Документация для Kerio WinRoute

Основные виды правил трафика

В этой главе вы узнаете о том, что некоторые правила могут управлять стандартными настройками. Вы можете воспользоваться нижеприведенными примерами для создания набора правил полезных в настройке вашей сети.

Трансляция IP

Трансляция IP(NAT) - это понятие, которым обозначается процесс изменения частного IP адреса на IP адрес Интернет-интерфейса WinRoute-машины в пакете, проходяшем из локальной сети в Интернет. В следующем примере показана работа соответствующего правила трафика:

Интерфейс соединенный с частной LAN.

Если сеть включает в себя более одного сегмента и каждый сегмент соединен с отдельным интерфейсом, то необходимо задавать все интерфейсы в записи Источник.

Нет необходимости определять все интерфейсы, если в сеть входят еще и маршрутизаторы (будет достаточно интрефейса соединенного с сетью через хост WinRoute).

Место назначения

Интерфейс соединенный с Internet.

Служба

Эта запись может быть использована для определения глобальных ограничений в доступе к Internet. Если отдельные службы определены для передачи данных через IP протокол, то только эти службы будут использоваться для данной операции и другие Internet службы будут недоступны из локальной сети.

Действие

Для работоспособности правила необходимо определить 3 действия: Permit (Разрешить), Drop (Оставить), Deny (Запретить).

Передача

В разделе Source NAT выберите опцию Translate to IP address of outgoing interface (Транслировать данные netcard в IP адрес). Это означает, что для NAT будет использоваться основной IP адрес интерфейса, через который будут передоваться пакеты посредством хоста WinRoute

Если вы хотите использовать какой-то другой IP адрес для передачи данных, то воспользуйтесь опцией Translate to IP address и введите нужный адрес. Введенный адрес должен входить в список адресов, которые применяются для интерфейса Internet, иначе нет гарантии в нормальном функционировании данного механизма работы.

Внимание: Только в очень редких ситуациях необходимо определять и источник, и адресат NAT. Например вы предоставляете хостинг для службы в LAN, которая требует port mapping (отображения порта), однако локальный сервер не имеет своего шлюза по умолчанию или он использует шлюз несовпадающий с WinRoute. В данном случае есть возможность использовать источник NAT для прохождения трафика к внутреннему серверу, так чтобы в процессе работы получать ответные данные для брандмаура WinRoute.

Замечание: Предыдущее правило позволяет исходящему трафику проходить от LAN в Internet. Также необходимо определить правило для трафика исходящего от хоста WinRoute (определяется брандмауром). Т.к. хост WinRoute напрямую соединен с Internet, то нет необходимости активировать передачу. Установленное по умолчанию правило "catch all (ловить все)", которое находится внизу списка фильтра (filter list) приведет к stateful packet inspection на хосте WinRoute.

Отображение порта

Отображение порта позволяет службам, которые работают в LAN (чаще всего в частных сетях) стать доступными из Internet. Локальный сервер в таком случае ведет себя как сервер напрямую связанный с Internet. Следовательно правило трафика должно определяться в соответствии с нижеприведенным примером:

Интерфейс соединенный с Internet (запросы из Internet будут приходить на этот интерфейс)

Место назначения

Второе название хоста WinRoute - Firewall (Брэндмаур), что подразумевает все IP адреса связанные с хостом брэндмауера.

Служба

Вы можете выбрать одну из предопределенных служб (см. главу Services) или определить самому нужную службу со своим протоколом и портом.

Любая служба, которая в будущем может быть подвергнута отображению на один из хостов может быть определена в данной статье. Процесс отображения служб для других хостов подразумевает под собой обязательное создание нового правили трафика.

Действие

Выберите опцию Allow (Разрешить), иначе весь трафик будет заблокирован и функционирование port mapping (отображение порта) будет неуместным.

Translation

В разделе Destination NAT (Port Mapping) выберите опцию Translate to IP address (Переводить в IP адрес) и введите IP адрес хоста в LAN, где запущена нужная служба.

Воспользовавшись опцией Translate port to (Переводить порт в ...) вы сможете отображать службу на другом порту. Данный способ позволяет службам быть доступными на нестандартных портах без необходимости в изменение стандартного рабочего порта серверного приложения.

Внимание: В разделе Source NAT необходимо проставить опцию No Translation. Объединенние переведенных IP адресов источника и адресата является уместной операцией только в определенных условиях.

