@Desert-Eagle
Новичок во всем

Как блокировать адреса на интерфейсах в kerio?

Был вопрос в соседней теме касательно блокировки RFC адресов. Хочу понять как я могут такое же сделать у себя, чтобы обезопасить в будущем от такой ситуации.
Есть чистый Kerio поднятый с нуля. Я создал тестовое правило - выделено сверху.
619dcbb3bfc7b478093747.png
Правильно ли я понимаю, что для того, чтобы чья-то локальная сеть не ломилась ко мне, мне нужно просто вместо allow поставить "Запрет" и тогда все что идет с первой подсети будет отбрасываться?
Разве это не означает, что и мои адреса будут отбрасываться. Как интерфейс поймет локальный это адрес или нет. У него есть входящие и ему без разницы с локальной сети запрос пришел или с нет. Как он поймет что мой запрос не надо блокировать с 1 подсети а чужой надо.
Если смотреть по скринам, то правило которое я сделал попадает под второе правило которое созданное по-умолчанию. Адреса из первой подсети попадают по определение Trusted/Local и если я так сделаю, то у меня просто не будет интернета, т.к. выход с этой подсети будет запрещен.

Вопрос: Как на керио настроить блокировку RFC1819?
  • Вопрос задан
  • 1950 просмотров
Пригласить эксперта
Ответы на вопрос 3
@Drno
Керио имеет Ван интерфейс и Лан интерфейс. Входящие блокировать надо на ВАНе
Локальные у вас через лан порт заходят
Ответ написан
@Akina
Сетевой и системный админ, SQL-программист.
Начните с определения группы адресов, подлежащих блокировке. Пропишите туда все подсети из RFC, кроме, возможно, мультикаста.

Затем первым создайте правило, согласно которому входящие пакеты WAN-интерфейса, адреса которых принадлежат этой группе, action=drop.
Ответ написан
@LAG_LAGbI4
Чё-то на какую-то параною похоже. Прочитал вопрос про локальную сеть в интернете.
Какая вам разница, что происходит снаружи? Для вас всё-что снаружи это интернет. Любые соединения ИЗ интернета нужно обрабатывать как опасные. Из коробки керио разрешает впн и веб морду.
Что касается ваших ИСХОДЯЩИХ соединений. Ну попадёте вы в чужую сеть? в чём опасность-то?

ну если очень хочется, то правило не правильно настроено.
1 . источник - все локальные ip адреса кроме используемых получатель интернет интерфейс - запрет
2. входящих бояться не нужно. по умолчанию они отключены
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
05 окт. 2024, в 02:41
50000 руб./за проект
05 окт. 2024, в 02:03
1500 руб./за проект
04 окт. 2024, в 22:00
20000 руб./за проект