Перед тем, как что-то делать с правилами, необходимо настроить сетевые интерфейсы по-человечески, так что кто не читал статью , сделайте это сейчас.

Все ниженаписанное было испробовано на версии KWF 6.2.1, но будет работать и на всех версиях 6.xx, для следующих версий если и будут изменения, то не думаю, что значительные.

Итак, сетевые интерфейсы настроены, Kerio Winroute Firewall установлен, первое, что делаем, заходим в Configuration > Traffic Policy и запускаем Wizard. Даже если до этого вы его уже запускали. Мы же делаем правильно, так?

1. С первым и вторым шагами визарда все понятно, на третьем выбираем внешний сетевой интефейс (Internet Interface, Wizard почти всегда сам определяет его правильно).

2. Далее, шаг четветый, самый важный.
По умолчанию KWF предлагает вариант «Allow access to all services (no limitations)», но! Постоянно сталкиваемся с тем, что такие правила KWF обрабатыват мягко говоря странно, проблемы с сервисом 🙂 ANY сплошь и рядом.

Поэтому выбираем второй вариант, Allow access to the following services only . Неважно, что KWF вам возможно предложит немного не те сервисы, какие вам нужны, но все это можно добавить или убрать позднее.

3. На пятом шаге создаем правила для VPN, те кому они не нужны, могут убрать галки. Но опять же можно это сделать и потом, если не уверены.

4. Шаг 6-й, тоже довольно важный. Здесь создаем правила для тех сервисов, которые должны быть доступы извне, из Интернета. Советую добавить хотя бы парочку сервисов, вам самим потом проще будет увидеть, как строится такое правило.
Например:

сервис KWF Admin на Firewall
сервис RDP на 192.168.0.15

5. Шаг седьмой, естественно включаем NAT, даже кому и не нужно будет (маловероятно конечно), всегда его можно выключить.
На восьмом шаге жмем Finish.

Получается у нас что-то типа того:

Небольшие пояснения для тех, кто мануал не хочет читать:
Правило NAT — в нем собственно те сервисы, которым разрешен доступ в интерет с клиентских машин.
А правило Firewall Traffic — это правило для той машины, на которой KWF стоит.
Красненькие правила ниже — для доступа из Интернета к одноименным сервисам.

В принципе уже работать можно, но ведь нужно KWF немного настроить, поэтому дальше:

6. Правило Local Traffic передвигаем на самый верх, ибо правила обрабатываются сверху вниз и поскольку локальный трафик как правило превалирует над остальным, это позволит снизить нагрузку на шлюз, чтоб он не гнал пакеты от локального трафика через всю таблицу правил.

7. В правиле Local Traffic Protocol Inspector отключаем, ставим в None .

8. Из правил NAT и Firewall Traffic убираем ненужные нам сервисы, а нужные соответственно добавляем. Ну например ICQ 🙂 Советую думать над тем, что вы добавляете и удаляете.

9. Иногда для некоторых сервисов требуется отдельное правило, потому что вместе с остальными начинаются непонятные глюки. Ну и отследить как оно отрабатывает проще конечно, поставив логгирование этого правила.

Несколько примечаний:

10. Если хотите, чтобы с клиентских компьютеров можно было пинговать внешние адреса, то добавьте сервис Ping в правило NAT.

11. Eсли не используете VPN совсем, отключите VPN-сервер (Configuration > Interfaces > VPN Server правой кнопкой > Edit > убрать галку Enable VPN Server).
Еще можно отключить интерфейс Kerio VPN.

12. Если используете Parent proxy, добавьте в правило Firewall Traffic соответствующий порт (Если стандартный 3128, то можно добавить сервис HTTP Proxy). А из правила NAT тогда нужно убать как минимум HTTP и HTTPS сервисы.

13. Если доступ в Интернет нужно дать какой-то группе пользователей или IP-адресов, то создаете правило, подобное NAT, только в качестве источника у него не Local Interface, а ваша группа.

Ниже более-менее похожий на реальность (мою естественно 🙂 , но не совсем) пример.

