Главная В помощь малому бизнесу

Обзор прокси-сервера UserGate - комплексного решения для предоставления общего доступа в интернет. Настройка Usergate - учет интернет трафика в локальной сети Usergate установка

28.06.2020

Сегодня руководство, наверное, уже всех компаний оценило по достоинству те возможности, которые предоставляет Интернет для ведения бизнеса. Речь идет, конечно же, не об интернет-магазинах и электронной торговле, которые, как ни крути, сегодня являются больше маркетинговыми инструментами, нежели реальным способом увеличения оборота товаров или услуг. Глобальная сеть является отличной информационной средой, практически неисчерпаемым источником самых разнообразных данных. Кроме того, она обеспечивает быструю и дешевую связь как с клиентами, так и с партнерами фирмы. Нельзя сбрасывать со счетов и возможности Интернета для маркетинга. Таким образом, получается, что Глобальную сеть, в общем-то, можно считать многофункциональным бизнес-инструментом, который может повысить эффективность выполнения сотрудниками компании своих обязанностей.

Впрочем, для начала необходимо предоставить этим сотрудникам доступ к Интернету. Просто подключить один компьютер к Глобальной сети сегодня не проблема. Существует много способов, как это можно сделать. Также найдется немало компаний, предлагающих практическое решение данной задачи. Вот только вряд ли Интернет на одном компьютере сможет принести фирме заметную пользу. Доступ к Сети должен быть у каждого сотрудника с его рабочего места. И здесь нам не обойтись без специального программного обеспечения, так называемого прокси-сервера. В принципе возможности операционных систем семейства Windows позволяют сделать любое соединение с Интернетом общим. В этом случае доступ к нему получат другие компьютеры из локальной сети. Впрочем, это решение вряд ли стоит рассматривать хоть сколько-нибудь серьезно. Дело в том, что при его выборе придется забыть о контроле над использованием Глобальной сети сотрудниками компании. То есть любой человек с любого корпоративного компьютера может выйти в Интернет и делать там все что угодно. А чем это грозит, наверное, никому объяснять не нужно.

Таким образом, единственный приемлемый для компании способ организации подключения всех компьютеров, входящих в корпоративную локальную сеть, - это прокси-сервер. Сегодня на рынке присутствует немало программ этого класса. Но мы будем говорить только об одной разработке. Она называется UserGate, а создали ее специалисты компании eSafeLine. Главными особенностями этой программы являются широкие функциональные возможности и очень удобный русскоязычный интерфейс. Кроме того, стоит отметить, что она постоянно развивается. Недавно на суд общественности была представлена новая, уже четвертая версия этого продукта.

Итак, UserGate. Этот программный продукт состоит из нескольких отдельных модулей. Первый из них - непосредственно сам сервер. Он должен быть установлен на компьютере, напрямую подключенном к Интернету (интернет-шлюзу). Именно сервер реализует доступ пользователей в Глобальную сеть, осуществляет подсчет использованного трафика, ведет статистику работы и т. п. Второй модуль предназначен для администрирования системы. С его помощью ответственный сотрудник осуществляет всю настройку прокси-сервера. Главной особенностью UserGate в этом плане является то, что модуль администрирования не обязательно должен быть размещен на интернет-шлюзе. Таким образом, речь идет об удаленном управлении прокси-сервером. Это очень хорошо, поскольку системный администратор получает возможность управлять доступом в Интернет непосредственно со своего рабочего места.

Помимо этого в состав UserGate входят еще два отдельных программных модуля. Первый из них нужен для удобного просмотра статистики использования Интернета и построения отчетов на ее основе, а второй - для авторизации пользователей в некоторых случаях. Такой подход прекрасно сочетается с русскоязычным и интуитивно понятным интерфейсом всех модулей. Все вместе это позволяет быстро и без каких-либо проблем настроить общий доступ к Глобальной сети в любом офисе.

Но давайте все-таки перейдем к разбору функциональных возможностей прокси-сервера UserGate. Начать нужно с того, что в этой программе реализовано сразу же два разных способа настройки DNS (самая, пожалуй, важная задача при реализации общего доступа). Первый из них - NAT (Network Address Translation - преобразование сетевых адресов). Он обеспечивает очень точный учет потребленного трафика и позволяет пользователям применять любые разрешенные администратором протоколы. Правда, стоит отметить, что некоторые сетевые приложения в этом случае будут работать некорректно. Второй вариант - DNS-форвардинг. Он имеет большие ограничения по сравнению с NAT, но зато может использоваться на компьютерах с устаревшими операционными семействами (Windows 95, 98 и NT).

Разрешения на работу в Интернете настраиваются с помощью понятий "пользователь" и "группа пользователей". Причем, что интересно, в прокси-сервере UserGate пользователь - это не обязательно человек. Его роль может выполнять и компьютер. То есть в первом случае доступ в Интернет разрешается определенным сотрудникам, а во втором - всем людям, севшим за какой-то ПК. Естественно, при этом используются разные способы авторизации пользователей. Если речь идет о компьютерах, то их можно определять по IP-адресу, связке IP- и MAC-адресов, диапазону IP-адресов. Для авторизации же сотрудников могут использоваться специальные пары логин/пароль, данные из Active Directory, имя и пароль, совпадающие с авторизационной информацией Windows, и т. д. Пользователей для удобства настройки можно объединять в группы. Такой подход позволяет управлять доступом сразу же всех сотрудников с одинаковыми правами (находящихся на одинаковых должностях), а не настраивать каждую учетную запись по отдельности.

Есть в прокси-сервере UserGate и собственная биллинговая система. Администратор может задавать любое количество тарифов, описывающих, сколько стоит одна единица входящего или исходящего трафика или времени подключения. Это позволяет вести точный учет всех расходов на Интернет с привязкой к пользователям. То есть руководство компании всегда будет знать, кто сколько потратил. Кстати, тарифы можно сделать зависимыми от текущего времени, что позволяет в точности воспроизвести ценовую политику провайдера.

Прокси-сервер UserGate позволяет реализовывать любую, сколь угодно сложную политику корпоративного доступа к Интернету. Для этого используются так называемые правила. С их помощью администратор может задать ограничения для пользователей по времени работы, по количеству отправленного или принятого трафика за день или месяц, по количеству используемого времени за день или месяц и т. д. В случае превышения этих лимитов доступ к Глобальной сети будет автоматически перекрываться. Кроме того, с помощью правил можно ввести ограничения на скорость доступа отдельных пользователей или целых их групп.

Другим примером использования правил являются ограничения на доступ к тем или иным IP-адресам или их диапазонам, к целым доменным именам или адресам, содержащим определенные строки, и т. д. То есть фактически речь идет о фильтрации сайтов, с помощью которой можно исключить посещение сотрудниками нежелательных веб-проектов. Но, естественно, это далеко не все примеры применения правил. С их помощью можно, например, реализовать переключение тарифов в зависимости от загружаемого в данный момент сайта (необходимо для учета льготного трафика, существующего у некоторых провайдеров), настроить вырезание рекламных баннеров и т. п.

Кстати, мы уже говорили, что у прокси-сервера UserGate есть отдельный модуль для работы со статистикой. С его помощью администратор может в любой момент просмотреть потребленный трафик (общий, по каждому из пользователей, по группам пользователей, по сайтам, по IP-адресам серверов и т. п.). Причем все это делается очень быстро с помощью удобной системы фильтров. Кроме того, в данном модуле реализован генератор отчетов, с помощью которого администратор может составлять любую отчетность и экспортировать ее в формат MS Excel.

Очень интересным решением разработчиков является встраивание в файрвол антивирусного модуля, который контролирует весь входящий и исходящий трафик. Причем они не стали изобретать велосипед, а интегрировали разработку "Лаборатории Касперского". Такое решение гарантирует, во-первых, действительно надежную защиту от всех зловредных программ, а во-вторых, регулярное обновление баз данных сигнатур. Другой важной в плане информационной безопасности возможностью является встроенный файрвол. И вот он-то был создан разработчиками UserGate самостоятельно. К сожалению, стоит отметить, что интегрированный в прокси-сервер файрвол довольно серьезно отличается по своим возможностям от ведущих продуктов в этой области. Собственно говоря, речь идет о модуле, осуществляющем простую блокировку трафика, идущего по указанным администратором портам и протоколам к компьютерам с заданными IP-адресами и от них. В нем нет ни режима невидимости, ни некоторых других, в общем-то, обязательных для файрволов функций.

К сожалению, одна статья не может включить подробный разбор всех функций прокси-сервера UserGate. Поэтому давайте хотя бы просто перечислим наиболее интересные из них, не вошедшие в наш обзор. Во-первых, это кеширование загруженных из Интернета файлов, что позволяет реально экономить деньги на услугах провайдера. Во-вторых, стоит отметить функцию Port mapping, которая позволяет привязать любой выбранный порт одного из локальных Ethernet-интерфейсов к нужному порту удаленного хоста (эта функция необходима для работы сетевых приложений: системы типа банк - клиент, различные игры и т. п.). Помимо этого в прокси-сервере UserGate реализованы такие возможности, как доступ к внутренним корпоративным ресурсам, планировщик заданий, подключение к каскаду прокси, мониторинг трафика и IP-адресов активных пользователей, их логинов, посещенных URL-адресов в режиме реального времени и многое, многое другое.

Ну а теперь пришла пора подвести итоги. Мы с вами, уважаемые читатели, довольно подробно разобрали прокси-сервер UserGate, с помощью которого можно организовать общий доступ к Интернету в любом офисе. И убедились в том, что данная разработка сочетает в себе простоту и удобство настройки и использования с весьма обширным набором функциональных возможностей. Все это делает последнюю версию UserGate весьма привлекательным продуктом.

С предварительной настройкой статических IP-адресов.

В этой части статьи, мы создаём классический локальный прокси-сервер для доступа в сеть Интернет компьютера подключённого к локальной сети (интернет-шлюз в локальной сети), за тем исключением, что наша сеть и компьютеры раздающие интернет виртуальные. Инструкция является универсальной и будет полезна тем, кто хочет присвоить адаптерам для любой локальной сети статические IP-адреса и\или настроить интернет-шлюз в локальной сети для раздачи интернета по средствам прокси-сервера.

Вначале мы должны назначить нашим адаптерам статические IP-адреса.

Начнём с настройки компьютера, который будет подключаться к виртуальной ОС с прокси-сервером. Если у Вас Windows 7 - Windows 10, заходим через:

Перед нами открылось окно «Сетевые подключения» со списком всех адаптеров, включая наши виртуальные. Выбираем адаптер, в нашем случае это VMware Network Adapter VMnet с нужным порядковым номером, кликаем правой кнопкой и выбираем в контекстном меню пункт Свойства. Перед нами открылось окно «свойства» нашего адаптера, выделяем пункт «Протокол Интернета версии 4 (TCP/IPv4)» и жмём кнопку Свойства. На открывшейся дополнительной вкладке переключаем радиокнопку на пункт «Использовать следующий IP-адрес».

Теперь, для того чтобы ввести новый IP-адрес, смотрим адрес подсети для данного адаптера из «Редактор виртуальной сети…» VMware Worstation (или переходим к значку нашего адаптера и в открывающему правой кнопкой меню выбираем пункт «Состояние», далее Сведения и смотрим значение строки “Адрес IPv4”). Перед глазами у нас что-то типа 192.168.65.хх. В вашем подобном адресе мы меняем цифры после последней точки на 1. Было 192.168.65.хх, вместо хх стало 2. Вводим его в поле «IP-адрес». Это также адрес нашего компьютера, который мы должны будем ввести в UserGate, поэтому записываем его где-нибудь как IP пользователя этого адаптера. Теперь кликаем по полю «Маска подсети:» и оно автоматически (или вами) заполнится значением «255.255.255.0» нажимаем OK. Настройка данного компьютера окончена, мы записали или запомнили где посмотреть этот адрес.

Теперь переходим к настройке сетевого адаптера виртуального компьютера, который будет раздавать интернет.

В Windows XP нажимаем Пуск - Панель управления – Сетевые подключения.

Перед нами открылось окно «Сетевые подключения». Выбираем адаптер «подключение по локальной сети», кликаем правой кнопкой и выбираем в контекстном меню пункт Свойства. Перед нами открылось окно «Cвойства» нашего адаптера, выделяем пункт «Протокол Интернета версии 4 (TCP)» и жмём кнопку Свойства. Далее, аналогично Windows 7, на открывшейся дополнительной вкладке переключаем радиокнопку на пункт «Использовать следующий IP-адрес».

