قبل أن تفعل أي شيء يتعلق بالقواعد، تحتاج إلى تكوين واجهات الشبكة بشكل بشري، لذلك إذا لم تكن قد قرأت المقالة، فافعل ذلك الآن.

تم اختبار كل ما هو مكتوب أدناه على الإصدار 6.2.1 من KWF، ولكنه سيعمل على جميع الإصدارات 6.xx، الإصدارات القادمةإذا كانت هناك تغييرات، فلا أعتقد أنها ستكون مهمة.

لذلك، تم تكوين واجهات الشبكة، وتم تثبيت Kerio Winroute Firewall، وأول شيء نفعله هو الانتقال إلى التكوين> سياسة المروروإطلاق المعالج. حتى لو كنت قد أطلقته بالفعل من قبل. نحن نفعل الشيء الصحيح، أليس كذلك؟

1. كل شيء واضح في الخطوتين الأولى والثانية للمعالج، وفي الخطوة الثالثة نختار واجهة الشبكة الخارجية (واجهة الإنترنت، يحددها المعالج دائمًا بشكل صحيح تقريبًا).

2. وبعد ذلك، الخطوة الرابعة، وهي الأهم.
بشكل افتراضي، يقدم KWF خيار "السماح بالوصول إلى جميع الخدمات (بدون قيود)"، ولكن! نحن نواجه باستمرار حقيقة أن قواعد KWF هذه تعالج، بعبارة ملطفة، مشاكل غريبة في الخدمة :) أيطوال الوقت.

ولذلك نختار الخيار الثاني السماح بالوصول إلى الأتىالخدمات فقط. لا يهم أن KWF قد تقدم لك خدمات مختلفة قليلاً عما تحتاج إليه، ولكن كل هذا يمكن إضافته أو إزالته لاحقًا.

3. في الخطوة الخامسة، نقوم بإنشاء قواعد للشبكة الافتراضية الخاصة (VPN)؛ ويمكن لمن لا يحتاج إليها إزالة مربعات الاختيار. ولكن مرة أخرى، يمكنك القيام بذلك لاحقًا إذا لم تكن متأكدًا.

4. الخطوة 6 مهمة جدًا أيضًا. نقوم هنا بإنشاء قواعد لتلك الخدمات التي يجب الوصول إليها من الخارج، من خلال الإنترنت. أنصحك بإضافة خدمتين على الأقل، وسيكون من الأسهل عليك أن ترى كيف تم بناء هذه القاعدة.
على سبيل المثال:

خدمة مسؤول KWF على جدار الحماية
خدمة RDP على 192.168.0.15

5. الخطوة السابعة، بطبيعة الحال نقوم بتشغيل NAT، حتى لو لم يكن أحد بحاجة إليها (وهو أمر غير محتمل بالطبع)، يمكنك دائمًا إيقاف تشغيله.
في الخطوة الثامنة، انقر فوق إنهاء.

اتضح أن لدينا شيء مثل هذا:

بعض التوضيحات لمن لا يريد قراءة الدليل:
قاعدة نات— فهو يحتوي في الواقع على تلك الخدمات المسموح لها بالوصول إلى الإنترنت من الأجهزة العميلة.
والقاعدة حركة جدار الحماية- هذه هي القاعدة الخاصة بالجهاز المثبت عليه KWF.
القواعد الحمراء الصغيرة أدناه مخصصة للوصول إلى الخدمات التي تحمل الاسم نفسه من الإنترنت.

من حيث المبدأ، يمكنك العمل بالفعل، ولكنك تحتاج إلى تكوين KWF قليلاً، لذلك بعد ذلك:

6. قاعدة حركة المرور المحليةننتقل إلى الأعلى، لأنه تتم معالجة القواعد من الأعلى إلى الأسفل وبما أن حركة المرور المحلية تسود عادةً على الباقي، فإن هذا سيؤدي إلى تقليل الحمل على البوابة بحيث لا ترسل حزمًا منها حركة المرور المحليةمن خلال جدول القواعد بأكمله.

7. في القاعدة حركة المرور المحليةتم تعطيل مفتش البروتوكول، وتم ضبطه على لا أحد.

8. من قواعد مرور NAT وجدار الحماية، نقوم بإزالة الخدمات التي لا نحتاج إليها، ونضيف الخدمات التي نحتاجها وفقًا لذلك. حسنا، على سبيل المثال اي سي كيو🙂 أنصحك بالتفكير فيما تضيفه وتزيله.

9. في بعض الأحيان تتطلب بعض الخدمات قاعدة منفصلة، ​​لأن مواطن الخلل الغريبة تبدأ مع الآخرين. حسنًا، من الأسهل تتبع كيفية عمله، بالطبع، عن طريق تسجيل هذه القاعدة.

بعض الملاحظات:

10. إذا كنت تريد أن تكون قادرًا على اختبار اتصال العناوين الخارجية من أجهزة الكمبيوتر العميلة، فقم بإضافة الخدمة بينغلقاعدة NAT.

11. إذا كنت لا تستخدم VPN على الإطلاق، فقم بتعطيل خادم VPN (التكوين > الواجهات > خادم VPN انقر على اليمين> تحرير > قم بإلغاء تحديد تمكين خادم VPN).
يمكنك أيضًا تعطيل الواجهة كيريو VPN.

12. إذا كنت تستخدم وكيل الأصل، أضف إلى قاعدة جدار الحمايةالمنفذ المقابل لحركة المرور (إذا كان المعيار هو 3128، فيمكنك إضافة الخدمة الموقع الوكيل). وبعد ذلك من قاعدة NAT تحتاج إلى إزالة خدمات HTTP وHTTPS على الأقل.

13. إذا كنت بحاجة إلى منح الوصول إلى الإنترنت لمجموعة معينة من المستخدمين أو عناوين IP، فقم بإنشاء قاعدة مشابهة لـ NAT، فقط مصدرها ليس الواجهة المحلية، ولكن مجموعتك.

يوجد أدناه مثال مشابه للواقع إلى حد ما (خاص بي بالطبع 🙂، لكن ليس تمامًا).

مثال.
المهمة: توزيع الإنترنت على جميع أجهزة الكمبيوتر الموجودة على الشبكة باستخدام وكيل غير شفاف، والسماح لـ ICQ وFTP المجموعات المختارةوتنزيل البريد عبر POP3 للجميع. منع إرسال الرسائل مباشرة إلى الإنترنت، إلا من خلال البريد. قم بالوصول إلى هذا الكمبيوتر من الإنترنت. حسنًا، من الطبيعي أن نأخذ الملاحظات بعين الاعتبار.
وإليكم القواعد الجاهزة:

شرح مختصر للقواعد:
حركة المرور المحلية- إلى الأعلى، كما هو مخطط له.
حركة المرور NTP— قاعدة لمزامنة خادم الوقت (192.168.0.100) مع مصادر الوقت المحددة على الإنترنت.
حركة المرور ICQ- قاعدة تسمح لمجموعة المستخدمين "السماح لمجموعة ICQ" باستخدام ICQ.
حركة مرور بروتوكول نقل الملفات- قاعدة تسمح لمجموعة المستخدمين "السماح لمجموعة FTP" بتنزيل الملفات من خوادم FTP.
NAT للجميع— لم يتبق سوى القليل من NAT (نذهب إلى الإنترنت من خلال وكيل) فقط البريد المجاني و بينغ الإنترنتمسموح لجميع مستخدمي الشبكة.
حركة جدار الحماية- كل شيء واضح مع هذا، الخدمات المسموح بها لجدار الحماية. يرجى ملاحظة أنه تمت إضافة خدمة SMTP هنا (إذا لم يكن مرسل البريد على نفس الكمبيوتر مثل Winrout، فستحتاج إلى إنشاء قاعدة منفصلة) والمنفذ 3128 للوكيل الأصلي.
خدمة بينغ- القاعدة اللازمة لاختبار اتصال خادمنا من الخارج.
المشرف عن بعد- قاعدة للوصول الخارجي إلى وحدة تحكم KWF وKMS وإلى واجهة الويب الخاصة بهم.
خدمة كيريو VPN- قاعدة للوصول من خارج عملاء Kerio VPN.
خدمة وين VPN- قاعدة للوصول من العملاء الخارجيين لـ Windows VPN الأصلي
خدمة RDP- قاعدة للوصول من العملاء الخارجيين لمحطة Windows (ولكن من الأفضل عبر VPN).

لتنظيم السيطرة في شبكه محليهاختارت مؤسستنا برنامج Kerio Control Software Appliance 9.2.4. في السابق، كان هذا البرنامج يسمى Kerio WinRoute Firewall. لن نأخذ في الاعتبار الإيجابيات والسلبيات، ولماذا تم اختيار كيريو أيضًا، دعنا ننتقل مباشرة إلى هذه النقطة. يتم تثبيت إصدار البرنامج 7 وما فوق على المعدن بدون أي نظام التشغيل. وفي هذا الصدد، تم إعداد جهاز كمبيوتر منفصل (وليس آلة افتراضية) مع المعلمات التالية:

معالج AMD 3200+؛

القرص الصلب 500 جيجابايت؛ (الحاجة أقل بكثير)

— كرت الشبكة – 2 قطعة.

نقوم بتجميع جهاز الكمبيوتر، أدخل 2 بطاقات الشبكة.

لتثبيت نظام شبيه بنظام Linux، عليك إنشاءه الوسائط القابلة للتمهيد- محرك أقراص فلاش أو قرص. في حالتنا، تم إنشاء محرك الأقراص المحمول باستخدام برنامج UNetbootin.