Пример.
Задача: раздать интернет всем компьютерам из сети, используя непрозрачный прокси, разрешить ICQ и FTP избранным группам, а скачивание почты по POP3 всем. Запретить отсылать письма напрямую в Интернет, только через почтовик. Сделать доступ к этому компьютеру из интернета. Ну и учесть примечания естественно.
Вот сразу правила готовые:

Краткие пояснения по правилам:
Local Traffic — на самый верх, как и собирались.
NTP Traffic — правило для синхронизации сервера времени (192.168.0.100) с источниками точного времени в интернете.
ICQ Traffic — правило, разрешающее группе пользователей «Allow ICQ Group» пользоваться аськой.
FTP Traffic — правило, разрешающее группе пользователей «Allow FTP Group» скачивать файлы с FTP-серверов.
NAT for all — мало от НАТа осталось (мы же через прокси ходим в интернет) только free mail и ping интернета всем пользователям сети разрешен.
Firewall Traffic — с этим все понятно, разрешенные сервисы для фаервола. Обратите внимание, что сюда добавлен сервис SMTP (в случае, если почтовик находится не на том же компьютере, что и винроут, нужно сделать отдельное правило) и порт 3128 для парент прокси.
Service Ping — правило, нужное для того, чтобы пинговать наш сервер снаружи.
Remote Admin — правило для доступа снаружи к консоли KWF и KMS, к веб-интерфейсу их же.
Service Kerio VPN — правило для доступа снаружи клиентов Kerio VPN.
Service Win VPN — правило для доступа снаружи клиентов родного виндового VPN
Service RDP — правило для доступа снаружи клиентов виндового терминала (но лучше через VPN).

Для организации контроля в локальной сети нашей организации был выбран Kerio Control Software Appliance 9.2.4. Раньше эта программа называлась Kerio WinRoute Firewall. Рассматривать плюсы и минусы мы не будем, и почему выбран Керио, тоже, переходим сразу к делу. Программа версии 7 и выше устанавливается на голое железо без какой-либо операционной системы. В связи с этим подготовлен отдельный ПК (не виртуальная машина) со следующими параметрами:

Процессор AMD 3200+;

HDD 500Гб; (необходимо гораздо меньше)

— Сетевая карта – 2 шт.

Собираем ПК, вставляем 2 сетевых карты.

Для установки линукс-подобной системы нужно создать загрузочный носитель – флэшку или диск. В нашем случае флэшка создана с помощью программы UNetbootin.

Скачиваем Kerio Control Software Appliance. (можно купить лицензию или скачивать образ с встроенным активатором)

Объем образа Керио не превышает 300Мб, размер флэшки соответствующий.

Вставляем флэшку в USB разъем ПК или ноут-бука.

Форматируем в FAT32 средствами Windows.

Запускаем UNetbootin и выбираем следующие настройки.

Дистрибутив – не трогаем.

Образ – Стандарт ISO, указываем путь к скаченному образу Керио.

Тип – Устройство USB, выбираем нужную флэшку. ОК.

После некоторого времени создания, загрузочная флэшка готова. Жмем выход.

Вставляем загрузочную флэшку в подготовленный ПК, включаем его и в Boot menu выбираем загрузку с USB-HDD. В начавшейся загрузке выбираем linux.

Начнется установка Kerio Control Software Appliance 9.2.4. Выбираем язык.

Читаем лицензионное соглашение.

Принимаем его, нажав F8.

Вводим код 135. Программа предупреждает о том, что жесткий диск будет отформатирован.

Ждем пока идет установка.

Система перезагрузится.

Снова ждем.

Наконец дождались. Сообщение на экране говорит о том, что нужно в любом ПК, который подключен в одну сеть вместе с Керио перейти в браузере по написанному адресу.

Мы пока этого делать не будем, а переходим в Конфигурацию сети в самом Керио.

Конфигурация сетевого интерфейса Ethernet. Отмечаем пробелом – Назначить статический IP-адрес.

И назначаем его.

IP-адрес: 192.168.1.250

Маска подсети: 255.255.255.0

Если до установки ПО в сетевые карты были подключены два необходимых сетевых провода для внешней и внутренней сети, то об этом компьютере можно забыть. Я поставил его в уголок и даже забрал монитор.

Теперь в браузере того ноут-бука, в котором создавалась загрузочная флэшка, я перехожу по адресу:

https://192.168.1.250:4081/admin. Браузер может сообщить что Возникла проблема с сертификатом безопасности этого сайта. Нажимаем ниже – Продолжить открытие этого веб сайта и попадаем в мастер активации.

Анонимную статистику, конечно же, не передаем, убираем галочку.

