Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Варианты базовой настройки KWF:

2007-04-25 · Posted in Kerio Winroute

Чаще всего жалуются на мастера – он наворотит чего хочет, а потом без анализа Traffic Policy уж и не разобраться.
Вариант 1. Все ходят через NAT.
PERMIT Firewall -> any.IP:any
PERMIT Firewall -> any.IP:ICMP Ping
PERMIT LAN -> Firewall:ICMP Ping
DROP LAN -> Firewall:any LOG
PERMIT LAN -> any.IP:any NAT (External.IP)
PERMIT LAN -> any.IP:ICMP Ping NAT (External.IP)

DROP any -> any LOG

Предусматривается, что DNS провайдера прописаны на каждом клиенте в локальной (внутренней, т.к. у провайдера она тоже локальная) сети.

Вариант 2. Работаем через прокси (есть кэш + контроль качества HTTP-траффика!).
PERMIT Firewall -> any.IP:any
PERMIT Firewall -> any.IP:ICMP Ping
PERMIT LAN -> Firewall:ICMP Ping
PERMIT LAN -> Firewall:3128 TCP 53 UDP
PERMIT LAN -> any.IP:ICMP Ping NAT (External.IP)
PERMIT LAN -> any.IP:TCP 25 TCP 110 NAT (External.IP)

DROP any -> any LOG
Подразумевается, что DNS на шлюзе настроен правильно и у клиентов прописан.

Примечания:
1. Вместо "ICMP Ping" во всех строчках можно указать "Any ICMP". Особого вреда это не принесёт, особенно учитывая то, что ICMP в правилах настроены только исходящие.
2. Вместо отдельных интерфейсов шлюза я указал просто "Firewall". Оно, конечно, и так пойдёт, но если "разделить интерфейсы", о чём было написано где-то выше на этой же странице (http://forum.ixbt.com/topic.cgi?id=7:12821:599#599) , будет только лучше.

Leave a Reply