Замечание: Для правильного функционирования port mapping (отображения порта) локальный сервер должен использовать в качестве шлюза брандмаур WinRoute. В противном случае нет необходимости активировать Источник (Source) NAT в дополнение к Адресату (Destination) NAT.

Множественная адресация

Понятие множественной адресации применяется для ситуаций, когда один сетевой интерфейс соединенный с Internet использует различные и к тому же публичные IP адреса. Обычно различные службы доступны через отдельные IP адреса (т.е. подразумевается взаимная независимость служб).

Например: В локальной сети запущены 2 web сервера - один из них web1 с IP адресом 192.168.1.100 , а другой web2 с IP адресом 192.168.1.200. Интерфейс соединенный с Internet использует 2 публичных IP адреса 63.157.211.10 и 63.157.211.11. Нам нужно чтобы сервер web1 был доступен из Internet c IP адресом 63.157.211.10, а сервер web2 с адресом 63.157.211.11.

Для достижения указанного результата необходимо определить в WinRoute два правила трафика:

Интерфейс соединенный с Internet (входящие запросы с Internet клиентов будут проходить через этот интерфейс).

Место назначения

Соответствующий IP адрес вышеуказанного интерфейса (используйте опцию Host для ввода IP адреса).

Служба

Сюда входит служба, которая будет доступна через этот интерфейс ( в случае web сервера HTTP).

Действие

Отметьте опцию Permit (Разрешить) для разблокировки трафика.

Перевод

Зайдите в раздел Destination NAT (Port Mapping), чтобы отметить опцию Translate to IP address и задать IP адрес соответствующего Web сервера (web1 или web2).

Ограничение доступа в Internet

Доступ к службам Internet может быть ограничен несколькими способами. В нижеприведенных примерах правила ограничения доступа используют перевод IP адреса. Нет необходимости определять другие правила, т.к. весь трафик, который не будет удовлетворять этим требованиям будет заблокирован правилом "catch all (отлавливать все)".

Другие способы ограничения доступа в Internet находятся в разделе Exceptions (см. ниже).

Замечание: Использованные в этих примерах правила могут применяться в случае, если WinRoute работает в качестве нейтрального маршрутизатора (отсутствует перевод адреса) в записи Translation не будут определяться переводы.

1. Разрешить доступ только к выбранным службам. Для правила перевода (находится в записи Service) определите только те службы, которые вы собираетесь разрешить.

   

2. Ограничения отсортированы по IP адресам. Доступ к определенным службам (или доступ к любой Internet службе) будет разрешен только с выбранных хостов. В записи Source определите группу IP адресов с которых будет возможен выход в Internet. Также данная группа должна быть формально определена в Сonfiguration / Definitions / Address Groups (см. главу  User Groups).

   

   Замечание: Этот тип правила следует использовать, если только каждый пользователь имеет свой собственный хост/хосты со статическими IP адресами.

3. Ограничения отсортированы по пользователям. Если соединение исходит от аутентифицированного хоста, то брандмаур отслеживает ситуацию. В данном случае вы должны определить пользовательские аккаунты в WinRoute и пользователи должны обязательно пройти процедуру аутентификации для получения доступа к определенной службе.

   

   В другом случае вы можете определить правило для разрешения в доступе идентифицированных пользователей к определенным службам. Любой пользователь с действующим аккаунтом в WinRoute получит доступ в Internet после прохождения Аутентификации брэндмауером. Администраторы брэндмауера могут легко отслеживать службы и страницы, которые использовал пользователь в своей работе (это невозможно для анонимно подключенных пользователей).

   

   Замечание: Конкретная информация о пользовательских подключениях к брэндмауеру находятся в главе  Firewall User Authentication .

Ниже приводятся правила, которые могут использоваться различными способами (т.е. пользовательская группа может получить доступ только к определенным Internet службам).

Исключения

Возможно вам понадобится разрешить доступ в Internet только для определенной группе пользователь/IP адрес, тогда как всем остальным пользователям не нужно разрешать доступ.

Вам будет легче разобраться на следующем примере (как разрешить пользовательской использовать службу Telnet для доступа к Internet серверам ). Воспользуйтесь двумя следующими правилами:

• Первое правило запретит выбранным пользователям (или группе пользователи/IP адреса и т.д) доступ в Internet.

• Второе правило запретит доступ к службе для других пользователей.

Перевод документации осуществлен силами компании Red Line Software