Вводим новый пароль администратора.

Вот и всё. Здравствуй Керио.

Нужно отметить, что выбранный IP-адрес 192.168.1.250 для сетевой карты внутренней сети решено было изменить на адрес 192.168.1.1 для того, чтоб не перенастраивать много оборудования. Сеть существовала долгое время без контроля и Керио пришлось в неё добавить методом встраивания. После смены IP чтоб попасть в интерфейс нужно вводить https://192.168.1.1:4081/admin. Ниже на рисунке структурная схема подключения.

Первоначально, все функции маршрутизации и DNS выполнял модем с IP –адресом 192.168.1.1. При установке Керио модему назначили адрес 192.168.0.1 и он обращается к внешней сетевой карте Керио с адресом 192.168.0.250. Адреса в одной подсети. Внутренняя сетевая карта получила адрес, который раньше был у модема. Всё оборудование в сети со статическими IP-адресами и прописанным шлюзом (а это почти вся наша сеть) увидело новый шлюз как старый и даже, не заподозрило подмены:)

При первом запуске Керио, мастер предлагает настроить интерфейсы. Можно настраивать не через мастера. Рассмотрим подробнее всё, что описано выше.

Во вкладке интерфейсы выбираем пункт Интернет-интерфейсы.

Придумываем название типа Внешняя сеть или Интернет, по умолчанию написано WAN. Вводим вручную данные IP адреса, маску, шлюз и DNS, всё в одной подсети с модемом. ОК.

Далее выбираем следующее подключение в пункте Доверенные/локальные интерфейсы – наша внутренняя сеть. Эти пункты в зависимости от версии Керио могут называться по другому. Придумываем имя и вносим данные как на картинке ниже. Внешняя и внутренняя сеть не могут находится в одной подсети. Это не нужно забывать. DNS от Керио. Шлюз не пишем. ОК.

Нажимаем кнопку Применить в нижней правой части экрана, настройки активируются. Проверим подключение к Интернету. Интернет работает.

Можно переходить к созданию правил трафика, фильтрации содержимого, посмотреть, кто скачивает торренты и перегружает сеть, ограничить скорость или заблокировать. Короче, Керео полноценно работает и в нем есть множество настроек. Тут каждый настраивает что кому нужно.

Рассмотрим еще один важный момент – это открытие портов. До установки Керео в модеме были проброшены порты на сервер. Так же изначально необходимые порты были открыты в самом сервере. Без этих портов спец. софт сервера не может нормально работать. Рассмотрим открытие порта 4443.

Модем HUAWEI HG532e, заходим в него, для этого в адресной строке браузера вводим 192.168.0.1. Переходим по вкладкам Advanced—>NAT—> Port Mapping и вносим данные как на картинке ниже.

Интерфейс – наше подключение (в режиме роута кстати).

Протокол – TCP/UDP.

Remote host – ничего.

External start port/end port – 4443 (внешний порт).

Internal host – 192.168.0.250 (адрес внешней сетевой карты Керео).

Internal port – 4443 (внутренний порт).

Mapping name – любое понятное имя.

Принцип действия таков, что обращение из интернета на внешний статический IP-адрес к порту 4443 будет переадресовано к внешней сетевой карте Керио. Теперь нужно сделать так, чтоб запрос с внешней сетевой карты перенаправлялся на внутреннюю сетевую карту и далее к нашему серверу на порт 4443. Это делается с помощью создания двух правил. Первое правило разрешает доступ извне, второе правило разрешает доступ изнутри.

Создаем эти два правила на вкладке Правила трафика. Разница в пунктах источник и назначения. Служба – наш порт 4443. см. картинку выше.

В пункте Трансляция делаем настройки как на картинке ниже. Отмечаем галочкой — Адрес назначения NAT и пишем там IP-адрес сервера назначения и нужный порт. ОК.

Нажимаем применить. Проверяем, открылся ли порт в он-лайн сервисе. Порт открыт.

Проверяем службы сервера, для которых всё это делалось – они заработали. Аналогичным способом можно открыть любой порт.

О прочих настройках Kerio Control Software Appliance возможно будет написано в других статьях.

(подключение по оптике)

Адресу работает, а по имени сервера - нет, и т.п.). В общем народ ленится, доки не читает, поэтому решил сделать краткую инструкцию по настройке DNS на компьютере с Kerio Winroute Firewall и клиентских компьютерах.

