SHRIKE74
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Первоначальная настройка
После установки в меню «Пуск – Программы» появилась новая программная группа – WinRoute Pro. Запускаем WinRoute Engine Monitor. В трее появляется значок WinRoute. Если он с красным кирпичиком – сервис WinRoute остановлен. Запустить его можно кликнув по значку правой клавишей мыши и выбрав соответствующий пункт контекстного меню. Помимо этого в этом же меню можно настроить параметры запуска сервиса и его монитора (Preferences). Рекомендуется установить обе галочки («Auto run WinRoute Engine at startup» и «Launch WinRoute Engine Monitor at startup»). Первая запускает собственно сам WinRoute Pro, а вторая – значок в трее. Значок не является обязательным и служит для удобства. Если за этим компьютером работают другие пользователи – монитор лучше не запускать.
Теперь дважды кликаем на значке WinRoute в трее (либо запускаем WinRoute Administra-tion из новой программной группы в меню «Пуск»). В окне аутентификации нажимаем «ОК» - на этапе установки пароль администратора пустой. Сразу же меняем его на безопасный. Захо-дим в меню «Настройки – Учетные записи» (многие меню дублируются значками для быстрого входа – изучите их самостоятельно). Если имеется домен, можно импортировать имена и паро-ли пользователей с него. Для этого в открывшемся меню зайдите в закладку «Дополнительно» и укажите требуемый домен, после чего нажмите «Импорт сведений о пользователях». WinRoute предложит список пользователей, которых можно импортировать. Можно выделить всех или только необходимых при помощи левой клавиши мыши и удерживаемой клавиши Ctrl или Shift. Если Вам не удается получить список пользователей, попробуйте указать NETBIOS-имя домена. Например, вместо «domain.local» указать просто «domain». Пользователей также можно заводить вручную. Перейдя на закладку «Пользователи», дважды кликните по пользователю Admin. Задайте для него пароль, снимите галочку «Использовать средства аутентификации Windows NT» и убедитесь, что галочка «неограниченный доступ к средствам администрирования» установлена для этого пользователя. Рекомендуется хотя бы одному пользователю оставлять статичную, а не доменную авторизацию. Оставьте пользователя Admin, как резервного администратора на случай сбоя контроллера домена. Если вы не хотите производить авторизацию пользователей для доступа к ресурсам через прокси-сервер, а желаете предоставить доступ в интернет напрямую через NAT – пользователей заводить не нужно.
Следующее действие – настройка интерфейсов и NAT. Меню «Настройки – Таблица ин-терфейса». Рекомендую сразу соответственно переименовать интерфейсы для различия внеш-него и внутреннего. Сопоставьте их согласно IP-адресам, отображаемым справа. Например, «Internet» (или «Dial-Up» в случае использования телефонного подключения) и «LAN». В даль-нейшем так и будем называть эти интерфейсы. Это понадобится для удобства настройки пакет-ного фильтра. После переименования дважды щелкните на интерфейсе Internet (или Dial-Up) и проверьте, чтобы галочка «Преобразовывать IP-адреса этого интерфейса во всех случаях уста-новки связи» была установлена, а следующая – «Исключить этот компьютер из списка трансля-ции адресов» - снята. У внутреннего интерфейса обе галки должны быть сняты!
В случае, если вы пользуетесь Dial-Up соединением, необходимо еще настроить парамет-ры подключения. Делается это в меню «Настройки-Таблица интерфейсов-RAS-Удаленный сер-вер». Выбираем требуемое нам соединение или настраиваем новое, а также настраиваем «Под-ключение» и «Параметры». Расшифруем их сверху вниз:
Подключение:
Вручную – инициировать подключение может только администратор (или пользователь с соответствующими правами), через консоль управления.
По требованию – подключение будет инициировано только при попытке клиента обра-титься к внешнему ресурсу. Обычно используется с параметром «Отбой при простое» (см.ниже).