تحميل جهاز برنامج التحكم كيريو. (يمكنك شراء ترخيص أو تنزيل صورة باستخدام المنشط المدمج)

لا يتجاوز حجم صورة Kerio 300 ميجابايت، وحجم محرك الأقراص المحمول مناسب.

أدخل محرك الأقراص المحمول في موصل USB بجهاز الكمبيوتر أو الكمبيوتر المحمول.

نقوم بتنسيقه في FAT32 باستخدام Windows.

قم بتشغيل UNetbootin وحدد الإعدادات التالية.

نحن لا نلمس التوزيع.

الصورة - معيار ISO، يشير إلى المسار إلى صورة Kerio التي تم تنزيلها.

يكتب - جهاز يو اس بي، حدد محرك الأقراص المحمول المطلوب. نعم.

وبعد مرور بعض الوقت على الخلق، محرك أقراص فلاش قابل للتشغيلمستعد. انقر فوق الخروج.

نقوم بإدخال محرك الأقراص المحمول القابل للتمهيد في جهاز الكمبيوتر المُجهز وتشغيله قائمه التمهيدحدد التمهيد من USB-HDD. عند بدء التنزيل، حدد Linux.

سوف يبدأ تركيب كيريوبرنامج التحكم في الأجهزة 9.2.4. اختر لغة.

اقرأ اتفاقية الترخيص.

اقبله بالضغط على F8.

أدخل الرمز 135. البرنامج يحذر من ذلك الأقراص الصلبةسيتم تنسيقها.

نحن في انتظار متابعة التثبيت.

سيتم إعادة تشغيل النظام.

نحن ننتظر مرة أخرى.

وأخيرا وصلوا. تقول الرسالة التي تظهر على الشاشة أنك بحاجة إلى الانتقال إلى العنوان المكتوب في متصفحك على أي جهاز كمبيوتر متصل بنفس شبكة Kerio.

لن نقوم بهذا في الوقت الحالي، ولكننا ننتقل إلى تكوين الشبكة في Kerio نفسه.

تكوين واجهة شبكة إيثرنت. وضع علامة بمسافة - قم بتعيين عنوان IP ثابت.

ونعينه.

عنوان IP: 192.168.1.250

قناع الشبكة الفرعية: 255.255.255.0

إذا كان الأمر ضروريًا قبل تثبيت البرنامج أسلاك الشبكةبالنسبة للشبكات الخارجية والداخلية فيمكنك نسيان هذا الكمبيوتر. وضعته في الزاوية وأخذت الشاشة حتى.

الآن في متصفح الكمبيوتر المحمول الذي تم إنشاء محرك الأقراص المحمول القابل للتمهيد فيه، انتقل إلى العنوان:

https://192.168.1.250:4081/admin. قد يبلغ المتصفح عن وجود مشكلة في شهادة أمان هذا الموقع. انقر أدناه - استمر في فتح هذا الموقع وسيتم نقلك إلى معالج التنشيط.

بالطبع، نحن لا نرسل إحصائيات مجهولة المصدر؛ بل نقوم بإلغاء تحديد المربع.

يدخل كلمة المرور الجديدةمدير

هذا كل شئ. مرحبا كيريو.

تجدر الإشارة إلى أنه تقرر تغيير عنوان IP المحدد 192.168.1.250 لبطاقة الشبكة الخاصة بالشبكة الداخلية إلى العنوان 192.168.1.1 حتى لا يتم إعادة تكوين الكثير من المعدات. كانت الشبكة موجودة لفترة طويلة دون سيطرة وكان لا بد من إضافة كيريو إليها عن طريق التضمين. بعد تغيير IP، للوصول إلى الواجهة، عليك إدخال https://192.168.1.1:4081/admin. أدناه في الصورة المخطط الهيكليروابط.

في البداية، تم تنفيذ جميع وظائف التوجيه وDNS بواسطة مودم بعنوان IP هو 192.168.1.1. عند تثبيت Kerio، تم تعيين العنوان 192.168.0.1 للمودم وهو يصل إلى بطاقة شبكة Kerio الخارجية بالعنوان 192.168.0.250. العناوين في نفس الشبكة الفرعية. تلقت بطاقة الشبكة الداخلية العنوان الذي كان يستخدمه المودم. جميع الأجهزة الموجودة على الشبكة التي لها عناوين IP ثابتة وبوابة مسجلة (وهذه هي شبكتنا بأكملها تقريبًا) رأت البوابة الجديدة على أنها البوابة القديمة ولم تشك حتى في وجود بديل :)

عند تشغيل Kerio للمرة الأولى، يطالبك المعالج بتكوين الواجهات. يمكن تهيئتها دون استخدام المعالج. دعونا نلقي نظرة فاحصة على كل ما هو موضح أعلاه.

