СЕТЕВЫЕ ПРЯТКИ - настраиваем NAT под Windows

Alex Shark

Спецвыпуск Xakep, номер #033, стр. 033-026-1

(qqqqqwww@e-mail.ru)

Если у тебя в сети всего один модемный пул и именно через него ты хочешь организовать выход всей сети, да так, чтобы не объяснять всем и каждому, что такое прокси-сервер и зачем он нужен, ставь NAT.

Это система переадресации пакетов. Компы обычных юзверов, живущих под Линухом, не требуют доработки. В этом случае NAT-сервер отлавливает в сети все "левые" пакеты и переадресует их в нужном направлении, не забывая подменить исходящий IP. Получив ответ, сервак пересылает пакет обратно юзверю. Вся прелесть в том, что не надо прописывать проксики дополнительно. Все происходит так, как если бы у всех был прямой канал в инет. Для мастдая все обстоит несколько иначе. Все нормально работающие NAT-сервера, которые мне попадались, были писаны всем известным Билли. Первый - это winsock proxy, и второй - это ISA. Но ко второму еще не так сильно развился софт, да и глюков в нем побольше будет. Помимо сервера придется поставить клиента, да и не просто так поставить, а прямо с сервера для поддержания синхронизации.

Итак, для начала давай воткнем Winsock Server. Ставится он из пакета Back Office (не путать с Back Orifice :). Ставится без особых проблем, сам сервак можешь скачать у мелко-мягких или купить на CD. Техническую поддержку по этому серверу мелкие уже прикрыли, а следовательно, продукт уже больше не развивается, последняя версия 2SP1. Устанавливается все в два этапа. Единственное, что он требует, это предустановленный Windows Server, будь то NT4 или 2000. После установки к сервайсу IIS у тебя прицепится еще несколько функций. Через них мы и будем настраивать NAT.

Сетап

Для начала отрубай все, что тебе не надо. Для меня это NNTP, SMTP, HTTP и FTP сервера. Далее давай возьмемся за настройку winsock. Тут тебе придется правильно прописать IP-адрес своей сети вместе с маской, дабы проксик не маршрутизил пакеты в твою же сеть через себя. Это нужно для ограничения загрузки и правильного использования проксика. Далее не мешает раздать права пользователям. Если у тебя есть домен, то все просто замечательно. Тут ты можешь назначить машины или пользователей, которым можно вылезать в сеть. К сожалению, ты не можешь вписать ограничение по трафику. Эта функция считалась дополнительной, а после про весь этот сервак и вовсе забыли, забив на поддержку. Распределять обязанности на группы пользователей я тебе не советую, потому что в логах сервера будет писаться именно группа, а не пользователь. А там, где ответственны все, ответственных нет. Пользователям для простоты можешь пока назначить права "Можно все". Если впоследствии ты найдешь, что кто-то слишком рьяно ползает по проксикам, можешь выкинуть у него из доступа порты 8080 и 3128. Если он не дурак, найдет проксики на 80-ом порту, а если дурак, начнет лазить как следует.

Дальше идет создание логов. Лучше вынести все логи в отдельную папку и назначить параметр "verbose", что есть многословный. