Как открыть порт в kerio winroute firewall для торрентов

Обновлено: 01.07.2024

День добрый всем форумчанам
Перехожу с UG и возникла задача
Задача как по мне тривиальная - проброс порта, но как составить правило не пойму (
Поиск не помог или рук кривой )

Т.е делаю правило
Имя - XXX
Источник -LAN
Назначение - FireWall
Служба - TCP:12345
Действие - разрешить
Трансляция - включить источник NAT (что без что без него - не пашет), трансляция (хост, порт)

Что не так делаю?
Или тут такое вообще нельзя реализовать?
Заранее спс за ответы

а зачем такой изврат?
(UG - Uniloe Gamno? )

я думаю здесь (в керио) в правиле трафика вмето НАТ надо делать опять же MAP с указанием удалённого сервера и порта

__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
возможно правило не на своем месте, оно должно быть выше правила "локальный трафик" возможно правило не на своем месте, оно должно быть выше правила "локальный трафик" К сожалению не помогло. Так тоже не пробрасывает (
Т.е не работает ни так (Это локальный IP KERIO)- telnet 192.168.0.2 3392
ни так - telnet 127.0.0.1 3392
Если делать
telnet 192.168.200.2 3392 то все идеально, но это не решение к сожалению для меня, т.к я указать цель на роутере (192.168.200.2) при запросе из внешней сети не могу - только порт
Галочку "включить источник NAT" тоже пробовал щелкать А вообще мне нужно RDP из "одной сети" перенести в "третью" Т.е сеть с KERIO промежуточная между двумя сетями Т.е есть сеть 1. В ней стоит роутер (сеть 1 внешка, сеть 2 внутренняя) На нем открыт порт. Этот порт прокидывается на KERIO (он в сети 2 локалка) И KERIO должен давать коннект в сеть 3 (внешка для KERIO) по заданному IP и порту

для керио это просто НАТ
керио должен "пускать" трефик к означенному порту для означенного пользователя (или для всех, тут без разницы)
то есть по сути керио должен быть "прозрачен" для пользователя относительно нужного порта
для этого делается простое правило:
источник - локальная сеть
получатель - внешняя сеть (или какая там)
протоколы\порты - указать порт
действие - разрешить
NAT - NAT включить

естественно должна быть настроена и должна работать маршрутизация между двумя локальными сетями

когда то давно рисовал по похожей схеме инструкцию:
[Для просмотра данной ссылки нужно зарегистрироваться]

__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

ошибся в чтении правил нашего ресурса

точнее в их НЕчтении

кратко что от тебя требуется:
1. рисунок (в пайнте можно) твоей "топологии" где указан сервер керио, обозначены интерфейсы с ип-адресами, указаны все сети которые "подключены" к керио
2. ipconfig /all с сервера керио + с любого клиента из каждой сети
3. скриншот трафикполисей, обязательно с описанием какие интерфейсы из нарисованных входят в "доверенные\локальные) и т.п.

__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
Да всегда пожалуйста )
Просто думал текстового описания вполне хватит
>> с любого клиента из каждой сети
Да пока пускай даже с KERIO хотя бы заработает telnet на порт локальный
А там уж разберусь
>> обязательно с описанием какие интерфейсы из нарисованных входят в "доверенные\локальные
Локальные - LAN
Инет - WLAN
На скрине первой политики указан источник - любой. Но там ставилось все что угодно уже. Т.е что скажете, то поставлю

что из себя представляет роутер 192,168,200,100 .
поскольку в него "воткнуты" керио 192,168,200,1 и роутер 192,168,200,2 ь- я полагаю он (200.100) для них как свич работает
а стало быть 192,168,200,2 - находится во "внешней" сети сервера керио
следовательно с самого сервера керио - 192,168,200,2 должен пинговаться (стоит для тестов разрешить пинги на самом 192,168,200,2)
ну и с сервера керио должно цепляться телнетом на 192,168,200,2:3392
пингуецо цепляецо?

покажи ка tracert 192.168.200.2
с любоко клиента LAN1

__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
Со строны 192.168.200.XXX обычный свитч так сказать Можно даже для простоты считать что это и есть обычный свитч, ничего думаю это не меняет в принципе.

да, обычный свич ничего не меняет

оно и тут будет работать без проблем
после отладки

Может кто либо на своей конфигурации просто попробовать сделать?

да пробовал неоднократно

ф керио это не "прокидывается" а просто НАТ-ится, порт указывается только в поле "сервисы\порты"

Керио и есть сервер с IP внешним 200.1 Роутер это 200.2

да, я поправился и там кой чего допесал

Добавлено через 4 минуты
кароче смотри:
правила S2 (RDP) и S2 (RADMIN) работают только для трафика из интернетов, если соответствующие порты на "главноем роутере" проброшены на твоё керио
отключи их (пока временно)

а в правиле "не авторизорванные" - включи НАТ

Добавлено через 19 минут
ты должен понять одну простую вещь:
если ушёл от UG - то надо и забыть всю терминологию там применявшуюся, забыть "принципы" построения в UG правил фаервола

керио (как впрочем и в других продуктах) оперирует понятиями "интерфейс" "сеть" "хост"

в твоём случае трафик должен "бежать" из одной сети в другую (с точки зрения керио из одного интерфейса в другой)


это - и указывается в правиле трафик-полиси
т.е.:
источник - интерфейс куда подключена LAN1 (или конкретный IP из этой сети)
получатель - интерфейс, к которому "подключен" хост 192,168,200,2, в твоём случае WLAN (либо непосредственно IP хоста)
сервисы\порты - какие надо
НАТ - включить (хотя можно и без него, но пока с ним давай)

тоесть в самом первом правиле на большом скриншоте:
вместо брандмауэра в получателях - ставишь wlan
оставляешь NAT, мапинг и распределение нагрузи убираешь

а на клиенте из LAN1 при подключении по RDP пишешь: 192,168,200,2:3392

__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

В общем S2 правила для инета вообще удалил
В них толку не было. Это видать с тестов осталось
Для неавторизованных NAT включил
Обновленный скрин в аттаче. Связи все равно нема. (
P.S Эмм сча обновление прочел попробую

Так
Сделал как ты и сказал только смысла "а на кой" не понял
Скрин обновленный в приложении. Но по первому правилу каша какая то как по мне.

>> а на клиенте из LAN1 при подключении по RDP пишешь: 192,168,200,2:3392
Так оно и до этого прекрасно так работало )
Мне нужно не NAT ить этот порт, а проксировать
Т.е не 192,168,200,2:3392 (NAT) а 192.168.0.2:3392 (с клиента) или 127.0.0.1:3392 (хотя бы с самого же сервера)

Брандмауэр Kerio WinRoute Firewall в основном предназначен для защиты корпоративных сетей от проникновения извне. Для этого в программе существует механизм создания правил, которым приложение должно следовать как при поступлении запросов извне, так и при попытках программ защищаемой сети соединиться с любыми внешними серверами. С помощью такого правила можно задать брандмауэру установку, позволяющую программам использовать определенный порт для сетевых соединений.

Как в kerio открыть порт

  • Как в kerio открыть порт
  • Как открыть порт 80
  • Как открыть порт для игры

Откройте панель управления Kerio WinRoute Firewall. У левого края главного окна программы помещен список разделов и подразделов - выберите подраздел Traffic Policy в разделе Configuration. В правой панели появится список уже существующих правил.

Щелкните созданную строку правила в колонке Source и брандмауэр откроет диалоговое окно Edit Source. В выпадающем списке Add выберите группу, для которой нужно открыть порт - например, Local или Any. Конкретный выбор зависит от того, какие правила и с какими именами были созданы до этого. Кликните по кнопке OK.

Щелчком этой же строки в колонке Destination откройте аналогичное диалоговое окно с формой Edit Destination. В списке Add этой формы выберите Firewall и нажмите OK.