في علامة التبويب "الواجهات"، حدد "واجهات الإنترنت".

الخروج مع اسم لهذا النوع شبكة خارجيةأو الإنترنت، بشكل افتراضي تقول WAN. نقوم بإدخال عنوان IP والقناع والبوابة وبيانات DNS يدويًا، كل ذلك في نفس الشبكة الفرعية مع المودم. نعم.

التالي، حدد الاتصال التاليفي قسم الواجهات الموثوقة/المحلية – لدينا الشبكة الداخلية. قد يتم استدعاء هذه العناصر بشكل مختلف اعتمادًا على إصدار Kerio. قم بإحضار اسم وأدخل البيانات كما في الصورة أدناه. لا يمكن أن تكون الشبكات الخارجية والداخلية على نفس الشبكة الفرعية. لا ينبغي أن ننسى هذا. DNS من كيريو. نحن لا نكتب البوابة. نعم.

انقر فوق الزر "تطبيق" في الجزء السفلي الأيمن من الشاشة، ويتم تنشيط الإعدادات. دعونا نتحقق من اتصالك بالإنترنت. الإنترنت يعمل.

يمكنك المتابعة لإنشاء قواعد المرور، وتصفية المحتوى، ومعرفة من يقوم بتنزيل السيول وزيادة التحميل على الشبكة، أو تحديد السرعة أو الحظر. باختصار، Kereo يعمل بشكل كامل ولديه العديد من الإعدادات. هنا يقوم الجميع بتكوين ما يحتاجون إليه.

دعونا نفكر في نقطة أخرى مهمة - فتح الموانئ. قبل تثبيت Kereo، تم إعادة توجيه المنافذ إلى الخادم في المودم. أيضًا، في البداية كانت المنافذ الضرورية مفتوحة في الخادم نفسه. بدون هذه المنافذ الخاصة. لا يمكن لبرنامج الخادم أن يعمل بشكل صحيح. فكر في فتح المنفذ 4443.

مودم هواوي HG532e ادخل عليه لهذا ادخل شريط العنوانأدخل المتصفح 192.168.0.1. انتقل إلى علامات التبويب خيارات متقدمة —> NAT —> تعيين المنفذ وأدخل البيانات كما في الصورة أدناه.

الواجهة هي اتصالنا (في وضع الطريق، بالمناسبة).

البروتوكول – TCP/UDP.

المضيف البعيد - لا شيء.

منفذ البداية/منفذ النهاية الخارجي - 4443 (منفذ خارجي).

المضيف الداخلي – 192.168.0.250 (عنوان بطاقة الشبكة الخارجية Kereo).

المنفذ الداخلي – 4443 (المنفذ الداخلي).

اسم التعيين – أي اسم مألوف.

مبدأ التشغيل هو أنه سيتم إعادة توجيه الوصول من الإنترنت إلى عنوان IP ثابت خارجي إلى المنفذ 4443 إلى بطاقة شبكة Kerio الخارجية. نحتاج الآن إلى التأكد من إعادة توجيه الطلب من بطاقة الشبكة الخارجية إلى بطاقة الشبكة الداخلية ثم إلى الخادم الخاص بنا على المنفذ 4443. ويتم ذلك عن طريق إنشاء قاعدتين. القاعدة الأولى تسمح بالوصول من الخارج، والقاعدة الثانية تسمح بالوصول من الداخل.

نقوم بإنشاء هاتين القاعدتين في علامة التبويب قواعد المرور. الفرق هو في نقاط المصدر والوجهة. الخدمة هي منفذنا 4443. انظر الصورة أعلاه.

في قسم البث قم بضبط الإعدادات كما في الصورة أدناه. حدد المربع - عنوان وجهة NAT واكتب هناك عنوان IP الخاص بالخادم الوجهة و المنفذ المطلوب. نعم.

انقر فوق تطبيق. نتحقق مما إذا كان المنفذ مفتوحًا في الخدمة عبر الإنترنت. الميناء مفتوح.

نتحقق من خدمات الخادم التي تم إجراء كل هذا من أجلها - فهي تعمل. يمكنك فتح أي منفذ بطريقة مماثلة.

قد تتم كتابة الإعدادات الأخرى الخاصة ببرنامج Kerio Control Software Appliance في مقالات أخرى.

(اتصال بصري)

العنوان يعمل، لكن اسم الخادم لا يعمل، وما إلى ذلك). بشكل عام، الناس كسالى ولا يقرؤون المستندات، لذلك قررت أن أفعل ذلك تعليمات موجزةعلى إعداد DNS على جهاز كمبيوتر مزود بجدار الحماية Kerio Winroute وأجهزة الكمبيوتر العميلة.

