configurazione Kerio

Rieccomi, e di nuovo tento di riordinarmi le idee chiedendovi conforto.
Installo la 2.15 e poi in linea di principio:
ho IE6 e Mozilla firefox 0,8, per entrambi dovrei mettere il permesso per :
outgoing TCP su porte 80, 8080, 443 e 21
no incoming TCP
niente per gli UDP
chiedo conferma e chiedo anche cosa succederà per le applicazioni tipo shockwave o per altri plug in, devo configurare regolre specifiche per queste applicazioni o il settaggio indicato copre anche queste?

Outlokk express:
incoming TCP su porte 110 (posta in arrivo), 25 (posta in uscita) e 119 (newsgroup).
In linea di principio mi pare di capire che sia meglio nondare troppa libertà invece alla porta 80; ma questa cosa farebbe di fatto? Mi mostrerebbe immagini allegate nel messaggio stesso o visualizzerebbe pagine http? Nel caso la disabilitassi che ostacoli potrei incontrare? Potrei eventualmente abilitarla solo per taluni mittenti di posta elettronica (temo di no visto che la posta arriva tutta dal server del provider immagino).

Kaspersky: se ho ben capito dovrei abilitare outgoing TCP su porta 8086, devo abilitare anche UDP su 8087? Quali? Inoltre so che usa la 8084 e la 8085 ma non ho capito per cosa, per ora sul mio norton 2002 ho dato libertà assoluta a kaspersky, ho tentato quindi nell'event log di cercare di capire attraverso quali porte e come comunicasse ma non ho trovato nulla (vedevo spesso un 80 tra parentesi ma non ho capito se si riferisse alla porta 80 che non dovrebbe esserci).

Msn messenger: questo è più complicato e dho letto ma chiedo conferma:
incoming e outgoing UDP su porta 6901
e outgoing TCP su tutte le porte (ne userebbe un range ma siccome abbastanza ampio conviene dargliele tutte)

Yahoo messenger:


Qui ho trovato poco ma pare bastino le porte 5000 e 5001 per gli outgoing TCP (se sapete di più vi prego di dirmelo).

WMP (credo per visualizzare direttametne da WEB)
outgoing TCP e UDP su 1755 e 554 (h oletto anche di 80 e 8080 ma non ho capito bene)

Mi chiedo se le regole per WMP siano valide anche per esempio per Crystal player ed altri riproduttori video.

Mi fermo un attimo, spero qualcuno (magari Paolo1 ) intervenga a convalidare o confutare parte di quanto scritto sopra.
Ciao e grazie
tontolone

http://www.kerio.com/kpf_comparison_version.html
al seguente link inoltre comparano Kerio 2.1 (suppongo il 2.15 quindi anche) con la nuova versione free.
Ho notato che due potenzialità del 2.15 non sono replicate nel 4 free ovvero il syslog eil fatto di comportarsi da internet gateway, ahimé che vuol dire?
La mi intenzione era di installare il 2.15 ed eventualmente in futuro passare al 4 quando magari non era più beta, qualcuno saprebbe indicarmi cosa comportino quelle limitazioni segnalate?
Ciao, grazie.
Tontolone

> il settaggio indicato copre anche queste?

Se non crei regole esplicite che NEGHINO quello che non hai espressamente autorizzato, il firewall ti avviserà nel caso di attività che esuli da queste regole.
Flash di norma non c'entra niente. Dovrai configurare adeguatamente gli streaming audio e video, se ne userai
(a seconda dell'applicazione che li riceverà...Real, WMP etc.)



> incoming TCP su porte 110 (posta in arrivo), 25 (posta in uscita) e 119 (newsgroup).

No incoming (!!) ma outcoming. Le connessione sei TU che le fai verso i server, non sono loro che le fanno verso di te.


>porta 80; ma questa cosa farebbe di fatto?
>Mi mostrerebbe immagini allegate nel messaggio stesso o visualizzerebbe pagine http?
> Nel caso la disabilitassi che ostacoli potrei incontrare?