Постоянное – для постоянного подключения к интернет. Рекомендуется использовать с галкой «Восстанавливать связь при разрыве».
Иное – Удобно применять при пользовании «Бизнес-тарифами» (например, неограничен-ное подключение по рабочим дням в рабочее время). Тогда задав в «Настройки-Дополнительно-Временные интервалы» нужные временные отрезки можно гибко настроить свое соединение.
Параметры:
Отбой при простое – разрывает связь при отсутствии любых исходящих запросов по ис-течении заданного интервала.
Автодозвон – количество попыток автодозвона.
Восстанавливать связь при разрыве – автоматически дозванивается при случайной по-тере соединения.
Затем настраиваем ретранслятор DNS, если данный сервер не совпадает с DNS-сервером домена. Меню «Настройки – Ретранслятор DNS” Выставляем галку «Включить ретрансляцию DNS», а также «Перенаправлять запросы DNS на указанный(ые) сервер(а). Вводим DNS-сервер провайдера. Если их несколько - разделяем их точкой с запятой. Ставим галочку «Включить кэш для ускор. ответов на повторные запросы». Если данный сервер совпадает с DNS-сервером домена – «Выключить ретрансляцию DNS».
Proxy-Server
Теперь включаем Proxy-Server. Меню «Настройки – Прокси-сервер». Ставим галки «Включить прокси-сервер» и «Вести журнал доступа к прокси-серверу». Задаем порт 3128 (можно задавать произвольно). Далее рассматривается вариант с портом 3128.
Если необходимо кэшировать запросы к ресурсам (для ускорения доступа), то идем на за-кладку «Кэширование» и выставляем галку «Включить кэширование». Параметры для кэширо-вания задаем по образцу ниже. Расшифруем некоторые из них (остальные интуитивно понят-ны):
«Продолжить после прерывания» - лучше отключить. Задает докачку объектов в кэш, даже если пользователь закрыл окно или отменил закачку объекта. Создает большой лишний трафик. В большинстве случаев абсолютно не нужно.
«Прекратить после прерывания» - лучше включить. В отличии от предыдущей опции – прекращает закачку в кэш, если пользователь отменил процесс открытия.
«Кэшировать только FTP-каталог» - лучше отключить. Задает кэширование только списка файлов FTP.
«Время существ. по сигналу сервера» - полезная опция. Позволяет обновлять информа-цию определенных ресурсов в кэше, если ресурс поддерживает Time-To-Live. Лучше включить.
«Игнорировать кэш-контроль сервера» - лучше выключить. В противном случае ин-формация в кэше будет устаревать, и пользователи не будут видеть обновление ресурсов.
Также рекомендуется увеличить параметры кэша. Примерные параметры можно увидеть на скриншоте. Не стоит сильно увлекаться увеличением этих параметров для слабых систем.
Защита. Пакетный фильтр (FireWall)
Теперь о первичной защите. «Настройки – Дополнительно – Параметры защиты». Реко-мендую задать здесь следующие параметры:
«При поступлении эхо-запроса по протоколу ICMP – Игнорировать запрос»
«При поступлении пакета, не зарегистрированного в таблице преобразования адресов – Игнорировать пакет»
«Пакет, поступивший по протоколу UDP – Допускается к преобразованию адресов при условии, что IP-адрес отправителя зарегистрирован при отправке первого исходящего пакета за пределы ЛВС»
«Параметры регистрации при преобразовании адресов – Входящие TCP-пакеты, не зане-сенные в таблицу преобразования адресов»
– Регистрировать только пакеты с символом синхронизации
– Входящие UDP-пакеты, не занесенные в таблицу преобразования адресов.
– Записывать в файл защиты
– Регистрировать в окне защиты
Помните, что при такой настройке вы отключаете эхо-ответ диагностической утилите ping, поэтому никто, включая техслужбу провайдера, не сможет проверить вашу сеть сна-ружи. Для временного разрешения включите параметр «Отправлять Эхо-ответ по прото-колу ICMP», а также смените на пакетном фильтре для внешнего интерфейса (Internet) правило для входящих по протоколу ICMP на «Разрешить».
