И сегодня мы поговорим о настройке элементарного прокси-сервера. Наверняка многие из вас слышали такое понятие как прокси, но особо не вникали в его определение. Если говорить простым языком, то прокси-сервер представляет собой промежуточное звено между компьютерами в сети и интернетом. Это означает, что если в сетке внедрён такой сервер, то доступ в инет осуществляется не напрямую через роутер, а предварительно обрабатывается станцией-посредником.

Зачем же нужен прокси-сервер в локальной сети? Какие преимущества мы получим после его установки? Первым важным свойством является возможность кэширования и длительного хранения информации с веб-сайтов на сервере. Это позволяет значительно снизить загрузку интернет-канала. Особенно это актуально в тех организациях, где доступ к глобальной сети до сих пор осуществляется по технологии ADSL. Так, например если во время проведения практического занятия студенты ищут однотипную информацию с конкретных сайтов, то после полной загрузки информации с ресурса на одной станции, скорость его загрузки на остальных значительно возрастает.

Также с внедрением прокси-сервера системный администратор получает в свои руки эффективный инструмент, позволяющий контролировать доступ пользователей ко всем веб-сайтам. То есть если вы наблюдаете, что некий человечек тратит своё рабочее время на игру в танчики или на просмотр сериалов вы можете прикрыть ему доступ к данным прелестям жизни. А можете издеваться, постепенно понижая скорость соединения…или блокируя лишь определённые возможности, например, загрузку картинок после обеда. В общем, тут есть, где развернуться. Именно контроль сисадмина над прокси-сервером делает его друзей ещё добрее, а недругов злее.

В данном материале мы подробненько рассмотрим установку и настройку прокси UserGate 2.8. Данная версия программы вышла аж в мае 2003 года. У меня тогда и компьютера то своего не было. Тем не менее, именно данный релиз юзергейта и по сей день считается самым удачным за счёт стабильности работы и простоты настройки. Функционала конечно маловато, к тому же присутствует ограничение по количеству одновременно работающих пользователей. Их число не должно превышать отметку в 300 человек. Лично меня данный барьер не сильно печалит. Ибо если вы администрируете сетку с 300 машинами, то уж точно не будете пользоваться подобным софтом. УГ 2.8 это удел небольших офисных и домашних сетей.

Что ж думаю пора завязывать с разглагольствованиями. Скачиваем UserGate с торрентов или по данной ссылке , выбираем компьютер в качестве вашего будущего прокси-сервера и незамедлительно приступаем к установке.

Установка и активация

Шаг 1. По установке это приложение одно из самых лёгких. Складывается впечатление, что устанавливаем не прокси-сервер, а в носу ковыряемся. Запускаем файлик Setup.exe и в первом окне принимаем соглашение. Кликаем «Далее».

Шаг 2. Выбираем место для установки. Я, пожалуй, оставлю по умолчанию. Жмём «Начать» и дожидаемся окончания процесса установки.

Шаг 3. Вуаля. Установка завершена. Не забываем поставить галочку «Запустить установленное приложение» и смело тычем на «ОК».

Шаг 4. Проклятье! Программа 2003 года оказывается не бесплатная. Нужна лицензия. Ну, ничего. В архиве, который мы загрузили, есть лекарство. Открываем папку «Crack», а в ней находим единственный файлик Serial.txt. Копируем из него номер лицензии и серийный номер. Всего две строчки. Трудно ошибиться.

Шаг 5. В правом нижнем углу на панельке со значками уведомления делаем двойной клик по синей иконке юзергейта и удостоверяемся в корректной установке и активации программы.

Настройка прокси-сервера

Шаг 1. Первым делом нужно удостовериться в том, что на наш сервер обладает статическим IP адресом. Для этого переходим в «Пуск - Панель управления - Центр управления сетями и общим доступом - Изменение параметров адаптера» и кликаем правой кнопкой мыши по сетевой карте, через которую осуществляется доступ в локальную сеть. В открывшемся списке выбираем пункт «Свойства - Протокол Интернета 4 версии» и смотрим, чтобы был указан фиксированный IP адрес. Именно его мы будем задавать в качестве прокси-посредника на всех клиентских станциях.

Шаг 2. Возвращаемся к нашей программе. Во вкладке «Настройка» ищем протокол «HTTP» и указав порт (можно оставить по умолчанию) вкупе с возможностью работы по FTP разрешаем его применение. Данная настройка разрешает пользователям просматривать в браузере веб-страницы. В качестве порта вовсе не обязательно использовать стандартные варианты 8080 или 3128. Можете придумать, что то своё. Это значительно повысит уровень безопасности сети, главное выбирайте число в диапазоне от 1025 до 65535 и будет вам счастье.

Шаг 3. Следующим действием желательно включить кэширование. Как мы уже говорили ранее, это позволит значительно увеличить загрузку одних и тех же ресурсов на клиентских станциях. Чем больше время хранения и размер кэша – тем значительнее нагрузка на оперативную память прокси-сервера. Однако внешне скорость загрузки страниц в браузере будет выше, нежели без использования кэша. Я всегда настраиваю время хранения на 72 часа (эквивалентно двум дням) и размер кэша устанавливаю 2 гигабайта.

Шаг 4. Настало время перейти к созданию групп пользователей. Для этого в одноимённом пункте меню выбираем группу пользователей «Default» и жмём «Изменить».

Переименовываем дефолтную группу и кликаем на кнопку «Добавить».

Настало время создать пользователей. Я обычно в поле «Имя» вписываю полное сетевое имя компьютера, которое можно посмотреть в свойствах системы на клиентской машине. Это удобно если сеть небольшая, а мы с вами определились, что для серьёзной сети данная прога не подойдёт. Выбираем тип авторизации «По IP-адресу» и в качестве логина прописываем IP-шник клиента. Где его смотреть мы уже рассматривали ранее. В маленьких сетях олдовые админы по старинке прописывают IP вручную на всех тачках и не меняют их практически никогда.

class="eliadunit">

Шаг 5. Теперь разберёмся с самым интересным. А именно ограничением пользователей. Даже в небольшой сети предпочтительнее работать с группами, нежели с отдельными пользователями. Поэтому выбираем нашу созданную группу и переходим на вкладку «Расписание работы». В ней мы можем выбрать дни и часы в которые доступ к сети Интернет для нашей группы будет открыт.