نحن نعتبر الحالات العامة الثلاث الأكثر شيوعًا:

1. شبكة نظير إلى نظير، بدون مجال (كما حدده الرفيق ناليمان؛)، وبشكل أكثر دقة، بدون خادم DNS، يتم استخدام جهاز منفصل مثبت عليه Winroute كبوابة إلى الإنترنت؛
2. شبكة مع مجال، يقع خادم DNS على DC (وحدة تحكم المجال)، ويتم استخدام جهاز منفصل مثبت عليه Winroute كبوابة إلى الإنترنت؛
3. الشبكة مع المجال، ويقع خادم DNS على العاصمة، ويتم تثبيت ينروتي أيضا على هذه العاصمة.

لا ينصح بالخيار الثالث بشكل قاطع لأسباب تتعلق بالسلامة والحس السليم، ولكن لسوء الحظ يتم استخدامه في كثير من الأحيان شبكات صغيرة، حيث يوجد مجال بالفعل، ولكن لم يعد هناك مال :)

على أي حال، يوجد جهاز كمبيوتر به بطاقتي شبكة (واحدة داخلية - تنظر إلى الشبكة المحلية، والأخرى خارجية - إلى الإنترنت، على التوالي)، والتي من خلالها سنصل إلى الإنترنت، والتي، بطبيعة الحال :) كيريو وينروتي سيتم تثبيت جدار الحماية.
لا تنس أن العناوين الموجودة على بطاقات الشبكة هذه يجب أن تكون من شبكات فرعية مختلفة، أي. على سبيل المثال مثل هذا:

يقتبس:

192.168. 0 .1 192.168. 1 .1

لسبب ما، غالبًا ما يقع المبتدئون في هذا الأمر، على سبيل المثال، إذا كان لديهم مودم ADSL.

1. إعداد DNS على شبكة نظير إلى نظير.

إعدادات الشبكة الداخلية

لكن! نحن لا نحشوها بشكل أعمى في الشبكة الخارجية، ولكننا نفعل ذلك بشكل مختلف قليلاً:

انقر فوق خيارات متقدمة. في علامة التبويب DNS، قم بإلغاء تحديد تسجيل عناوين هذا الاتصال في DNS، وفي علامة التبويب WINS، قم بإلغاء تحديد تمكين بحث LMHOSTS وقم بتعيين تعطيل NetBIOS عبر TCP/IP. أيضًا، لا ينبغي أن تكون هناك أي مربعات اختيار لعميل شبكات Microsoft وموازنة أحمال الشبكة والفشل ومشاركة الطابعة لشبكات Microsoft.

بالمناسبة، من الملائم إعادة تسمية الواجهة الخارجية، وليس تسميتها منطقة محليةالاتصال (اتصال الشبكة المحلية)، مثل واجهة الإنترنت.

بعد ذلك، انتقل إلى لوحة التحكم، اتصالات الشبكة، في هذه النافذة (نافذة Explorer) القائمة خيارات متقدمة -> خيارات إضافية. في علامة التبويب "المحولات والارتباطات"، انقل "الاتصال المحلي" إلى أقصى حد أعلى منصب.

على جهاز الكمبيوتر العميل، ستكون إعدادات بطاقة الشبكة كما يلي:

في Winroute، التكوين -> DNS Forwarder، حدد مربع "تمكين إعادة توجيه DNS" وحدد خوادم DNS الخاصة بالموفر.

2. شبكة مع مجال، يقع خادم DNS على DC (وحدة تحكم المجال)، ويتم استخدام جهاز منفصل مثبت عليه Winroute كبوابة إلى الإنترنت؛

الإعدادات لا تختلف كثيرا عن الإصدار السابق، من حيث المبدأ كل شيء هو نفسه، فقط:

2.1 في مجالات المباشرة بحث DNSيجب عليك إزالة المنطقة "."، إذا كانت موجودة. بعد ذلك، قم بإعادة تشغيل خدمة خادم DNS.

2.2 في وحدة تحكم المجال، في خصائص DNS، تحتاج إلى السماح بإعادة التوجيه إلى عنوان IP الخاص بخادم DNS الخاص بالموفر (ولا تنس إضافة قاعدة في سياسة المرور التي تسمح لوحدة التحكم بالوصول إلى خادم DNS الخاص بالموفر). إعادة التوجيه في winrout ثم يجب أن يتم إيقاف تشغيله.

2.3 إعدادات الشبكة الداخلية

نحن لا نحدد البوابة!

إعدادات الشبكة الخارجية:

2.4 إعدادات العميل:

3. الشبكة مع المجال، ويقع خادم DNS على العاصمة، ويتم تثبيت ينروتي أيضا على هذه العاصمة.

جميع الإعدادات متطابقة مع الحالة الأولى، باستثناء بعض جدا نقاط مهمة:

3.1 على شبكة متصلة بالإنترنت من خلال بوابة عبارة عن وحدة تحكم بالمجال خدمة التشغيلخادم DNS، على وحدة التحكم هذه في الداخل و الواجهة الخارجيةيجب تكوين خادم DNS لنفسه.
في مناطق البحث الأمامية لـ DNS، يجب عليك إزالة المنطقة "."، إذا كانت موجودة. بعد ذلك، قم بإعادة تشغيل خدمة خادم DNS.
في خصائص خادم DNS في علامة التبويب إعادة التوجيه، يجب أن تسمح بإعادة التوجيه إلى خادم DNS الخاص بالموفر. أعد تشغيل خدمة خادم DNS

3.2 من الضروري إنشاء منطقة بحث عكسي (ربما أنشأها المسؤولون المناسبون عند رفع DNS :))، لأنه بدونها لا يمكن لخادم DNS تحديد اسمه. نشير إلى المجموعات الثلاثة الأولى من أرقام عنوان IP الخاص بنا كرمز الشبكة.
للتحقق، انتقل إلى خصائص المنطقة وتأكد من وجود خادم DNS الخاص بنا (أو الخوادم، إذا كان هناك العديد منها) في علامة التبويب "خوادم الأسماء". إذا لم تكن هناك خوادم كافية، فإننا نضيفها هناك. من المستحسن القيام بذلك باستخدام "المراجعة". الجميع. كل ما تبقى هو الحل التحديث الديناميكيبحيث يتم تسجيل الأجهزة العميلة في هذه المنطقة، على الرغم من أنه يمكنك الاستغناء عنها.

3.3 في وحدة تحكم المجال في خصائص DNS، تحتاج إلى السماح بإعادة التوجيه إلى عنوان IP الخاص بخادم DNS الخاص بالموفر، في في هذه الحالة 80.237.0.97;

3.4 تعطيل معيد توجيه DNS في Winroute (قم بإلغاء تحديد "تمكين إعادة توجيه DNS")؛

3.5 إعدادات الواجهة الخارجية على الخادم:

للتحقق من العميل، قم بتشغيل الأوامر التالية:

شفرة:

nslookup(GateWayName) نسلوك اب (GateWayIP) nslookup yandex.ru نسلوك اب 213.180.204.11

إذا لم تكن هناك رسائل خطأ نتيجة لتنفيذ جميع الأوامر المذكورة أعلاه، فهذا يعني أن كل شيء قد نجح بالنسبة لك.

ملاحظة. إذا لم ينجح شيء ما بالنسبة لك، فيرجى عدم طرح سؤالك في هذا الموضوع، ولكن قم بإنشاء سؤال منفصل (لا تنس وصف المشكلة بالتفصيل، فلا يوجد توارد خواطر هنا. أشر أيضًا إلى نتيجة ipconfig / كافة الأوامر من الكمبيوتر مع ينروتي والكمبيوتر العميل).