Кликните следующую ячейку строки - она размещена в колонке с названием Service. В открывшемся окне тоже будет выпадающий список Add, но здесь в него помещено всего два пункта - выберите Port. Следующее окошко появится автоматически. В нем вам нужно указать номер открываемого порта в поле правее надписи TCP и нажать OK. Если вы хотите в этом правиле указать больше одного порта, повторите действие нужное количество раз.

Щелкните следующую ячейку - Action. В появившейся форме нужный пункт Permit выбран по умолчанию, поэтому просто нажмите OK.

В завершение щелкните по кнопке Applay и закройте окно панели управления Kerio WinRoute Firewall.

Добрый день. Хочу рассказать об очень простой, на первый взгляд, проблеме, решение которой заняло у меня около получаса, несмотря на то, что я давно занимаюсь администрированием Kerio Control и хорошо знаю этот продукт.

Дано: сайт банка, доступ к которому осуществляется по нестандартному (TCP 5099) порту. И компьютер, на котором этот сайт не открывается.

image

У меня в сети для пользователей открыты только те порты, которые необходимо и когда я увидел проблему, сразу открыл консоль администрирования Kerio, чтобы добавить нужный порт в разрешающее правило. Но это уже было сделано (видимо, для этого же сайта еще раньше). Немного подумав, посмотрев логи трафика и попробовав открыть этот сайт с другого компьютера (успешно), я озадачился.

Не зная, что и думать, я создал новое временное правило, которое разрешало бы проблемному компьютеру полный доступ в интернет по всем портам и включил подробные логи на этом правиле, чтобы посмотреть, что происходит.


В журнале весело побежали строчки сетевой активности компьютера, однако сайт по-прежнему не открывался.
Начиная злиться на непонятную проблему, которая задержала меня на работе, начал внимательно просматривать все логи Kerio, в которых бы упоминался проблемный хост и увидел строчку, которая информировала меня о том, что на данном компьютере была обнаружены P2P соединения. В соответствии с настройкой, этому компьютеру были разрешены только не-P2P подключения:


Абсолютно безобидная опция, запрещающая торрент-клиенты, но обычно не мешающая работе пользователя, в данном случае сыграла со мной злую шутку.


Порт 5099 блокировался, несмотря на то, что не попадал в диапазон «подозрительных» портов; почему так произошло – не понятно.

После того, как причина была найдена, решение было простым – добавление в список сервисов Kerio еще одного,
работающего по порту 5099:


И добавление этого сервиса в список исключений P2P фильтра.

Желаю всем системным администраторам поменьше таких проблем, чтобы оставалось время на что-то действительно интересное. И послушных пользователей, не пытающихся использовать корпоративные компьютеры для развлечения.

Настройка Kerio WinRoute v6.7 для раздачи интернета пользователям в локальной сет и возможности подключения VPN клиентов


По сути, Kerio WinRoute является в первую очередь фаерволом, который может предоставить безопасное соединение рабочим станциям в локальной сети.

У нас стоит задача, предоставить некоторым пользователям локальной сети доступ к интернету, но при этом, не совершая никаких настроек со стороны клиента. Настроить подключение VPN клиентов к нашей локальной сети.

И так, приступим, первым делом нам нужно установить Kerio WinRoute:

Процесс установки весьма прост, и не должен вызвать затруднений, запускаем WinRoute и выбираем язык:

Kerio WinRoute установка

Kerio WinRoute установка

Принимаем лицензионное соглашение:

Kerio WinRoute установка лицензия

Выбираем тип установки, я выбрал «Полная», ненужные модули можно будет отключить в панели управления:

Kerio WinRoute тип установки

Путь установки, если хотите, то можно поменять:

Kerio WinRoute путь установки

Kerio WinRoute обнаружил службы с которыми могут быть конфликты, и предлагает отключить их, и мы конечно соглашаемся:

Kerio WinRoute конфликты со службами

Обязательно указываем логин и пароль администратора:

Kerio WinRoute учётная запись администратора

Если мы выполняем установку на своём компьютере (не удалённо), просто продолжаем:

Kerio WinRoute удалённая установка

Kerio WinRoute установка

Kerio WinRoute установлен

Kerio WinRoute уже готов к работе, но только на 30 дней…, перезагружаем компьютер и останавливаем службу Kerio:

останавливаем Kerio WinRoute

Если вы скачали Kerio WinRoute с нашего сайта и установили x86 версию, то копируем winroute.exe (присутствует в архиве) в каталог с фаерволом, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\ , с заменой исходного конечно. Теперь копируем license.key в каталог с лицензиями WinRoute, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\license\. Если вы установили x64 версию, то вам нужно будет пропатчить winroute.exe и сгенерировать license.key самостоятельно (патчи тоже присутствуют).

Запускаем Kerio WinRoute, теперь он работает без ограничений пользователей и времени:

запускаем Kerio WinRoute

Кликаем 2 раза на иконке Kerio WinRoute в трее и попадаем в окно авторизации, где нам нужно ввести логин и пароль для доступа в панель управления, этот логин и пароль мы указывали во время установки:

Kerio WinRoute подключение к серверу

После успешной авторизации, мы сразу попадаем в панель управления, откажемся от матера настройки и перейдём в раздел "Интерфейсы". В этом разделе выберем интерфейс для подключения к интернету, нажмём на него 2 раза и укажем соответствующую группу интерфейсов:

настройка интернет интерфейсов Kerio WinRoute

Теперь выбираем интерфейс для локальной сети, в моём случае их два, и я для обоих указал группу "Доверенные/локальные интерфейсы":

настройка локальных интерфейсов

Сетевые платы, должны быть настроены средствами Windows, для одной локальной сети, я указал IP адрес 192.168.1.1 с маской 255.255.255.0, а для другой 192.168.2.1 с маской 255.255.255.0. Сетевая плата для получения интернета у меня была настроена на DHCP режим, то есть получение настроек автоматом.

Теперь сохраним изменения и перейдём в раздел "Политика трафика" где у нас будет уже 2 правила. Первое правило разрешает WinRoute-у ходить куда угодно на любые порты, а второе правило запрещает любой трафик откуда угодно, куда угодно. Правила трафика применяются сверху вниз, таким образом, если вы создадите какое-то разрешающее правило, и оно будет стоять выше правила, которое блокирует весь трафик, то приоритет вашего правила будет выше, и путь для трафика будет открыт:

политика трафика Kerio WinRoute

Теперь приступим к настройкам и добавим новое правило, которое, в итоге, будет разрешать локальный трафик. Потом нажмём два раза на его названии, и укажем своё название:

добавим новое правило в Kerio WinRoute

Теперь нажмем два раза на поле нового правила в колонке "Источник" и поочерёдно добавим нужные объекты, а именно фаервол, VPN клиенты, VPN туннели и локальные интерфейсы:

добавим источники трафика в Kerio WinRoute

добивим фаервол как источник Kerio WinRoute

Добавляем VPN клиентов

добавим VPN клиентов как источник Kerio WinRoute
добавим vpn тунели как источник Kerio WinRoute

Добавляем VPN тунели

добавляем локальные интерфейсы как источник Kerio WinRoute

Добавляем локальные интерфейсы




Вот что получилось


Точно таким же образом, добавляем эти же объекты в раздел «Назначение», а в разделе "действие" указываем "разрешить":


Теперь добавляем правило для разрешения доступа локальных пользователей в интернет:


А теперь добавляем правило для разрешения доступа для подключения VPN клиентов, если вам не нужен доступ удалённых VPN клиентов к вашей локальной сети, то можете не создавать данного правила:


А теперь очень важный момент, правило для доступа локальных пользователей в интернет мы создали, но доступа они НЕ получат, так как мы не включили NAT, в разделе "трансляция" этого правила устанавливаем флажок на включении NAT и можем выбрать тип балансировки нагрузки (балансировка нужна лишь при нескольких подключениях к интернету):




Выключим сам прокси:


Выключим ВЕБ фильтр:



Этими действиями мы полностью отключили фильтрацию трафика и оставили пользователей локальной сети без защиты перед загружаемыми ими данными, но нам этого и не нужно, к тому же мы снимаем большую нагрузку с нашего сервера – пусть пользователи сами беспокоятся об установке антивирусов на своём компьютере.

