Когда нас много, а выход - один
Что же делать, если такое встречается сплошь и рядом
- есть несколько компьютеров, а выход в Интернет
доступен только с одного из них? Если эта ситуация не
связана с особыми требованиями по организации работ, то
безусловно, что работающие на компьютерах, не
подключенных к Сети, также хотят иметь к ней доступ. Что
делать в этом случае? Давайте рассмотрим реализацию
коллективного доступа к Сети в небольшой организации или
из дома, где есть несколько компьютеров (в одной ли
семье, или среди соседей).
Для создания коллективного доступа
можно использовать простую в настройках и не
требовательную к ресурсам программу - Kerio WinRoute. Она
обеспечивает выход в Интернет компьютеров, входящих в
локальную сеть, через одно внешнее соединение, неважно,
каким устройством поддерживаемое - обычным модемом,
модемом для выделенных линий, сетевую карту или SDSL.
Достаточно, чтобы на компьютере, где будет установлена
эта программа, было устройство для выхода в Интернет и
сетевая плата для внутренней сети. Требования к этому
компьютеру невелики - для вполне удовлетворительной
работы может быть достаточно 486-го процессора. Размер
оперативной памяти зависит от числа подключений и
желательно иметь неплохой винчестер для кэширования.
|
Если кроме обеспечения доступа к Сети иные
возможности программы не требуются, достаточно
установить четвертую версию программы. Если есть желание
поставить почтовый сервер - присмотритесь к пятой.
Особенности настройки у этих версий существуют, но
принципиальный подход одинаков, поэтому рассмотреть их
можно на примере более простой, четвертой версии
программы.
Основные возможности программы:
- преобразование сетевых адресов (Network Address
Translation, или NAT);
- распределение портов (Port mapping);
- фильтрация пакетов;
- поддержка DHCP, DNS и почтового серверов;
- поддержка кэширования HTTP;
- протоколирование всех действий;
- удаленное администрирование.
Рассмотрим эти
возможности и то, как они реализованы.
Технология NAT используется для того,
чтобы "закрыть" внутренние адреса локальной сети от
внешних программ за одним или несколькими выделенными
адресами. Эта технология обеспечивает возможность
создания неограниченного адресного пространства
внутренних сетей, независимое от внешних
интернет-адресов и, одновременно, возможность
подключения к Интернету целой локальной сети по одному
зарегистрированному IP-адресу. Как правило, поддержка
NAT устанавливается на одном из интерфейсов. Это должен
быть тот, который связан с Интернетом. (Если установить
поддержку NAT на обоих интерфейсах, коллективных доступ
к Интернету не будет возможен. При двух сетевых платах
будьте особенно внимательны, для какой из них нужно
включить поддержку NAT.) Установка поддержки
преобразования адресов выполняется в настройках
интерфейса. Компьютеры в ЛВС используют WinRoute как
шлюз, но при этом NAT заменяет в пакетах адрес источника
(компьютера в ЛВС) на IP-адрес компьютера, на котором
запущен WinRoute.
|
В процессе преобразования механизм преобразования
адресов создает таблицу протоколирования каждого пакета,
направляемого в Интернет. Модуль NAT содержит таблицу, в
которую записывается информация о каждом соединении. Это
информация об IP-адресе и номере порта источника,
IP-адресе и номере порта приемника, IP-адрес и номере
порта, используемых для модификации пакетов. Для каждой
транзакции назначается уникальный порт, значение
которого меняется в диапазоне от 61000 до 61600. При
поступлении входящих пакетов происходит обратное
преобразование. С помощью механизма NAT IP-адреса
заменяются на основе данных таблицы на внутренние адреса
компьютеров, с которых было инициировано данное
соединение.
Но внутри локальной сети могут быть службы, которые
имеют свои собственные зарегистрированные IP-адреса и к
которым должен быть обеспечен непосредственный доступ из
Интернета (например, веб-, почтовые и ftp-сервера). В
этом случае необходимо воспользоваться назначением
(маппированием) портов, для чего используется
специальный раздел настроек. Фактически при назначении
портов описываются правила, с которыми сравниваются все
входящие пакеты. Если они соответствуют одному из них,
то будут направлены на соответствующий порт назначения.
Используя назначение портов, можно создавать
коммуникационные каналы, через которые может быть
организован доступ к службам внутри ЛВС. Например, если
у вас в ЛВС работает Web-сервер (адрес 192.168.2.100) и
вы хотите открыть к нему доступ из Интернета, вам
необходимо создать порт:
- Protocol :TCP
- Listen IP: <неопределено>
- Listen Port: 80
- Destination IP: указываете IP-адрес WEB-сервера (в
данном примере - 192.168.2.100)
- Destination Port: 80
Для защиты внутренней ЛВС от
незаконного вторжения в тех случаях, когда в ней имеются
компьютеры с постоянными внешними IP-адресами,
используется также фильтрация пакетов. При этом
устанавливаются правила фильтрации для различных типов
протоколов - IP, ICMP, TCP, UDP. В основе настройки
правил фильтрации лежит принцип: блокируется все, что
приходит снаружи и доступно все, что исходит изнутри
локальной сети. Затем начинается описание исключений
(разрешений) для отдельных протоколов и портов. Следует
помнить, что при проверке входящих пакетов правила будут
рассматриваться в строгой очередности (с первого к
последнему) и отрабатываться будет первое соответствие.
