FTP они идентичны. не путай себя! и из этих правил убери 37-ю машину т.к. ниже ты ей разрешаешь полный доступ. в этих правилах она ненужна.

правило ISQ&POP3 --- 37-ой машине ты и так разрешил выше всё зачем она здесь? администратор получает всё в правеле NAT(если ты пересмотриш правило FTP) или в правиле FTP, он тут тоже не нужен.

правило траффикМежсетевогоЭкрана --- MS-SQL и порты 1433 это одно и тоже мы это обсуждали выше.

так же ты журналируеш не только подключения но и пакеты зачем? соединения это факт уставноки передачи данных да и вообще какого либо "осмысленного" взаимодействия. а пакеты не факт подключения или взаимодействия. кроме того их гараздо больше они топят журналы. по мне так стоит от регистрации пакетов отказаться. хотя смотри сам может тебе они нужны.

ну в чём причина? что работает не так? немножко безпорядка и путаници но это ж не страшно.)) просмотри правила и внеси изменения потом пиши что не получается.

показываю как это делаеться более красиво.)

1 - создаём группы по назначениям HTTP,HTTPS,ICQ,MAIL,FTP. я так понял что некоторым ты даёшь доступ только к HTTP а другим только к HTTPS, потому их разделил. если это не так то можно их обьеденить в одну HTTP. рис7.

2 - добавляем пользователей. обрати внимание что один пользователь может состоять в нескольких группах.) рис8.

3 - пишим правила рис9. обрати внимание что протокол HTTP мы проксируем!(обведено красным) остальные протоколы NAT-им. также обрати внимание что если пользователь в группе MAIL то ему доступны два протокола SMTP и POP3 что собственно говоря логично да?.))

p.s. также нужно создать специальную группу пользователей или адресов ХорошиеЛюди и соответствующие правило где источник=хорошиеЛюди назначение=All служба=любой действие=разрешить трансляция=NAT. этим правилом ты выпустиш людей которые должны ходить без ограничения например как "Homek" или 192.168.22.37 .))

с мапом портов ничего не поделаешь для каждой машины своё правило так что остаётся как есть у тебя например торрент.ин(торрент оут не нужен. просто добавь этого чела в группу хорошиеЛюди.)) )

пиши если что не так.

Правило Ping поменял. Остальное не трогал. Связал в группы пользователей, убрал несколько правил. Помог лишь запрет в политиках HTTP. Там я всем запретил доступ на все ресурсы, и оставалось рулить только в политиках трафика. З Единственный момент, в правиле NAT есть протоколы FTP и FTPS, но почему то пользователи не получали доступ. Пришлось вновь создавать правило FTP, что и было выходом в ситеации. Еще один вопрос:
Отчего сетевые папки открывются спустя какое то время? Есть догадки? В инете так же не нашел, постил тему сюда, вроде работало какое то время нормально, потом опять глюк. Уже не знаю, что предпринять.