Включаем DHCP сервер для раздачи сетевых параметров для локальных пользователей:


Добавляем диапазон IP адресов для раздачи в нашей сети №1:



Добавляем диапазон IP адресов для раздачи в нашей сети №2 (этот шаг совсем не нужен, если у вас всего один локальный интерфейс):


Получаем вот такую картину:


Настройки DNS нас устраивают:


Выключим Anti-Spoofing:


Если вам нужно подключение VPN клиентов с использованием SSL оставим галочку, и если вы хотите предоставить пользователям доступ к статистике через ВЕБ интерфейс, тоже оставим соответствующие галочки. Если вы собираетесь проводить авторизацию пользователей через ВЕБ аутентификацию, то вам нужно будет оставить включенным ВЕБ интерфейс (ВЕБ авторизацию мы рассмотрим дальше):


Отключаем проверку обновлений (ну ели вы КУПИЛИ Kerio WinRoute, то можете не отключать):


После проведенных настроек, Kerio WinRoute раздаст сетевые настройки по протоколу DHCP всем клиентам подключенным к любому из локальных интерфейсов, и предоставит доступ к интернету.

Клиент подключенный на интерфейс №1:


Клиент подключенный на интерфейс №2:






Устанавливаем нужные вам права (или не устанавливаем)



Прикрепляем к группе:


Теперь, при попытке доступа к ВЕБ странице, пользователя бросит на страницу авторизации, и только после успешной авторизации он сможет получить доступ к ВЕБ страницам:




Пару слов про VPN, к сожалению, Kerio WinRoute не поддерживает такие стандарты как PPTP и L2TP, из-за чего установить VPN соединение стандартными средствами Windows не получится, а для подключения используется специальный клиент kerio-control-vpnclient. Ещё одним недостатком, является то, что при помощи VPN соединения не получится подключить пользователя к интернету, так как WinRoute не прописывает VPN клиенту шлюз, доступ будет только к локальным ресурсам. Поддержка подключения интернета через VPN реализована в версии WinRoute 7.4

Для организации контроля в локальной сети нашей организации был выбран Kerio Control Software Appliance 9.2.4. Раньше эта программа называлась Kerio WinRoute Firewall. Рассматривать плюсы и минусы мы не будем, и почему выбран Керио, тоже, переходим сразу к делу. Программа версии 7 и выше устанавливается на голое железо без какой-либо операционной системы. В связи с этим подготовлен отдельный ПК (не виртуальная машина) со следующими параметрами:

-процессор AMD 3200+;

-HDD 500Гб; (необходимо гораздо меньше)

Собираем ПК, вставляем 2 сетевых карты.


Для установки линукс-подобной системы нужно создать загрузочный носитель – флэшку или диск. В нашем случае флэшка создана с помощью программы UNetbootin.

Скачиваем Kerio Control Software Appliance. (можно купить лицензию или скачивать образ с встроенным активатором)

Объем образа Керио не превышает 300Мб, размер флэшки соответствующий.

Вставляем флэшку в USB разъем ПК или ноут-бука.


Форматируем в FAT32 средствами Windows.


Запускаем UNetbootin и выбираем следующие настройки.


Дистрибутив – не трогаем.

Образ – Стандарт ISO, указываем путь к скаченному образу Керио.

Тип – Устройство USB, выбираем нужную флэшку. ОК.


После некоторого времени создания, загрузочная флэшка готова. Жмем выход.


Вставляем загрузочную флэшку в подготовленный ПК, включаем его и в Boot menu выбираем загрузку с USB-HDD. В начавшейся загрузке выбираем linux.


Начнется установка Kerio Control Software Appliance 9.2.4. Выбираем язык.


Читаем лицензионное соглашение.



Принимаем его, нажав F8.