Рассматриваем три самых распространеных общих случая:

1. Одноранговая сеть, без домена (по определению тов. Naliman-а;), точнее без DNS-сервера, в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.

Третий вариант категорически не рекомендуется по соображениям безопасности и здравого смысла, но к сожалению применяется довольно часто в небольших сетях, где домен уже есть, а денег уже нет:)

Имеется в любом случае компьютер с двумя сетевыми картами (одна внутренняя - смотрит в локальную сеть, другая внешняя - в Интернет соответственно), через который мы и будем выходить в Интернет, и на который естественно:) будет установлен Kerio Winroute Firewall.
Не забывайте, что адреса на этих сетевых картах должны быть из разных подсетей, т.е. например так:

Цитата:

192.168. 0 .1 192.168. 1 .1

почему-то новички очень часто на этом попадаются, если у них например ADSL -модем стоит.

1. Настройка DNS в одноранговой сети.

Настройки внутренней сетевой

Но! Не забиваем их втупую во внешнюю сетевую, а делаем немного по-своему:

Жмем Advanced . В закладке DNS убираем галочку на Register this connectionТs addresses in DNS, в закладке WINS убираем Enable LMHOSTS lookup и ставим Disable NetBIOS over TCP/IP . Также, галочек НЕ ДОЛЖНО БЫТЬ на Client for Microsoft Networks, Network Load Balancing , Fail and Printer Sharing Microsoft Networks.

Кстати, удобно переименовать внешний интерфейс, назвать не Local Area Connection (Подключение по локальной сети), а например Internet Interface.

Дальше, заходим в Панель управления, Cетевые подключения, в этом окне (окно проводника) меню Дополнительно -> Дополнительные параметры. Во вкладке "Адаптеры и привязки" передвигаем "Local Area Connection" ("Подключение по локальной сети") на самую верхнюю позицию.

На клиентском компьютере настройки сетевой карты будут примерно такие:

В Winroute, Configuration -> DNS Forwarder ставим галку "Enable DNS Forwarding", указываем DNS-серверы провайдера.

2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;

Настройки не очень отличаются от предыдущего варианта, в принципе все тоже самое, только:

2.1 В зонах прямого просмотра DNS следует убрать зону ".", если она там есть. После этого перезапустить службу "DNS-сервер".

2.2 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера (и не забыть добавить правило в Traffic Policy, разрешающее контроллеру обращаться на DNS-сервер провайдера). Форвардинг в винроуте тогда нужно выключить.

2.3 Настройки внутренней сетевой

Шлюз НЕ указываем!

Настройки внешней сетевой:

2.4 Настройки клиента:

3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.

Все настройки идентичны первому случаю, за исключением некоторых очень важных моментов:

3.1 В сети, которая подключена к Интернету через шлюз, являющийся контроллером домена с запущенной службой DNS-сервер, на этом контроллере в конфигурации внутреннего и внешнего интерфейса DNS-сервер должен быть настроен сам на себя.
В зонах прямого просмотра DNS следует убрать зону ".", если она там есть. После этого перезапустить службу "DNS-сервер".
В свойствах DNS-сервера на закладке "Пересылка" (Forwarding) следует разрешить пересылку на DNS-сервер провайдера. Перезапустить службу "DNS-сервер"

3.2 Необходимо создать зону обратного просмотра (у правильных админов она наверняка создана еще при поднятии DNS:)), так как без нее DNS-сервер не может определить свое имя. В качестве кода сети указываем первые 3 группы цифр своего IP-адреса.
Для проверки заходим в свойства зоны и убеждаемся там в наличии нашего DNS-сервера (или серверов, если их несколько) на закладке "Серверы имен". Если серверов не хватает, добавляем их туда. Желательно делать это с помощью "Обзора". Всё. Осталось разрешить динамическое обновление, чтобы клиентские машины регистрировались в этой зоне, хотя можно обойтись и без этого.

3.3 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера, в данном случае 80.237.0.97;

3.4 DNS Forwarder в Winroute выключаем (убираем галку "Enable DNS Forwarding");

3.5 Настройки внешнего интерфейса на сервере:

Для проверки на клиенте следует выполнить команды:

Код:

nslookup {GateWayName} nslookup {GateWayIP} nslookup yandex.ru nslookup 213.180.204.11

Если в результате выполнения всех вышеперечисленных команд нет сообщений об ошибках - значит все у вас получилось.