Все. Теперь настраиваем защиту от несанкционированного доступа извне – фаерволл (FireWall). В WinRoute это называется Пакетный фильтр. Меню «Настройки – Дополнительно – Фильтр пакетов» либо соответствующая кнопка на панели инструментов.
Отмечаем нужный интерфейс и нажимаем «Добавить». Выбираем протокол, а также на-страиваем разделы «Отправитель» и «Адресат». Помимо этого указываем, что необходимо де-лать с пакетами такого типа: Разрешить, Игнорировать или Запретить.
Вместо «Запретить» рекомендуется использование «Игнорировать». Отличие данных опций состоит в том, что «Запретить» посылает в ответ запрещающий пакет, а «Игнорировать» никаких действий не предпринимает (как будто по сканируемому адресу вообще отсутствует что-либо).
Итак, следующий раздел посвящен настройке пакетного фильтра. Рекомендуется исполь-зовать эту статью для настройки всего, КРОМЕ Пакетного фильтра. Его лучше настраивать по инструкции, ссылка на которую расположена в конце статьи.
Пакетный фильтр правильно настраивать по принципу "Что не разрешено, то запрещено". Сразу рекомендую зайти в меню «Настройки-Таблица интерфейса». Там вы увидите список установленных у вас интерфейсов. Очень внимательно переименуйте их (если вы не сделали этого на предыдущих шагах), например в Internet и LAN (Internet - сетевая карточка либо другой интерфейс, который смотрит наружу, а LAN - сетевая карточка, которая смотрит в локальную сеть). Сделав это один раз, вы не будете потом путаться в настройках, какой интерфейс внешний, а какой внутренний. Далее будут использоваться именно эти обозна-чения.
Заходим в меню «Настройки – Дополнительно – Фильтр пакетов». Там видим несколько сетевых интерфейсов (смотря сколько их у вас установлено). Обычная ситуация - их 2 (исполь-зуемых). Остальные - просто так (например, если у вас выделенный канал, то наружу смотрит сетевая карточка, но помимо этого есть модем на материнской плате, он там тоже отобразится как RAS). Там видим две закладки: Входящие и Исходящие.
Чтобы добавить правило на нужный интерфейс надо выделить его и нажать «Добавить». Появится такое окно:
ВНИМАНИЕ! Правила рассматриваются СВЕРХУ ВНИЗ! Поэтому правила, запрещаю-щие все, должны находиться в самом низу, а выше необходимо выставить разрешающие что-либо правила. Для этого предназначены стрелки слева от правил.
Чаще всего ошибки при настройке фильтра по данной инструкции заключаются как раз в не-правильном расположении фильтров - при "настройке с листа" по данной инструкции все за-прещающие правила окажутся на самом верху, что неправильно. Будьте внимательны! Новые создаваемые по нижеприведенной схеме правила необходимо сразу поднимать стрелками вверх. В тексте статьи указано ОКОНЧАТЕЛЬНОЕ их расположение в таблицах Пакетного фильтра.
На рисунке приведен пример настройки и расположения правил:
Настраиваем во всех случаях такие ЗАПРЕЩАЮЩИЕ ВСЕ ПРАВИЛА:
Входящие (Internet):
■ Игнорировать IP Любой адрес => Любой адрес - запрещает все входящие пакеты
Исходящие (Internet):
■ Игнорировать IP Любой адрес => Любой адрес - запрещает все входящие пакеты
Необходимо их выставить самыми последними в списке.
Все. Теперь мы точно знаем, что ни к нам, ни от нас, ни один пакет не пройдет.
Далее нам необходимо настроить разрешения.
