Reglas para Kerio winroute firewall 6.3.0

Hello foreros...

es siguiente post es para pedir ayuda a crear unas reglas del kerio, la cos se q salve una intalacion de tenia anteriormente pero se perdieron las reglas y no se com ohacer para q salgan a internet algunos grupos.

Ejemplo algunos usuarios normales no ven paginas y les aparece: Conexión al servidor aceep03.alfabw.alface.com.mx fallo (El servidor no responde.)

lo mismo pasa si quieren entrar a mail de la empresa y marca Conexión al servidor www.empresa.com.mx fallo (El servidor no responde.)

la cosa es q si me brinco el firewall y me conecto directo al router cisco toda esa falacia no me sale, y pues no se como componerlo. a otro no puedo acceder a los correos por medio de outlook (dentro del proxy kerio).

alguien me puede ayudar

p.d. la otra cosa es q cada vez q abren para salir a internet ya no les pide su usuarioo clave aunq acabes de prender la maquina.

hey sorry admins no se q hice y se puso doble el post y no lo puedo borrar fue sin querer en serio.

a ver, algo rápido:

* debes de tener mínimo dos tarjetas de red, una para recibir el Internet y otra para compartirlo a la red.
* en las politicas de trafico defines que puede pasar a donde y que puede hacer, por ejemplo:


Donde el origen es mi red, pueden salir a cualquier parte de internet y realizar los servicios que ahi menciono...aqui se ve mejor

¿como te avientas a poner un firewall sin las medidas necesarias?

Hola de TheRipper, gracias por contestar, mira el kerio ya estaba instalado cuando entre aqui, el problema surgio de q el kerio en una falla (no se de q la neta) se desconfiguro. entonces lo q se hizo fue restaurarlo pero perdio muchas reglas y quedaron solo esas de ahi arriba.

la estructura de la red de aqui es

un linksys-cisco vpn rv042 192.168.10.1
2wire ethernet 192.168.10.7
el servidor kerio - LAN 132.148.160.4 (quien sabe por q le puso estos numeros)

La configuracion va asi:

el linksys vpn recibe la internet del 2wire y este le pasa le da al servidor kerio y ya aqui se adminstra la red bajo las direcciones ip 132.148.160./255.255.255.0
mi pregunta es la siguiente por en la foto de arriba esta abierto el puerto para pop3 y el smtp, la pregunta es por que no pueden revisar el correo en un servidor externo y por q el outlook no se puede conectar?

lo ultimo acabo de crear una regla de msn para el grupo de los administrativos, puse

nombre origen destino servicio accion
msn LAN cualquiera windows messenger activado.

la cosa es q no me puedo abrir dicho programa en las maquians delos administrativos, que hice mal?

mmm, a ver, para que funcione bien el ruteo necesitas dos tarjetas de red, una que reciba el Internet del linksys y otra que sirva para mandar señal y/o restringir el acceso....donde:

tarjeta 1 (Internet) : recibe dhcp por parte del router (132.148.160.4)
tarjeta 2 (la que va a la red, la que la hace de firewall y gateway), le puedes poner :
ip: 192.168.0.1 (ip fija)
submascara de red: 255.255.255.0
y sin puerta de enlace, ya que tomaría la que recibe del linksys

ya en tus políticas de trafico pondrías algo asi:

nombre : acceso a correos
origen : tarjeta de red tu red local o las ip's de tu red, asi como la puse en la imagen de ejemplo(no la que recibe el internet, si no la que va a tu red del trabajo)
destino : los servidores de pop3 y smtp (por ejemplo, pop3.tucorreo.com,smtp.tucorreo.com)
servicio : pop3, smtp, smtps, pop3s,imap
accion : palomita
traduccion : nat (interfaz saliente predeterminada)

Esto quiere decir que todos los protocolos o paquetes que salgan de mi red local hacia mis servidores de correo pop3 y smtp, usando los puertos de pop3 y smtp, se podran conectar y seran entregados hacia el equipo que lo solicito

Y lo del messenger seria igual

nombre : messenger
origen : mi red local
destino : cualquiera y/o conexion de internet
servicio : windows messenger
traduccion : nat

Enfasis en lo siguiente:

1.- necesitas dos tarjetas de red
2.- para cada servicio, abrir puertos
3.- el windows live messenger abre otros puertos, no recuerdo cual, solo habria que investigarlos

La red te la planteo de la siguiente manera:

http://www.itwizard.info/technology/...ipcop_sorn.gif

Este esta en ipcop, pero funciona igual que el Kerio..

A ver si con esto te das una idea


Suerte

Hola Ripper, gracias.

aqui seguimos con lo que me planteaste.

