Les acercamos esta vez un breve tutorial sobre la configuración de este potente firewall para LANs que, la verdad, funciona muy pero muy bien, ofreciéndonos una serie de beneficios y ninguna desventaja respecto de la casi la totalidad de firewalls personales que hay para Windows.
Sobre esto último, se hace necesaria una aclaración.
Un firewall personal puede ser seguro, pero además de molestos pop-ups que nos interrumpen cada vez que una aplicación intenta acceder a la i-net (que a la larga terminamos deshabilitando justamente porque resultan molestos, agregando inseguridad a nuestro sistema), presentan problemas serios de seguridad cuando en lugar de usarse en una máquina de escritorio, se usan  en una LAN.
Las razones de ello son relativamente simples. Por una parte, porque intentamos dar seguridad a nuestra LAN con productos (como Kerio Personal Firewall, Norton Internet Security, Zone Alarm, Mc Affe Internet Security, u otros similares) que no están preparados para ello. En segundo lugar, cuando nos dimos cuenta de lo anterior, mejoramos la seguridad del grupo de trabajo instalando un firewall personal en cada una de las terminales, ralentizando las conexiones en cada una de ellas y dejando irresuelto el problema del NATeo.

Instalación y configuración de Kerio Winroute Pro
Lo primero antes de poder instalar este producto en nuestro sistema, es desinstalar todo otro firewall personal que tengamos instalado.

El segundo paso fundamental, se relaciona con una de las características del producto. Tal como dije, este firewall ha sido pensado para la protección de LANs, lo cual implica que soporta NAT (algo que no resulta soportado por ninguno de los firewalls personales) y al mismo tiempo, que nuestra LAN, debe estar funcionando correctamente antes de instalarlo.
Para preparar nuestra LAN para la instalación del firewall seguiremos los siguientes pasos.
1- Desconectarnos de internet y asegurarnos que nuestra PC no volverá a conectarse a hasta que nuestro firewall no esté instalado y configurado. Por lo tanto, deshabilitamos toda forma de conexión automática a la i-net
2- Deshabilitamos la conexión compartida a internet y “esa cosa del XP” (como denominan en muchos foros al “firewall” de Windows) antes de intentar instalar nada que lleve el nombre Kerio
Por si no saben de dónde se hace eso, les dejo algunas capturas. Por lo pronto entren a Mis sitios de red; vayan a las propiedades de su conexión a internet y verifiquen que las propiedades avanzadas que figuran en la imagen, aparezcan deshabilitadas.


3- El firewall soporta IPs dinámicas en todas nuestras terminales, pero funciona mucho mejor si trabajamos con IPs estáticas. Conviene por ejemplo, asignar a la PC que tiene salida a la i-net, el IP 192.168.0.1 y  a las demás terminales los números sucesivos: 192.168.0.2, 192.168.0.3, etc.
Por si no saben cómo hacer esto, iremos a las propiedades de nuestra interfaz de red (Mis sitios de red->Ver conexiones de red->Propiedades (en nuestra interfaz de conexión a la LAN)->Funciones de red->Protocolo TCP/IP->Propiedades) y en la ventana que mostramos a continuación, en cada terminal colocar lo siguiente:



En el servidor:
Dirección IP: una dirección privada de red. Puede ser 192.168.0.1
Máscara de red: 255.255.255.0
Gateway: no poner nada
DNS: 192.168.0.1 (o lo mismo que hayan puesto en Dirección IP)

En cada una de las terminales pondrán lo siguiente:
Dirección IP: una dirección privada de red. Puede ser 192.168.0.X
Máscara de red: 255.255.255.0
Gateway: 192.168.0.1 (o la Dirección IP que hayan asignado a la máquina servidor)
DNS: 192.168.0.1 (o la Dirección IP que hayan asignado a la máquina servidor)

Aclaración: Tengan en cuenta que en las direcciones de IP de cada una de las terminales, la X será diferente y que no puede haber en la red dos números de IP iguales. (Aclaración aparentemente tonta pero... importante)
Una vez que hayamos configurado todas nuestras interfaces ethernet como se explicó, nos vamos al servidor e iniciamos la instalación del Kerio Winroute Firewall

Por si aún no lo bajaron, aquí lo tienen:
ArgentoP2P.kerio.winroute.pro.6.0.8.earnur.rar

Una cosa muy importante! el password de administrador que pedirá casi al final de la instalación es fundamental así que a no olvidarse de lo que pusimos allí porque si lo olvidamos, luego no podremos configurar nuestro firewall y probablemente, ninguna conexión nos funcione.