Рассмотрим пример организации, в которой работают с HTTP через Proxy-сервер, функциони-рует ICQ, имеется корпоративный почтовый сервер, пользователи работают со своих рабочих мест напрямую с внешними почтовыми ящиками (POP3 или IMAP), могут отсылать почту не только через корпоративный SMTP, но и через внешние SMTP-серверы (многие бесплатные почтовые службы), а также имеют доступ к внешним FTP, NNTP (News) серверам.
Помимо этого, корпоративный почтовый сервер допускает подключения к нему снаружи по протоколу POP3, а также снаружи доступен внутренний Web-server по HTTP. Еще в органи-зации имеется свой внутренний FTP-сервер, к которому необходимо дать доступ снаружи.
Далее будет приведен пример настройки всех описанных возможностей с комментариями у каждого правила. Если ваша организация не использует что-либо из описанных воз-можностей - правила с соответствующими комментариями СОЗДАВАТЬ НЕ НАДО.
Клиенты локальной сети имеют IP-адреса 192.168.0.10-192.168.0.254 и входят в адресную группу Clients (можно задать в «Настройки-Дополнительно-Группы адресов»)
Proxy-IP - внутренний IP-адрес компьютера с WinRoute (LAN).
External-IP - IP-адрес внешнего интерфейса (Internet).
Итак:
Входящие/Internet (внешний интерфейс, входящие пакеты - см.выше):
■ Игнорировать TCP Любой адрес Любой порт -> Любой адрес Порт 3128 (Запрет использо-вать Proxy снаружи - укажите порт, на котором работает прокси-сервер. По умолчанию 3128)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт 20,21 (внутренний FTP сна-ружи)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт 80 (внутренний HTTP снару-жи)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт 110 (внутренний POP3 снару-жи)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт 143 (внутренний IMAP сна-ружи)
■ Разрешить UDP <DNS-сервер провайдера> Порт 53 -> External-IP Порт >1023 (DNS-ответы от провайдера)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порты В диапазоне 45000-65000 (выставить галку «Только установленные соединения) (ответы на TCP-IP запросы)
■ Разрешить TCP Любой адрес Порты В диапазоне (20-21) -> External-IP Порты В диапазоне 45000-65000 (ответы на активные соединения FTP)
+ описанное выше запрещающее правило
Входящие/LAN (внутренний интерфейс, входящие пакеты- см.выше):
В принципе, здесь правила необязательны. Можно добавлять, например, запрет на обращение к Proxy-серверу от определенных IP (например, с сервера с IP-адресом 192.168.0.1):
■ Игнорировать 192.168.0.1 Любой порт -> Proxy-IP Порт 3128
Исходящие/Internet (внешний интерфейс, исходящие пакеты - см.выше):
■ Разрешить TCP Corporate_Web_Server-IP Порт 80 -> Любой адрес Порт >1023 (ответы внутреннего Web-Server'а наружу)
■ Разрешить TCP Corporate_PO3_Server-IP Порт 110 -> Любой адрес Порт >1023 (ответы внутреннего почтового сервера по POP3 наружу)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 20,21 (внешние FTP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 25 (внешние SMTP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 110 (внешние POP3 для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 143 (внешние IMAP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 119 (внешние NEWS для клиен-тов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 5190 (ICQ для клиентов)
■ Разрешить TCP External-IP Любой порт -> Любой адрес Любой порт (выпускает сам шлюз наружу - необходимо практически во всех случаях)
■ Разрешить TCP Internal-IP Любой порт -> Любой адрес Любой порт (выпускает сам шлюз наружу - необходимо практически во всех случаях)
■ Разрешить UPD External-IP Порт>1023 -> <DNS-сервер провайдера> Порт 53 (DNS запро-сы провайдеру)
+ описанные выше запрещающие правила.
