Прокси-сервер для домашних сетей

11.11.2010

Для подключения локальных сетей к Интернету используется специальное программное обеспечение — прокси-сервер. Основная задача таких программ — организовать доступ к Сети с нескольких компьютеров по одному каналу. Чаще всего потребность в этом возникает в офисных сетях, но с помощью этих же инструментов можно обеспечить доступ в Интернет и с объединенных в сеть домашних компьютеров.

Для подключения локальных сетей к Интернету используется специальное программное обеспечение — прокси-сервер. Основная задача таких программ — организовать доступ к Сети с нескольких компьютеров по одному каналу. Чаще всего потребность в этом возникает в офисных сетях, но с помощью этих же инструментов можно обеспечить доступ в Интернет и с объединенных в сеть домашних компьютеров.

В этой статье

  • Что нового в UserGate 5
  • Управление трафиком
  • Пара слов о безопасности
  • Прокси-сервер в домашней сети
  • Практические шаги по настройке

Первоначально прокси-серверы были достаточно примитивными программами, для настройки которых необходимы были серьезные знания сетевых технологий. Сегодня ситуация на рынке коренным образом изменилась: прокси-серверы стали гораздо проще, но при этом и функциональнее. Эти программы постоянно развиваются, приобретая все новые и новые возможности. Ярким примером этому служит разработка компании Entensys — прокси-сервер UserGate, обновившийся недавно до пятой версии.

СЕТЕВЫЕ ТЕХНОЛОГИИ: Что нового

Одна из принципиальных особенностей прокси-сервера UserGate — поддержка NAT (Network Address Translation — трансляция сетевых адресов). Эта технология используется для подмены IP-адресов при прохождении сетевых пакетов. В исходящих пакетах адрес отправителя заменяется на адрес интернет-шлюза, а во входящих — адрес интернет-шлюза на адрес одного из «внутренних» компьютеров. Это позволяет, имея только один «реальный» IP-адрес, пользоваться Интернетом нескольким компьютерам с «внутренними» адресами.

Технологию NAT отличает ряд преимуществ перед другими, используемыми в прокси-серверах — в частности, не требуется настройка каждой программы на локальном компьютере для работы через прокси-сервер.

В пятой версии UserGate расширена функциональность драйвера NAT, который помимо обеспечения подключения к Интернету может выполнять и роль маршрутизатора для локальных сетей.


Просмотр веб-cтатистики интересен не только из любопытства Следующим серьезным нововведением стала система статистики.

В старых версиях UserGate для работы со статистической информацией, касающейся использования Интернета, применялось специальное приложение — с его помощью можно было просматривать данные в табличном представлении. В пятой версии прокси-сервера UserGate появилась веб-статистика. Для работы с ней не нужно никаких клиентов — вполне достаточно обычного браузера. Основное преимущество такого решения — возможность удаленного контроля статистики через Интернет. в новом варианте данные можно просматривать в виде графиков и диаграмм, что дает статистике большую наглядность, а также использовать это для составления различных отчетов.


Просмотр статистики с помощью клиента программы дает более полную информацию о приложениях В этом же модуле появилось разделения прав доступа: теперь администратор может разрешить простым пользователям просматривать только свою статистику, а ответственным за учет — все данные. Правда, есть у этого модуля и недостаток: локальный вебсервер сильно нагружает интернет-шлюз.

Еще одно значительное изменение, появившееся в пятой версии UserGate, — расширение числа поддерживаемых протоколов. К их списку добавились SIP и Н.323 — они используются для организации систем IP-телефонии.

В последнее время этот вид связи получает все большее распространение, так что появление ее поддержки в прокси-сервере не может не радовать. Кстати, с протоколом Н.323 связано еще одно интересное нововведение: UserGate может использоваться в качестве локальной АТС благодаря появившейся в ней функции так называемого привратника.

Это один из модулей контроллера зоны в сетях IP-телефонии стандарта Н.323. В его обязанности входит, помимо прочего, преобразование alias-адреса в транспортный адрес сети с маршрутизацией пакетов IP (IP-адрес и номер порта TCP). To есть благодаря привратнику в прокси-сервере UserGate каждому пользователю можно присвоить собственный alias-адрес, после чего осуществлять звонки внутри сети (с использованием стандарта Н.323) совершенно бесплатно.

А тем пользователям, которым требуется повышенная надежность доступа в Интернет, наверняка понравится функция резервирования интернет-канала. Суть ее довольно проста: если у интернет-шлюза есть два подключения к Глобальной сети, то один из них может быть выбран в качестве основного, а второй — в качестве резервного. Первый канал используется постоянно. Если по какой-то причине доступ до указанных хостов по нему пропадет, прокси-сервер автоматически переключится на резервный канал, в результате чего пользователи смогут продолжить свою работу. При этом UserGate будет периодически проверять доступность основного канала и, как только он восстановится, вернется на него.

АДМИНИСТРИРОВАНИЕ: Управление трафиком


Настроить правила сетевого экрана не сложнее, чем в известных брандмауэрах В UserGate реализовано несколько механизмов управления интернет-трафиком. Самый простой из них — групповые и пользовательские политики. Администратор может с помощью правил запретить доступ определенных пользователей к конкретным сайтам, установить ограничение на объем входящего или исходящего трафика, при достижении которого выход в Интернет будет автоматически закрываться, задать список разрешенных и запрещенных протоколов и т. д. Это базовые функции, которые были реализованы и в предыдущей версии прокси-сервера.


Редактирование списка пользователей. Здесь необходимо выбрать способ авторизации Новинкой пятой версии UserGate, касающейся управления трафиком, является внедрение в него продуктов компании Bright Cloud Inc.

Речь идет о BrightCloud Service и BrightCloud Master Database. Эти модули предназначены для ограничения доступа пользователей к сайтам определенных категорий. в частности, с их помощью можно закрыть всевозможные развлекательные проекты, сайты для взрослых, варез-порталы и т. п. В домашних условиях данная функция может быть использована для родительского контроля, а при корпоративном использовании прокси-сервера — повышать производительность труда и усиливать безопасность путем уменьшения риска загрузки на компьютеры конечных пользователей вирусов и троянских программ.

В новой же версии к этим возможностям добавился еще и весьма интересный модуль Traffic Manager. На нем стоит остановиться немного подробнее. Дело в том, что данный модуль позволяет очень гибко управлять трафиком и регулировать текущую загрузку интернет-канала. В частности, с его помощью можно зарезервировать определенную его часть под НТТР-трафик.

Благодаря этому посещение сайтов для пользователей всегда будет комфортным, даже несмотря на то что кто-то из «соседей» по локальной сети активно качает файлы с FTP-сервера.

Помимо этого в модуле Traffic Manager есть и другой вид правил — с их помощью можно резервировать часть интернет-канала под конкретных пользователей или их группы. То есть фактически можно указать тех людей, у кого Интернет всегда должен работать на высокой скорости, и тех, кому доступ предоставляется по остаточному принципу. Но и это еще не все.

UserGate позволяет добавлять правила, ограничивающие скорость по конкретным TCP- и UDP-портам или целым их диапазонам.

ВЫБОР ЕСТЬ: Что лучше для домашней сети

Внимательно ознакомившись со всеми нововведениями, появившимися в пятой версии прокси-сервера UserGate, можно заметить их «корпоративную» направленность. И в этом, в общем-то, нет ничего удивительного. Большая часть коммерческих прокси-серверов предназначена для подключения к Интернету офисов компаний, интернет-клубов и т. п.

Однако в Интернете можно найти и абсолютно бесплатные прокси-серверы. В качестве примера можно отметить программу SmallProxy.

Это достаточно функциональный (для бесплатного) продукт, в котором реализована поддержка групп и пользователей, системы кеширования, фильтрация сайтов, блокировка портов и ведение подробной статистики.

Так что же выбрать — UserGate или бесплатный вариант? Однозначного ответа на этот вопрос быть не может: все зависит от поставленной задачи. Например, для подключения к Интернету офисов больше подходят коммерческие продукты, ведь за счет большей стабильности работы и простоты настройки снижается стоимость их сопровождения.

А гибкая система управления трафиком обеспечивает точное соблюдение корпоративной политики в области использования Интернета, что совместно с кешированием и фильтрацией рекламы позволяет сократить расходы на доступ к Глобальной сети.

Для домашних же пользователей многие из этих функций не нужны.

Кому, к примеру, может понадобиться биллинговая система, если предполагается подключить к Интернету компьютер и ноутбук из одной квартиры? Так что в ряде случаев вполне можно обойтись бесплатными вариантами: в них есть почти все необходимое для решения поставленной задачи.

Впрочем, есть ситуации, когда функции UserGate могут пригодиться в домашних сетях — например, если необходимо подключить к Интернету локальную сеть, объединяющую несколько квартир в одном доме. В этом случае можно назначить один ПК в качестве интернет-шлюза и обойтись одним каналом на всех. В небольших населенных пунктах в регионах использование UserGate вкупе с организацией единого канала связи (спутниковая тарелка или выделенная линия) может дать существенную экономию как в процессе запуска системы (за счет сокращения расходов на организацию интернет-каналов), так и в ходе ее эксплуатации (при большем потреблении цена трафика снижается).

Пара слов о безопасности

Наверное, сегодня уже никому не надо долго объяснять, что Интернет — небезопасная среда, где угрозу представляют не только вирусы, но и хакерские атаки. Оптимальным вариантом защиты от них является многоуровневая система безопасности. Суть ее заключается в последовательной проверке трафика сначала на уровне интернет-шлюза, а потом на уровне конечной рабочей станции. В UserGate есть средства защиты от внешних угроз. Для защиты от вирусов применяются два антивирусных ядра от известных производителей — Лаборатории Касперского и Panda Software.