P.S. Если у вас что-то не работает, пожалуйста не задавайте ваш вопрос в этой теме, а создайте отдельную (не забыв подробно описать проблему, телепатов тут нет. Также укажите результат работы команды ipconfig /all с компьютера с winroute и клиентского компьютера).

В наследство от предыдущего администратора мне осталась очень хитрая система раздачи интернета. На windows XP был установлен UserGate 2.8. Сама машина имела 2 сетевых интерфейса (локальная сеть и интернет). Крутилось все это на обычном десктопе. Логическая структура раздачи тоже была очень интересна:
1. Все пользователи были разбиты по группам в зависимости от квоты выдаваемого трафика (т.е 100mb, 200mb, 300mb, только ICQ и др.) Групп было порядка 10.
2. Авторизация пользователей происходила по ip адресу компьютера (когда в фирме было 20 компьютеров в рабочей группе со статическими адресами все было еще терпимо, сейчас же пользователей порядка 150 соответственно компьютеров примерно столько же).
Назревали с течением времени и другие проблемы:
1. Количество пользователей росло.
2. Авторизация по ip приносила много проблем. Очень трудно отслеживать перемещение пользователей, да и трафик пользователя оставался незащищенным.
3. Инфраструктура компании с рабочей группы была переведена в домен.
4. Стабильность работы провайдера оставляла желать лучшего. Поэтому был подключен Интернет от еще одного провайдера.
5. Железо на котором крутилось прокси оставалось жить недолго.
Мной был подготовлен план по переходу на другой прокси сервер.
Начнем. Планирование
1. Необходимо определиться что мы хотим (т.е. какой функционал нам необходим).
2. На какой платформе все это будет работать.
3. Как проводить авторизацию пользователей
4. Как разделить пользователей.
5. Прочие плюшки.
Ответы по пунктам.
1. Необходимо:
1.1 Нам необходим прокси-сервер который слушает локальный интерфейс на определенном порту и делает запросы на 2 других сетевых интерфейса, которые смотрят в интернет.
1.2 Так же нужно распределение нагрузки между 2 провайдерами и перенаправление запросов одному провайдеру при отказе другого.
1.3 Так же необходима поддержка NAT для работы почтового сервера.
1.4 Группы пользователей должны браться из AD и проходить аутентификацию по паролю своих учетных записей.
1.5 Возможность выдачи пользователю квоты по количеству полученных мегабайт.
1.6 Гибкие политики HTTP и FTP.
1.7 Web-сервер статистики с для пользователей
2. Платформа:
В качестве платформы была выбрана виртуальная машина на Xen Server.
В качестве связки ОС+прокси рассматривались следующие варианты.
FreeBSD+squid+ipfw+Samba+SARG (FreeBSD + squid + ipfw + SAMBA + )
Windows+UserGate 5 (www.usergate.ru/)
Windows+Kerio Winroute Firewall 6 (www.kerio.ru/ru/firewall)
Выбор был остановлен на Windows+Kerio Winroute Firewall 6 (почему именно Kerio расскажу в следующей статье)
3 Авторизация пользователей.
Решено было использовать Active Directory в качестве базы данных пользователей и проводить авторизацию по логину и паролю из AD.
4. Система квот была упрощена до 4 групп - 300mb, 500mb, unlim, ICQ+корпоративные сайты.
Развертывание и эксплуатация.
1. Так как было принято решение переносить proxy-сервер на сервер виртуализации (о котором рассказывалось ). Необходимо было добавить 2 сетевых карты (для подключения интернета). Как это делается описано .
2. Создаем VM и останавливаем Windows XP. Для ОС делаем все необходимые настройки.
3. Настраиваем сеть. Первый локальный интерфейс получает все настройки от DHCP (который работает на контроллере домена)
Второй интерфейс выносим в подсеть 192,168,1,0
Третий интерфейс выносим в подсеть 192,168,2,0
К ним подключаются модемы.
Проверяем работоспособность сети командой traceroute и ping.
4. Устанавливаем Kerio Winroute Firewall
5. И настраиваем его (документацию берем с сайта kerio).
В настройках нет ничего трудного. Но есть некоторые подводные камни.
1. При настройки nat для почтовго сервера мы весь трафик идущий на 110 и 25 порт заворачиваем на ip адрес почтового сервера. Проблема возникает если кто-то из пользователей пользуется почтой на сторонних сервера (например mail.ru и google.ru) через почтовые клиенты. Решением этой проблемы может быть или пользование почтой через web - интерфейс этих сайтов, либо настройка переадресации почты со стороннего сайта на корпоративный почтовый сервер.
2. Т.к. идет распределение нагрузки и отказоустойчивость 2 каналов то в ДНС-записи вашего почтового домена имеет смысл сделать некоторые изменения.
например
у вас есть запись в ДНС
MX xxx.xxx.xxx.xxx 10 mail.domen.ru
где ххх.ххх.ххх.ххх - это ip адрес выданый вам провайдером
вносим еще одну запись
MX ххх.ххх.ххх.ххх 20 mail.domen.ru
где ххх.ххх.ххх.ххх - это ip адрес выданый вам вторым провайдером.
При таких ДНС записях сервера почтовой пересылки будут проверять доступность первого ip и при его недоступности доставлять письма по второму ip адреса.
3. Если вы поменяете порт и адрес прокси сервера, то чтобы не бегать по офису достаточно в групповых политиках указать настройки прокси-серверов которые будут применяться автоматически. Но это касается тех браузеров у которых в настройках стоит параметр Брать настройки прокси из системы. Если например у юзера в Mozilla стоит ручная настройка прокси, то идти к нему все таки придется. Хотя... Не могу сказать точно т.к. все юзеры в моей компании используют IE.
4. У керио есть один большой минус. Нет возможности назначать квоту группе. Есть шаблон квоты для всех пользователей или необходимо выставлять квоту вручную каждому пользователю.
Ну вроде бы все.
Сейчас сервер находиться в переходном режиме т.е. мы отключаем клиентов от старого и подключаем к новому. На сегодняшний день Kerio используют порядка 65 пользователей. Особых проблем кроме вышеописанных не замечено.
Так что всем спасибо за внимание. Ждите продолжения.