Configurando el Kerio
Pues bien, ya tenemos instalado el firewall de nuestra LAN así que procederemos ahora a configurarlo.
Si acabamos de instalarlo, el programa nos preguntará si queremos acceder a la consola de administración. Si ya estaba inatalado de antes, con hacer doble click en su ícono en la barra de tareas, accederemos a la interfaz de loggeo de la consola de administración

Lo primero que aparecerá ni bien terminemos de reiniciar y nos hayamos loggeado en la consola de administración, es un wizard que nos permite lograr una configuración muy básica de nuestro firewall. Lo más importante que sugiero tener en cuenta es: el tipo de conexión y luego los servicios a los que queremos dar acceso desde las terminales de nuestra LAN.
Notaremos que el Kerio nos dará dos opciones en este sentido. Una es una lista de servicios preconfigurados como HTTP, FTP, POP•, etc y otra opción que es "ilimitada" Por cuestiones de seguridad, sugiero no seleccionar "Ilimitado". Si bien estamos hablando de servicios externos a los que nuestras terminales pueden o no acceder desde nuestro firewall, no es bueno seleccionar "ilimitado" porque estamos permitiendo comunicaciones que no necesariamente conoceremos luego cuáles son. Lo mejor será seleccionar la lista por defecto que incluye todos los protocolos más comunes.
Luego nos preguntará sobre los servicios que queremos habilitar en nuestro servidor... es decir, servicios para que se puedan conectar desde internet a nuestra PC Por ahora, no habilitaremos ninguno puesto que esto lo haremos luego manualmente, teniendo una clara comprensión de qué puertos y para qué, estaremos abriendo.
Lo siguiente que tenemos que configurar (una vez concluya el wizard) es el servidor DHCP. es decir, empezamos de esta manera a a manipular nosotros el firewall, decidiendo qué queremos exactamente que haga, qué cosas queremos permitir y qué cosas no.

Aclaración: Si nuestra LAN ha sido configurada con direcciones IP estáticas en cada una de nuestras terminales (ejemplo: 192.168.0.2, 192.168.0.3, etc etc...) la habilitación del servidor DHCP no es necesaria.
Una segunda opción al respecto, cuando usamos IPs estáticas en las terminales, es habilitar el servidor DHCP para que toda otra PC que se agregue temporalmente a nuestra LAN, reciba una IP dinámica asignada por nuestro servidor DHCP. Esta no es la mejor opción, puesto que alguien diestro en técnicas de spoofing, podría conectarse a nuestra LAN de manera remota. Lo ideal entonces, es trabajar con IPs estáticas en todas las terminales y por lo tanto... no se hace necesario habilitar el DHCP del Kerio.
Como primera medida entonces, nos vamos a "Configuration/DHCP Server" y allí, a agregar nuestra LAN como muestra la imagen.


(en esta imagen mostramos ips de ejemplo para dos máquinas que comparten conexión a internet)


En "Descripción" podemos poner cualquier cosa; por ejemplo, el nombre de nuestro grupo de tareas en Windows o simplemente LAN
En "First address" (como trabajaremos con IP estática) pondremos el número de IP más alto que tengamos asignado a nuestras terminales... más 1 (uno)
Ejemplo. Si tenemos dos PCs (una server y otra terminal) y sus IPs son 192.168.0.1 y 192.168.0.2; el valor que pondremos en First Address será 192.168.0.3
Esto lo haremos así para que mantenga las IPs estáticas para todas nuestras terminales fijas, pero deje la posibilidad de asignar IPs dinámicos a cualquier otra PC o notebook que eventualmente queramos conectar temporariamente a nuestra LAN... por supuesto... haciendo extensiva a ella la protección de nuestro firewall.
En Last address se asignará solo 192.168.0.254
En Network mask asumirá el valor 255.255.255.0
Todos estos son valores que el firewall leerá de la configuración que hayamos dado a nuestra interfaz de red.
En Default gateway debe ponerse el IP de nuestro server. Siguiendo el ejemplo que pusimos aquí, sería 192.168.0.1 Este mismo valor usaremos para Domain name server

El paso siguiente es la configuración de acceso a los servidores DNS. Para ello nos vamos a "Configuration/DNS Forwarder"
Habilitamos todas las opciones que muestra la siguiente imágen, con la única diferencia que en DNS server (s), debemos poner los IPs de los servidores DNS de nuestro ISP (Internet Service Provider... nuestro proveedor de internet. Para Ciudad Internet, son los que figuran en la imagen) Los números de IPs de los servidores DNS van separados por ; (punto y coma), sin espacio entre ellos; es decir xxx.xxx.xxx.xxx;zzz.zzz.zzz.zzz.

Lo último que sí o si necesitamos hacer, es configurar las reglas de seguridad. Estas son las que en definitiva nos darán la máxima seguridad, nos permitirán hacer NAT (fowardear paquetes a las IPs de cada una de las terminales) y si... para el que anda preguntando por ahí desde hace rato... para que nuestra mulita se conecte con ID alta.

Las reglas del firewall:
Un firewall es una "pared de fuego" que evita la entrada desde el exterior de nuestra PC (en principio evita o debe evitar toda conexión externa a nuestra PC...) salvo aquellas conexiones que nosotros decidamos autorizar que se realicen; y que al mismo tiempo, puede autorizar a o no la salida de conexiones desde nuestra PC, al exterior.
Funciona de esta manera

En esta imagen se muestra una LAN que cuenta con un hub que rutea los paquetes a cada una de las terminales, con ese hub conectado directamente al firewall que vemos es una interfaz más; y vemos que ese firewall se conecta directamente a internet.
Lo más común entre nosotros, (o al menos lo concreto en esta consulta) es tal vez algo un tanto diferente pero conceptualmente casi igual: no tenemos un hub, sino una PC (la que es firewall en la imagen) que funciona como "server", como estación de salida a internet, que es donde tenemos instalado normalmente el eMule, y que a su vez comparte su coneción a internet con otra terminal. Es decir, algo como esto:


Pues bien... para permitir tanto las conexiones desde nuestra PC servidor, como desde la terminal que está detrás de ella, hay que crear un conjunto de reglas que establezcan qué es lo que el firewall debe permitir o no. Lo mismo ocurre con las conexiones desde el exterior hacia nuestra PC.
Pero algo que debe comprenderse claramente, es que ninguna de nuestras PCs se conectará directamente a internet. El que se conecta a internet, es el firewall, y a este se conectarán las PCs para pedirle que las deje salir a internet o para que las deje recibir cosas desde internet
Puede ser algo confuso, porque tal vez alguien se esté preguntando... "pero yo tengo dos PCs nada más... no tres! ¿a dónde está el firewall al que me tengo que conectar si la que se conecta a internet es una de mis dos PCs?"
Bien... el firewall que está instalado en la PC que tiene la conexiòn directa a internet, lo imaginaremos por ahora como si fuera una tercera PC. Y esto es así porque ese programita que hemos instalado, el kerio, es algo que se interpone en nuestra conexión, entre la internet y nuestra "LAN". De hecho veremos que quien gestionará la conexión a partir de ahora, no será otro que kerio. (ejemplo... si paramos el kerio, nuestra conexión se corta jeje)

Creando los servicios
Para establecer cualquier conexión, hacen falta cinco elementos:
a) un emisor (source)
b) un destinatario (target)
c) un "lenguaje" o "forma" de comunicarse (protocol)
d) puertos por los cuales se realizará esa conexión
e) muy importante, está implícito y es lo más difícil de comprender (según mi experiencia ayudando a otros amigos a configurar un firewall): el sentido de la conexión, es decir, de dónde parte y hacia dónde va.

Para citar un ejemplo concreto de creación de servicios, pensemos en cómo se conecta nuestro eMule, a través de qué puertos, con qué protocolos y desde y hacia dónde. A cada servicio le daremos un nombre

1 Servidores ed2k: Servicio "eMule Servers"
eMule envía paquetes pidiendo conexión a los servidores, desde "cualquier" puerto de nuestra PC, usando los protocolo TCP/UDP, y necesita poder conectarse en los servidores, a los puertos 4661,4242,3306 (si se ijan en "Servidores", en la mulita, al lado del nombre de cada servidor, les dice que puertos usa cada uno)
Por lo tanto el servicio para conectarse a los servidores ed2k con ID alta, debe crearse de la siguiente manera:

Para abrir esta ventanita y poder crear nuestros servicios abrimos el Kerio Winroute, nos vamos a "Configuration/Definitions/Services"

Necesitaremos otros servicios para que eMule funcione perfecto. Les dejo las capturas de todos ellos con los nombres correspondientes. Creo que son suficientemente descriptivos

Para nuestra bajadas por TCP


Para nuestras subidas por TCP


Para nuestras bajadas por UDP


Para nuestras subidas por UDP


Para que funcione nuestro eMule Webserver


Para nuestras bajadas por Kademlia


Para nuestras subidas por Kademlia


Creados los servicios, debemos habilitarlos. Para este paso debemos tener muy en claro el sentido de la conexión (de dónde vienen los paquetes y hacia dónde van) y la coherencia interna del firewall (es decir, las reglas deben ser coherentes entre sí. Si agregamos una regla 1 que dice "no permitir entradas de paquetes al puerto 4662 desde internet y hacia nuestro firewall por protocolo TCP" la regla 2 no puede decir lo contrario, porque kerio leerá la 1 y cuando lea la 2, la dejará de lado porque ya le hemos ordenado en la anterior que no permita esas conexiones)

Nuestras reglas serán creadas desde Kerio, en Trafic Policy. Les muestro una captura de las reglas para eMule. Si leen atentamente y piensan un poquito, verán que resulta muy sencillo crear reglas.

En la primera de ellas "eMule OUT" le estoy diciendo a kerio lo siguiente:
"Desde el firewall (sourde firewall) hacia internet (target internet) permito (action tilde verde) la conexión a servidores (eMule servers) la subida por TCP (eMule TCP OUT) la subida por UDP (eMule UDP OUT), la subida por la red kademlia (Kademlia OUT) y la subida usando webcaché"
Es decir, debemos fijar, de dónde parten los paquetes (source) hacia dónde van (target) usando qué servicio creado (service) y si permitimos o no esa conexión (action)
Un dato muy importante a tener en cuenta, es que la última regla que trae por defecto kerio, le dice al firewall que todo aquello que no está explícitamente permitido, está denegado. Por lo tanto, deberemos crear nuestros propios servicios para cada tipo de conexión que necesitemos.
Esa tarea se las dejo a ustedes. Resulta un ejercicio por demás interesante, que contribuye a que comprendamos qué hace cada una de las aplicaciones que por x motivo se conecta a internet.
Espero haya sido de utilidad
Eärnur

con este tipo de soft puedo crear una nat?????

Les tiro una data... Si quieren saber qué puerto utiliza algun programaa/juego, en www.cualesmiip.com figuran varios.
Saludos!
Pepo

Si claro, este firewall tiene soporte de NAT, algo que ninguno de los firewalls personales por soft soporta. Bueno, es medio obvio eso o debería serlo. Un firewall personal parte del principio que lo estás instalando en una máquina "personal" o sea, única y por lo tanto no necesita soportar NAT. La cosa cambia cuando tenemos una LAN, donde el soporte de NAT es imprescindible si tenemos aunque sea sólo dos máquinas en red y con servicios ofrecidos en ellas.
Bueno los dejo chicos, me voy al laburo.
Eärnur

Eärnur: te pregunto lo de la nat
porque quiero jugar a lage of empire  en gamin zone pero no me deja con una red simple
necesito que cada pc tenga una ip de internet distinta
con esto ya esta solucionado?????

un dudiña, cuando quiero crear las reglas par nuestro kerido emule, el kerio me tira "An error occurred during the communication with server. Rule 'NAT' is Invalid". alguna sugerencia?? ahhhh toy con el 6.0.10
salu2

Te está diciendo que la regla de NAT es inválida por lo tanto, tenés algún problema con la configuración de tu LAN, probablemente los IPs que asignaste a las distintas placas ethernet.
Buscá por ahí el problema. Hay que saber además si la tenés configurada con IPs estáticos o dinámicos y si esto segundo, cómo configuraste el DHCP del kerio.
Cualquier cosa avisame.