Non vedresti le immagini. Per il resto, non rischieresti neanche di scaricare virus o programmi indesiderati grazie a qualche exploit su outlook express e la sua attività web.
Se OE si connette SOLO ai server di posta e nient'altro, è meglio (si fa per dire..)


>Kaspersky

A KAV serve solo la porta 80 diretta agli ip dei suoi server d'aggiornamento e basta (outcoming, ovviamente)


> messenger vari

Ognuno ha le sue caratteristiche precise e ognuno "vorrebbe" molta liberta'. Io non ne uso alcuno, quindi occorre cercare materiale, come hai fatto tu, e sperare che sia affidabile.



> WMP (credo per visualizzare direttametne da WEB)
> outgoing TCP e UDP su 1755 e 554
> h oletto anche di 80 e 8080 ma non ho capito bene)

Appunto. DIPENDE dal tipo di streaming


> altri riproduttori video.

Se gli altri player video ricevono streaming, si puo' discutere. Per il resto, non dovrebbero aver bisogno di connettersi da nessuna parte (avere bisogno=necessitare seriamente..). Poi, ovviamente, anche il peggior editor di testo in visualbasic oggigiorno cerca di connettersi a internet per qualche motivo..

Ciao
Paolo

p.s. Kerio FREE dopo i 30 giorni perde, tra le altre cose, quello che hai detto tu...internet gateway serve nel caso che usi una connessione condivisa tra 2 pc (altrimenti no), syslog scrive nel log di sistema anzichè in quello di kerio. Insomma, cosa cui si puo' rinunciare, di norma.

Rieccomi, cominciano i primi problemi e proprio coi browser, Con Mozilla ho abilitato gli outgoing TCP su porte 80, 8080, 443 e 21 e tutto procede a gonfie vele, inserendo invece la medesima regoa per IE6 questo mi chiede di speire degli UDP non so dove e, impedendoglielo e creando la regola che non faccia uscire nessun UDP, IE naviga lentissimo, dando invece via libera in uscita agli UDP torna a navigare veloce come prima.
Allego l'immagine dei setaggi fatti fino ad ora e chiederei anche, per alcuni che erano presenti di default se non sia il caso di bloccare alcuni di essi.
Ciao
tontolone

Per esempio l'applicazione LSASS.EXE sul sito swzone si nota che è bloccata, io non so cosa faccia e chiedo a voi.
Inoltre quel TCP (out) su porta 445 del SYSTEM
e l'UDP (in) di svchost

ma perchè esistono i PC ??

Tontolone

gli ho detto di no ma cosa vorrebbe fare?
Tontolone

Quella connessione ad anserver è uscita altre volte, sempre su porte diverse ma l'indirizzo IP è sempre quello, forse anserver è il nome del PC (andrea server)...ma non ho nessun altro PC in rete, un tempo un amico aveva chiamato anserver questo per passaggio di alcuni dati credo, mi spiace ma non ci capisco molto di più

tontolone
<p><font class='xsmall'>[<i>Modificato da tontolone 24/04/2004&nbsp;18.04</i>]</font></p>

Per i programmi di messaggistica ho trovato questo link che pare interessante e credo di interesse comune:

http://www.pcflank.com/apps_by_class.htm


Tontolone

---

Scritto da: tontolone 24/04/2004 19.25
Per i programmi di messaggistica ho trovato questo link che pare interessante e credo di interesse comune:

http://www.pcflank.com/apps_by_class.htm


Tontolone

---

Ho notato che quel link vale anche per tantissimi altri programmi e se vado a vedere IE trovo che effettivamente si raccomanda una apertura ad incoming UDP dalle porte 1040 fino a 1050, cosa ne pensate, se non metto incoming UDP il mio explorer è lentissimo

tontolone

Per iexplore.exe (IE), explorer.exe (esplora risorse) e msimn.exe (OE), la possibilità di effettuare UPD in locale è importante perchè purtroppo Windows è fatto così. Importante per farli funzionare BENE (altrimenti possono diventare lenti, ma non è detto neanche quello..).
Devi consentire di fare e ricevere comunicazioni UDP ma solo su 127.0.0.1 (cioè sulla macchina locale), quindi non verso e da internet.
Per quanto riguarda lsass.exe e le altre applicazioni di sistema per modificare le regole devi semplicemente editarle (edit) e cambiare quello che vuoi cambiare. Sono regole come le altre, anche se c'erano all'installazione di Kerio.
Tra l'altro, tu stai usando la 2.1.5 ma sarebbe meglio usare la 4.0
ciao
Paolo

Ti ringrazio, mi pare di aver letto da qualche parte che potrei salvare tutte leregole ed importarle in kerio 4 giusto? E' una procedura facile?
Poco fa mentre mi arrabattavo nella configurazione di yahoo messenger ho aperto il firewall log e il PC mi si è riavviato, non mi si era mai riavviato questo PC dalla sua nascita, può dipendere dall'apertura del log durante il lavoro del fireewall stesso?
Tornando a IE quindi dovrei consentire UDP ingoing solo dall'indirizzo locale?
Grazie
tontolone

Il crash puo' dipendere da mille cose, puo' essere collegato (indirettamente, ovvio) anche all'apertura del log. Cioè, non è colpa del log stesso (che è un file di testo) ma di Kerio che lo genera (che è un programma molto piu' complesso che agisce con dei driver a basso livello software, essendo un personal firewall).
Per IE, appunto, trafficol UDP illimitato (in e out) ma solo in LOCALE.
ciao
Paolo

Abbi pazienza, ho fatto così e IE ora va che è una scheggia, spero di non aver fatto guai

Tontolone

---

Scritto da: tontolone 24/04/2004 11.21


gli ho detto di no ma cosa vorrebbe fare?
Tontolone

---

In relazione a questo avviso conviene forse mettere una regola specifica che permetta ingoing e outgoing TCp e UDP per tutte le applicazioni solo e soltanto sull'IP 127.0.0.1 ?
Per ora ho messo solo quella che ti ho postato qui sopra e dato un deny "duraturo" all'altra richiesta ma non vorrei ostacolare qualche funzione importante.
Ciao e grazie
tontolone

---

Scritto da: Paolo1 25/04/2004 16.49

Tra l'altro, tu stai usando la 2.1.5 ma sarebbe meglio usare la 4.0
ciao
Paolo

---

Ciao, ho provato a rimuovere la 2,15 salvando il file .conf con le sudate regole, poi ho installato la 4.0.16 mi pare ed ho importato le regole ma non sono riuscito a trovarle e le configurazioni in Kerio 4 mi sembrano totalmente diverse da quelle su kerio 2,15. Per non fare guai ho rimosso la 4 e rimesso al 2,15 e prima mi studierò KPF 4 per capire dove mettere tutti i TCP e UDP con i quali stavo cominciando ad avere dimestichezza
tontolone

---

Scritto da: tontolone 25/04/2004 17.15

In relazione a questo avviso conviene forse mettere una regola specifica che permetta ingoing e outgoing TCp e UDP per tutte le applicazioni solo e soltanto sull'IP 127.0.0.1 ?
Per ora ho messo solo quella che ti ho postato qui sopra e dato un deny "duraturo" all'altra richiesta ma non vorrei ostacolare qualche funzione importante.
Ciao e grazie
tontolone

---

Qui un altro esempio di una applicazione che uso quotidinamente, per ora ho dato il deny e pare funzionare, domani lo saprò più di preciso.

La maggior parte delle applicazioni NON hanno esigenza di comunicare sul localhost. Poi, occorre vedere i casi singoli.
Per quanto riguarda Kerio 4.0, le regole sono identiche e sono dentro network security->packet filter
Le regole "semplici", senza filtraggio particolareggiato, sono su network secutiry e vengono messe lì se si autorizza un programma senza filtraggio particolareggiato, altrimenti finiscono in packet filter.
Le regole semplici predefiniti "dovrebbero" (a seconda della filosofia d'uso) essere messe su DENY (tanto sono tutti programmi di sistema). Per quanto riguarda trusted e internet, tratta entrambi come se fosse "internet". Su "predefinied" si impostano i protocolli ICMP etc.
ciao
Paolo