Вспоминаем, как смотреть IP-адрес сети из предыдущего пункта и при вводе в поле «IP-адрес» меняем цифры после последней точки на «2» или любую другую цифру отличную от тех, что мы указали на других компьютерах этой подсети. Итак, было что-то типа 192.168.65.хх, теперь вместо.хх стало.2. Этот адрес является адресом нашего прокси-сервера, нам останется только указать к нему порт в UserGate. Теперь кликаем по полю «Маска подсети:» и оно автоматически (или вами) заполнится значением «255.255.255.0», нажимаем кнопку [ОК].

На этом настройка операционных систем закончена, у нас есть полноценная локальная сеть, которую можно донастроить под стандартные цели мастерами Windows, однако для создания прокси-сервера нам понадобятся дополнительные действия, представленные далее.

Настройка UserGate 2.8

Когда у нас есть виртуальное локальное соединение, мы можем приступить к настройке программы прокси-сервера.

Перетаскиваем папку с программой UserGate 2.8 на рабочий стол виртуальной машины.

Устанавливаем через setup.exe и запускаем программу. В верхнем меню программы выбираем «Настройки», далее в левом меню дважды кликаем на вкладку «пользователи», появится подстрока «Default» (группа подключаемых пользователей по умолчанию), нажимаем на нее и в появившемся интерфейсе «Редактируем группу “Default”», нажимаем кнопку [Добавить].

В открывшемся окне в области «Авторизация» выбираем радиокнопку «ПО IP-адресу» и в поле «Логин (IP)» вводим IP-адрес указанный нами в адаптере компьютера, который будет подключаться через прокси сервер (т.е. IP того компьютера, что не с UserGate). После ввода адреса типа 192.168.16.1, нажимаем на зелёный значок сетевой платы справа от поля «Пароль (MAC)», сгенерируется числовое значение. Жмём [Применить].

Если вы используете 3G или Dial-UP модем , заключительным этапом настройки программы User Gate является настройка автодозвона в пункте бокового меню «Автодозвон».
В интерфейсе вкладки ставим галочку напротив «Разрешить автодозвон». Во всплывающем списке выбираем название соединения уже подключённого и настроенного модема. Если список пуст, то вам надо обеспечить автозапуск вашего соединения при помощи утилиты провайдера. В поле «Имя» и «Пароль», вводим значения, которые можно посмотреть на сайте оператора. Далее ставим галочку напротив «Проверять необходимость DialUp соединения», указываем задержку перед повторным соединением равную нулю, а время разрыва после простоя не менее 300 секунд. (чтобы соединение завершалось только после завершения парсинга, а не при кратковременных паузах и сбоях).

В заключение закрываем окно программы (она останется в трее) и удерживая ярлык программы переносим его в папку «Автозагрузка» через ПУСК – Все программы, чтобы программа стартовала вместе с системой.

Повторяем эти действия для каждого виртуального прокси-сервера.

На этом настройка нашего локального прокси-сервера для парсинга окончена! Теперь, зная адрес нашего прокси (указанный нами IP-адрес в настройках адаптера виртуального компьютера с UserGate) и адрес его порта: 8080 (для HTTP) мы можем ввести эти значения в любой программе, где можно указать прокси-сервер и наслаждаться дополнительным потоком!

Если планируется активно использовать прокси-сервер несколько дней подряд или ресурсы компьютера сильно ограничены, имеет смысл отключать логирование в UserGate, для этого на вкладке «Монитор» нажимаем значок с красным крестиком. К сожалению, отключить эту функцию сразу и навсегда нельзя.

Для Key Collector необходимо также выполнить дополнительные действия, подключив основное соединение через прокси-сервер UserGate, т.к. по сложным причинам KC может начать работать в два потока с основного соединения, что приводит к увеличению запросов к ПС по одному потоку и появлению капчей. Это же поведение замечено в иных ситуациях, поэтому данный прием будет не лишним в любом случае. Дополнительным преимуществом является то, что мы получаем контроль над трафиком через монитор UserGate. Процесс установки схож с тем, что уже было описано выше: устанавливаем UserGate на основной системе, сразу добавляем в автозагрузку, свободно создаем пользователя и указываем ему в поле «логин (IP)» «127.0.0.1» (так называемый, «локальный хост»). Выбираем пункт «HTTP» в боковом меню и указываем в текстовом поле «порты клиентов» - 8081 , те же данные указываем в KC, аналогично тому, как указываем для других прокси-серверов.
В завершении в настройках KC отключаем опцию «использовать основной IP» во всех видах парсинга.

FAQ: решение проблем :

    Если прокси-сервер не заработает:
  • Прежде всего, важно понимать, что перед началом парсинга нужно дождаться инициализации нашей относительно медленной виртуальной машины, а также утилит обеспечивающих связь и их подключения к сети Интернет, иначе наш прокси может быть исключен из списка активных прокси серверов как нерабочий (в Key Collector).
  • Проверьте Интернет-соединение на виртуальной машине зайдя на любой сайт через Internet Explorer. При необходимости, включите Интернет-соединение в ручную, проверьте данные автодозвона. Если страницы открываются, зайдите на целевую страницу, чтобы убедиться в отсутствии бана по IP-адресу.
  • Если интернет отсутствует, проверьте локальную сеть сделав ping . Для этого, в поле «найти» (или «Выполнить» для Windows XP) введите «cmd» и в открывшемся окне терминала введите команду «ping 192.168.xx.xx», где 192.168.xx.xx это IP-адрес адаптера на том, другом компьютере. Если пакеты получены с обоих "компьютеров", значит настройки адаптеров верны и проблема в другом (например, нет соединения с сетью Интернет).
  • Проверьте правильность введённых в парсерах данные прокси-сервера, убедитесь что выбран тип прокси HTTP, а если указан SOCKS5 поменяйте его на HTTP или включите в User Gate поддержку SOCKS5, указав порт, который будет указан в UserGate на вкладке SOCKS5.
  • При использовании SIM-прокси убедитесь, что на виртуальной машине открыта (или в трее) его утилита, т.к. она держит порт модема открытым и позволяет работать автодозвону. В любом случае, включите модем через утилиту и проверьте нет ли проблем с автодозвоном и есть ли вообще доступ в Интернет в самой виртуальной машине.

Подключив интернет в офисе, каждый начальник хочет знать за что он платит. Особенно, если тариф не безлимитный, а по трафику. Есть несколько путей решения проблем контроля трафика и организации доступа к сети интернет в масштабах предприятия. Я раскажу о внедрении прокси сервера UserGate для получения статистики и контроля пропускной способности канала на примере своего опыта.

Сразу скажу, что я использовал сервис UserGate (версия 4.2.0.3459), но методы организации доступа и технологии при этом применяемые используются и в других прокси серверах. Так что описанные сдесь шаги в целом подойдут и для других программных решений (например Kerio Winroute Firewall, или другие proxy), с небольшими отличиями в деталях реализации интерфейса настройки.

Опишу поставленную передо мной задачу: Есть сеть из 20 машин, есть ADSL модем в этой же подсети (алним 512/512 кбит/с). Требуется ограничить максимальную скорость пользователям и вести учет траффика. Задача немного усложнена тем, что доступ к настройкам модема закрыт провайдером (возможен доступ только через терминал, но пароль у провайдера). Странича статистики на сайте провайдера недоступна (Не спрашивайте почему, ответ один — такие отношения с провайдером у предприятия).

Ставим юзергейт и активируем его. Для организации доступа в сеть будем использовать NAT (Network Address Translation - «преобразование сетевых адресов»). Для работы технологии необходимо наличие двух сетевых карт на машине, где будем ставить сервер (сервис) UserGate (Есть вероятность, что можно заставить работать NAT на одной сетевой карте, назначив ей два IP адерса в разных подсетях).

И так, начальный этап насройки — конфигурация драйвера NAT (драйвер от UserGate, ставится во время основной инсталляции сервиса). Нам необходимо два сетевых интерфейса (читай сетвых карт) на аппаратуре сервера (для меня это не было пробелмой, т.к. я разворачивал UserGate на виртульаной машине . А там можно сделать «много» сетевых карт ).

В идеале, к одной сетевой карте подключается сам модем , а ко второй — вся сеть , из которой будут получать доступ к интернету. В моем случае модем установлен в разных помещениях с сервером (физической машиной), а переносить оборудование мне лень и некогда (да и в недалеком будущем маячит организация помещения серверной). Оба сетевых адаптера я подключил в одну сеть (физически), но настроил на разные подсети. Так как поменять настройки модема я не всилах (закрыт доступ провайдером) пришлось перевести все компьютеры в другую подсеть (благо средствами DHCP это делается элементарно).

Сетевую карту, подключенную к модему (интернет ) настраиваем как и прежде было (согласно данных от провайдера).

  • Назначаем статический IP адрес (в моем случае это 192.168.0.5);
  • Маску подсети 255.255.255.0 — я не менял, но можно настроить таким образом, что в подсети прокси сервера и модема будут только два устройства;
  • Шлюз — адрес модема 192.168.0.1
  • Адреса DNS-серверов провайдера (основной и дополнительный обязательно ).

Вторую сетевую карту , подкюченную к внутренней сети (интранет ), настраиваем следующим образом:

  • Статический IP адрес, но в другой подсети (у меня 192.168.1.5);
  • Маску согласно ваших сетевых настроек (у меня 255.255.255.0);
  • Шлюз не указываем .
  • В поле адреса DNS сервера вводим адрес DNS-сервера предприятия (если есть, если нету — оставляем пустым).

Примечание: необходимо убедиться, что в настройках сетевых интерфесов отмечено использование компонента NAT от UserGate.

После настройки сетевых интерфейсов запускаем сам сервис UserGate (не забудьте настроить его работу как сервис, для автоматического запуска с правами системы) и заходим в консоль управления (можно локально, а можно и удаленно). Заходим в «Сетевые правила» и выбираем «Мастер настройки NAT «, необходимо будет указать свои интранет (intranet ) и интернет (internet ) адаптеры. Интранет — адаптер подключенный во внутреннюю сеть. Мастер произведет конфигурацию драйвера NAT.

После этого необходимо разобраться с правилами NAT , для чего переходим в «Сетевые настройки» — «NAT». Каждое правило имеет несколько полей и статус (активно и не активно). Суть полей проста:

  • Название — имя правила, рекомендую дать что-то осмысленное (писать в это поле адреса и порты не нужно, эта информация и так будет доступна в перечне правил);
  • Интерфейс приемника — ваш интранет интерфейс (в моем случае 192.168.1.5);
  • Интерфейс отправителя — ваш интернет интерфейс (в одной подсети с модемом, в моем случае 192.168.0.5);
  • Порт — указываете к какому потру относится данное правило (например для браузера (HTTP) порт 80, а для получения почты 110 порт ). Можно указать диапазон портов , если не хотите возится, но это не рекомендуется делать на весь диапазон портов.
  • Протокол — выбираете из выпадающего меню один из вариантов: TCP (обычно), UPD или ICMP (например для работы команд ping или tracert).

Изначально в списке правил уже присутствуют самые используемые правила, необходимые для работы почты и различного рода программ. Но я дополнил стандартный список своими правилами: для рабты DNS запросов (не ипользуя опцию форвардинга в UserGate), для работы защищенных соединений SSL, для работы torrent клиента, для работы программы Radmin и прочее. Вот скриншоты мого списка правил. Список пока маловат — но со временем расширяется (с появлением необходимости работы по новому порту).

Следующий этап — настройка пользователей. Я в своем случае выбрал авторизацию по IP адресу и MAC адресу . Есть варианты авторизации только по IP адерсу и по учетным данным Active Directory. Так же можно использовать HTTP авторизацию (каждый раз ползователи сначала вводят пароль через браузер). Создаем пользователей и гуппы пользователей и назначаем им используемые правила NAT (Надо дать юзеру итернет в браузер — включаем для него правило HTTP с портом 80, надо дать ICQ — правило аськи с потом 5190).

Последнее на этапе внедрения я настроил ползователй на работу через прокси. Для этого я использовал DHCP сервис. На клиентские машины передавются следующие настройки:

  • IP адрес — динамический от DHCP в диапазоне подсети интранета (в моем случае диапазон 192.168.1.30 -192.168.1.200. Для нужных машин настроил резервацию IP адреса).
  • Маска подсети (255.255.255.0)
  • Шлюз — адрес машины с UserGate в локальной сети (Интранет адрес — 192.168.1.5)
  • DNS сервера — я предаю 3 адреса. Первый — адрес DNS-сервера предприятия, второй и третий — адсреса ДНС провайдера. (На DNS предприятия натроен форвардинг на ДНС провайдера, так в случае «падения» местного ДНС — интернет имена будут резолвится на ДНСах провайдера).

На этом базовая настройка закончена . Осталось проверить работоспособность , для этого на клиенской машине надо (получив настройки от DHCP или вприсав их вручную, в соотвтетствии с рекомендациями выше) запустить браузер и открыть любую страничку в сети . Если что-то не работает проверить еще раз ситуацию:

  • Настройки сетвеого адаптера клиента корректны? (машина с покси сервером пингуется?)
  • Авторизовался ли ползователь/компьютер на прокси сервере? (см. метоты авторизации UserGate)
  • Включены ли у ползователя/группы правила NAT необходимые для работы? (для работы браузера надо хотя бы HTTP правлило для протокола TCP на 80 порту).
  • Лимиты трафика для пользователя или группы не истекли? (я у себя не вводил этого).

Теперь можно наблюдать подключившихся пользователей и используемые ими правила NAT в пункте «Мониторинг» консоли управления прокси-сервером.

Дальнейшая настройка прокси — это уже тюнинг , к конкретным требованиям. Первое что я сделал — это включил огранчение пропускной способности в свойсвтах пользователей (позднее можно внедрить систему правил для ограничения скорости) и включил дополнительные сервисы UserGate — прокси сервера (HTTP на порту 8080, SOCKS5 на порту 1080). Включение прокси-сервисов позволяет исползовать кеширование запросов. Но необходимо проводить дополнительную настройку клиентов на работу с проксисервером.

Осталить вопросы? Предлагаю задать их прямо тут.

________________________________________

Сегодня Internet - не только средство общения или способ проведения досуга, но еще и рабочий инструмент. Поиск информации, участие в торгах, работа с клиентами и партнерами требуют присутствия сотрудников компаний в Сети. На большинстве компьютеров, используемых как в личных целях, так и в интересах организации, установлены операционные системы Windows. Естественно, все они оснащены механизмами предоставления доступа в Internet. Начиная с версии Windows 98 Second Edition, в качестве стандартного компонента в операционные системы Windows встроена функция Internet Connection Sharing (ICS), с помощью которой обеспечивается групповой доступ из локальной сети в Internet. Позднее в версии Windows 2000 Server появилась служба Routing and Remote Access Service (маршрутизация и удаленный доступ) и была реализована поддержка протокола NAT.

Но у ICS есть свои недостатки. Так, данная функция изменяет адрес сетевого адаптера, а это может вызывать проблемы в локальной сети. Поэтому ICS предпочтительно использовать только в домашних или небольших офисных сетях. В этой службе не предусмотрена авторизация пользователей, поэтому в корпоративной сети ее задействовать нежелательно. Если говорить о применении в домашней сети, то и здесь отсутствие авторизации по имени пользователя также становится неприемлемым, поскольку адреса IP и MAC очень легко подделать. Поэтому, хотя в Windows и существует возможность организации единого доступа в Internet, на практике для реализации этой задачи применяют либо аппаратные, либо программные средства независимых разработчиков. Одним из таких решений является программа UserGate.

Первое знакомство

Proxy-сервер Usergate позволяет предоставить пользователям локальной сети выход в Internet и определять политику доступа, запрещая доступ к определенным ресурсам, ограничивая трафик или время работы пользователей в сети. Кроме того, Usergate дает возможность вести раздельный учет трафика как по пользователям, так и по протоколам, что значительно облегчает контроль затрат на Internet-подключение. В последнее время среди Internet-провайдеров наблюдается тенденция предоставлять безлимитный доступ в Internet по своим каналам. На фоне такой тенденции на первый план выходит именно контроль и учет доступа. Для этого proxy-сервер Usergate обладает достаточно гибкой системой правил.

Proxy-сервер Usergate с поддержкой NAT (Network Address Translation) работает на операционных системах Windows 2000/2003/XP с установленным протоколом TCP/IP. Без поддержки протокола NAT Usergate способен работать на Windows 95/98 и Windows NT 4.0. Сама программа не требует для работы особых ресурсов, основное условие - наличие достаточного места на диске для файлов кэша и журнала. Поэтому все же рекомендуется устанавливать proxy-сервер на отдельной машине, отдавая ему максимальные ресурсы.

Настройка

Для чего нужен proxy-сервер? Ведь любой Web-браузер (Netscape Navigator, Microsoft Internet Explorer, Opera) уже умеет кэшировать документы. Но вспомним, что, во-первых, мы не выделяем для этих целей значительных объемов дискового пространства. А во-вторых, вероятность посещения одних и тех же страниц одним человеком значительно меньше, чем если бы это делали десятки или сотни людей (а такое количество пользователей имеется во многих организациях). Поэтому создание единого кэш-пространства для организации позволит сократить входящий трафик и ускорит поиск в Internet документов, уже полученных кем-либо из сотрудников. Proxy-сервер UserGate может быть связан по иерархии с внешними proxy-серверами (провайдеров), и в этом случае удастся если не уменьшить трафик, то хотя бы ускорить получение данных, а также уменьшить стоимость (обычно стоимость трафика у провайдера через proxy-сервер ниже).

Экран 1. Настройка кэша

Забегая вперед, скажу, что настройка кэша выполняется в разделе меню «Сервисы» (см. экран 1). После перевода кэша в режим «Включен» можно настроить его отдельные функции - кэширование POST-запросов, динамических объектов, cookies, контента, получаемого по FTP. Здесь же настраивается размер выделенного для кэша дискового пространства и время жизни кэшированного документа. А чтобы кэш начал работать, нужно настроить и включить режим proxy. В настройках определяется, какие протоколы будут работать через proxy-сервер (HTTP, FTP, SOCKS), на каком сетевом интерфейсе они будут прослушиваться и будет ли выполняться каскадирование (необходимые для этого данные вводятся на отдельной закладке окна настройки служб).

Перед началом работы с программой нужно выполнить и другие настройки. Как правило, это делается в такой последовательности:

  1. Создание учетных записей пользователей в Usergate.
  2. Настройка DNS и NAT на системе с Usergate. На данном этапе настройка сводится главным образом к настройке NAT с помощью мастера.
  3. Настройка сетевого соединения на клиентских машинах, где необходимо прописать шлюз и DNS в свойствах TCP/IP сетевого соединения.
  4. Создание политики доступа в Internet.

