UserGate:прокси-сервер для домашних сетей Для подключения локальных сетей к Интернету используется специальное программное обеспечение — прокси-сервер. Основная задача таких программ — организовать доступ к Глобальной сети с нескольких компьютеров по одному каналу. Чаще всего потребность в этом возникает в условиях офиса, но с помощью этих же инструментов можно обеспечить доступ в Интернет для нескольких пользователей и дома. Обсуждаем: UserGate 5 Управление трафиком Прокси-сервер в домашней сети Практические шаги по настройке Первоначально прокси-серверы были достаточно примитивными программами, для настройки которых были необходимы серьезные знания сетевых технологий. Сегодня ситуация коренным образом изменилась: прокси-серверы стали гораздо проще, но при этом функциональнее. Эти программы постоянно развиваются, приобретая все новые и новые возможности. Ярким примером служит разработка компании Entensys — прокси-сервер. Одной из принципиальных особенностей прокси-сервера UserGate является поддержка NAT (Network Address Translation — «трансляция сетевых адресов»). Эта технология используется для подмены IP-адресов при прохождении сетевых пакетов. В исходящих пакетах адрес отправителя заменяется на адрес интернет-шлюза, а во входящих — адрес интернет-шлюза на адрес одного из «внутренних» компьютеров. Это позволяет, имея только один «реальный» IP-адрес, пользоваться Интернетом нескольким компьютерам с «внутренними» адресами. Технология NAT имеет ряд преимуществ перед другими, используемыми в прокси-серверах, — в частности, не требуется настройка каждой программы на локальном компьютере для работы через прокси-сервер. В UserGate расширена функциональность драйвера NAT, который помимо обеспечения подключения к Интернету может выполнять роль маршрутизатора для локальных сетей. Следующим серьезным нововведением является система статистики. В UserGate для работы с информацией, касающейся использования Интернета, применяется специальное приложение — с его помощью можно было просматривать данные в табличном представлении. В пятой версии этого прокси-сервера появилась веб-статистика. Для работы с ней не нужно никаких клиентов — вполне достаточно обычного браузера. Основным преимуществом такого решения является возможность удаленного контроля статистики через Интернет. Данные можно просматривать в виде графиков и диаграмм, что делает статистику более наглядной, а также позволяет составлять различные отчеты. В модуле появилось разделение прав доступа: теперь администратор может разрешить простым пользователям просматривать только свою статистику, а ответственным за учет — все данные. Правда, есть у этого модуля и недостаток: локаль-ный веб-сервер достаточно сильно нагружает интернет-шлюз. Еще одно значительное изменение, появившееся в пятой версии UserGate, — расширение числа поддерживаемых протоколов. К их списку добавились SIP и H.323 — они используются для организации систем IP-телефонии. В последнее время этот вид связи получает все большее распространение, так что появление его поддержки в прокси-сервере не может не радовать. Кстати, с протоколом H.323 связано еще одно интересное нововведение: UserGate может использоваться в качестве локальной АТС благодаря появившейся в ней функции «привратник». Это один из модулей контроллера зоны в сетях IP-телефонии стандарта H.323. В его обязанности входит, помимо прочего, преобразование alias-адреса в транспортный адрес сети с маршрутизацией пакетов IP (IP-адрес и номер порта TCP). То есть благодаря «привратнику» в прокси-сервере UserGate можно присвоить каждому пользователю собственный alias-адрес, после чего осуществлять звонки внутри сети (с использованием стандарта H.323) совершенно бесплатно. А тем пользователям, которым требуется повышенная надежность доступа в Глобальную сеть, наверняка понравится функция резервирования интернет-канала. Суть ее довольно проста: если у шлюза есть два подключения, то один из них может быть выбран в качестве основного, а второй — резервного. Первый канал используется постоянно. Если по какой-то причине доступ к указанным хостам по нему пропадет, прокси-сервер автоматически переключится на резервный канал, в результате чего пользователи смогут продолжить свою работу. При этом UserGate будет периодически проверять доступность основного канала и, как только он восстановится, вернется на него. Управление трафиком В UserGate реализовано несколько механизмов управления интернет-трафиком. Самый простой из них — групповые и пользовательские политики. Администратор может с помощью правил запретить определенным пользователям доступ к конкретным сайтам, установить ограничение на объем входящего или исходящего трафика, при достижении которого выход в Интернет будет автоматически закрываться, задать список разрешенных и запрещенных протоколов и т. д. Это базовые функции прокси-сервера. Пятой версия UserGate, касающийся управления трафиком, является внедрение в него продуктов компании BrightCloud Inc. Речь идет о BrightCloud Service и BrightCloud Master Database. Эти модули предназначены для ограничения доступа пользователей к сайтам определенных категорий. В частности, с их помощью можно закрыть всевозможные развлекательные проекты, сайты для взрослых, warez-порталы и т. п. В домашних условиях данная функция может быть использована для родительского контроля, а при корпоративном использовании прокси-сервера может повышать производительность труда и усиливать безопасность путем уменьшения риска загрузки на компьютеры конечных пользователей вирусов и троянских программ. К этим возможностям добавился весьма интересный модуль Traffic Manager. На нем стоит остановиться немного подробнее. Дело в том, что он позволяет очень гибко управлять трафиком и регулировать текущую загрузку интернет-канала. В частности, можно зарезервировать определенную его часть под HTTP-трафик. Благодаря этому посещение сайтов всегда будет комфортным для пользователей, даже если кто-то из «соседей» по локальной сети в это время активно качает файлы с FTP-сервера.Помимо этого в модуле Traffic Manager есть и другой вид правил — с их помощью можно резервировать часть интернет-канала под конкретных пользователей или их группы. То есть фактически можно указать тех людей, у кого Интернет всегда должен работать на высокой скорости, и тех, кому доступ предоставляется по остаточному принципу. Но и это еще не все. UserGate позволяет добавлять правила, ограничивающие скорость по конкретным TCP- и UDP-портам или целым их диапазонам. Что лучше для домашней сети В интернете можно найти и абсолютно бесплатные прокси-серверы. В качестве примера стоит назвать программу SmallProxy. Это достаточно функциональный (для бесплатного) продукт, в котором реализована поддержка групп и пользователей, системы кеширования, фильтрация сайтов, блокировка портов и ведение подробной статистики. Так что же выбрать — UserGate или бесплатный вариант? Однозначного ответа на этот вопрос не существует: все зависит от поставленной задачи. Например, для подключения офисов к Интернету лучше подходят коммерческие продукты, ведь за счет большей стабильности работы и простоты настройки снижается стоимость их сопровождения. А гибкая система управления трафиком обеспечивает точное соблюдение корпоративной политики в области использования Интернета, что совместно с кешированием и фильтрацией рекламы позволяет сократить расходы на доступ к Глобальной сети. Домашним пользователям многие из этих функций не нужны: кому, к примеру, может понадобиться биллинговая система, если предполагается подключить к Интернету компьютер и ноутбук из одной квартиры? Так что в ряде случаев вполне можно обойтись бесплатными вариантами: они предоставляют почти все необходимое для решения постав-ленных задач. Впрочем, есть ситуации, когда функции UserGate могут пригодиться в домашних сетях — например, если необходимо подключить к Интернету локальную сеть, объединяющую несколько квартир в одном доме. В этом случае можно назначить один ПК в качестве интернет-шлюза и обойтись одним каналом на всех. НАСТРОЙКА ПРОКСИ-СЕРВЕРА вполне по силам любому пользователю. Сетевой экран UserGate вполне может выполнять роль защиты первого уровня, при условии что на рабочих станциях будут также использоваться собственные брандмауэры. С помощью клиентского модуля межсетевого экрана можно задать строго определенный круг программ, которые смогут подключаться к Глобальной сети, — для остальных доступ будет закрыт. Такая мера призвана обезопасить пользователя от большинства троянских программ. Кроме того, межсетевой экран UserGate позволяет вести учет трафика по каждому приложению в отдельности. ДОМАШНИЙ ПРОКСИ-СЕРВЕР Практические шаги по настройке UserGate Настройка прокси-сервера UserGate не очень сложна, но все же требует от пользователя определенных знаний в области сетевых технологий. Предполагается, что машина, на которую ставится прокси-сервер, должна иметь две сетевые карты. Поэтому начнем с выбора WAN-интерфейса (сетевой карты, «смотрящей» в Интернет) и LAN-интерфейса (сетевой карты локальной сети). В том случае, если интернет-шлюз подключен к нескольким провайдерам, WAN-интерфейсов может быть больше одного. Следующий шаг — настройка сетевого экрана. Создайте правила, разрешаю¬щие прохождение нужного трафика. В частности, для посещения веб-сайтов нужно открыть HTTP-трафик. Для этого необходимо правило, разрешающее передачу данных по TCP-портам 80 и 443 (для HTTPS). В качестве источника укажите сетевую карту локальной сети, а для приемника — нужный WAN-интерфейс. Правила создаются с помощью удобного пошагового мастера. Подобным образом разрешите работу всех используемых вами протоколов — FTP, SMTP, POP3 и т. д. Затем перейдите на вкладку «Настройка прокси» и включите нужные прокси-серверы (HTTP, FTP и т. д.). При этом в их настройках активируйте интерфейсы, которые будут «прослушиваться» (в подавляющем большинстве случаев это сетевая карта локальной сети и адрес 127.0.0.1). В случае если необходимо использовать технологию NAT, включите чек-бокс «Прозрачный прокси». Это наиболее оптимальный вариант организации совместного доступа в Интернет. Тем не менее в некоторых случаях лучше применять стандартный прокси-сервер. В частности, он рекомендуется при использовании медленных соединений (в нем реализован режим кеширования) и необходимости фильтрации сайтов по категориям (в случае с NAT она невозможна). Для этого отключите чекбокс «Прозрачный прокси», а в настройках браузеров конечных пользователей введите в качестве прокси-сервера адрес интернет-шлюза. Настало время настроить DNS. Самым простым методом является DNS-форвардинг. Суть его заключается в пересылке прокси-сервером DNS-запросов на DNS-сервер про-вайдера. Для начала использования DNS-форвардинга просто включите его в разделе «Сервис» и установите в настройках сетевого подключения компьютеров конечных пользователей в качестве DNS-сервера IP-адрес интернет-шлюза. Ситуация несколько осложняется, если в локальной сети уже есть свой собственный DNS-сервер. В этом случае разрешите ему передавать запросы вышестоящему серверу (DNS-серверу провайдера), после чего создайте в прокси-сервере специального пользователя с IP-адресом локального DNS-сервера и разрешением работы по порту UDP 53. РЕДАКТИРОВАНИЕ СПИСКА ПОЛЬЗОВАТЕЛЕЙ: здесь необходимо выбрать способ авторизации. Завершите первичную настройку созданием пользователей. При необходимости разбейте их на категории и создайте группы, указывая для каждой из них набор правил. Например, для кого-то можно открыть протокол FTP, а кому-то заблокировать доступ; одним разрешить просматривать сайты, а другим позволить работать только с почтой. После этого укажите соответствующих пользователей. К ним будут применяться правила, установленные для группы. Дополнительно можно задать и персональные права и ограничения. Указывая пользователей, выберите способ их авторизации. Доступно много вариантов, начиная с указания IP-адреса или IP-адреса и MAC-адреса и заканчивая авторизацией по учетной записи в Active Directory. Часть из них не требует никаких настроек, однако для использования сложных вариантов, например авторизации по Active Directory, на клиентских ПК необходимо установить специальную программу, которая поставляется в комплекте с UserGate. На этом настройку прокси-сервера можно считать законченной, и совместный доступ в Интернет должен функционировать.
советы и помощь пк
Домашние сети
UserGate:прокси-сервер для домашних сетей
Для подключения локальных сетей к Интернету используется специальное программное обеспечение — прокси-сервер. Основная задача таких программ — организовать доступ к Глобальной сети с нескольких компьютеров по одному каналу. Чаще всего потребность в этом возникает в условиях офиса, но с помощью этих же инструментов можно обеспечить доступ в Интернет для нескольких пользователей и дома.
Обсуждаем:
UserGate 5
Управление трафиком
Прокси-сервер в домашней сети
Практические шаги по настройке
Первоначально прокси-серверы были достаточно примитивными программами, для настройки которых были необходимы серьезные знания сетевых технологий. Сегодня ситуация коренным образом изменилась: прокси-серверы стали гораздо проще, но при этом функциональнее. Эти программы постоянно развиваются, приобретая все новые и новые возможности. Ярким примером служит разработка компании Entensys — прокси-сервер.
Одной из принципиальных особенностей прокси-сервера UserGate является поддержка NAT (Network Address Translation — «трансляция сетевых адресов»). Эта технология используется для подмены IP-адресов при прохождении сетевых пакетов. В исходящих пакетах адрес отправителя заменяется на адрес интернет-шлюза, а во входящих — адрес интернет-шлюза на адрес одного из «внутренних» компьютеров. Это позволяет, имея только один «реальный» IP-адрес, пользоваться Интернетом нескольким компьютерам с «внутренними» адресами. Технология
NAT имеет ряд преимуществ перед другими, используемыми в прокси-серверах, — в частности, не требуется настройка каждой программы на локальном компьютере для работы через прокси-сервер. В UserGate расширена функциональность драйвера NAT, который помимо обеспечения подключения к Интернету может выполнять роль маршрутизатора для локальных сетей.
Следующим серьезным нововведением является система статистики. В UserGate для работы с информацией, касающейся использования Интернета, применяется специальное приложение — с его помощью можно было просматривать данные в табличном представлении. В пятой версии этого прокси-сервера появилась веб-статистика. Для работы с ней не нужно никаких клиентов — вполне достаточно обычного браузера. Основным преимуществом такого решения является возможность удаленного контроля статистики через Интернет. Данные можно просматривать в виде графиков и диаграмм, что делает статистику более наглядной, а также позволяет составлять различные отчеты.
В модуле появилось разделение прав доступа: теперь администратор может разрешить простым пользователям просматривать только свою статистику, а ответственным за учет — все данные. Правда, есть у этого модуля и недостаток: локаль-ный веб-сервер достаточно сильно нагружает интернет-шлюз.
Еще одно значительное изменение, появившееся в пятой версии UserGate, — расширение числа поддерживаемых протоколов. К их списку добавились SIP и H.323 — они используются для организации систем IP-телефонии. В последнее время этот вид связи получает все большее распространение, так что появление его поддержки в прокси-сервере не может не радовать. Кстати, с протоколом H.323 связано еще одно интересное нововведение: UserGate может использоваться в качестве локальной АТС благодаря появившейся в ней функции «привратник». Это один из модулей контроллера зоны в сетях IP-телефонии стандарта H.323. В его обязанности входит, помимо прочего, преобразование alias-адреса в транспортный адрес сети с маршрутизацией пакетов IP (IP-адрес и номер порта TCP). То есть благодаря «привратнику» в прокси-сервере UserGate можно присвоить каждому пользователю собственный alias-адрес, после чего осуществлять звонки внутри сети (с использованием стандарта H.323) совершенно бесплатно. А тем пользователям, которым требуется повышенная надежность доступа в Глобальную сеть, наверняка понравится функция резервирования интернет-канала. Суть ее довольно проста: если у шлюза есть два подключения, то один из них может быть
выбран в качестве основного, а второй — резервного. Первый канал используется постоянно. Если по какой-то причине доступ к указанным хостам по нему пропадет, прокси-сервер автоматически переключится на резервный канал, в результате чего пользователи смогут продолжить свою работу. При этом UserGate будет периодически проверять доступность основного канала и, как только он восстановится, вернется на него.
Управление трафиком
В UserGate реализовано несколько механизмов управления интернет-трафиком. Самый простой из них — групповые и пользовательские политики. Администратор может с помощью правил запретить определенным пользователям доступ к конкретным сайтам, установить ограничение на объем входящего или исходящего трафика, при достижении которого выход в Интернет будет автоматически закрываться, задать список разрешенных и запрещенных протоколов и т. д. Это базовые функции прокси-сервера. Пятой версия UserGate, касающийся управления трафиком, является внедрение в него продуктов компании BrightCloud Inc. Речь идет о BrightCloud Service и BrightCloud Master Database. Эти модули предназначены для ограничения доступа пользователей к сайтам определенных категорий. В частности, с их помощью можно закрыть всевозможные развлекательные проекты, сайты для взрослых, warez-порталы и т. п. В домашних условиях данная функция может быть использована для родительского контроля, а при корпоративном использовании прокси-сервера может повышать производительность труда и усиливать безопасность путем уменьшения риска загрузки на компьютеры конечных пользователей вирусов и троянских программ.
К этим возможностям добавился весьма интересный модуль Traffic Manager. На нем стоит остановиться немного подробнее. Дело в том, что он позволяет очень гибко управлять трафиком и регулировать текущую загрузку интернет-канала. В частности, можно зарезервировать определенную его часть под HTTP-трафик. Благодаря этому посещение сайтов всегда будет комфортным для пользователей, даже если кто-то из «соседей» по локальной сети в это время активно качает файлы с FTP-сервера.Помимо этого в модуле Traffic Manager есть и другой вид правил — с их помощью можно резервировать часть интернет-канала под конкретных пользователей или их группы. То есть фактически можно указать тех людей, у кого Интернет всегда должен работать на высокой скорости, и тех, кому доступ предоставляется по остаточному принципу. Но и это еще не все. UserGate позволяет добавлять правила, ограничивающие скорость по конкретным TCP- и UDP-портам или целым их диапазонам.
Что лучше для домашней сети
В интернете можно найти и абсолютно бесплатные прокси-серверы. В качестве примера стоит назвать программу SmallProxy. Это достаточно функциональный (для бесплатного) продукт, в котором реализована поддержка групп и пользователей, системы кеширования, фильтрация
сайтов, блокировка портов и ведение подробной статистики.
Так что же выбрать — UserGate или бесплатный вариант? Однозначного ответа на этот вопрос не существует: все зависит от поставленной задачи. Например, для подключения офисов к Интернету лучше подходят коммерческие продукты, ведь за счет большей стабильности работы и простоты настройки снижается стоимость их сопровождения. А гибкая система управления трафиком обеспечивает точное соблюдение корпоративной политики в области использования Интернета, что совместно с кешированием и фильтрацией рекламы позволяет сократить расходы на доступ к Глобальной сети.
Домашним пользователям многие из этих функций не нужны: кому, к примеру, может понадобиться биллинговая система, если предполагается подключить к Интернету компьютер и ноутбук из одной квартиры? Так что в ряде случаев вполне можно обойтись бесплатными вариантами: они предоставляют почти все необходимое для решения постав-ленных задач.
Впрочем, есть ситуации, когда функции UserGate могут пригодиться в домашних сетях — например, если необходимо подключить к Интернету локальную сеть, объединяющую несколько квартир в одном доме. В этом случае можно назначить один ПК в качестве интернет-шлюза и обойтись одним каналом на всех.
НАСТРОЙКА ПРОКСИ-СЕРВЕРА вполне по силам любому пользователю.
Сетевой экран UserGate вполне может выполнять роль защиты первого уровня, при условии что на рабочих станциях будут также использоваться собственные брандмауэры. С помощью клиентского модуля межсетевого экрана можно задать строго определенный круг программ, которые смогут подключаться к Глобальной сети, — для остальных доступ будет закрыт. Такая мера призвана обезопасить пользователя от большинства троянских программ. Кроме того, межсетевой экран UserGate позволяет вести учет трафика по каждому приложению в отдельности.
ДОМАШНИЙ ПРОКСИ-СЕРВЕР
Практические шаги по настройке UserGate
Настройка прокси-сервера UserGate не очень сложна, но все же требует от пользователя определенных знаний в области сетевых технологий.
Предполагается, что машина, на которую ставится прокси-сервер, должна иметь две сетевые карты. Поэтому начнем с выбора WAN-интерфейса (сетевой карты, «смотрящей» в Интернет) и LAN-интерфейса (сетевой карты локальной сети). В том случае, если интернет-шлюз подключен к нескольким провайдерам, WAN-интерфейсов может быть больше одного.
Следующий шаг — настройка сетевого экрана. Создайте правила, разрешаю¬щие прохождение нужного трафика. В частности, для посещения веб-сайтов нужно открыть HTTP-трафик. Для этого необходимо правило, разрешающее передачу данных по TCP-портам 80 и 443 (для HTTPS). В качестве источника укажите сетевую карту локальной сети, а для приемника — нужный WAN-интерфейс. Правила создаются с помощью удобного пошагового мастера. Подобным образом разрешите работу всех используемых вами протоколов — FTP, SMTP, POP3 и т. д.
Затем перейдите на вкладку «Настройка прокси» и включите нужные прокси-серверы (HTTP, FTP и т. д.). При этом в их настройках активируйте интерфейсы, которые будут «прослушиваться» (в подавляющем большинстве случаев это сетевая карта локальной сети и адрес 127.0.0.1). В случае если необходимо использовать технологию NAT, включите чек-бокс «Прозрачный прокси». Это наиболее оптимальный вариант организации совместного доступа в Интернет. Тем не менее в некоторых случаях лучше применять стандартный прокси-сервер. В частности, он рекомендуется при использовании медленных соединений (в нем реализован режим кеширования) и необходимости фильтрации сайтов по категориям (в случае с NAT она невозможна). Для этого отключите чекбокс «Прозрачный прокси», а в настройках браузеров конечных пользователей введите в качестве прокси-сервера адрес интернет-шлюза.
Настало время настроить DNS. Самым простым методом является DNS-форвардинг. Суть его заключается в пересылке прокси-сервером DNS-запросов на DNS-сервер про-вайдера. Для начала использования DNS-форвардинга просто включите его в разделе «Сервис» и установите в настройках сетевого подключения компьютеров конечных пользователей в качестве DNS-сервера IP-адрес интернет-шлюза.
Ситуация несколько осложняется, если в локальной сети уже есть свой собственный DNS-сервер. В этом случае разрешите ему передавать запросы вышестоящему серверу (DNS-серверу провайдера), после чего создайте в прокси-сервере специального пользователя с IP-адресом локального DNS-сервера и разрешением работы по порту UDP 53.
РЕДАКТИРОВАНИЕ СПИСКА ПОЛЬЗОВАТЕЛЕЙ: здесь необходимо выбрать способ авторизации.
Завершите первичную настройку созданием пользователей. При необходимости разбейте их на категории и создайте группы, указывая для каждой из них набор правил. Например, для кого-то можно открыть протокол FTP, а кому-то заблокировать доступ; одним разрешить просматривать сайты, а другим позволить работать только с почтой. После этого укажите соответствующих пользователей. К ним будут применяться правила, установленные для группы. Дополнительно можно задать и персональные права и ограничения.
Указывая пользователей, выберите способ их авторизации. Доступно много вариантов, начиная с указания IP-адреса или IP-адреса и MAC-адреса и заканчивая авторизацией по учетной записи в Active Directory. Часть из них не требует никаких настроек, однако для использования сложных вариантов, например авторизации по Active Directory, на клиентских ПК необходимо установить специальную программу, которая поставляется в комплекте с UserGate.
На этом настройку прокси-сервера можно считать законченной, и совместный доступ в Интернет должен функционировать.