Настройка пакетного фильтра для Dial-Up c динамическим внешним адресом отличается от приведенного примера. При отсутствии постоянного IP теряют смысл правила, вклю-чающие External IP. Единственный выход - использовать весь диапазон адресов, выда-ваемых провайдером при подключении, тогда круг сузится. Для этого необходимо узнать в технической службе вашего провайдера этот диапазон и создать группу адресов External-IP, включающую в себя именно этот диапазон. («Настройки-Дополнительно-Группы адресов»). Далее приведен именно этот вариант. Более простое решение просто заменить все External-IP на «Любой адрес»
Входящие/Internet (внешний интерфейс, входящие пакеты - см.выше):
■ Игнорировать TCP Любой адрес Любой порт -> Любой адрес Порт 3128 (запрет использо-вать Proxy снаружи - укажите порт, на котором висит прокси-сервер - по умолчанию 3128)
■ Разрешить UDP <DNS-сервер провайдера> Порт 53 -> External-IP >1023 (DNS-ответы от провайдера)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт В диапазоне(45000-65000) (выставить галку «Только установленные соединения) - (ответы на запросы)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт В диапазоне(45000-65000) (ответы на активные соединения FTP)
+ описанные в начале статьи запрещающие правила для всех случаев.
Для исходящих создаем только такие правила:
Исходящие/Internet (внешний интерфейс, исходящие пакеты - см.выше):
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 20,21 (внешние FTP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 25 (внешние SMTP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 110 (внешние POP3 для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 143 (внешние IMAP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 119 (внешние NEWS для клиен-тов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 5190 (ICQ для клиентов)
В следующих правилах желательно в качестве источника указать весь возможный диапазон получаемых адресов (см.выше ссылку про адресную группу External-IP). Можно использовать вместо External-IP и «Любой адрес», но тогда клиенты смогут выходить наружу минуя фильт-ры:
■ Разрешить TCP External-IP Любой порт -> Любой адрес Любой Порт (выпускает сам шлюз - необходимо практически во всех случаях).
■ Разрешить TCP Internal-IP Любой порт -> Любой адрес Любой Порт (выпускает сам шлюз - необходимо практически во всех случаях).
■ Разрешить UPD External-IP Порт>1023 -> <DNS-сервер провайдера> Порт 53 (DNS запро-сы провайдеру)+ описанные выше запрещающие правила.
Если что-то в настройке пакетного фильтра у Вас не получилось – рекомендую попробовать настроить по инструкции в моем Online-FAQ, так как там я ее периодически правлю, а данная статья серьезно изменялась только один раз. Ссылка на FAQ и на форум, где меня можно найти приведена в конце статьи.
Помимо этого, в WinRoute есть очень много недокументированных возможностей, настраивае-мых через реестр. Но это является темой отдельной статьи. Например, фактически, NAT ис-пользует только определенный диапазон портов, задаваемый через реестр. Более подробно об этом можно прочитать на сайте моего коллеги Walker’a, создавшего систему ограничения тра-фика для WinRoute Pro и оказавшего неоценимую помощь в тестировании статьи: http://wrspy.nm.ru/key.htm
Распределение портов
Теперь настраиваем Распределение портов (нужно только если вы хотите разрешить кли-ентам снаружи получать доступ к внутисетевым сервисам). Например забирать почту с внут-реннего почтового сервера, видеть внутренний Web-Server, пользовать внутренним FTP-сервером и т.д.)
Эти опции удобны при наличии статического (постоянного) внешнего адреса.
Заходим в «Настройки-Дополнительно-Распределение портов». Создаем следующие пра-вила:
Для FTP:
Протокол - TCP,
Ожидание сигнала по IP - внешний IP (External-IP),
Прослушивание порта – В диапазоне 20 до 21,
IP адресата - IP внутреннего FTP-сервера,
Порт адресата=20 до 21.
