לעוזי2 - Kerio PF

[חתול זקן]

לעוזי2 - Kerio PF

קיבלתי המלצתך על KERIO, כעת נותר לקבל את עזרתך בהשתלטות עליה. האם יש דרך לקנפג איסורים או היתרים על פי פורטים, לא על פי יישום? או על פי התקן (הבדל בהיתרים בין כרטיס רשת מקומית לבין התקן החיוג ל ADSL)? היתרים על פי כתובת? יש איזה מדריך מפורט יותר, (ואין בעיה שיהיה באנגלית)? שאלה אחרת: מערכת WIN98SE, שיתוף קבצים ומדפסות לא קיים. לא רק שאין שום Binding לשירות שיתוף בשום פרוטוקול, זה בכלל לא מוגדר ולא מותקן. בכל זאת, ב netstat -an הפורטים 137-139 מאזינים, גם בכרטיס הרשת המקומית שיש לו IP קשיח קבוע, וגם ב IP של התקן החיוג. מותקן KERIO, אבל בטוח שמקונפג לא יעיל....... (ראה שאלתי המקורית). מה יהיה? איך משתיקים אותם בהתקן החיוג ל ADSL (ובכל זאת משאירים אותם בכרטיס הרשת המקומית)?

 

[uzi2]

אוקיי

אחד החסרונות של Kerio זה שאין לו אפשרות להגדיר חוקים שונים לפי כרטיסים פיזיים שונים. אפשר כמובן להגדיר חוקים לפי פורטים ו/או לפי מספרי IP, ללא התייחסות לאפליקציה ספציפית. על מנת לחסוך בהסברים, להלן מכתב שלי עם רשימה של מקורות עבור Kerio: http://www.tapuz.co.il/tapuzforum/archive/viewmsg.asp?id=170&msgid=13322990 לגבי ביטול ההאזנה לפורטים 137-139, ואני מדבר על ביטול ולא על חסימת הפורטים, כלומר שלא יהיה שום ישום שמלכתחילה פותח אותם: זה אפשרי אבל זה לא פשוט. נסה לראות עם המכתב הבא עוזר לך: http://www.tapuz.co.il/tapuzforum/archive/Viewmsg.asp?id=170&msgid=5845300 יתכן שאתה תצטרך להעביר ל- Netbeui גם צימוד ל Client for Microsoft Networks מ- TCP/IP. את החיוג לרשת המקומית תגדיר כך שהיא תתמוך גם ב- NetBEUI (בשני המחשבים) בעוד שבחיוג ל- ADSL תגדיר תמיכה רק ב- TCP/IP (ךמרות שלממילא לא ניתן להתחבר דרך ה- ADSL ב- NetBEUI).

 

[חתול זקן]

תודה. תקן אותי אם אני טועה

הבנתי כי בסופו של דבר, היות והרשת המקומית קטנה ואינה מנותבת, מומלץ לעבוד בה ב netbeui תוך צימוד שלו לרשת (primery logon=Microsoft network), ומאידך לוודא הסרת הצימוד של Client for Microsoft Network מהגישה לחיוג ADSL והסרת הצימוד של שירות השיתוף מאפשרויות TCP/IP. מאידך, איך מבטיחים ב KERIO חסימה כלפי חוץ של הרשת המקומית, אם אין אפשרות לחסום על פי התקן? את המדריך המלא שלהם, 31 עמודים, הורדתי והדפסתי אבל הוא די "תיאורטי", כלומר מסביר עקרונות ומושגים אבל מעט מדי פתרונות מעשיים ו tweeking. אנסה לחרוש את אתר התשובות וההסברים בקישורים שנתת. מה שלא ברור לי זה ענין הסדר של החוקים: מה חשיבות יש לסדר בו הם נמצאים ברשימה? האם הביצוע על פי הסדר ולא באופן מצטבר? ואם כן, מה העקרונות להגדרות ולסדר המומלץ, בקונפיגורציה שלי? המחשב בו מדובר אמור: 1. לשמש עמדת אינטרנט, עם אפשרות לשיתוף התקשרויות לעוד 2 מחשבים. 2. לאפשר שימוש ב IE לגלישה וב OE למייל. 3. לאפשר גישה להעברת קבצים בין מחשבי הרשת הפנימית. 4. לאפשר העברה למדפסת מתוך כל אחד מהמחשבים האחרים ברשת הפנימית, כולל הדפסה של מיילים ומתוך אתרים של כל אחד מלקוחות שיתוף ההתקשרויות. 5. לתת שירות של העברת תמונה ממצלמת רשת על פי דרישה, באפליקציה ידועה שידועים גם הפורטים שלה (8888, 8002). זאת לפי דרישות גולשים המקיליקים על הקישור המתאים באתר מסוים (האתר לא נמצא אצלנו, שרת האתר מפנה את המבקש ל IP שלנו על פי דווח שמקבל מהתוכנה הזו). אם נוח לך יותר, ואם זה אפשרי ולדעתך אין טעם בתשובה כל כך פרטנית בפורום זה, שלח נא מייל למשתמש nevad בנטוויזן. המקום בו מדובר (הכל נעשה בהתנדבות) הוא: www.cats.org.il

 

[uzi2]

אז ככה

1. קודם כל חשוב שכל מה שכתוב במניואל של הפיירוול יובן, גם אם זה נראה קצת תאורטי, זו הדרך הנכונה. 2. אכן הרעיון הוא להעביר את כל מה שנזקק ל- NetBIOS (פורטים 137-139 כאשר מדובר על האינטרנט), לפרוטוקול אחר שאינו בר-ניתוב, ואז ה- NetBIOS over TCP/IP (השרות שפותח את הפורטים הללו) נעשה מיותר ואפשר לבטלו. זו הדרך המועדפת לדעתי. 3. אחרת, אפשר לחסום פורטים 137-139 בפיירוול מכל IP למעט ה- IP של המחשבים האחרים שמחוברים ברשת הפנימית. למשל ע"י חוק שמאפשר תקשורת בפורטים הללו ל- IP ברשת הפנימית, ומתחתיו חוק אחר שחוסם שימוש בפורטים הללו. הסבר בהמשך. 4. מבנה החוקים ב- Kerio הוא פשוט: יש רשימה של חוקים כאשר כל חוק מכיל תנאי ופעולה. הפעולה תהיה בד"כ לאפשר את התקשורת או לחסום אותה. אשר מגיעה חבילת תקשורת חדשה, הפיירוול מתחיל לבדוק את רשימת התנאים מלמעלה כלפי מטה לפי הסדר. כאשר הוא מגיע לתנאי שמתקיים הוא פועל לפיו ולא ממשיך יותר לבדוק את התנאים שאחריו. יש בפיירוול (בדף ה- admin הראשי) בחירה לגבי מה לעשות עם חבילות אינפורמציה שאין לגביהן חוק וככלל זה נמצא במצב medium שפירושו שאם אין שום חוק שמתייחס לאותה חבילת אינפורמציה, אז הפיירוול שואל את המשתמש מה לעשות, ולמשתמש יש אפשרות להפוך את ההנחיה לחוק. אם המשתמש מגדיר לפיירוול להתייחס אל זה כאל חוק, אז הפיירוול יוסיף את החוק בתחתית רשימת החוקים. מכיוון שעל כל חבילה החוקים נבדקים מלמעלה למטה לפי הסדר והחוק הראשון שמתאים הוא הקובע, אז בהחלט סדר החוקים קובע. לדוגמא, אם אתם רוצים לאפשר לתקשורת לפורט מסויים לעבור רק אם היא מגיעה ממס' IP מסויים, אז ראשית הגדירו חוק שמאפשר תקשורת לפורט הזה מאותו IP, ומתחתיו הוסיפו חוק שאוסר כל תקשורת לפורט הזה. דוגמא, אתה רוצה לאפשר תקשורת לפורטים 137-139 מהרשת הפנימית, אז תגדיר את הרשת הפנימית בתור custom group, וקבע חוק שמאפשר תקשורת כאשר ה- remote הוא ה- custom group והפורט ב- local הוא בתחום 137-139. הגדר את החוק הזה גם ל- in וגם ל- out וכן גם ל- UDP וגם ל- TCP. מתחתיו קבע חוק נוסף שחוסם כל תקשורת לפורטים הללו דרך שני הפרוטוקולים בשני הכיוונים. תקשורת שמגיעה ממחשב ברשת הפנימית תאושר ע"י החוק העליון. החוק שמתחתיו כלל לא יבדק עבור אותה חבילה. קשה לי ממש להתייחס לרשימת המאפיינים של המערכת שלכם אבל לדעתי אם תתעמק קצת במניואל של Kerio וגם קצת בקבצי ה- FAQ (שאלות נפוצות) אתה תסתדר לבד. אם לא אז צור איתי קשר בדוא"ל.

 

[חתול זקן]

תודה על הסבר עניני ומסודר. אנסה זאת