Пример не строгой фильтрации входящих пакетов (не
забываем, что эти правила "привязываются" к внешнему
интерфейсу):
- индивидуально разрешаем передачу пакетов с/на
порты с номерами менее 1024 для служб, предоставляемых
для внешнего доступа;
- разрешаем прохождение UDP-пакетов с DNS-серверов,
номер порта для которых равняется 53;
- запрещаем прохождение TCP-пакетов с портом
назначения менее 1024;
- запрещаем прохождение UDP-пакетов с портом
назначения менее 1024.
Фильтрацию пакетов также можно использовать для
ограничения доступа пользователей к определенным
ресурсам Интернета. Например, если необходимо запретить
доступ к ftp-серверам, на внутреннем интерфейсе нужно
записать правило:
- запретить прохождение пакетов на адрес с портом 21
Если в локальной сети используется прокси-сервер, то
можно запретить прямой выход пользователей в Сеть, минуя
прокси. Для этого можно записать следующие правила:
- разрешить прохождение пакетов с адреса прокси на
адрес с портом 80
- запретить прохождение пакетов на адрес с портом 80
Кроме того, при описании правил можно указать, для
каких внутренних IP-адресов или их диапазонов они будут
действовать. Например, можно запретить доступ к
ftp-серверам только определенному диапазону локальных
адресов, тогда остальные будут иметь доступ к этим
сетевым ресурсам. В документации к программе приводится
довольно большое количество примеров, с помощью которых
можно разобраться в описании правил и настроить свои
фильтры так, как это требуется. Мне не удалось настроить
лишь один сервис - видеоконференцию. И то не получилось
лишь из-за того, что компьютер, на котором было
установлено приложение, не имел постоянного внешнего
IP-адреса.
Использование встроенного в программу
DNS-модуля предназначено, в первую очередь, для снижения
нагрузки по обращениям к внешним DNS-серверам. Имея
собственный кэш запросов, программа будет обрабатывать
обращения к внешним сервисам быстрее, просматривая кэш,
и лишь при отсутствии в нем нужной информации будет
обращаться к внешнему DNS-серверу. Для того чтобы
использовать этот сервер DNS, нужно настроить протокол
TCP/IP на клиентской машине. Для этого необходимо ввести
адрес машины, на которой запущен WinRoute, как адрес
DNS-сервера.
Использование прокси-сервера позволяет решать
несколько задач. Во-первых - уменьшение внешнего трафика
за счет использования сохраняемых в кэше просмотренных
страниц. Кроме снижения трафика, увеличивается скорость
доступа. Есть и минус - неудобно работать с часто
обновляемыми страницами (новостные ресурсы, форумы).
Во-вторых, использование прокси позволяет выполнить
дополнительную настройку прав доступа к внешним
ресурсам. Например, вы можете ограничить доступ
определенным пользователям к определенным Web-сайтам.
Запреты могут быть применены к отдельным пользователям,
группам пользователей или отдельным URL'ам.
При настройке прокси-сервера назначаются:
- порт (лучше всего использовать порт по умолчанию -
3128);
- включение кэширования страниц;
- ведение лога посещенных страниц;
- размер кэша (устанавливается максимальный размер
кэша в мегабайтах. Когда кэш превосходит этот лимит,
происходит урезание наполнения кэша до 85% от лимита.
Наиболее "старые" в кэше данные удаляются.);
- разрешение кэширования страницы при "досрочном"
переходе пользователя к другой;
- разрешение на кэширование только структуры
ftp-каталогов;
- срок, в течение которого данные будут храниться в
кэше;
- максимальный размер хранимых объектов. Все, что
больше - кэшироваться не будет.
При использовании кэша встретился с проблемой, что с
течением времени прокси начинает притормаживать,
работает медленнее. Пришлось регулярно останавливать его
работу и запускать заново. Скорость работы после этого
восстанавливалась.
Использование сервера DHCP можно рекомендовать в том
случае, если требуется динамически назначать параметры
TCP/IP локальным компьютерам. Настройка этого сервера
вопросов обычно не вызывает. В качестве параметров
задаются выделяемые для динамического назначения
диапазоны адресов (их может быть несколько), а также
резервируются определенные адреса, которые назначаются
отдельным компьютерам. Выполнив такие настройки и
соответственно настроив локальные компьютеры, вы
получите полноценный DHCP-сервер.
Собственно, вот вкратце и все, что следовало бы
сказать о программе Winroute. Простая в настройках,
стабильная в работе, неприхотливая к используемому
оборудованию - вот ее достоинства для использования в
небольших сетях.
Автор: Михаил Брод
Источник: www.hostinfo.ru
|