لقد ورثت من المسؤول السابق نظامًا ماكرًا جدًا لتوزيع الإنترنت. تم تثبيت برنامج UserGate 2.8 على نظام التشغيل Windows XP. يحتوي الجهاز نفسه على واجهتين للشبكة (الشبكة المحلية والإنترنت). كل هذا كان يعمل على سطح مكتب عادي. البنية المنطقيةوكان التوزيع مثيرًا للاهتمام أيضًا:
1. تم تقسيم جميع المستخدمين إلى مجموعات اعتمادًا على حصة حركة المرور المخصصة (أي 100 ميجابايت، 200 ميجابايت، 300 ميجابايت، ICQ فقط، وما إلى ذلك) وكان هناك حوالي 10 مجموعات.
2. تم ترخيص المستخدم باستخدام عنوان IP الخاص بالكمبيوتر (عندما كان لدى الشركة 20 جهاز كمبيوتر في مجموعة عمل مع عناوين ثابتةكان كل شيء لا يزال محتملاً، ولكن يوجد الآن حوالي 150 مستخدمًا، على التوالي، تقريبًا نفس العدد من أجهزة الكمبيوتر).
ظهرت مشاكل أخرى أيضًا مع مرور الوقت:
1. كان عدد المستخدمين في تزايد.
2. جلب التفويض عن طريق IP العديد من المشاكل. وكان من الصعب للغاية تتبع حركة المستخدمين، وظلت حركة مرور المستخدمين غير محمية.
3. البنية التحتية للشركة مع فريق العملتم نقله إلى المجال.
4. لقد ترك استقرار عمل المزود الكثير مما هو مرغوب فيه. ولذلك، تم توصيل الإنترنت من مزود آخر.
5. الأجهزة التي كان يعمل عليها الوكيل لم تدم طويلاً.
لقد قمت بإعداد خطة للتبديل إلى خادم وكيل آخر.
هيا نبدأ. تخطيط
1. علينا أن نقرر ما نريد (أي الوظيفة التي نحتاجها).
2. على أي منصة سيعمل كل هذا؟
3. كيفية تفويض المستخدمين
4. كيفية فصل المستخدمين.
5. الأشياء الجيدة الأخرى.
الإجابات نقطة نقطة.
1. مطلوب:
1.1 نحتاج إلى خادم وكيل يستمع إلى الواجهة المحلية منفذ معينويقدم طلبات إلى واجهتين شبكيتين أخريين تنظران إلى الإنترنت.
1.2 من الضروري أيضًا توزيع الحمل بين مقدمي خدمة وإعادة توجيه الطلبات إلى مزود واحد في حالة فشل الآخر.
1.3 دعم NAT مطلوب أيضًا للتشغيل خادم البريد.
1.4 يجب أخذ مجموعات المستخدمين من AD والمصادقة عليها باستخدام كلمة المرور الخاصة بحساباتهم.
1.5 إمكانية إصدار حصة للمستخدم بناءً على عدد الميجابايت المستلمة.
1.6 سياسات HTTP وFTP المرنة.
1.7 خادم الويب الإحصائيات للمستخدمين
2. المنصة:
تم اختيار جهاز افتراضي على Xen Server كمنصة.
تم اعتبار الخيارات التالية بمثابة مجموعة OS+proxy.
FreeBSD+squid+ipfw+Samba+SARG (FreeBSD+squid+ipfw+SAMBA+)
ويندوز+UserGate 5 (www.usergate.ru/)
ويندوز + كيريو وينروتي جدار الحماية 6 (www.kerio.ru/ru/firewall)
تم الاختيار على Windows+Kerio Winroute Firewall 6 (سأخبرك لماذا Kerio في المقالة التالية)
3 إذن المستخدم.
تقرر استخدامه الدليل النشطكقاعدة بيانات للمستخدم والتفويض باستخدام تسجيل الدخول وكلمة المرور من م.
4. تم تبسيط نظام الحصص إلى 4 مجموعات - 300 ميجابايت، 500 ميجابايت، unlim، ICQ + مواقع الشركات.
النشر والتشغيل.
1. منذ أن تقرر نقل الخادم الوكيل إلى خادم المحاكاة الافتراضية (الذي تمت مناقشته). كان من الضروري إضافة بطاقتي شبكة (للاتصال بالإنترنت). كيف يتم ذلك موصوفة.
2. قم بإنشاء جهاز افتراضي وإيقاف نظام التشغيل Windows XP. نقوم بإجراء جميع الإعدادات اللازمة لنظام التشغيل.
3. قم بإعداد الشبكة. تستقبل الواجهة المحلية الأولى جميع الإعدادات من DHCP (الذي يعمل على وحدة تحكم المجال)
يتم وضع الواجهة الثانية في الشبكة الفرعية 192,168,1,0
يتم وضع الواجهة الثالثة في الشبكة الفرعية 192,168,2,0
أجهزة المودم متصلة بهم.
نحن نتحقق من وظائف الشبكة باستخدام أوامر Traceroute و Ping.
4. تثبيت جدار الحماية كيريو وينروتي
5. وقم بإعداده (نأخذ الوثائق من موقع كيريو).
لا يوجد شيء صعب في الإعدادات. ولكن هناك بعض المزالق.
1. عند إعداد nat لخادم البريد، نقوم بتحويل كل حركة المرور المتجهة إلى المنفذين 110 و25 إلى عنوان IP الخاص بخادم البريد. تحدث المشكلة إذا كان أحد المستخدمين يستخدم البريد على خوادم الطرف الثالث(على سبيل المثال mail.ru وgoogle.ru) عبر عملاء البريد الإلكتروني. يمكن أن يكون حل هذه المشكلة إما باستخدام البريد من خلال واجهة الويب الخاصة بهذه المواقع، أو إعداد إعادة توجيه البريد من موقع جهة خارجية إلى خادم بريد الشركة.
2. لأن يوجد توزيع تحميل وتسامح مع الخطأ لقناتين ثم في سجل DNS الخاص بك مجال البريدفمن المنطقي إجراء بعض التغييرات.
على سبيل المثال
لديك إدخال في DNS
MX xxx.xxx.xxx.xxx 10 mail.domen.ru
حيث xxx.xxx.xxx.xxx هو عنوان IP الذي قدمه لك مزود الخدمة الخاص بك
قم بإدخال آخر
MX xxx.xxx.xxx.xxx 20 mail.domen.ru
حيث xxx.xxx.xxx.xxx هو عنوان IP الصادر لك من قبل الموفر الثاني.
باستخدام سجلات DNS هذه، ستتحقق خوادم إعادة توجيه البريد من توفر عنوان IP الأول، وإذا لم يكن متاحًا، فسوف تقوم بتسليم الرسائل إلى عنوان IP الثاني.
3. إذا قمت بتغيير منفذ وعنوان الخادم الوكيل، فمن أجل عدم التجول في المكتب، يكفي أن سياسات المجموعةتحديد إعدادات الخادم الوكيل التي سيتم تطبيقها تلقائيًا. ولكن هذا ينطبق على تلك المتصفحات التي لديها خيار أخذ إعدادات الوكيل من النظام في إعداداتها. على سبيل المثال، إذا كان لدى مستخدم في Mozilla الإعداد اليدويالوكيل، فلا يزال يتعين عليك الذهاب إليه. على الرغم من... لا أستطيع أن أقول على وجه اليقين لأن... جميع المستخدمين في شركتي يستخدمون IE.
4. كيريو لديه عيب واحد كبير. لا توجد طريقة لتعيين حصة لمجموعة. يوجد قالب حصة لجميع المستخدمين أو تحتاج إلى تعيين حصة لكل مستخدم يدويًا.
حسنا، يبدو أن هذا هو الحال.
الآن الخادم في وضع الانتقال، أي. نقوم بفصل العملاء عن العميل القديم وربطهم بالعملاء الجدد. اليوم، يتم استخدام كيريو من قبل حوالي 65 مستخدمًا. مشاكل خاصةبخلاف تلك الموصوفة أعلاه، لم يلاحظ.
لذا أشكركم جميعا على اهتمامكم. ترقبوا المزيد.

