admin.txt

… заметки IT’шника…

Настройка proxy сервера на примере UserGate

Подключив интернет в офисе, каждый начальник хочет знать за что он платит. Особенно, если тариф не безлимитный, а по трафику. Есть несколько путей решения проблем контроля трафика и организации доступа к сети интернет в масштабах предприятия. Я раскажу о внедрении прокси сервера UserGate для получения статистики и контроля пропускной способности канала на примере своего опыта.

UserGate proxy server logo

Сразу скажу, что я использовал сервис UserGate (версия 4.2.0.3459), но методы организации доступа и технологии при этом применяемые используются и в других прокси серверах. Так что описанные сдесь шаги в целом подойдут и для других программных решений (например Kerio Winroute Firewall, или другие proxy), с небольшими отличиями в деталях реализации интерфейса настройки.

Опишу поставленную передо мной задачу: Есть сеть из 20 машин, есть ADSL модем в этой же подсети (алним  512/512 кбит/с). Требуется ограничить максимальную скорость пользователям и вести учет траффика. Задача немного усложнена тем, что доступ к настройкам модема закрыт провайдером (возможен доступ только через терминал, но пароль у провайдера). Странича статистики на сайте провайдера недоступна (Не спрашивайте почему, ответ один — такие отношения с провайдером у предприятия).

Ставим юзергейт и активируем его. Для организации доступа в сеть будем использовать NAT (Network Address Translation — «преобразование сетевых адресов»). Для работы технологии необходимо наличие двух сетевых карт на машине, где будем ставить сервер (сервис) UserGate (Есть вероятность, что можно заставить работать NAT на одной сетевой карте, назначив ей два IP адерса в разных подсетях).

И так, начальный этап насройки — конфигурация драйвера NAT (драйвер от UserGate, ставится во время основной инсталляции сервиса). Нам необходимо два сетевых интерфейса (читай сетвых карт) на аппаратуре сервера (для меня это не было пробелмой, т.к. я разворачивал UserGate на виртульаной машине под управлением ESXi. А там можно сделать «много» сетевых карт).

В идеале, к одной сетевой карте подключается сам модем, а ко второй — вся сеть, из которой будут получать доступ к интернету. В моем случае модем установлен в разных помещениях с сервером (физической машиной), а переносить оборудование мне лень и некогда (да и в недалеком будущем маячит организация помещения серверной). Оба сетевых адаптера я подключил в одну сеть (физически), но настроил на разные подсети. Так как поменять настройки модема я не всилах (закрыт доступ провайдером) пришлось перевести все компьютеры в другую подсеть (благо средствами DHCP это делается элементарно).

Сетевую карту, подключенную к модему (интернет) настраиваем как и прежде было (согласно данных от провайдера).

  • Назначаем статический IP адрес (в моем случае это 192.168.0.5);
  • Маску подсети 255.255.255.0 — я не менял, но можно настроить таким образом, что в подсети прокси сервера и модема будут только два устройства;
  • Шлюз — адрес модема 192.168.0.1
  • Адреса DNS-серверов провайдера (основной и дополнительный обязательно).

Вторую сетевую карту, подкюченную к внутренней сети (интранет), настраиваем следующим образом:

  • Статический IP адрес, но в другой подсети (у меня 192.168.1.5);
  • Маску согласно ваших сетевых настроек ( у меня 255.255.255.0);
  • Шлюз не указываем.
  • В поле адреса DNS сервера вводим адрес DNS-сервера предприятия (если есть, если нету — оставляем пустым).

Примечание: необходимо убедиться, что в настройках сетевых интерфесов отмечено использование компонента NAT от UserGate.

После настройки сетевых интерфейсов запускаем сам сервис UserGate (не забудьте настроить его работу как сервис, для автоматического запуска с правами системы) и заходим в консоль управления (можно локально, а можно и удаленно). Заходим в «Сетевые правила» и выбираем «Мастер настройки NAT«, необходимо будет указать свои интранет (intranet) и интернет (internet) адаптеры. Интранет — адаптер подключенный во внутреннюю сеть. Мастер произведет конфигурацию драйвера NAT.