Как настроить раздачу интернета пользователям через NAT в Kerio Winroute Firewall. Настройка NAT в Kerio Winroute Firewall.

Дано - Сервер Windows 2003 Server EE, с установленным и настроенным Kerio Winroute Firewall 6.4.2.

Задача - Выпустить сисадмина в интернет не через прокси, как всех, а через NAT. Чтобы контра и вебмани запускались. Поехали...

Для начала создадим новое правило в разделе Traffic Policy . Оно будет называться вначале New rule.

Далее необходимо добавить источник. Тоесть компьютер того, кто будет иметь доступ в интернет. В нашем случае это компьютер системного администратора. Я написал DNS имя компьютера в домене - sysadmin.local . Можно написать и IP адрес. Зависит от ситуации.

После добавления Source (Источник) необходимо добавить и Destination (Назначение) . В нашем случае это сетевое подключение с именем Internet. Жмём Add -> Network Inteface и выбираем из списка наше подключение к интернету.

После добавления этих параметров в наше правило. Мы, как бы, намекаем компьютеру, что машина sysadmin.local имеет доступ к сетевому подключению Internet . Далее нам необходимо указать тип подключения, порты и службы, по которым он будет иметь этот доступ.

В поле Service мы ничего добавлять не будем. Там уже есть значение Any . Обо говорит о том что доступ открыт ко всем портам и службам.

Во вкладке Translation по умолчанию пусто. Нам это не интересно, поэтому жмём по пустому полю на вкладке Translation и видим окошко (Edit Translation) настроек NAT перед собой.

Нам нужно только выпустить пользователя в интернет по всем портам. Поэтому мы выбираем параметр "Translate to IP address of outgoing interface (typical settings)" . Этим правилом мы говорим Kerio, что весь исходящий трафик от пользователя нужно напрямую транслировать в интернет. Можно выбрать какой-либо интерфейс, куда будут транслироваться пакеты, и IP адрес. Но нам это сейчас не нужно.

Жмём OK и видим наше правило. Вроде бы все ок, но оно не работает:) А почему?

Забыли разрешить правило и нажать кнопку Apply . Для разрешения правила жмём на пустое поле под вкладкой Action и выбираем там параметр Permit .

Вот теперь наше правило выглядит вот так:

И оно работает. Пользователь имеет NAT-ированный исходящий доступ в интернет. Может играть в контру, варкрафт и запускать Webmoney.