Листаем вправо и на вкладке «Ограничения» указываем скорость доступа к Интернету для группы пользователей. Кликаем «Задать ограничения для пользователей группы» и лишь затем на кнопку «Применить». Таким образом, мы ограничили скорость доступа для каждого пользователя из группы «Компьютерный класс» до 300 кб/с. Это конечно не много, но для проведения практических занятий вполне достаточно.

Шаг 6. На этом базовую настройку следовало бы завершить, но хотелось бы ещё рассказать о параметре «Фильтр». В данной вкладке вы можете ограничить доступ пользователей к определённым сайтам. Для этого достаточно добавить ссылку на сайт в список. Однако замечу, что данная настройка работает не совсем корректно. Ибо многие современные сайты уже перешли с протокола HTTP на более безопасный HTTPS. А прокси-сервер 2003 года не может справиться с подобным зверем. Поэтому качественной контент-фильтрации именно от этой версии требовать не стоит.

Шаг 7. И последний штрих – это сохранение всех наших настроек в отдельном файле (на всякий пожарный) и защита прокси-сервера от вмешательства чужих рук. Всё это можно сделать в пункте «Дополнительно». Вводим пароль, затем подтверждаем его. Жмём применить. И только теперь кликаем на кнопку сохранить конфигурацию. Указываем место сохранения. Всё. Теперь если, что то слетит. Или вы решите поэкспериментировать с настройками. Наготове будет их резервная копия.

Настройка клиентских станций

Шаг 1. Настройку прокси-сервера мы закончили. Переходим к клиентской станции. Первым делом нужно убедиться в том, что на ней задан IP адрес прописанный на нашем сервере. Если помните, во время настройки мы указали, что клиент с именем Station01 имеет адрес 192.168.0.3. Давайте же удостоверимся в этом.

Шаг 2. Далее нужно прописать в системе адрес прокси-сервера и его порт. Для этого переходим по следующему пути «Пуск - Панель управления - Свойства обозревателя (XP) или браузера (7) – Подключения – Настройка сети» и включив параметр использования прокси-сервера задаём его адрес и порт для HTTP соединения. Жмём «ОК» в этом и предыдущем окне.

Шаг 3. Отлично. Мы уже на финишной прямой. Открываем браузер и если вы всё настроили верно, то должна открыться домашняя страничка.

Тут же хочу пояснить ещё один момент. Можно настроить компьютер таким образом, чтобы через прокси работал только один браузер, а не все сразу. Для этого необходимо перейти во вкладку «Инструменты – Настройки – Дополнительно – Сеть - Настроить» и выбрав ручную настройку прописать всё тот же IP адрес и порт сервера.

Что ж давайте проверим работу фильтров.. Сейчас попробуем зайти на один из них. Как и положено, ресурс заблокирован.

Мониторинг трафика

А что же происходит на сервере? Работа кипит. Во вкладке с пользователями мы может отследить, сколько мегабайтов было загружено и передано нашими подопечными за день, месяц и даже год!

Вкладочка «Соединения» позволяет отследить, какой ресурс клиент посещает в данный момент. Одноклассники? Вконтакте? Или всё же занят рабочими делами.

Если вдруг наш пользователь успел закрыть любопытный сайт-не беда. Вы всегда сможете поглядеть в историю на вкладке «Монитор».

Заключение

Думаю пора закругляться. Напоследок хочется сказать, что тема для данного материала была избрана неспроста. В моём родном городе юзверьгейт версии 2.8 функционирует на большинстве предприятий с плохо развитой сетевой инфраструктурой. Быть может на сегодняшний день обстановка изменилась в лучшую сторону, но в середине 2013 года, именно тогда я бегал по всему городу обслуживая информационно-правовую систему «Гарант», всё было именно так. Гейт просто захватил сети коммерческих и некоммерческих предприятий разных мастей. И если учесть, что годом позже грянул финансовый кризис, не думаю, что кто то из них раскошелился на путёвую проксю.

Несмотря на недостатки в виде отсутствия HTTPs, кривой фильтр, невозможность интуитивно-понятной настройки торрентов и т.д.. UserGate 2.8 ещё долго будет вспоминаться всеми админами, как самая стабильная и неприхотливая версия прокси-сервера в истории. Новые версии программы могут похвастаться возможностью авторизации доменных пользователей, Firewall’ом, NAT’ом, качественной контент фильтрацией и другими плюшками. Однако за всё это удовольствие приходится платить. И платить немало (54 600 рублей за 100 машин). Любителям халявы, такой расклад не по душе.

Такс думаю, что настало время прощаться. Друзья я хочу напомнить, что если материал был вам полезен, то лайкните его. А если вы впервые на нашем сайте, то подписывайтесь. Ведь регулярные структурированные выпуски в сфере информационных технологий на бесплатной основе редкость в рунете. Кстати для халявщиков вскоре сделаю выпуск о ещё одном прокси-сервере SmallProxy. Этот малыш, несмотря на свою бесплатность ничуть не хуже юзергейта и отлично зарекомендовал себя. Так что подписываемся и ждём. До встречи через неделю. Всем пока!

class="eliadunit">

После того, как подключили локальную сеть к интернет, имеет смысл настроить систему учета трафика и в этом нам поможет программа Usergate. Usergate является прокси-сервером и позволяет контролировать доступ компьютеров из локальной сети, в сеть интернет.

Но, для начала давайте вспомним, как мы ранее настроили сеть в видеокурсе «Создание и настройка локальной сети между Windows 7 и WindowsXP», и как предоставили доступ всем компьютеры к сети интернет через один канал связи. Схематично можно представить в следующем виде, есть четыре компьютера, которые мы объединили в одноранговую сеть, выбрали рабочую станцию work-station-4-7, с операционной системой Windows 7, в качестве шлюза, т.е. подключили дополнительную сетевую карту, с доступом в сеть интернет и разрешили другим компьютерам в сети, выходить в Интернет через данное сетевое подключение. Остальные три машины являются клиентами интернета и на них, в качестве шлюза и DNS, указали IP адрес компьютера раздающего интернет. Ну чтож, теперь давайте разберемся с вопросом контроля доступа к сети Интернет.

Установка UserGate не отличается от установки обычной программы, после установки система просит перезагрузиться, перезагружаемся. После перезагрузки, первым делом давайте попробуем выйти в интернет, с компьютера на котором установлен UserGate - выйти получается, а с других компьютеров нет, следовательно, Proxy сервер начал работать и по умолчанию запрещает всем выход в Интернет, по этому требуется его настроить.

Запускаем консоль администратора (Пуск \ Программы \ UserGate \ Консоль администратора ) и тут у нас появляется сама консоль и открывается вкладка Соединения . Если мы попробуем открыть какую-либо из вкладок с лева, по выдается сообщение (UserGate Консоль администратора не подключена к UserGate Серверу), по этому при запуске у нас открывается вкладка Соединения, чтобы мы могли сначала подключиться к серверу UserGate.

И так, по умолчанию Имя сервера – local; Пользователь – Administrator; Сервер – localhost, т.е. серверная часть расположена на данном компьютере; Порт – 2345.

Дважды щелкаем на данную запись и выполняется подключение к службе UserGate, если подключиться не удалось, проверьте, запущена ли служба (Ctrl + Alt + Esc \ Службы \ UserGate )

При первом подключении запускается Мастер настройки UserGate , жмем Нет , так как будем все настраивать вручную, чтобы было более понятно, что и где искать. И первым делом переходим во вкладку Сервер UserGate \ Интерфейсы , здесь указываем, какая сетевая карта смотрит в интернет (192.168.137.2 - WAN ), а какая в локальную сеть (192.168.0.4 - LAN ).

Далее Пользователи и группы \ Пользователи , здесь есть один единственный пользователь, это сама машина на которой запущен сервер UserGate и называется он Default, т.е. по умолчанию. Добавим всех пользователей, которые будут выходить в интернет, у меня их три:

Work-station-1-xp – 192.168.0.1

Work-station-2-xp – 192.168.0.2

Work-station-3-7 – 192.168.0.3

Группу и тарифный план оставляем по умолчанию, тип авторизации, я буду использовать через IP-адрес, так как у меня они прописаны вручную, и остаются неизменными.

Теперь настроим сам прокси, заходим в Сервисы \ Настройка прокси \ HTTP , здесь выбираем IP адрес, который мы указали в качестве шлюза на клиентских машинах, у меня это 192.168.0.4 , а также ставим галочку Прозрачный режим , чтобы не прописывать вручную в браузерах адрес прокси сервера, в данном случае браузер будет смотреть какой шлюз указан в настройках сетевого подключения и будет перенаправлять запросы на него.

С предварительной настройкой статических IP-адресов.

В этой части статьи, мы создаём классический локальный прокси-сервер для доступа в сеть Интернет компьютера подключённого к локальной сети (интернет-шлюз в локальной сети), за тем исключением, что наша сеть и компьютеры раздающие интернет виртуальные. Инструкция является универсальной и будет полезна тем, кто хочет присвоить адаптерам для любой локальной сети статические IP-адреса и\или настроить интернет-шлюз в локальной сети для раздачи интернета по средствам прокси-сервера.

Вначале мы должны назначить нашим адаптерам статические IP-адреса.

Начнём с настройки компьютера, который будет подключаться к виртуальной ОС с прокси-сервером. Если у Вас Windows 7 - Windows 10, заходим через:

Перед нами открылось окно «Сетевые подключения» со списком всех адаптеров, включая наши виртуальные. Выбираем адаптер, в нашем случае это VMware Network Adapter VMnet с нужным порядковым номером, кликаем правой кнопкой и выбираем в контекстном меню пункт Свойства. Перед нами открылось окно «свойства» нашего адаптера, выделяем пункт «Протокол Интернета версии 4 (TCP/IPv4)» и жмём кнопку Свойства. На открывшейся дополнительной вкладке переключаем радиокнопку на пункт «Использовать следующий IP-адрес».

Теперь, для того чтобы ввести новый IP-адрес, смотрим адрес подсети для данного адаптера из «Редактор виртуальной сети…» VMware Worstation (или переходим к значку нашего адаптера и в открывающему правой кнопкой меню выбираем пункт «Состояние», далее Сведения и смотрим значение строки “Адрес IPv4”). Перед глазами у нас что-то типа 192.168.65.хх. В вашем подобном адресе мы меняем цифры после последней точки на 1. Было 192.168.65.хх, вместо хх стало 2. Вводим его в поле «IP-адрес». Это также адрес нашего компьютера, который мы должны будем ввести в UserGate, поэтому записываем его где-нибудь как IP пользователя этого адаптера. Теперь кликаем по полю «Маска подсети:» и оно автоматически (или вами) заполнится значением «255.255.255.0» нажимаем OK. Настройка данного компьютера окончена, мы записали или запомнили где посмотреть этот адрес.

Теперь переходим к настройке сетевого адаптера виртуального компьютера, который будет раздавать интернет.

В Windows XP нажимаем Пуск - Панель управления – Сетевые подключения.

Перед нами открылось окно «Сетевые подключения». Выбираем адаптер «подключение по локальной сети», кликаем правой кнопкой и выбираем в контекстном меню пункт Свойства. Перед нами открылось окно «Cвойства» нашего адаптера, выделяем пункт «Протокол Интернета версии 4 (TCP)» и жмём кнопку Свойства. Далее, аналогично Windows 7, на открывшейся дополнительной вкладке переключаем радиокнопку на пункт «Использовать следующий IP-адрес».

Вспоминаем, как смотреть IP-адрес сети из предыдущего пункта и при вводе в поле «IP-адрес» меняем цифры после последней точки на «2» или любую другую цифру отличную от тех, что мы указали на других компьютерах этой подсети. Итак, было что-то типа 192.168.65.хх, теперь вместо.хх стало.2. Этот адрес является адресом нашего прокси-сервера, нам останется только указать к нему порт в UserGate. Теперь кликаем по полю «Маска подсети:» и оно автоматически (или вами) заполнится значением «255.255.255.0», нажимаем кнопку [ОК].

На этом настройка операционных систем закончена, у нас есть полноценная локальная сеть, которую можно донастроить под стандартные цели мастерами Windows, однако для создания прокси-сервера нам понадобятся дополнительные действия, представленные далее.

Настройка UserGate 2.8

Когда у нас есть виртуальное локальное соединение, мы можем приступить к настройке программы прокси-сервера.

Перетаскиваем папку с программой UserGate 2.8 на рабочий стол виртуальной машины.

Устанавливаем через setup.exe и запускаем программу. В верхнем меню программы выбираем «Настройки», далее в левом меню дважды кликаем на вкладку «пользователи», появится подстрока «Default» (группа подключаемых пользователей по умолчанию), нажимаем на нее и в появившемся интерфейсе «Редактируем группу “Default”», нажимаем кнопку [Добавить].

В открывшемся окне в области «Авторизация» выбираем радиокнопку «ПО IP-адресу» и в поле «Логин (IP)» вводим IP-адрес указанный нами в адаптере компьютера, который будет подключаться через прокси сервер (т.е. IP того компьютера, что не с UserGate). После ввода адреса типа 192.168.16.1, нажимаем на зелёный значок сетевой платы справа от поля «Пароль (MAC)», сгенерируется числовое значение. Жмём [Применить].

Если вы используете 3G или Dial-UP модем , заключительным этапом настройки программы User Gate является настройка автодозвона в пункте бокового меню «Автодозвон».
В интерфейсе вкладки ставим галочку напротив «Разрешить автодозвон». Во всплывающем списке выбираем название соединения уже подключённого и настроенного модема. Если список пуст, то вам надо обеспечить автозапуск вашего соединения при помощи утилиты провайдера. В поле «Имя» и «Пароль», вводим значения, которые можно посмотреть на сайте оператора. Далее ставим галочку напротив «Проверять необходимость DialUp соединения», указываем задержку перед повторным соединением равную нулю, а время разрыва после простоя не менее 300 секунд. (чтобы соединение завершалось только после завершения парсинга, а не при кратковременных паузах и сбоях).

В заключение закрываем окно программы (она останется в трее) и удерживая ярлык программы переносим его в папку «Автозагрузка» через ПУСК – Все программы, чтобы программа стартовала вместе с системой.

Повторяем эти действия для каждого виртуального прокси-сервера.

На этом настройка нашего локального прокси-сервера для парсинга окончена! Теперь, зная адрес нашего прокси (указанный нами IP-адрес в настройках адаптера виртуального компьютера с UserGate) и адрес его порта: 8080 (для HTTP) мы можем ввести эти значения в любой программе, где можно указать прокси-сервер и наслаждаться дополнительным потоком!

Если планируется активно использовать прокси-сервер несколько дней подряд или ресурсы компьютера сильно ограничены, имеет смысл отключать логирование в UserGate, для этого на вкладке «Монитор» нажимаем значок с красным крестиком. К сожалению, отключить эту функцию сразу и навсегда нельзя.

Для Key Collector необходимо также выполнить дополнительные действия, подключив основное соединение через прокси-сервер UserGate, т.к. по сложным причинам KC может начать работать в два потока с основного соединения, что приводит к увеличению запросов к ПС по одному потоку и появлению капчей. Это же поведение замечено в иных ситуациях, поэтому данный прием будет не лишним в любом случае. Дополнительным преимуществом является то, что мы получаем контроль над трафиком через монитор UserGate. Процесс установки схож с тем, что уже было описано выше: устанавливаем UserGate на основной системе, сразу добавляем в автозагрузку, свободно создаем пользователя и указываем ему в поле «логин (IP)» «127.0.0.1» (так называемый, «локальный хост»). Выбираем пункт «HTTP» в боковом меню и указываем в текстовом поле «порты клиентов» - 8081 , те же данные указываем в KC, аналогично тому, как указываем для других прокси-серверов.
В завершении в настройках KC отключаем опцию «использовать основной IP» во всех видах парсинга.

FAQ: решение проблем :

Если прокси-сервер не заработает:
• Прежде всего, важно понимать, что перед началом парсинга нужно дождаться инициализации нашей относительно медленной виртуальной машины, а также утилит обеспечивающих связь и их подключения к сети Интернет, иначе наш прокси может быть исключен из списка активных прокси серверов как нерабочий (в Key Collector).
• Проверьте Интернет-соединение на виртуальной машине зайдя на любой сайт через Internet Explorer. При необходимости, включите Интернет-соединение в ручную, проверьте данные автодозвона. Если страницы открываются, зайдите на целевую страницу, чтобы убедиться в отсутствии бана по IP-адресу.
• Если интернет отсутствует, проверьте локальную сеть сделав ping . Для этого, в поле «найти» (или «Выполнить» для Windows XP) введите «cmd» и в открывшемся окне терминала введите команду «ping 192.168.xx.xx», где 192.168.xx.xx это IP-адрес адаптера на том, другом компьютере. Если пакеты получены с обоих "компьютеров", значит настройки адаптеров верны и проблема в другом (например, нет соединения с сетью Интернет).
• Проверьте правильность введённых в парсерах данные прокси-сервера, убедитесь что выбран тип прокси HTTP, а если указан SOCKS5 поменяйте его на HTTP или включите в User Gate поддержку SOCKS5, указав порт, который будет указан в UserGate на вкладке SOCKS5.
• При использовании SIM-прокси убедитесь, что на виртуальной машине открыта (или в трее) его утилита, т.к. она держит порт модема открытым и позволяет работать автодозвону. В любом случае, включите модем через утилиту и проверьте нет ли проблем с автодозвоном и есть ли вообще доступ в Интернет в самой виртуальной машине.

Подключив интернет в офисе, каждый начальник хочет знать за что он платит. Особенно, если тариф не безлимитный, а по трафику. Есть несколько путей решения проблем контроля трафика и организации доступа к сети интернет в масштабах предприятия. Я раскажу о внедрении прокси сервера UserGate для получения статистики и контроля пропускной способности канала на примере своего опыта.

Сразу скажу, что я использовал сервис UserGate (версия 4.2.0.3459), но методы организации доступа и технологии при этом применяемые используются и в других прокси серверах. Так что описанные сдесь шаги в целом подойдут и для других программных решений (например Kerio Winroute Firewall, или другие proxy), с небольшими отличиями в деталях реализации интерфейса настройки.

Опишу поставленную передо мной задачу: Есть сеть из 20 машин, есть ADSL модем в этой же подсети (алним 512/512 кбит/с). Требуется ограничить максимальную скорость пользователям и вести учет траффика. Задача немного усложнена тем, что доступ к настройкам модема закрыт провайдером (возможен доступ только через терминал, но пароль у провайдера). Странича статистики на сайте провайдера недоступна (Не спрашивайте почему, ответ один — такие отношения с провайдером у предприятия).

Ставим юзергейт и активируем его. Для организации доступа в сеть будем использовать NAT (Network Address Translation - «преобразование сетевых адресов»). Для работы технологии необходимо наличие двух сетевых карт на машине, где будем ставить сервер (сервис) UserGate (Есть вероятность, что можно заставить работать NAT на одной сетевой карте, назначив ей два IP адерса в разных подсетях).

И так, начальный этап насройки — конфигурация драйвера NAT (драйвер от UserGate, ставится во время основной инсталляции сервиса). Нам необходимо два сетевых интерфейса (читай сетвых карт) на аппаратуре сервера (для меня это не было пробелмой, т.к. я разворачивал UserGate на виртульаной машине . А там можно сделать «много» сетевых карт ).

В идеале, к одной сетевой карте подключается сам модем , а ко второй — вся сеть , из которой будут получать доступ к интернету. В моем случае модем установлен в разных помещениях с сервером (физической машиной), а переносить оборудование мне лень и некогда (да и в недалеком будущем маячит организация помещения серверной). Оба сетевых адаптера я подключил в одну сеть (физически), но настроил на разные подсети. Так как поменять настройки модема я не всилах (закрыт доступ провайдером) пришлось перевести все компьютеры в другую подсеть (благо средствами DHCP это делается элементарно).

Сетевую карту, подключенную к модему (интернет ) настраиваем как и прежде было (согласно данных от провайдера).

• Назначаем статический IP адрес (в моем случае это 192.168.0.5);
• Маску подсети 255.255.255.0 — я не менял, но можно настроить таким образом, что в подсети прокси сервера и модема будут только два устройства;
• Шлюз — адрес модема 192.168.0.1
• Адреса DNS-серверов провайдера (основной и дополнительный обязательно ).

Вторую сетевую карту , подкюченную к внутренней сети (интранет ), настраиваем следующим образом:

• Статический IP адрес, но в другой подсети (у меня 192.168.1.5);
• Маску согласно ваших сетевых настроек (у меня 255.255.255.0);
• Шлюз не указываем .
• В поле адреса DNS сервера вводим адрес DNS-сервера предприятия (если есть, если нету — оставляем пустым).

Примечание: необходимо убедиться, что в настройках сетевых интерфесов отмечено использование компонента NAT от UserGate.

После настройки сетевых интерфейсов запускаем сам сервис UserGate (не забудьте настроить его работу как сервис, для автоматического запуска с правами системы) и заходим в консоль управления (можно локально, а можно и удаленно). Заходим в «Сетевые правила» и выбираем «Мастер настройки NAT «, необходимо будет указать свои интранет (intranet ) и интернет (internet ) адаптеры. Интранет — адаптер подключенный во внутреннюю сеть. Мастер произведет конфигурацию драйвера NAT.

После этого необходимо разобраться с правилами NAT , для чего переходим в «Сетевые настройки» — «NAT». Каждое правило имеет несколько полей и статус (активно и не активно). Суть полей проста:

• Название — имя правила, рекомендую дать что-то осмысленное (писать в это поле адреса и порты не нужно, эта информация и так будет доступна в перечне правил);
• Интерфейс приемника — ваш интранет интерфейс (в моем случае 192.168.1.5);
• Интерфейс отправителя — ваш интернет интерфейс (в одной подсети с модемом, в моем случае 192.168.0.5);
• Порт — указываете к какому потру относится данное правило (например для браузера (HTTP) порт 80, а для получения почты 110 порт ). Можно указать диапазон портов , если не хотите возится, но это не рекомендуется делать на весь диапазон портов.
• Протокол — выбираете из выпадающего меню один из вариантов: TCP (обычно), UPD или ICMP (например для работы команд ping или tracert).

Изначально в списке правил уже присутствуют самые используемые правила, необходимые для работы почты и различного рода программ. Но я дополнил стандартный список своими правилами: для рабты DNS запросов (не ипользуя опцию форвардинга в UserGate), для работы защищенных соединений SSL, для работы torrent клиента, для работы программы Radmin и прочее. Вот скриншоты мого списка правил. Список пока маловат — но со временем расширяется (с появлением необходимости работы по новому порту).

Следующий этап — настройка пользователей. Я в своем случае выбрал авторизацию по IP адресу и MAC адресу . Есть варианты авторизации только по IP адерсу и по учетным данным Active Directory. Так же можно использовать HTTP авторизацию (каждый раз ползователи сначала вводят пароль через браузер). Создаем пользователей и гуппы пользователей и назначаем им используемые правила NAT (Надо дать юзеру итернет в браузер — включаем для него правило HTTP с портом 80, надо дать ICQ — правило аськи с потом 5190).

Последнее на этапе внедрения я настроил ползователй на работу через прокси. Для этого я использовал DHCP сервис. На клиентские машины передавются следующие настройки:

• IP адрес — динамический от DHCP в диапазоне подсети интранета (в моем случае диапазон 192.168.1.30 -192.168.1.200. Для нужных машин настроил резервацию IP адреса).
• Маска подсети (255.255.255.0)
• Шлюз — адрес машины с UserGate в локальной сети (Интранет адрес — 192.168.1.5)
• DNS сервера — я предаю 3 адреса. Первый — адрес DNS-сервера предприятия, второй и третий — адсреса ДНС провайдера. (На DNS предприятия натроен форвардинг на ДНС провайдера, так в случае «падения» местного ДНС — интернет имена будут резолвится на ДНСах провайдера).

На этом базовая настройка закончена . Осталось проверить работоспособность , для этого на клиенской машине надо (получив настройки от DHCP или вприсав их вручную, в соотвтетствии с рекомендациями выше) запустить браузер и открыть любую страничку в сети . Если что-то не работает проверить еще раз ситуацию:

• Настройки сетвеого адаптера клиента корректны? (машина с покси сервером пингуется?)
• Авторизовался ли ползователь/компьютер на прокси сервере? (см. метоты авторизации UserGate)
• Включены ли у ползователя/группы правила NAT необходимые для работы? (для работы браузера надо хотя бы HTTP правлило для протокола TCP на 80 порту).
• Лимиты трафика для пользователя или группы не истекли? (я у себя не вводил этого).

Теперь можно наблюдать подключившихся пользователей и используемые ими правила NAT в пункте «Мониторинг» консоли управления прокси-сервером.

Дальнейшая настройка прокси — это уже тюнинг , к конкретным требованиям. Первое что я сделал — это включил огранчение пропускной способности в свойсвтах пользователей (позднее можно внедрить систему правил для ограничения скорости) и включил дополнительные сервисы UserGate — прокси сервера (HTTP на порту 8080, SOCKS5 на порту 1080). Включение прокси-сервисов позволяет исползовать кеширование запросов. Но необходимо проводить дополнительную настройку клиентов на работу с проксисервером.

Осталить вопросы? Предлагаю задать их прямо тут.

________________________________________

Организация совместного доступа к интернету пользователей локальной сети - одна из наиболее распространенных задач, с которыми приходится сталкиваться системным администраторам. Тем не менее до сих пор она вызывает много затруднений и вопросов. Например - как обеспечить максимальную безопасность и полную управляемость?

Введение

Сегодня мы подробно рассмотрим как организовать совместный доступ к интернету сотрудников некой гипотетической компании. Предположим, что их количество будет лежать в пределах 50–100 человек, а в локальной сети развернуты все обычные для таких информационных систем сервисы: домен Windows, собственный почтовый сервер, FTP-сервер.

Для обеспечения совместного доступа мы будем использовать решение под названием UserGate Proxy & Firewall. У него есть несколько особенностей. Во-первых, это чисто российская разработка, в отличие от многих локализованных продуктов. Во-вторых, она имеет более чем десятилетнюю историю. Но самое главное - это постоянное развитие продукта.

Первые версии этого решения представляли собой относительно простые прокси-серверы, которые могли только обеспечивать совместное использование одного подключения к интернету и вести статистику его использования. Наибольшее распространение среди них получил билд 2.8, который до сих пор еще можно встретить в небольших конторах. Последнюю же, шестую версию сами разработчики уже не называют прокси-сервером. По их словам, это полноценное UTM-решение, которое охватывает целый спектр задач, связанных с безопасностью и контролем действий пользователей. Давай посмотрим, так ли это.

Развертывание UserGate Proxy & Firewall

В ходе установки интерес представляют два этапа (остальные шаги стандартны для инсталляции любого ПО). Первый из них - это выбор компонентов. Помимо базовых файлов, нам предлагается установить еще четыре серверных компонента - это VPN, два антивируса (Panda и «Антивирус Касперского») и обозреватель кеша.

Модуль VPN-сервера устанавливается по необходимости, то есть когда в компании планируется использование удаленного доступа сотрудников или для объединения нескольких удаленных сетей. Антивирусы имеет смысл инсталлировать только в том случае, если у компании приобретены соответствующие лицензии. Их наличие позволит сканировать интернет-трафик, локализовать и блокировать вредоносное ПО непосредственно на шлюзе. Обозреватель кеша обеспечит просмотр закешированных прокси-сервером веб-страниц.

Дополнительные функции

Запрет нежелательных сайтов

Решение поддерживает технологию Entensys URL Filtering. По сути, это облачная база данных, содержащая более 500 миллионов сайтов на разных языках, разбитых более чем по 70 категориям. Основное ее отличие - постоянный мониторинг, в ходе которого веб-проекты постоянно контролируются и при смене контента переносятся в другую категорию. Это позволяет с высокой долей точности запретить все нежелательные сайты, просто выбрав определенные рубрики.

Применение Entensys URL Filtering увеличивает безопасность работы в интернете, а также способствует повышению эффективности труда сотрудников (за счет запрета социальных сетей, развлекательных сайтов и прочего). Однако ее использование требует наличие платной подписки, которую необходимо продлевать каждый год.

Помимо этого, в состав дистрибутива входит еще два компонента. Первый из них - «Консоль администратора». Это отдельное приложение, предназначенное, как это видно из названия, для управления сервером UserGate Proxy & Firewall. Главная его особенность - возможность удаленного подключения. Таким образом, администраторам или ответственным за использование интернета лицам не нужен прямой доступ к интернет-шлюзу.

Второй дополнительный компонент - веб-статистика. По сути, она представляет собой веб-сервер, который позволяет отображать подробную статистику использования глобальной сети сотрудниками компании. С одной стороны, это, вне всякого сомнения, полезный и удобный компонент. Ведь он позволяет получать данные без установки дополнительного ПО, в том числе и через интернет. Но с другой - он занимает лишние системные ресурсы интернет-шлюза. А поэтому его лучше устанавливать только в том случае, когда он действительно нужен.

Второй этап, на который стоит обратить внимание в ходе инсталляции UserGate Proxy & Firewall, - выбор базы данных. В предыдущих версиях UGPF мог функционировать только с файлами MDB, что сказывалось на производительности системы в целом. Теперь же есть выбор между двумя СУБД - Firebird и MySQL. Причем первая входит в состав дистрибутива, так что при ее выборе никаких дополнительных манипуляций производить не нужно. Если же ты пожелаешь использовать MySQL, то предварительно ее нужно установить и настроить. После завершения установки серверных компонентов необходимо подготовить рабочие места администраторов и других ответственных сотрудников, которые могут управлять доступом пользователей. Сделать это очень просто. Достаточно из того же самого дистрибутива установить на их рабочие компьютеры консоль администрирования.

Дополнительные функции

Встроенный VPN-сервер

В версии 6.0 появился компонент VPN-сервер. С его помощью можно организовать защищенный удаленный доступ сотрудников компании к локальной сети или объединить удаленные сети отдельных филиалов организации в единое информационное пространство. Данный VPN-сервер обладает всеми необходимыми функциональными возможностями для создания туннелей «сервер - сервер» и «клиент - сервер» и маршрутизации между подсетями.

Базовая настройка

Вся настройка UserGate Proxy & Firewall ведется с помощью консоли управления. По умолчанию после установки в ней уже создано подключение к локальному серверу. Однако если ты используешь ее удаленно, то соединение придется создать вручную, указав IP-адрес или имя хоста интернет-шлюза, сетевой порт (по умолчанию 2345) и параметры авторизации.

После подключения к серверу в первую очередь необходимо настроить сетевые интерфейсы. Сделать это можно на вкладке «Интерфейсы» раздела «Сервер UserGate». Сетевой карте, которая «смотрит» в локальную сеть, выставляем тип LAN, а всем остальным подключениям - WAN. «Временным» подключениям, таким как PPPoE, VPN, автоматически присваивается тип PPP.

Если у компании есть два или более подключения к глобальной сети, причем одно из них основное, а остальные резервные, то можно настроить автоматическое резервирование. Сделать это довольно просто. Достаточно добавить нужные интерфейсы в список резервных, указать один или несколько контрольных ресурсов и время их проверки. Принцип работы этой системы таков. UserGate автоматически с указанным интервалом проверяет доступность контрольных сайтов. Как только они перестают отвечать, продукт самостоятельно, без вмешательства администратора, переключается на резервный канал. При этом проверка доступности контрольных ресурсов по основному интерфейсу продолжается. И как только она оказывается успешной, автоматически выполняется переключение обратно. Единственное, на что нужно обратить внимание при настройке, - это выбор контрольных ресурсов. Лучше взять несколько крупных сайтов, стабильная работа которых практически гарантирована.

Дополнительные функции

Контроль сетевых приложений

В UserGate Proxy & Firewall реализована такая интересная возможность, как контроль сетевых приложений. Ее цель - запретить доступ к интернету любого несанкционированного ПО. В рамках настройки контроля создаются правила, которые разрешают или блокируют сетевую работу различных программ (с учетом версии или без него). В них можно указывать конкретные IP-адреса и порты назначения, что позволяет гибко настраивать доступ ПО, разрешив ему выполнять только определенные действия в интернете.

Контроль приложений позволяет выработать четкую корпоративную политику по использованию программ, частично предотвратить распространение вредоносного ПО.

После этого можно переходить непосредственно к настройке прокси-серверов. Всего в рассматриваемом решении их реализовано семь штук: для протоколов HTTP (включая HTTPs), FTP, SOCKS, POP3, SMTP, SIP и H323. Это практически все, что может понадобиться для работы сотрудников компании в интернете. По умолчанию включен только HTTP-прокси, все остальные можно активировать при необходимости.

Прокси-серверы в UserGate Proxy & Firewall могут работать в двух режимах - обычном и прозрачном. В первом случае речь идет о традиционном прокси. Сервер получает запросы от пользователей и переправляет их внешним серверам, а полученные ответы передает клиентам. Это традиционное решение, однако в нем есть свои неудобства. В частности, необходимо настраивать каждую программу, которая используется для работы в интернете (интернет-браузер, почтовый клиент, ICQ и прочее), на каждом компьютере в локальной сети. Это, конечно, большая работа. Тем более периодически, по мере установки нового программного обеспечения, она будет повторяться.

При выборе прозрачного режима используется специальный NAT-драйвер, входящий в комплект поставки рассматриваемого решения. Он прослушивает соответствующие порты (80-й для HTTP, 21-й для FTP и так далее), детектирует поступающие на них запросы и передает их прокси-серверу, откуда они отправляются дальше. Такое решение более удачно в том плане, что настройка программного обеспечения на клиентских машинах уже не нужна. Единственное, что требуется, - в качестве основного шлюза в сетевом подключении всех рабочих станций указать IP-адрес интернет-шлюза.

Следующий шаг - настройка пересылки DNS-запросов. Сделать это можно двумя способами. Самый простой из них - включить так называемый DNS-форвардинг. При его использовании поступающие на интернет-шлюз от клиентов DNS-запросы перенаправляются на указанные серверы (можно использовать как DNS-сервер из параметров сетевого подключения, так и любые произвольные DNS-серверы).

Второй вариант - создание NAT-правила, которое будет принимать запросы по 53-му (стандартный для DNS) порту и переправлять их во внешнюю сеть. Однако в этом случае придется либо на всех компьютерах вручную прописывать DNS-серверы в настройках сетевых подключений, либо настроить отправку DNS-запросов через интернет-шлюз с сервера контроллера домена.

Управление пользователями

После завершения базовой настройки можно переходить к работе с пользователями. Начать нужно с создания групп, в которые впоследствии будут объединяться аккаунты. Для чего это нужно? Во-первых, для последующей интеграции с Active Directory. А во-вторых, группам можно присваивать правила (о них мы поговорим позднее), таким образом управляя доступом сразу большого количества пользователей.

Следующим шагом будет внесение в систему пользователей. Сделать это можно тремя разными способами. Первый из них, ручное создание каждого аккаунта, мы по понятным причинам даже не рассматриваем. Этот вариант подходит лишь для малых сетей с небольшим количеством пользователей. Второй способ - сканирование корпоративной сети ARP-запросами, в ходе которого система сама определяет список возможных аккаунтов. Однако мы выбираем третий, наиболее оптимальный с точки зрения простоты и удобства администрирования вариант - интеграцию с Active Directory. Выполняется она на основе созданных ранее групп. Сначала нужно заполнить общие параметры интеграции: указать домен, адрес его контроллера, логин и пароль пользователя с необходимыми правами доступа к нему, а также интервал синхронизации. После этого каждой созданной в UserGate группе нужно присвоить одну или несколько групп из Active Directory. Собственно говоря, настройка на этом и заканчивается. После сохранения всех параметров синхронизация будет выполняться в автоматическом режиме.

Создаваемые в ходе авторизации пользователи по умолчанию будут использовать NTLM-авторизацию, то есть авторизацию по доменному логину. Это очень удобный вариант, поскольку правила и система учета трафика будут работать независимо от того, за каким компьютером в данный момент сидит пользователь.

Правда, для использования этого метода авторизации необходимо дополнительное программное обеспечение - специальный клиент. Эта программа работает на уровне Winsock и передает на интернет-шлюз параметры авторизации пользователей. Ее дистрибутив входит в комплект поставки UserGate Proxy & Firewall. Быстро установить клиент на все рабочие станции можно с помощью групповых политик Windows.

К слову сказать, NTLM-авторизация далеко не единственный метод авторизации сотрудников компании для работы в интернете. Например, если в организации практикуется жесткая привязка работников к рабочим станциям, то можно использовать для идентификации пользователей IP-адрес, MAC-адрес или их сочетание. С помощью этих же методов можно организовать доступ к глобальной сети различных серверов.

Контроль пользователей

Одно из значительных преимуществ UGPF составляют широкие возможности для контроля пользователей. Они реализуются с помощью системы правил управления трафиком. Принцип ее работы очень прост. Администратор (или другое ответственное лицо) создает набор правил, каждое из которых представляет собой одно или несколько условий срабатывания и выполняемое при этом действие. Эти правила присваиваются отдельным пользователям или целым их группам и позволяют в автоматическом режиме контролировать их работу в интернете. Всего реализовано четыре возможных действия. Первое из них - закрыть соединение. Оно позволяет, например, запретить загрузку определенных файлов, предотвратить посещение нежелательных сайтов и прочее. Второе действие - изменить тариф. Оно используется в системе тарификации, которая интегрирована в рассматриваемый продукт (мы ее не рассматриваем, поскольку для корпоративных сетей она не особо актуальна). Следующее действие позволяет отключить подсчет трафика, получаемого в рамках данного соединения. В этом случае передаваемая информация не учитывается при подведении суточного, недельного и месячного потребления. Ну и наконец, последнее действие - ограничение скорости до указанного значения. Его очень удобно использовать для предотвращения «забивания» канала при загрузке больших файлов и решении других подобных задач.

Условий в правилах управления трафиком гораздо больше - около десяти. Некоторые из них относительно просты, например максимальный размер файла. Такое правило будет срабатывать при попытке пользователей загрузить файл больше указанного размера. Другие условия привязаны ко времени. В частности, среди них можно отметить расписание (срабатывание по времени и дням недели) и праздники (срабатывает в указанные дни).

Однако наибольший интерес представляют условия, связанные с сайтами и контентом. В частности, с их помощью можно блокировать или устанавливать другие действия на определенные виды контента (например, видео, аудио, исполняемые файлы, текст, картинки и прочее), конкретные веб-проекты или целые их категории (для этого используется технология Entensys URL Filtering, см. врезку).

Примечательно, что одно правило может содержать сразу же несколько условий. При этом администратор может указывать, в каком случае оно будет выполняться - при соблюдении всех условий или любого одного из них. Это позволяет создать очень гибкую политику использования интернета сотрудниками компании, учитывающую большое количество всевозможных нюансов.

Настройка межсетевого экрана

Неотъемлемая часть драйвера NAT UserGate - межсетевой экран, с его помощью решаются различные задачи, связанные с обработкой сетевого трафика. Для настройки используются специальные правила, которые могут быть одного из трех типов: трансляции сетевого адреса, маршрутизации и файрвола. Правил в системе может быть произвольное количество. При этом применяются они в том порядке, в каком перечислены в общем списке. Поэтому если поступающий трафик подходит под несколько правил, он будет обработан тем из них, которое расположено выше других.

Каждое правило характеризуется тремя основными параметрами. Первый - источник трафика. Это может быть один или несколько определенных хостов, WAN- или LAN-интерфейс интернет-шлюза. Второй параметр - назначение информации. Здесь может быть указан LAN- или WAN-интерфейс или dial-up соединение. Последняя основная характеристика правила - это один или несколько сервисов, на которые оно распространяется. Под сервисом в UserGate Proxy & Firewall понимается пара из семейства протоколов (TCP, UDP, ICMP, произвольный протокол) и сетевого порта (или диапазона сетевых портов). По умолчанию в системе уже есть внушительный набор предустановленных сервисов, начиная с общераспространенных (HTTP, HTTPs, DNS, ICQ) и заканчивая специфическими (WebMoney, RAdmin, различные онлайн-игры и так далее). Однако при необходимости администратор может создавать и свои сервисы, например описывающие работу с онлайн-банком.

Также у каждого правила есть действие, которое оно выполняет с подходящим под условия трафиком. Их всего два: разрешить или запретить. В первом случае трафик беспрепятственно проходит по указанному маршруту, а во втором блокируется.

Правила трансляции сетевого адреса используют технологию NAT. С их помощью можно настроить доступ в интернет рабочих станций с локальными адресами. Для этого необходимо создать правило, указав в качестве источника LAN-интерфейс, а в качестве приемника - WAN-интерфейс. Правила маршрутизации применяются в том случае, если рассматриваемое решение будет использоваться в качестве роутера между двумя локальными сетями (в нем реализована такая возможность). В этом случае маршрутизацию можно настроить для двунаправленной прозрачной передачи трафика.

Правила файрвола используются для обработки трафика, который поступает не на прокси-сервер, а непосредственно на интернет-шлюз. Сразу после установки в системе есть одно такое правило, которое разрешает все сетевые пакеты. В принципе, если создаваемый интернет-шлюз не будет использоваться как рабочая станция, то действие правила можно сменить с «Разрешить» на «Запретить». В этом случае на компьютере будет блокирована любая сетевая активность, кроме транзитных NAT-пакетов, передающихся из локальной сети в интернет и обратно.

Правила файрвола позволяют публиковать в глобальной сети любые локальные сервисы: веб-серверы, FTP-серверы, почтовые серверы и прочее. При этом у удаленных пользователей появляется возможность подключения к ним через интернет. Как пример можно рассмотреть публикацию корпоративного FTP-сервера. Для этого админ должен создать правило, в котором в качестве источника выбрать пункт «Любой», в качестве назначения указать нужный WAN-интерфейс, а в качестве сервиса - FTP. После этого выбрать действие «Разрешить», включить трансляцию трафика и в поле «Адрес назначения» указать IP-адрес локального FTP-сервера и его сетевой порт.

После такой настройки все поступающие на сетевые карты интернет-шлюза соединения по 21-му порту будут автоматически перенаправляться на FTP-сервер. Кстати, в процессе настройки можно выбрать не только «родной», но и любой другой сервис (или создать свой собственный). В этом случае внешние пользователи должны будут обращаться не на 21-й, а на иной порт. Такой подход очень удобен в тех случаях, когда в информационной системе есть два или более однотипных сервиса. Например, можно организовать доступ извне к корпоративному порталу по стандартному для HTTP порту 80, а доступ к веб-статистике UserGate - по порту 81.

Аналогичным образом настраивается внешний доступ к внутреннему почтовому серверу.

Важная отличительная черта реализованного межсетевого экрана - система предотвращения вторжений. Она работает полностью в автоматическом режиме, выявляя на основе сигнатур и эвристических методов попытки несанкционированного воздействия и нивелируя их через блокировку потоков нежелательного трафика или сброс опасных соединений.

Подводим итоги

В этом обзоре мы достаточно подробно рассмотрели организацию совместного доступа сотрудников компании к интернету. В современных условиях это не самый простой процесс, поскольку нужно учитывать большое количество различных нюансов. Причем важны как технические, так и организационные аспекты, особенно контроль действий пользователей.