Ciao, ti ringrazio, credo di essere a buon punto ma mi piacerebbe capire di più sulle comunicazioni con il localhost, che significato hanno e perchè ci sono? IE abbiamo visto che può anche faticare se blocchiamo i pacchetti UDP sul localhost, altre applicazioni no (e ne ho la riprova bloccando il traffico).
Altra cosa, ho trovato su un sito, una configurazione per bloccare le informazioni di WMP7 alla microsoft e, la prima regola bloccava
i TCP out su server 4.3.40.1 porta 80. Ne sai qualcosa o sai qualcosa di più?
Grazie, ciao
tontolone

Sulle comunicazioni UDP in locale c'è poco da capire perchè i dettagli profondi non sono noti (è roba di windows). Esplora risorse, IE e OE sono costole di windows e se comunicano tra loro il locale (come se fossero una rete) non c'è ALCUN problema, visto che si parla di comunicazione LOCALE.

> i TCP out su server 4.3.40.1 porta 80.

Presumo che sia un server di autenticazione delle licenze, a giudicare dal suo nome chcgil2-ar7-4-3-040-001.chcgil2.dsl-verizon.net

Io 1) non userei WMP 2) se dovessi usarlo, non gli farei fare NIENTE su internet 3) se fossi costretto per via degli streaming..nelle poche volte che lo devo fare, vedo che cosa WMP richiede e autorizzo gli UDP in ingresso solo dal sito da cui proviene lo stream (di norma, se lo stream mi interessa, lo "aspiro" dalla rete con nettrasport o con altri sistemi, non uso mai wmp comunque)

ciao
Paolo

Io uso WMP solo per i file WAV, per altri file video uso Crystal player e a tale proposito noto che non mi viene mai chiesto niente dal firewall se lancio un mpg da internet e lo apro con crystal player (è forse perchè prima il file viene scaricato nei miei TEMP e solo poi aperto quindi in locale da CP?).
Grazie, ciao

Tontolone

P.S. Realplayer lo giudichi "utilizzabile" o hai qualche dubbio sulla sua "bontà"?

---

Scritto da: tontolone 27/04/2004 14.52
Io uso WMP solo per i file WAV, per altri file video uso Crystal player e a tale proposito noto che non mi viene mai chiesto niente dal firewall se lancio un mpg da internet e lo apro con crystal player (è forse perchè prima il file viene scaricato nei miei TEMP e solo poi aperto quindi in locale da CP?).
Grazie, ciao

Tontolone

P.S. Realplayer lo giudichi "utilizzabile" o hai qualche dubbio sulla sua "bontà"?

---

Quoto questo e, visto che ho installato kerio 4 allego 5 gif sulle quali ho qualche dubbio:


Ho messo nega un pò dappertutto ma non mi sono chiare le regole su kerio e quel "chiedi" per "ogni altra applicazione", di fatto non chiede per quelle che ho nel pacchetto filtri (e voglio che sia così)

Qui sono dolori, per ora ho lasciato tutto come era ma tutti quei "permetti" mi spaventano un pò

Qui non so, ho messo come sicuro dove non c'era il flag, il terzo è la connessione adsl, gli altri due non so

Questa pagina non la capisco, ogni tanto cambia ma non so perchè e se sta segnalando qualcosa di inquietante o meno

Questa mi pare la pagina delle applicazioni lanciate, una sperci di statistica ma le statistiche sono altrove per cui cosa rappresenterebbe questa schermata?

Paolo (so che risponderai tu) mi spiace subissarti di domande, il mio intento iniziale era di rendere questo post un punto di riferimento per quanti altri si fossero avvicinati a kerio e, in parte, sono convinto contenga ormai informazioni interessanti ed importanti, spero insomma che oltre che a me possa servire al tutto il forum.
Ciao e grazie
Tontolone
<p><font class='xsmall'>[<i>Modificato da tontolone 02/05/2004&nbsp;18.43</i>]</font></p>