كيفية تكوين توزيع الإنترنت للمستخدمين عبر NAT في جدار الحماية كيريو وينروتي. إعداد NATفي كيريو ينروتي جدار الحماية.

منح - مشغل برامج وندوز 2003 Server EE، مع تثبيت وتكوين Kerio Winroute Firewall 6.4.2.

المهمة - قم بتحرير مسؤول النظام إلى الإنترنت ليس من خلال وكيل، مثل أي شخص آخر، ولكن من خلال NAT. بحيث يمكن إطلاق الكونترا وويب ماني. يذهب...

أولاً، لنقم بإنشاء قاعدة جديدة في القسم سياسة المرور. سيتم استدعاؤه أولاً قانون جديد.

التالي تحتاج إلى إضافة مصدر. أي جهاز الكمبيوتر الخاص بالشخص الذي سيكون لديه إمكانية الوصول إلى الإنترنت. في حالتنا هذا هو جهاز كمبيوتر مدير النظام. كتبت اسم DNSالكمبيوتر في المجال - مسؤول النظام.المحلية. يمكنك أيضًا كتابة عنوان IP. يعتمد على الموقف.

بعد الإضافة مصدربحاجة إلى إضافة و وجهة. في حالتنا، هذا اتصال شبكة يسمى الإنترنت. انقر إضافة -> واجهة الشبكةوحدد اتصالنا بالإنترنت من القائمة.

بعد إضافة هذه المعلمات إلى قاعدتنا. يبدو أننا نلمح للكمبيوتر أن السيارة مسؤول النظام. محليلديه حق الوصول إلى إتصال شبكة إنترنت. بعد ذلك، نحتاج إلى تحديد نوع الاتصال والمنافذ والخدمات التي سيتم من خلالها الوصول إلى هذا الاتصال.

في الميدان خدمةلن نضيف أي شيء. هناك بالفعل معنى هناك أي. يقول أوبو أن الوصول مفتوح لجميع المنافذ والخدمات.

في علامة التبويب ترجمةالافتراضي فارغ. نحن لسنا مهتمين بهذا، لذا انقر على حقل فارغعلى علامة التبويب ترجمةونرى نافذة (تحرير الترجمة)إعدادات NAT أمامك.

نحتاج فقط إلى إطلاق سراح المستخدم إلى الإنترنت على جميع المنافذ. لذلك نختار الخيار "الترجمة إلى عنوان IP الخاص بالواجهة الصادرة (الإعدادات النموذجية)". مع هذه القاعدة نقول كيريو أن كل شيء حركة المرور الصادرةيحتاج المستخدم إلى البث مباشرة على الإنترنت. يمكنك تحديد أي واجهة حيث سيتم بث الحزم وعنوان IP. لكننا لسنا بحاجة لذلك الآن.

انقر فوق "موافق" وشاهد قاعدتنا. يبدو أن كل شيء على ما يرام، لكنه لا يعمل :) لماذا؟

نسيت السماح بالقاعدة وانقر على الزر يتقدم. لتمكين القاعدة، انقر فوق الحقل الفارغ الموجود أسفل علامة التبويب فعلوحدد المعلمة هناك يسمح.

الآن تبدو قاعدتنا كما يلي:

ويعمل. المستخدم هو NATed الوصول الصادرةفي الإنترنت. يمكنه لعب العدادات وWarcraft وتشغيل Webmoney.