האם מישהו יודע לקנפג פיירוול Kerio

eligrt

New member
האם מישהו יודע לקנפג פיירוול Kerio

הקמתי רשת פשוטה בבית PC מחובר ADSL לאינטרנט LAPTOP מחובר דרך ICS לחיבור אינטרנט של ה PC. על ה PC רץ פיירוול של KERIO אך כשהו ב ENABLE ה LAPTOP לא מתחבר לאינטרנט. האם מישהו מכיר איך לקנפג אותו (את ה KERIO) כך שכשהוא יהיה ב ENABLE ה LAPTOP יוכל להתחבר לאינטרנט. לתגובתכם אודה eligrt
 

eligrt

New member
קפיץ קפוץ ../images/Emo105.gif

 

Scott

New member
התשובה לשאלה שלך, היא "כן"

אבל מכיוון שרק שאלת אם מישהו יודע ולא שאלת איך, אני לא אמשיך ואפרט
בכל מקרה, זה עוד מקרה קלאסי שדורש הפניה ל:"מדריך למשתמש בפורום רשתות ופס רחב", סעיפים 6,7,8,10 או בקיצור RTFM. Scott
 

azaria

New member
תשובה מתוחכמת לאללה. אבל באמת איך?

כי אני מיציתי כבר את כל הRTFM וגם שאלתי פה בפורום וגם ניסיתי כל מה שאפשר - אבל זה עדיין לא עובד. כשיש KERIO צותקן על שרת הICS - הלקוחות ברשת לא יכולים לגלוש. גם כשהקריו מקנפג כמו שצריך (עד כמה שאני יודע, לפי כל מה שכתבתי קודם) אז בבקשה מכבודו - ילמדנו רבנו?
 

Scott

New member
מכיוון שאני עבדתי לפי ה-FM של Kerio

וה-ICS עבד בזמנו נהדר אצלי, אז העניין הוא עניין של קנפוג נטו. נראה, אולי לשם הניסוי אני אחזיר היום בערב את הכל ל-ICS וננסה שוב. Scott
 
גם אני הצלחתי...אבל...

עדיין יש עם זה בעיה עקרונית, הוא מזהה תעבורה מהרשת הפנימית כאילו שהיא נכנסת ומכיוון שצריך לפתוח כמה פורטים של UDP בשביל שאכן השיתוף יעבוד יוצא שצריך לפתוח אותם לתעבורה נכנסת (ז"א לכל אחד) מה שקצת מצמצם את רמת האבטחה. בכל מקרה גם אחרי שהכל קונפג ועבד טוב, מדי פעם באופן מקרי לחלוטין זה היה מפסיק לעבוד וחוזר לעבוד...התיאשתי וחזרתי ל-ICF. לדעתי שווה לנסות את ZONEALARM שאולי תומך קצת יותר טוב ב-ICS. סתם לא היה לי כח אחרי שלקח לי כמעט יום שלם לשחק עם KERIO עד שהסכים לעבוד...
 

dov98

New member
ZONEALARM לא תומך -------->

יותר טוב בICS . אתן דוגמה לאפשרות של תסבוכת עם KERIO (או כל FW אחר) באותה מידה. בXP יש FIREWALL מובנה, ואם מוסיפים ICS יש גם NAT . אם על כל זה מוסיפים FIREWALL נוסף מבלי לנטרל את של הXP ומבלי למפות פורטים בICS , הרי לכם תסבוכת.
לכן לא מספיק לקרא את[email protected]@@@@@ MANUAL של הKERIO , אלא יש להתיחס גם לשני הדברים האחרים.
 
נו באמת...

למה שננסה להפעיל שני FW יחד? ובלי קשר למיפוי פורטים ב-ICS הבעיה שלי הייתה חסימה של פקטים של DNS ו-ICMP שלמעשה יצאו החוצה אבל הוא חשב שהם נכנסים למרות שהוא אמור היה לדעת כי מוגדר לו טווח הכתובות של הרשת המקומית. הבעיה יכולה לנבוע גם מבאגים כלשהם של KERIO שאין אותם ב-ZONE ALARM ומכך יתכן ש-FW אחר כן יעבוד טוב יותר עם ICS. במקרה של KERIO, גם אין הרבה מה לקרוא במדריך. ההסבר על תמיכת ICS מסתכם בכמה שורות שפחות או יותר מסבירות שצריך לסמן V במקום מסויים שמאפשר תמיכת ICS. בשביל זה לא צריך את המדריך, אפשר להבין את זה לבד מעצם זה שקיימת האופציה. כפי שאמרתי הצלחתי לקנפג הכל כך שכן יעבוד, רק שאחרי כמה שעות מחשב הלקוח פתאום נחסם (פקטים שמפורשות היו אמורים לעבור לפי הכללים שהגדרתי ושעברו עד אותו רגע). איתחול של מחשב הלקוח פתר את הבעיה, ובכל זאת בעיה כזו לא קרתה כאשר נעשה שימוש ב-FW של XP.
 

dov98

New member
זאת הייתה רק דוגמה -------->

וRTFM מחייב המציאות, לא יעזור כלום.
מעבר לכך ZA כבד על המחשב ולכן כאן לא ממליצים עליו. דבר נוסף: אם מישהו, לפחות אחד הצליח להפעיל KERIO ללא בעיה, צריך לבדוק היטב מדוע האחר לא. גרסה למשל.
 
למה לחסום ספציפית פורטים מסויימים?

יותר בריא להגדיר בסוף חסימה כללית על כל הפורטים\כל הכתובות פנימה והחוצה ומעל חוקיםשמאפשרים רק מה שנחוץ. אם אני סתם מניח לא נכון ובאמת יש לך כלל כזה אז לא ברור לי למה החסימות הפרטניות ל-135-139? זה חשוב במיוחד אם ישימו את זה כמדריך ובכלל, הרשימה שלך עוד ארוכה למטה ואנשים לא ידעו איזה עוד פורטים ספציפיים חשוב לחסום.
 

antidot

New member
---->

אם אתה כבר מסנן ICMP סלקטיבית, רצוי שתאפשר בנוסף את ICMP types הבאים: destination-unreachable source-quench time-exceeded parameter-problem Antid0t
 
למעלה