Антивирусный щит — неотъемлемая часть нового UserGate Они могут использоваться как отдельно друг от друга, так и вместе. Зато в новой версии UserGate заметно обновился межсетевой экран, с помощью которого можно четко определить доступные порты.

Естественно, в современных условиях этого недостаточно — хотелось бы иметь активную систему защиты наподобие IDS (Intrusion Detection System), которая способна обнаружить и заблокировать атаку, осуществляемую через разрешенный порт. Тем не менее, межсетевой экран UserGate вполне может выполнять роль защиты первого уровня, при условии, что на рабочих станциях будут использоваться собственные брандмауэры. С клиентского модуля межсетевого экрана можно задать строго определенный круг программ, которые смогут подключаться к Глобальной сети — остальным доступ будет закрыт. Это должно обезопасить пользователя от многих видов троянских программ. Кроме того, межсетевой экран UserGate позволяет вести учет трафика по каждому приложению в отдельности.

ДОМАШНИй ПРОКСИ-СЕРВЕР: Практические шаги по настройке UserGate

Настройка прокси-сервера UserGate не очень сложна, но все же требует от пользователя определенных знаний в области сетевых технологий.


Настройка прокси-сервера вполне по силам даже простому пользователю Предполагается, что машина, на которую ставится прокси-сервер, оснащена двумя сетевыми картами. Поэтому начнем с выбора WAN-интерфейса (сетевой карты, «смотрящей» в Интернет) и LAN-интерфейса (сетевой карты для работы в локальной сети). В том случае, если интернет-шлюз подключен к нескольким провайдерам, WAN-интерфейсов может быть больше одного.

Следующий шаг — настройка сетевого экрана. Создайте правила, разрешающие прохождение нужного трафика. В частности, для посещения веб-сайтов нужно открыть HTTP-трафик. Для этого необходимо правило, разрешающее передачу данных по 80-му и 443-му (для HTTPS) TCP-портам. В качестве источника укажите сетевую карту локальной сети, а приемника — нужный WAN-интерфейс. Правила создаются с помощью удобного пошагового мастера. Подобным образом разрешите работу всех используемых вами протоколов — FTP, SMTP, POP3 и т. д.

После этого перейдите на вкладку «Настройка прокси» и включите нужные прокси-серверы (HTTP, FTP и т. д.). При этом в их настройках активируйте интерфейсы, которые будут «прослушиваться» (в подавляющем большинстве случаев это сетевая карта локальной сети и адрес 127.0.0.1).

В случае если необходимо использовать технологию NAT, включите чекбокс «Прозрачный прокси». Как мы уже говорили, это наиболее оптимальный вариант организации совместного доступа к Интернету. Тем не менее, в некоторых случаях лучше применять стандартный прокси-сервер. в частности, он рекомендуется при использовании медленных соединений (в нем реализован режим кеширования) и при необходимости фильтрации сайтов по категориям (в случае с NAT она невозможна). В этом случае отключите чек-бокс «Прозрачный прокси», а в настройках браузеров конечных пользователей введите в качестве прокси-сервера адрес интернет-шлюза.

Настало время настроить DNS.

Самым простым методом является DNS-форвардинг.

Суть его заключается в пересылке прокси-сервером DNS-запросов на DNS-сервер провайдера. Для начала использования DNS-форвардинга просто включите его в разделе «Сервис» и установите в настройках сетевого подключения компьютеров конечных пользователей в качестве DNS-сервера IP-адрес интернет-шлюза.

Ситуация несколько осложняется, если в локальной сети уже есть свой DNS-сервер. В этом случае разрешите ему передавать запросы вышестоящему серверу (DNS-серверу провайдера), после чего создайте в прокси-сервере специального пользователя с IP-адресом локального DNS-сервера и разрешением работы по порту UDP 53.

Завершаем первичную настройку созданием пользователей. При необходимости разбейте их на категории и создайте группы, указывая для каждой из них определенный набор правил. Например, кому-то можно открыть протокол FTP, а кому-то нет. Кому-то разрешить просматривать сайты, а кому-то только работать с почтой. После этого укажите пользователей. к ним автоматически применяются правила, установленные для группы.

Дополнительно можно установить и персональные права и ограничения.

Указывая пользователей, выберите способ их авторизации.

Доступно много вариантов, начиная просто с указания IP-адреса или IP-адреса и МАС-адреса, и заканчивая авторизацией по учетной записи в Active Directory. Часть из них не требует никаких настроек, однако для использования сложных вариантов, например по Active Directory, на ПК пользователей необходимо установить специальную программу, которая поставляется в комплекте с UserGate.

На этом первичную настройку прокси-сервера можно считать законченной. После завершения этих действий совместный доступ к Интернету будет работать.