Как блокировать адреса на интерфейсах в kerio?

Question

[Вася Пупкин]

Был вопрос в соседней теме касательно блокировки RFC адресов. Хочу понять как я могут такое же сделать у себя, чтобы обезопасить в будущем от такой ситуации.
Есть чистый Kerio поднятый с нуля. Я создал тестовое правило - выделено сверху.

Правильно ли я понимаю, что для того, чтобы чья-то локальная сеть не ломилась ко мне, мне нужно просто вместо allow поставить "Запрет" и тогда все что идет с первой подсети будет отбрасываться?
Разве это не означает, что и мои адреса будут отбрасываться. Как интерфейс поймет локальный это адрес или нет. У него есть входящие и ему без разницы с локальной сети запрос пришел или с нет. Как он поймет что мой запрос не надо блокировать с 1 подсети а чужой надо.
Если смотреть по скринам, то правило которое я сделал попадает под второе правило которое созданное по-умолчанию. Адреса из первой подсети попадают по определение Trusted/Local и если я так сделаю, то у меня просто не будет интернета, т.к. выход с этой подсети будет запрещен.

Вопрос: Как на керио настроить блокировку RFC1819?

Answer 1

[Drno]

Керио имеет Ван интерфейс и Лан интерфейс. Входящие блокировать надо на ВАНе
Локальные у вас через лан порт заходят

Comments

[Вася Пупкин]

Вы написали очевидные вещи, которые и так понятны и которые уже описаны были в вопросе по ссылке.
Я так и сделал. Internet Interfaces -это и есть WAN в него приходит кабель от провайдера. Для него я и создал правило (см. выше) - не работает!
Поэтому и спросил тут как корректно сделать в Kerio, может у кого есть похожее правило.

[Drno]

Вася Пупкин, Вы же не написали что не работает...
По идее достаточно указать - входящий WAN - drop.. всё

Ваш локальный при этом отбрасываться не должен, т.к. он не входящий, а исходящий... да и идёт он на другой интерфейс

[Вася Пупкин]

Drno, я вкурсе как это должно работать, но не работает. Поэтому я спросил тут, может кто показать работающее правило в керио. Может еще что-то нужно добавлять.

Answer 2

[Akina]

Начните с определения группы адресов, подлежащих блокировке. Пропишите туда все подсети из RFC, кроме, возможно, мультикаста.

Затем первым создайте правило, согласно которому входящие пакеты WAN-интерфейса, адреса которых принадлежат этой группе, action=drop.

Comments

[Вася Пупкин]

Вы написали очевидные вещи, которые и так понятны и которые уже описаны были в вопросе по ссылке.
Я так и сделал. Internet Interfaces -это и есть WAN в него приходит кабель от провайдера. Для него я и создал правило (см. выше) - не работает!
Поэтому и спросил тут как корректно сделать в Kerio, может у кого есть похожее правило.

[Akina]

Вася Пупкин,

Для него я и создал правило (см. выше) - не работает!

А не пробовали сравнить Action в своём правиле и в моём ответе?

[Вася Пупкин]

Akina, Это и сделано. Я еще в вопросе написал, что заменил Allow в скрине.
Скрин я сделал до того как изменил Allow на Drop. Не работает система, только пропадает интернет у 1 подсети.

[Akina]

Вася Пупкин, замените скриншот (или добавьте ещё один) - с текущим состоянием, причём так, чтобы было видно и заголовки колонок таблицы.

Answer 3

[LAG_LAGbI4]

Чё-то на какую-то параною похоже. Прочитал вопрос про локальную сеть в интернете.
Какая вам разница, что происходит снаружи? Для вас всё-что снаружи это интернет. Любые соединения ИЗ интернета нужно обрабатывать как опасные. Из коробки керио разрешает впн и веб морду.
Что касается ваших ИСХОДЯЩИХ соединений. Ну попадёте вы в чужую сеть? в чём опасность-то?

ну если очень хочется, то правило не правильно настроено.
1 . источник - все локальные ip адреса кроме используемых получатель интернет интерфейс - запрет
2. входящих бояться не нужно. по умолчанию они отключены

Comments

[Вася Пупкин]

1. Правило настроено правильно. Я же написал в тексте вопроса, что там стоит "Запрет". Но чето не работает.
2. Как входящие могут быть отключены, если я пингую чьето устройство? Значит они не отключены у него?