Для удобства работы программа разделена на несколько модулей. Серверный модуль запускается на компьютере, имеющем подключение к Internet, и обеспечивает выполнение основных задач. Администрирование Usergate осуществляется с помощью специального модуля Usergate Administrator. С его помощью производится вся настройка сервера в соответствии с необходимыми требованиями. Клиентская часть Usergate реализована в виде Usergate Authentication Client, который устанавливается на компьютер пользователя и служит для авторизации пользователей на сервере Usergate, если применяется авторизация, отличная от авторизаций IP или IP + MAC.

Управление

Управление пользователями и группами вынесено в отдельный раздел. Группы необходимы для облегчения управления пользователями и их общими настройками доступа и тарификации. Можно создать столько групп, сколько потребуется. Обычно группы создаются в соответствии со структурой организации. Какие параметры можно назначить для группы пользователей? С каждой группой связан тариф, по которому будут учитываться расходы на доступ. По умолчанию используется тариф default. Он пустой, поэтому соединения всех пользователей, входящих в группу, не тарифицируются, если тариф не переопределен в профиле пользователя.

В программе имеется набор предопределенных правил NAT, которые изменить нельзя. Это правила доступа по протоколам Telten, POP3, SMTP, HTTP, ICQ и др. При настройке группы можно указать, какие из правил будут применяться для данной группы и пользователей, входящих в нее.

Режим автодозвона может использоваться в том случае, когда подключение к Internet осуществляется через модем. При включении этого режима пользователь может инициализировать подключение к Internet, когда соединения еще нет, - по его запросу модем устанавливает соединение и обеспечивает доступ. Но при подключении через выделенную линию или ADSL необходимость в этом режиме отпадает.

Добавление учетных записей пользователей не сложнее добавления групп (см. экран 2). А если компьютер с установленным proxy-сервером Usergate входит в домен Active Directory (AD), учетные записи пользователей могут быть импортированы оттуда и затем разнесены по группам. Но как при вводе вручную, так и при импорте учетных записей из AD необходимо настроить права пользователей и правила доступа. К ним относятся тип авторизации, тарифный план, доступные правила NAT (если групповые правила не полностью удовлетворяют потребности конкретного пользователя).

Proxy-сервер Usergate поддерживает несколько типов авторизации, в том числе авторизацию пользователей через Active Directory и окно регистрации Windows Login, что позволяет интегрировать Usergate в существующую сетевую инфраструктуру. Usergate использует собственный драйвер NAT, поддерживающий авторизацию через специальный модуль - модуль клиентской авторизации. В зависимости от выбранного способа авторизации в настройках профиля пользователя необходимо указать либо его IP-адрес (или диапазон адресов), либо имя и пароль, либо же только имя. Здесь же может быть указан электронный адрес пользователя, на который будут высылаться отчеты об использовании им доступа в Internet.

Правила

Система правил Usergate является более гибкой в настройках по сравнению с возможностями Remote Access Policy (политика удаленного доступа в RRAS). С помощью правил можно закрыть доступ к определенным адресам URL, ограничить трафик по тем или иным протоколам, установить временной лимит, ограничить максимальный размер файла, который пользователь может скачать, и многое другое (см. экран 3). Стандартные средства операционной системы не обладают достаточной для решения этих задач функциональностью.

Правила создаются с помощью помощника. Они распространяются на четыре основных объекта, отслеживаемые системой, - соединение, трафик, тариф и скорость. Причем для каждого из них может быть выполнено одно действие. Выполнение правил зависит от настроек и ограничений, которые для него выбираются. К их числу относятся используемые протоколы, время по дням недели, когда это правило будет действовать. Наконец, определяются критерии по объему трафика (входящего и исходящего), времени работы в сети, остатку средств на счете пользователя, а также список IP-адресов источника запроса и сетевые адреса ресурсов, на которые распространяется действие. Настройка сетевых адресов также позволяет определить типы файлов, которые пользователи не смогут загружать.

Во многих организациях не разрешается использовать службы мгновенных сообщений. Как реализовать такой запрет с помощью Usergate? Достаточно создать одно правило, закрывающее соединение при запросе сайта *login.icq.com*, и применить его ко всем пользователям. Применение правил позволяет изменять тарифы для доступа в дневное или ночное время, к региональным или общим ресурсам (если такие различия предоставляются провайдером). К примеру, для переключения между ночным и дневным тарифами необходимо будет создать два правила, одно будет выполнять переключение по времени с дневного на ночной тариф, второе - обратное переключение. Собственно, для чего необходимы тарифы? Это основа работы встроенной биллинговой системы. В настоящее время данной системой можно пользоваться только для сверки и пробного расчета расходов, но после того, как биллинговая система будет сертифицирована, владельцы системы получат надежный механизм для работы со своими клиентами.

Пользователи

Теперь вернемся к настройкам DNS и NAT. Настройка DNS заключается в указании адресов внешних DNS-серверов, к которым будет обращаться система. При этом на компьютерах пользователей необходимо в настройках соединения для свойств TCP/IP в качестве шлюза и DNS указать IP внутреннего сетевого интерфейса компьютера с Usergate. Несколько иной принцип настройки при использовании NAT. В этом случае в системе нужно добавить новое правило, в котором требуется определить IP приемника (локальный интерфейс) и IP отправителя (внешний интерфейс), порт - 53 и протокол UDP. Это правило необходимо назначить всем пользователям. А в настройках соединения на их компьютерах в качестве DNS следует указать IP-адрес сервера DNS провайдера, в качестве шлюза - IP-адрес компьютера с Usergate.

Настройка почтовых клиентов может быть выполнена как через Port mapping, так и через NAT. Если в организации разрешено использовать службы мгновенных сообщений, то для них должна быть изменена настройка подключения - необходимо указать применение брандмауэра и proxy, задать IP-адрес внутреннего сетевого интерфейса компьютера с Usergate и выбрать протокол HTTPS или Socks. Но надо иметь в виду, что при работе через proxy-сервер будет недоступна работа в Chat rooms и Video Chat, если используется Yahoo Messenger.

Статистика работы записывается в журнал, содержащий информацию о параметрах соединений всех пользователей: время соединения, длительность, затраченные средства, запрошенные адреса, количество полученной и переданной информации. Отменить запись информации о пользовательских соединениях в файл статистики нельзя. Для просмотра статистики в системе существует специальный модуль, доступ к которому возможен как через интерфейс администратора, так и удаленно. Данные могут быть отфильтрованы по пользователям, протоколам и времени и могут быть сохранены во внешнем файле в формате Excel для дальнейшей обработки.

Что дальше

Если первые версии системы были предназначены лишь для реализации механизма кэширования proxy-сервера, то в последних версиях появились новые компоненты, предназначенные для обеспечения информационной безопасности. Сегодня пользователи Usergate могут задействовать встроенный модуль брандмауэра и антивируса Касперского. Брандмауэр позволяет контролировать, открывать и блокировать определенные порты, а также публиковать Web-ресурсы компании в Internet. Встроенный брандмауэр обрабатывает пакеты, не прошедшие обработку на уровне правил NAT. Если пакет был обработан драйвером NAT, он уже не обрабатывается брандмауэром. Настройки портов, выполненные для proxy, а также порты, указанные в Port Mapping, помещаются в автоматически генерируемые правила брандмауэра (тип auto). В правила auto также помещается порт 2345 TCP, используемый модулем Usergate Administrator для подключения к серверной части Usergate.

Говоря о перспективах дальнейшего развития продукта, стоит упомянуть создание собственного сервера VPN, что позволит отказаться от VPN из состава операционной системы; внедрение почтового сервера с поддержкой функции антиспама и разработку интеллектуального брандмауэра на уровне приложений.

Михаил Абрамзон - Руководитель группы аркетинга компании «Дигт».

И сегодня мы поговорим о настройке элементарного прокси-сервера. Наверняка многие из вас слышали такое понятие как прокси, но особо не вникали в его определение. Если говорить простым языком, то прокси-сервер представляет собой промежуточное звено между компьютерами в сети и интернетом. Это означает, что если в сетке внедрён такой сервер, то доступ в инет осуществляется не напрямую через роутер, а предварительно обрабатывается станцией-посредником.

Зачем же нужен прокси-сервер в локальной сети? Какие преимущества мы получим после его установки? Первым важным свойством является возможность кэширования и длительного хранения информации с веб-сайтов на сервере. Это позволяет значительно снизить загрузку интернет-канала. Особенно это актуально в тех организациях, где доступ к глобальной сети до сих пор осуществляется по технологии ADSL. Так, например если во время проведения практического занятия студенты ищут однотипную информацию с конкретных сайтов, то после полной загрузки информации с ресурса на одной станции, скорость его загрузки на остальных значительно возрастает.

Также с внедрением прокси-сервера системный администратор получает в свои руки эффективный инструмент, позволяющий контролировать доступ пользователей ко всем веб-сайтам. То есть если вы наблюдаете, что некий человечек тратит своё рабочее время на игру в танчики или на просмотр сериалов вы можете прикрыть ему доступ к данным прелестям жизни. А можете издеваться, постепенно понижая скорость соединения…или блокируя лишь определённые возможности, например, загрузку картинок после обеда. В общем, тут есть, где развернуться. Именно контроль сисадмина над прокси-сервером делает его друзей ещё добрее, а недругов злее.

В данном материале мы подробненько рассмотрим установку и настройку прокси UserGate 2.8. Данная версия программы вышла аж в мае 2003 года. У меня тогда и компьютера то своего не было. Тем не менее, именно данный релиз юзергейта и по сей день считается самым удачным за счёт стабильности работы и простоты настройки. Функционала конечно маловато, к тому же присутствует ограничение по количеству одновременно работающих пользователей. Их число не должно превышать отметку в 300 человек. Лично меня данный барьер не сильно печалит. Ибо если вы администрируете сетку с 300 машинами, то уж точно не будете пользоваться подобным софтом. УГ 2.8 это удел небольших офисных и домашних сетей.

Что ж думаю пора завязывать с разглагольствованиями. Скачиваем UserGate с торрентов или по данной ссылке , выбираем компьютер в качестве вашего будущего прокси-сервера и незамедлительно приступаем к установке.

Установка и активация

Шаг 1. По установке это приложение одно из самых лёгких. Складывается впечатление, что устанавливаем не прокси-сервер, а в носу ковыряемся. Запускаем файлик Setup.exe и в первом окне принимаем соглашение. Кликаем «Далее».

Шаг 2. Выбираем место для установки. Я, пожалуй, оставлю по умолчанию. Жмём «Начать» и дожидаемся окончания процесса установки.

Шаг 3. Вуаля. Установка завершена. Не забываем поставить галочку «Запустить установленное приложение» и смело тычем на «ОК».

Шаг 4. Проклятье! Программа 2003 года оказывается не бесплатная. Нужна лицензия. Ну, ничего. В архиве, который мы загрузили, есть лекарство. Открываем папку «Crack», а в ней находим единственный файлик Serial.txt. Копируем из него номер лицензии и серийный номер. Всего две строчки. Трудно ошибиться.

Шаг 5. В правом нижнем углу на панельке со значками уведомления делаем двойной клик по синей иконке юзергейта и удостоверяемся в корректной установке и активации программы.

Настройка прокси-сервера

Шаг 1. Первым делом нужно удостовериться в том, что на наш сервер обладает статическим IP адресом. Для этого переходим в «Пуск - Панель управления - Центр управления сетями и общим доступом - Изменение параметров адаптера» и кликаем правой кнопкой мыши по сетевой карте, через которую осуществляется доступ в локальную сеть. В открывшемся списке выбираем пункт «Свойства - Протокол Интернета 4 версии» и смотрим, чтобы был указан фиксированный IP адрес. Именно его мы будем задавать в качестве прокси-посредника на всех клиентских станциях.

Шаг 2. Возвращаемся к нашей программе. Во вкладке «Настройка» ищем протокол «HTTP» и указав порт (можно оставить по умолчанию) вкупе с возможностью работы по FTP разрешаем его применение. Данная настройка разрешает пользователям просматривать в браузере веб-страницы. В качестве порта вовсе не обязательно использовать стандартные варианты 8080 или 3128. Можете придумать, что то своё. Это значительно повысит уровень безопасности сети, главное выбирайте число в диапазоне от 1025 до 65535 и будет вам счастье.

Шаг 3. Следующим действием желательно включить кэширование. Как мы уже говорили ранее, это позволит значительно увеличить загрузку одних и тех же ресурсов на клиентских станциях. Чем больше время хранения и размер кэша – тем значительнее нагрузка на оперативную память прокси-сервера. Однако внешне скорость загрузки страниц в браузере будет выше, нежели без использования кэша. Я всегда настраиваю время хранения на 72 часа (эквивалентно двум дням) и размер кэша устанавливаю 2 гигабайта.

Шаг 4. Настало время перейти к созданию групп пользователей. Для этого в одноимённом пункте меню выбираем группу пользователей «Default» и жмём «Изменить».

Переименовываем дефолтную группу и кликаем на кнопку «Добавить».

Настало время создать пользователей. Я обычно в поле «Имя» вписываю полное сетевое имя компьютера, которое можно посмотреть в свойствах системы на клиентской машине. Это удобно если сеть небольшая, а мы с вами определились, что для серьёзной сети данная прога не подойдёт. Выбираем тип авторизации «По IP-адресу» и в качестве логина прописываем IP-шник клиента. Где его смотреть мы уже рассматривали ранее. В маленьких сетях олдовые админы по старинке прописывают IP вручную на всех тачках и не меняют их практически никогда.

class="eliadunit">

Шаг 5. Теперь разберёмся с самым интересным. А именно ограничением пользователей. Даже в небольшой сети предпочтительнее работать с группами, нежели с отдельными пользователями. Поэтому выбираем нашу созданную группу и переходим на вкладку «Расписание работы». В ней мы можем выбрать дни и часы в которые доступ к сети Интернет для нашей группы будет открыт.

Листаем вправо и на вкладке «Ограничения» указываем скорость доступа к Интернету для группы пользователей. Кликаем «Задать ограничения для пользователей группы» и лишь затем на кнопку «Применить». Таким образом, мы ограничили скорость доступа для каждого пользователя из группы «Компьютерный класс» до 300 кб/с. Это конечно не много, но для проведения практических занятий вполне достаточно.

Шаг 6. На этом базовую настройку следовало бы завершить, но хотелось бы ещё рассказать о параметре «Фильтр». В данной вкладке вы можете ограничить доступ пользователей к определённым сайтам. Для этого достаточно добавить ссылку на сайт в список. Однако замечу, что данная настройка работает не совсем корректно. Ибо многие современные сайты уже перешли с протокола HTTP на более безопасный HTTPS. А прокси-сервер 2003 года не может справиться с подобным зверем. Поэтому качественной контент-фильтрации именно от этой версии требовать не стоит.

Шаг 7. И последний штрих – это сохранение всех наших настроек в отдельном файле (на всякий пожарный) и защита прокси-сервера от вмешательства чужих рук. Всё это можно сделать в пункте «Дополнительно». Вводим пароль, затем подтверждаем его. Жмём применить. И только теперь кликаем на кнопку сохранить конфигурацию. Указываем место сохранения. Всё. Теперь если, что то слетит. Или вы решите поэкспериментировать с настройками. Наготове будет их резервная копия.

Настройка клиентских станций

Шаг 1. Настройку прокси-сервера мы закончили. Переходим к клиентской станции. Первым делом нужно убедиться в том, что на ней задан IP адрес прописанный на нашем сервере. Если помните, во время настройки мы указали, что клиент с именем Station01 имеет адрес 192.168.0.3. Давайте же удостоверимся в этом.

Шаг 2. Далее нужно прописать в системе адрес прокси-сервера и его порт. Для этого переходим по следующему пути «Пуск - Панель управления - Свойства обозревателя (XP) или браузера (7) – Подключения – Настройка сети» и включив параметр использования прокси-сервера задаём его адрес и порт для HTTP соединения. Жмём «ОК» в этом и предыдущем окне.

Шаг 3. Отлично. Мы уже на финишной прямой. Открываем браузер и если вы всё настроили верно, то должна открыться домашняя страничка.

Тут же хочу пояснить ещё один момент. Можно настроить компьютер таким образом, чтобы через прокси работал только один браузер, а не все сразу. Для этого необходимо перейти во вкладку «Инструменты – Настройки – Дополнительно – Сеть - Настроить» и выбрав ручную настройку прописать всё тот же IP адрес и порт сервера.

Что ж давайте проверим работу фильтров.. Сейчас попробуем зайти на один из них. Как и положено, ресурс заблокирован.

Мониторинг трафика

А что же происходит на сервере? Работа кипит. Во вкладке с пользователями мы может отследить, сколько мегабайтов было загружено и передано нашими подопечными за день, месяц и даже год!

Вкладочка «Соединения» позволяет отследить, какой ресурс клиент посещает в данный момент. Одноклассники? Вконтакте? Или всё же занят рабочими делами.

Если вдруг наш пользователь успел закрыть любопытный сайт-не беда. Вы всегда сможете поглядеть в историю на вкладке «Монитор».

Заключение

Думаю пора закругляться. Напоследок хочется сказать, что тема для данного материала была избрана неспроста. В моём родном городе юзверьгейт версии 2.8 функционирует на большинстве предприятий с плохо развитой сетевой инфраструктурой. Быть может на сегодняшний день обстановка изменилась в лучшую сторону, но в середине 2013 года, именно тогда я бегал по всему городу обслуживая информационно-правовую систему «Гарант», всё было именно так. Гейт просто захватил сети коммерческих и некоммерческих предприятий разных мастей. И если учесть, что годом позже грянул финансовый кризис, не думаю, что кто то из них раскошелился на путёвую проксю.

Несмотря на недостатки в виде отсутствия HTTPs, кривой фильтр, невозможность интуитивно-понятной настройки торрентов и т.д.. UserGate 2.8 ещё долго будет вспоминаться всеми админами, как самая стабильная и неприхотливая версия прокси-сервера в истории. Новые версии программы могут похвастаться возможностью авторизации доменных пользователей, Firewall’ом, NAT’ом, качественной контент фильтрацией и другими плюшками. Однако за всё это удовольствие приходится платить. И платить немало (54 600 рублей за 100 машин). Любителям халявы, такой расклад не по душе.

Такс думаю, что настало время прощаться. Друзья я хочу напомнить, что если материал был вам полезен, то лайкните его. А если вы впервые на нашем сайте, то подписывайтесь. Ведь регулярные структурированные выпуски в сфере информационных технологий на бесплатной основе редкость в рунете. Кстати для халявщиков вскоре сделаю выпуск о ещё одном прокси-сервере SmallProxy. Этот малыш, несмотря на свою бесплатность ничуть не хуже юзергейта и отлично зарекомендовал себя. Так что подписываемся и ждём. До встречи через неделю. Всем пока!

class="eliadunit">