После этого необходимо разобраться с правилами NAT, для чего переходим в «Сетевые настройки» — «NAT». Каждое правило имеет несколько полей и статус (активно и не активно). Суть полей проста:

  • Название — имя правила, рекомендую дать что-то осмысленное (писать в это поле адреса и порты не нужно, эта информация и так будет доступна в перечне правил);
  • Интерфейс приемника — ваш интранет интерфейс (в моем случае 192.168.1.5);
  • Интерфейс отправителя — ваш интернет интерфейс (в одной подсети с модемом, в моем случае 192.168.0.5);
  • Порт - указываете к какому потру относится данное правило (например для браузера (HTTP) порт 80, а для получения почты 110 порт). Можно указать диапазон портов, если не хотите возится, но это не рекомендуется делать на весь диапазон портов.
  • Протокол — выбираете из выпадающего меню один из вариантов: TCP (обычно), UPD или ICMP (например для работы команд ping или tracert).

Изначально в списке правил уже присутствуют самые используемые правила, необходимые для работы почты и различного рода программ. Но я дополнил стандартный список своими правилами: для рабты DNS запросов (не ипользуя опцию форвардинга в UserGate), для работы защищенных соединений SSL, для работы torrent клиента, для работы программы Radmin  и прочее. Вот скриншоты мого списка правил. Список пока маловат — но со временем расширяется (с появлением необходимости работы по новому порту).

Мой список правил NAT

Мой список правил NAT

Следующий этап — настройка пользователей. Я в своем случае выбрал авторизацию по IP адресу и MAC адресу. Есть варианты авторизации только по IP адерсу и по учетным данным Active Directory. Так же можно использовать HTTP авторизацию (каждый раз ползователи сначала вводят пароль через браузер). Создаем пользователей и гуппы пользователей и назначаем им используемые правила NAT (Надо дать юзеру итернет в браузер — включаем для него правило HTTP с портом 80, надо дать ICQ — правило аськи с потом 5190).

Последнее на этапе внедрения я настроил ползователй на работу через прокси. Для этого я использовал DHCP сервис. На клиентские машины передавются следующие настройки:

  • IP адрес — динамический от DHCP в диапазоне подсети интранета (в моем случае диапазон 192.168.1.30 -192.168.1.200. Для нужных машин настроил резервацию IP адреса).
  • Маска подсети (255.255.255.0)
  • Шлюз — адрес машины с UserGate в локальной сети (Интранет адрес — 192.168.1.5)
  • DNS сервера — я предаю 3 адреса. Первый — адрес DNS-сервера предприятия, второй и третий — адсреса ДНС провайдера. (На DNS предприятия натроен форвардинг на ДНС провайдера, так в случае «падения» местного ДНС — интернет имена будут резолвится на ДНСах провайдера).

На этом базовая настройка закончена. Осталось проверить работоспособность, для этого на клиенской машине надо (получив настройки от DHCP или вприсав их вручную, в соотвтетствии с рекомендациями выше) запустить браузер и открыть любую страничку в сети. Если что-то не работает проверить еще раз ситуацию:

  • Настройки сетвеого адаптера клиента корректны? (машина с покси сервером пингуется?)
  • Авторизовался ли ползователь/компьютер на прокси сервере? (см. метоты авторизации UserGate)
  • Включены ли у ползователя/группы правила NAT необходимые для работы? (для работы браузера надо хотя бы HTTP правлило для протокола TCP на 80 порту).
  • Лимиты трафика для пользователя или группы не истекли? (я у себя не вводил этого).

Теперь можно наблюдать подключившихся пользователей и используемые ими правила NAT в пункте «Мониторинг» консоли управления прокси-сервером.

Дальнейшая настройка прокси — это уже тюнинг, к конкретным требованиям. Первое что я сделал — это включил огранчение пропускной способности в свойсвтах пользователей (позднее можно внедрить систему правил для ограничения скорости) и включил дополнительные сервисы UserGate — прокси сервера (HTTP на порту 8080, SOCKS5 на порту 1080). Включение прокси-сервисов позволяет исползовать кеширование запросов. Но необходимо проводить дополнительную настройку клиентов на работу с проксисервером.

Осталить вопросы? Предлагаю задать их прямо тут.

Считаете некоторые рекомендации или настройки неверными — давайте обсудим!

________________________________________

файлы в тему:

usergate_manual Сменить расшинение с .doc на .zip ( 7,8 мегабайта) — довольно толковый мануал по настройке ЮзерГейта.

About these ads

Сентябрь 10, 2008 - Опубликовано | Заметки... | , ,

Извините, обсуждение на данный момент закрыто.

Отслеживать

Get every new post delivered to your Inbox.

%d bloggers like this: