Internet-сервисы. Разделение доступа

Продолжение. Начало в КГ №44

В числе первых задач после подключения к Internet — задача разделения доступа между пользователями локальной сети. Предоставить доступ в Internet внутри ЛВС можно очень быстро, используя стандартные средства ICS (Internet Connection Scaring), которое входит в состав всех операционных систем от Windows98 до Windows 2003 server. Однако использовать такое разделение можно в крайне редких случаях, так как оно является практически незащищенным. Полагаться только на встроенные средства безопасности Windows по меньшей мере легкомысленно. Более предпочтительно использовать средства разделения доступа с интегрированным межсетевым экраном сторонних разработчиков. Наиболее простое и вполне эффективное решение — Lan2Net. Программа легко устанавливается, а настройки не вызывают затруднений даже у начинающих администраторов. Однако ее весьма существенным недостатком является неглубоко проработанная функция управления трафиком, которая реализована только на уровне интерфейсов для различных сегментов сетей. При этом управлять трафиком группы в пределах одного сегмента или трафиком конкретного пользователя невозможно. Весьма распространено использование под эти цели WinRoute. На мой взгляд, программа сильно избыточна функционально, ибо предназначена для более сложных сетевых задач по сравнению с простым разделением доступа, к тому же, не очень удобна в настройках. Наиболее удачным выбором едва ли не на все случаи жизни можно считать использование программы Traffic Inspeсtor, в которой реализованы весьма гибкие функции управления. Программа имеет русский интерфейс. Документацию и ShreWare-версию можно найти на сайте производителя: сайт

До инсталляции Traffic Inspeсtor необходимо убедится в том, что сетевые интерфейсы как в сторону локальной сели, так и в сторону провайдера присутствуют в списке оборудования и имеют первичные настройки (IP-адреса, маски). Установка программы выполняется достаточно просто. Необходимо запустить инсталляцию, указать место размещения рабочих файлов и тип установки — сервер. Вид программы после первого запуска представлен на рис. 1. Следует обратить внимание на две строки, описывающие интерфейсы. При правильном распознавании они будут иметь вид, представленный на рисунке. В этом примере доступ в Internet от интерфейса с IP-адресом 82.209.246.8 будет передан в сеть с диапазоном 192.168.10.0-192.168.10.255 через интерфейс с IP 192.168.0.100 и маской 255.255.0.0. Несовпадение адресов (c расширенной маской), как отмечалось ранее, выбрано намеренно. С другой стороны, в этом случае без изменения настроек можно прописывать компьютеры из новых сегментов ЛВС по мере их подключения в будущем. Теперь можно активизировать ссылку Конфигуратор и при помощи мастера выполнить настройку программы. В первом окне мастера будет предложено определить основное назначение Traffic Inspector. Следует выбрать опцию Используется внутренняя и внешняя сеть. Другие опции относятся к ограниченным режимам, которые предназначены для использования программы только в качестве счетчика локального трафика на единичном компьютере, либо для учета общего трафика всей ЛВС, либо в качестве сетевого экрана без разделения доступа между пользователями. Следующее окно позволяет переопределить внутренней интерфейс (в сторону ЛВС).

Что-либо менять нужно только в том случае, если автоматическое назначение интерфейсов выполнено некорректно. В следующем окне определяется тип внутренней сети в качестве публичной. Тут также не следует что-либо менять. В следующем окне можно включить или оставить пассивной службу RAS-сервера. Поскольку в описываемом варианте установка сервера Dial-up планируется вне шлюза, переключатель активизировать не стоит. Настройкам Dial-up будет посвящена отдельная статья серии. Следующее окно мастера позволяет изменить номера портов для HTTP и SOCKS. Лучше оставить их значения по умолчанию: 8080 и 1080. Несколько забегая вперед, следует отметить, что Traffic Inspector позволяет разделять доступ в Internet как средствами NAT (используется NAT Windows), так и с использованием встроенного Proxy-сервера. Безусловно, именно трансляцию NAT использовать лучше, так как она более производительна, однако для учета трафика необходима установка и Proxy. Если все-таки планируется разделение доступа средствами Proxy, то указанный номер порта — в данном случае 8080 — нужно будет отдельно прописывать в настройках браузеров внутри ЛВС (наряду с IP-адресом шлюза в качестве IP-адреса Proxy-сервера). Следующее окно мастера показывает выбранный внешний интерфейс (на этот раз в сторону провайдера). Как и в рассмотренном ранее случае, изменять его нужно только при неправильном распознавании программой.

В следующем окне предлагается включить межсетевой экран. Естественно, оставляем включенным, ибо это одна из главных причин установки Traffic Inspector. В следующем окне мастера можно указать дополнительные внешние сети и/или развести входящий и исходящий потоки через разные интерфейсы. Поскольку описывается простейший вариант — один сегмент ЛВС, работающий через единственное подключение к Internet, все объекты управления окна следует выключить. В следующем окне можно включить или выключить службу почтового шлюза и изменить номер ее порта. Электронной почте будет посвящена отдельная публикация, а пока выключим SMTP и перейдем в следующее окно, где можно указать тип DNS. Оставляем тип DNS на опции Нормальный и переходим в окно завершения работы мастера. По нажатию кнопки Готово будет выполнено конфигурирование программы, и в меню левой части окна Traffic Inspector появится ряд новых опций. Теперь можно приступить к редактированию данных по пользователям. Прежде всего, нужно определиться с группами. Программа позволяет контролировать и управлять трафиком любого пользователя, однако, если их разделить по группам, то процесс администрирования будет значительно упрощен.

Чтобы завести новую группу, необходимо последовательно развернуть опции Traffic Inspector [LOCAL] и далее Внутренние сети, активизировать ссылку Добавить группу и с помощью выведенной формы определить имя в поле Имя группы. После создания необходимых групп внутри каждой можно прописать пользователей. При активизации имени группы в меню из левой части программного окна в правой будет выведен список пользователей или пока еще пустое окно. Добавить пользователя можно из всплывающего меню по клику правой клавиши мыши на список пользователей или выбрав опцию Внутренние сети и далее ссылку Добавить клиента. При этом на экран будет выведена форма, представленная на рис. 2. В поле Имя (отображаемое) прописывается условное имя абонента, а в меню Группа выбирается его принадлежность той или иной группе. В представленном примере пользователь ЭНЕРГО привязан к группе Abonents. Далее необходимо перейти на закладку Авторизация, где определяется, каким образом пользователю будет разрешен доступ к шлюзу (см. рис. 3). На рисунке представлен пример авторизации по единичному IP-адресу (192.168.10.204). Если необходимо прописать диапазон адресов, заполняются оба поля. Пример приведен для разделения доступа в сети со статической адресацией. Для сетей с запущенной службой DHCP пользователя можно авторизовать по имени и паролю либо по MAC-адресу. Последний способ обеспечивает максимальную производительность, но не самый удачный, поскольку при замене сетевых адаптеров на клиентских компьютерах придется изменять настройки пользователя. Наконец, последняя настройка в числе минимальных действий выполняется на закладке Ограничения (см. рис. 4).

В представленном на рисунке варианте выставлено ограничение 128 Кб/с на прием и 64 Кб/с на передачу. Прочие ограничения (по протоколам) определяются умолчаниями. На остальных закладках формы можно спланировать разрешенное время работы в течении суток, дней, назначить способ и стоимость тарификации, выполнить другие дополнительные настройки. Следует отметить, что большинство настроек абонента повторяются в свойствах группы и могут быть изменены одновременно для всех пользователей из ее состава. Двойные настройки особенно полезны в процессе управления скоростью, которую можно ограничить отдельным пользователям и группам. Для эффективного использования скорости канала провайдера включая пиковые значения в ограничениях желательно предусмотреть запас таким образом, чтобы разрешенная суммарная скорость пользователей превышала канальную. Traffic Inspeсtor будет пропорционально делить ее среди групп и аналогично пропорционально значениям настроек пользователей внутри группы.

Запущенная в представленном виде программа позволяет разделить доступ между абонентами и минимально защитить сеть и шлюз от возможных несанкционированных действий со стороны пользователей внешних сетей. Встроенный межсетевой экран пропускает только те данные, на которые поступил запрос со стороны внутренней сети. При желании дополнительно можно запустить встроенную антивирусную утилиту Panda, если она приобретена в комплекте с программой. Наличие экрана накладывает известные ограничения в работе. Многие абонентские программы (ISQ, Emule, Skype и т.п.) могут использовать протоколы и порты, которые Traffic Inspeсtor по умолчанию закрывает. Для управления политикой доступа предусмотрен весьма мощный инструмент — фильтры. Чтобы открыть порт на межсетевом экране, необходимо создать для него разрешающий фильтр. Для этого последовательно активизируйте опции меню: Traffic Inspector — Внешние сети — Сетевой экран. При этом в правой части окна программы будет выведен список действующих фильтров (см. рис. 5). Далее необходимо кликнуть правой клавишей мыши в свободную область списка и во всплывающем меню выбрать опцию Новый фильтр (или аналогично Внешние сети ссылка Сетевой экран). При этом будет выведена форма создания нового фильтра (рис. 5). В примере рисунка создан фильтр на разрешение с именем Emule, открывающий доступ со стороны внешних сетей по порту с номером 4242 для протокола TCP. Аналогичным образом будут открываться порты по умолчанию web-сервера (80), FTP-сервера (21), SMTP-протокола (25), возможно, POP3 (110), когда подойдет очередь установки этих сервисов. Возможности фильтров не ограничиваются простейшими разрешениями работы портов. Это инструмент весьма гибкого управления потоками шлюза. Фильтры могут быть разрешающими или запрещающими, работать во внутренних или внешних сетях, применяться к группам или конкретному пользователю, использовать в спецификациях адреса, протоколы и даже данные. Однако подробное описание технологии применения фильтров выходит за допустимые рамки этой публикации.

Теперь можно проверить доступ в Internet на рабочих местах пользователей. Если запущена трансляция NAT, то на стороне клиента выполняются минимальные настройки. В свойствах сетевого соединения для сети со статической адресацией прописывается собственный IP, адрес шлюза (в нашем случае 192.168.0.100) а также первичный и вторичный адреса DNS по данным провайдера. Эти поля не заполняются, если адреса клиентам присваиваются динамически при запуске служб DNS и DHCP на файловом сервере ЛВС. Если же вы хотите разделить доступ в Internet средствами Proxy-сервера, то на клиентских компьютерах понадобится дополнительно указать его адрес в свойствах браузера. В Internet Explorer последовательно раскройте Сервис, Свойства обозревателя, закладку Подключения, нажмите кнопку Настройка LAN, активизируйте переключатель Использовать прокси сервер для подключения LAN. В поле прокси-адреса пропишите IP-адрес шлюзового интерфейса в сторону ЛВС (в нашем случае 192.168.0.100), а в поле порта — его значение (по умолчанию 8080). Проконтролировать работу клиентов сети можно и на стороне сервера. Интенсивность текущего трафика отслеживается монитором. Для его запуска необходимо раскрыть опции меню Traffic Inspector — Внутренние сети — Монитор работы. Окно монитора содержит список пользователей, их атрибуты, данные о мгновенном значении скорости, суммарные значения по объему данных на прием и передачу, а также данные биллинга. Отдельного внимания заслуживает хорошо продуманный состав аналитической информации. Обобщенные отчеты (запускаются через опции Traffic Inspector — Отчеты) содержат в графической и табличной форме различные статистические данные по работе абонентов, загруженности каналов, посещенных адресах. Условия расчетов можно определить в форме свойств, которая запускается по клику правой клавиши мыши на одноименной опции меню. Вид формы представлен на рис. 6. Закладка Настройки содержит поля для определения граничных значений интервала расчетного времени, единицы измерения трафика (скорость, пакеты), состав отображения (входящий, исходящий, почтовый трафики); на закладках Пользователи и Счетчики можно изменить список пользователей и протоколов, по каждому из которых будет выполнен расчет; наконец, закладка Анализ специфицирует данные одноименной закладки отчета (для круговой диаграммы). Исходная информация, которая используется в работе монитора и при формировании отчетов доступна в формате текстовых файлов и находится в папке размещения Traffic Inspector (подкаталог Log). Файлы можно использовать для самостоятельной обработки в случае, если состав отчетов покажется вам неполным.

Итак, теперь доступ в Internet защищен межсетевым экраном, предоставлен пользователям ЛВС, и можно приступить к запуску и настройке сервера электронной почты, о чем пойдет речь в следующей статье.

Продолжение следует.

Сергей Андросенков, as@gusts.minsk.by