Вводим код 135. Программа предупреждает о том, что жесткий диск будет отформатирован.


Ждем пока идет установка.





Мы пока этого делать не будем, а переходим в Конфигурацию сети в самом Керио.



Конфигурация сетевого интерфейса Ethernet. Отмечаем пробелом – Назначить статический IP-адрес.

И назначаем его.


Маска подсети: 255.255.255.0


Если до установки ПО в сетевые карты были подключены два необходимых сетевых провода для внешней и внутренней сети, то об этом компьютере можно забыть. Я поставил его в уголок и даже забрал монитор.

Теперь в браузере того ноут-бука, в котором создавалась загрузочная флэшка, я перехожу по адресу:

Анонимную статистику, конечно же, не передаем, убираем галочку.


Вводим новый пароль администратора.



Вот и всё. Здравствуй Керио.


Первоначально, все функции маршрутизации и DNS выполнял модем с IP –адресом 192.168.1.1. При установке Керио модему назначили адрес 192.168.0.1 и он обращается к внешней сетевой карте Керио с адресом 192.168.0.250. Адреса в одной подсети. Внутренняя сетевая карта получила адрес, который раньше был у модема. Всё оборудование в сети со статическими IP-адресами и прописанным шлюзом (а это почти вся наша сеть) увидело новый шлюз как старый и даже, не заподозрило подмены : )

При первом запуске Керио, мастер предлагает настроить интерфейсы. Можно настраивать не через мастера. Рассмотрим подробнее всё, что описано выше.

Во вкладке интерфейсы выбираем пункт Интернет-интерфейсы.


Придумываем название типа Внешняя сеть или Интернет, по умолчанию написано WAN. Вводим вручную данные IP адреса, маску, шлюз и DNS, всё в одной подсети с модемом. ОК.


Далее выбираем следующее подключение в пункте Доверенные/локальные интерфейсы – наша внутренняя сеть. Эти пункты в зависимости от версии Керио могут называться по другому. Придумываем имя и вносим данные как на картинке ниже. Внешняя и внутренняя сеть не могут находится в одной подсети. Это не нужно забывать. DNS от Керио. Шлюз не пишем. ОК.


Нажимаем кнопку Применить в нижней правой части экрана, настройки активируются. Проверим подключение к Интернету. Интернет работает.


Можно переходить к созданию правил трафика, фильтрации содержимого, посмотреть, кто скачивает торренты и перегружает сеть, ограничить скорость или заблокировать. Короче, Керео полноценно работает и в нем есть множество настроек. Тут каждый настраивает что кому нужно.

Рассмотрим еще один важный момент – это открытие портов. До установки Керео в модеме были проброшены порты на сервер. Так же изначально необходимые порты были открыты в самом сервере. Без этих портов спец. софт сервера не может нормально работать. Рассмотрим открытие порта 4443.


Интерфейс – наше подключение (в режиме роута кстати).

Remote host – ничего.

External start port/end port – 4443 (внешний порт).

Internal host – 192.168.0.250 (адрес внешней сетевой карты Керео).

Internal port – 4443 (внутренний порт).

Mapping name – любое понятное имя.

Принцип действия таков, что обращение из интернета на внешний статический IP-адрес к порту 4443 будет переадресовано к внешней сетевой карте Керио. Теперь нужно сделать так, чтоб запрос с внешней сетевой карты перенаправлялся на внутреннюю сетевую карту и далее к нашему серверу на порт 4443. Это делается с помощью создания двух правил. Первое правило разрешает доступ извне, второе правило разрешает доступ изнутри.


Создаем эти два правила на вкладке Правила трафика. Разница в пунктах источник и назначения. Служба – наш порт 4443. см. картинку выше.


Нажимаем применить. Проверяем, открылся ли порт в он-лайн сервисе. Порт открыт.


Проверяем службы сервера, для которых всё это делалось – они заработали. Аналогичным способом можно открыть любой порт.

О прочих настройках Kerio Control Software Appliance возможно будет написано в других статьях.

Читайте также: