НАСТРОЙКА FIREWALL АЛЕКСАНДР ПРИХОДЬКО Спецвыпуск: Хакер, номер #071, стр. 071-098-2 На странице с заведением админского пароля и логина пропиши сразу логин и пароль для администрирования, иначе потом это все сменить не удастся. Таковы реалии программы. На следующей странице тебе предлагается установить адрес, с которого ты сможешь удаленно рулить программой. Пока отложим это. Теперь ждем некоторое количество минут, пока идет установка. Далее перегружаем комп и смотрим, что же получилось. После перезагрузки Kerio предложит запустить администраторскую консоль. Запускаем. Далее вводишь логин и пароль. И опять заботливые программисты сделали все, что бы мы сильно не перетрудились, морща свой мозг, - нам опять предлагают визард для настройки файрвола. Здесь остановимся на минутку. Как обычно есть два пути: пройтись по визарду и получить на выходе готовый работоспособный файрвол, в котором потом при необходимости можно подправить все правила или отказаться от услуг визарда и начать все делать ручками. Мы не ищем легких путей и сделаем все руками. Отменяем работу визарда. Теперь при запуске административной консоли нам необходимо либо зарегистрировать копию (только при наличии интернета), либо использовать демо-версию (при наличии интернета), или установить имеющийся лицензионный ключ. Устанавливаем ключ, он ведь есть у нас. С регистрацией закончили. Теперь смотрим, что мы имеем. А имеем мы одно правило (его нельзя ни удалить, ни изменить), которое полностью закрывает все порты. Теперь пришло время визарда. На странице «Traffic Policy» внизу находим кнопку «Wizard» и мощным рывком нажимаем ее. Первая страница рассказала нам о том, как визард настроит правила (читать можно только от скуки)–> «Next». Вторая страница: выбираем тип подключения к итернету, если не диал-ап, то оставляем по умолчанию. На следующей страничке выбираем интерфейс, который подключен к Сети (мы его назвали «Internet Connection»). «Next». Теперь нам предлагаются порты, которые будут открыты. Предлагаю оставлять все по умолчанию, все равно будем переделывать. На пятой страничке правило, относящееся к VPN: если оное не предполагается использовать, то сбрасываем галочку. «Next». Вот пришли к входящим правилам. На шестой странице визард предлагает указать, какие сервисы, используемые в локальной сети, должны быть видны из интернета (твой веб-сервер, почтовый сервер, фтп-сервер и так далее). Если ничего такого нет, на странице ничего и не добавляем. «Next». На седьмой странице правило использования NAT. Это важная часть – оставляем отмеченным данное правило. На восьмой странице желанная кнопка «Finish». Мы получили готовый файрвол. Если ты внимательно посмотришь на правила, которые создал визард, то увидишь, что, в принципе, все основное и необходимое для выхода из локальной сети в интернет есть. Однако перед тем как начнем заводить пользователей на файрволе, необходимо сделать еще кое-какие настройки. При такой настройке пользователь не получит доступ в интернет, так как не имеет на это прав, но некоторые сервисы, запущенные на машине пользователя, смогут достучаться в интернет, так как существует правило, позволяющее протоколам (HTTP, например), выходить в интернет. Первое, что необходимо сделать, это исключить возможность выхода из локальной сети в Сеть чему бы то ни было. Ни один сервис, ни одно приложение не должны иметь такой возможности. Пока не трогаем правила, которые создал визард. Начинаем дописывать свои. Создадим два правила на уровне интерфейсов: одно разрешает сетевой карте локальной сети (Local Area Connection) полный доступ на файрвол, второе - запрещает локальной сети доступ на сетевую карту «Internet Connection». |