Для POP3:
Протокол - TCP,
Ожидание сигнала по IP - внешний IP (External-IP),
Прослушивание порта - Одиночного=110,
IP адресата - IP внутреннего POP3-сервера,
Порт адресата=110
Для Web-server:
Протокол - TCP,
Ожидание сигнала по IP - внешний IP (External-IP),
Прослушивание порта - Одиночного=80,
IP адресата - IP внутреннего Web-сервера,
Порт адресата=80
В заключении хочется сказать, что Распределение портов – очень удобный инструмент, при помощи которого можно перебрасывать практически любые IP запросы с внешнего адреса во внутреннюю сеть, фильтруя при этом нежелательные.
Например, если Вы установили внутри локальной сети на своем компьютере программу Remote Administrator и хотите получить доступ к своему рабочему столу из дома, Вам необхо-димо добавить следующие правила в Распределение портов:
Протокол - TCP,
Ожидание сигнала по IP - внешний IP (External-IP),
Прослушивание порта - Одиночного=4899 (порт Remote Administrator по умолчанию),
IP адресата – внутренний IP компьютера с запущенным Remote Administrator,
Порт адресата=4899
Все. Установите дома клиента и настройте его на обращение внешнему IP вашей организации (External-IP). Все ваши запросы будут автоматически переброшены на ваш рабочий компьютер. БУДЬТЕ ВНИМАТЕЛЬНЫ С НАСТРОЙКОЙ РАСПРЕДЕЛЕНИЯ ПОРТОВ! Не защитив дос-туп соответствующим образом, вы рискуете предоставить его и злоумышленникам.
Настройка клиентов.
На клиентах настраиваем следующие TCP/IP параметры:
Шлюз по умолчанию (Default Gateway) - внутренний IP сервера с WinRoute. Сервер DNS: тот же IP в случае отсутствия домена Active Directory или DNS-сервер домена, если AD поднят (см.выше). Если клиент Win98, то имя компьютера в настройках DNS - его имя в сети. Домен – локальный домен, или рабочая группа.
Все. Перегружаем клиента, и он считает, что подключен к интернет напрямую.
Помимо этого, в свойствах браузеров клиентов прописываем «Использовать прокси»
Например, для русской версии Internet Explorer 6 это: «Сервис-Свойства обозревателя – Подключения – Настройка LAN». Там выставляем две галочки: Использовать прокси-сервер…» и «Не использовать прокси-сервер для локальных адресов». В поле «Адрес» задаем имя или IP-адрес нашего прокси-сервера (в нашем случае 192.168.0.23) и порт, на котором у нас работает сам прокси-сервер (3128 по умолчанию). То же самое для других программ, предусматривающих подключение через прокси-сервер.
Если хочется чтобы клиенты абсолютно полноценно пользовались интернетом без всяких ограничений, следует добавить такое правило в начало списка правил Исходящие/Internet:
Разрешить TCP Clients Любой порт -> Любой адрес Любой Порт
При такой настройке прокси-сервер вообще не нужен, его можно не прописывать клиен-там и даже не включать. Использование прокси-сервера дает возможность вести журнал досту-па пользователей к ресурсам.
Для предоставления прямого доступа клиентов в интернет только по протоколам HTTP и HTTPs (просмотр Web-страниц) следует вместо приведенного выше правила добавить два та-ких:
Разрешить TCP Clients Любой порт -> Любой адрес Порт 80
Разрешить TCP Clients Любой порт -> Любой адрес Порт 443
В завершении статьи хотелось бы обратить внимание, что WinRoute Pro является доста-точно мощным и универсальным средством для предоставления общего доступа в интернет и данная статья является лишь «надводной частью айсберга». Если Вас заинтересовало развитие темы конфигурирования общего доступа в интернет на базе данного программного продукта, то в следующих статьях мы рассмотрим такие популярные темы, как «Настройка системы ограничения трафика на базе сервера WinRoute Pro», «Использование встроенного почтового сервера WinRoute Pro» и «Тонкая настройка, полезные советы и недокументированные возможности».
|
-Дай знать -интересно ... 