Ayuda: desconectate de internet, matá el kerio NO TE CONECTES CON EL FIREWALL PARADO y luego, hacé ping a cada una de las placas de red de las terminales de tu LAN a ver qué te dice.
Eärnur

Cita de: munir... quiero jugar a lage of empire en gamin zone pero no me deja con una red simple
necesito que cada pc tenga una ip de internet distinta
con esto ya esta solucionado?????

Mirá, si, te lo soluciona siempre y cuendo conozcas cuáles son los puertos y los protocolos que utiliza para las conexiones del juego, supongo que usará TCP/UDP en puertos altos, pero los puertos no los conozco. Es cuestión de crear los servicios necesarios que permitan la entrada y salida de datos sobre esos puertos en esos protocolos y luego agregar una regla en Trafic Policy que le diga a Kerio que permita esas conexiones.
Cualquier cosa avisame
Eärnur

al final no funco, probe sacandole toda la configuración para q levante todo automatico en la placa de red de mi red pero hizo lo mismo, probe reinstalandolo e =, y ahora no me funca el mail, va, no me acuerdo si funcaba antes pero bue, un saludo grande

Cita de: chevimanal final no funco, probe sacandole toda la configuración para q levante todo automatico

Bueno, una de las cosas que se dicen en este tutorial es que la LAN debe estar funcionando perfectamente en Windows antes de instalar Kerio.
La segunda cuestión que yo sugiero es que se configure la LAN con IPs estáticos.
Si eso ha sido respetado, kerio levanta la red sin problemas.
En cuanto a configuración "automática" lo único que tiene el kerio es un wizard con reglas básicas que genera al comienzo y que tienen que ver con los servicios más comunes que usa cualquier usuario. Luego de eso la clave está en leer y deducir cómo crear las reglas que necesitemos para otros servicios que deseemos correr. No busques configuración "automática" porque el firewall necesita que vos le digas qué queres hacer. Si no se lo decis, por "automático", entiende que lo que querés es máxima protección y por lo tanto cierra todo aquello que no esté explícitamente permitido.

Sugerencia: desinstalá kerio. Configurá tu LAN tal como explico aquí. Comprobá que todo funciona SIN CONECTARTE A INTERNET. Si todo funciona bien, instalá kerio y no vas a tener problemas.
Cualquier cosa avisame
Eärnur

gracias negro por la prontitud de tu respuesta, yo lo q decia x "automatico" es q deje q tome las ip sola (dhcp) sorry q me lo morfe de ponerlo, pero = yo dps me voy a probar y te cuento como fue. gracias

Chevi, tengo la sensación que te chocó en parte mi respuesta. Espero que no sea así. A veces soy taaaaaan diplomático para responder... No es la intención pero reconozco que por ahí suena medio fiero.
Dale bola a lo último. Si necesitas algo avisame ¿ok?
Un abrazo
Eärnur

Gracias earnur, estaba buscando un manual en español...

Voy a intentarlo...

Esta es la version que voy a ensayar 6.3.1, esta para decargar por pando.

Kerio WinRoute FireWall 6.3.1-2906-win32

Si no tienes el pando

:palmas:

Un saludo

Tengo una pregunta....
Mi compu no es la que está conectada al módem, está conetada por un receptor inalámbrico, no sé si se dice que mi Pc es la esclava o algo así. La de mi hermando es la que está conectada al Módem y al Router.
¿El Kerio lo tendría que instalar en la máquina de mi hermano o lo puedo instalar en la mía? (que es lo que más quiero)
y otra más ¿Para configurar las Ips tengo que hacerlo desde cada una de la máquinas o puedo hacerlo solo desde la mía?
Nada más
Gracias por este Tuto!!!

Saludos!!

Cuando intento instalar el Kerio Winroute Firewall 6.3.1
me salta una pantalla de incompatibilidad con lo siguiente:
1)Firewall de Windows/Conexión compartida a Internet (ICS)

2)Servicio de descubrimiento SSDP

3)Host de dispositivo Plug and Play Universal

y me pide que los deshabilite. Lo que quisiera saber es para qué sirve cada una de esas tres cosas y si me conviene deshabilitarlas o no.
Eso es todo
Espero una respueta!!!

Saludos!!!