MODEM PRODIGY
el modem, es solo modem (o paso para q la linea de telmex transforme a internet), no esta ejerciendo el dhcp.
tiene conectado:
- linea de telefono
- manda internet a router linksys

su ip aqui adentro no se como encontrarlo, por q si le pongo 192.168.10.7 (q es la q me dice el kerio q tiene) me sale esto;
COnnection to Server 192.168.10.7 failed. (Connection actively refused by the server)

ROUTER VPN
te pongo la foto de system summary


En Setup
hace la conexion a telmex por el PPPoE y crea una red q es 192.168.10.1/255.255.255.0

En DHCP
tiene - enable dhcp activado
y la red la distribuye asi
range start: 192.168.10.6
range end: 192.168.10.199

tiene conectado:
entrada
- recibe cable de modem prodigy
salida
- cable de red to server kerio
- cable de red to navegacion libre (el q yo uso XD)

SERVIDOR/KERIO

este adminstra toda la red y tiene 2 tarjetas de red, y su direccion el 132-148.160.4, ademas de q en este se graban las llamadas telefonicas de un conmutador

1ra. 2wire Ethernet Status - Interfaz 2wire Ethernet y con nombre de adaptador 2wire Ethernet
2da. LAN Status - Interfaz 3com EtherLink PCI nombre de adaptador LAN

descritas en la foto de arriba, la primera descripcion
y la segunda aqui la pongo;



en DHCP
redistribuye la red con la nomenclatura 132.148.160.0/255.255.255.0
aqui hay una impresora 132.148.160.250 esto es por que esta maquina se usa como proxy?

pero le puse q solo agarrara desde el .6 hasta el .250 por q me ponia varios conflictos de red desde el .1

tiene conectado:
- llegada del router pvn
y salida para:
- un switch

(aqui empieza lo raro)
- voice mail o conmutador.

ahora solo falta ponerte como van las reglas, aqui te pongo la foto



y por ultimo por q no puedo abrir el msn, no puedo accesar al outlook (por ahora lo mas importante).

me gustaria q me hecharan la mano :D.

a por ultimo
las maquinas las hago navegar y les pongo en el explorer y de proxy les pongo: 132.148.160.4 y les habilito el puerto 3128

a lo q el dueño me dijo, q si les habilito ese puerto a todos pueden abrir el msn, es cierto?
por lo q yo le digo: solo es donde se habilita el proxy.

salu2

tiene razon tu dueño, que si abres el puerto todos podran entrar al msn, eso si es cierto, lo que puedes hacer es una regla para quienes si puedan usar el msn, eso lo harias poniendole a las maquinas que quieras permiterles el msn una ip fija, y desde el kerio hacer una regla donde permitas la salida al msn, por ejemplo, la ip tuya, que sea 132.148.160.25 y estatica y quieres darle salida, seria algo asi:

nombre : messenger
origen : 132.148.160.25
destino : cualquiera y/o conexion de internet
servicio : windows messenger
traduccion : nat

Esto es : la ip 132.148.160.25 puede salir a cualquier direccion de internet cuyo puerto sea el de msn, que es el 1863, y si quieres mas ip's solo agregalas, pero el nuevo windows live messenger usa otros, checa:

Si nos conectamos a Internet a través de un Firewall (cortafuegos) o un router habremos comprobado que algunas de las características de Windows Live Messenger no funcionan de forma correcta. Para solucionar este problema tendríamos que configurar en el firewall o router el uso de los siguientes puertos:

* Videoconferencia, audio, video y llamadas de PC a teléfono utilizan los puertos UDP 5004-65535 (desde el puerto UDP 5004 hasta el puerto UDP 65535). Debido a que el envío de flujos se aloja dinámicamente en este rango de puertos, tendremos que encontrar la manera de abrir todos ellos.
* Compartir aplicaciones y pizarra utiliza el puerto TCP 1503
* La transferencia de archivos requiere los puertos TCP 6891-6900. Estos puertos permiten hasta 10 transferencias simultáneas por usuario. Si únicamente abrimos el puerto 6891, el usuario únicamente podrá realizar una única transferencia simultánea.
* La Asistencia Remota utiliza el puerto TCP 3389

Ahi tienes ya un tip, y lo del correo, seguiste lo que te dije, de abrir el acceso a los servidores smtp y pop de tu correo? si no los abres no se pueden conectar, recuerda que estas detras de un firewall...

Lo del proxy no lo necesitas activar, con que las maquinas cliente usen como puerta de enlace a tu firewall, este les servira de "filtro" por decirlo asi hacia internet...

Keep in touch ...

shiale q gacho llevo 2 dias tratando de q sirva el pinche outlook y no quiere jalar el mendigo, ni pex av er cuanto mas me demoro.

2 años despues aajajajaj tengo el mismo error, alguien sabe configurar el outlook ?

Creo que te puedo ayudar con este caso lobonegro6, creo que todo el problema consiste en la edicion de las reglas de firewall (Politicas de Trafico) que posee el Kerio. Busca en el manual o en la ayuda del mismo y encontraras la forma de editar reglas en el Kerio

Hola gracias, te contactare de todas formas no hay alguien q me pueda ayudar con la regla para Outlook?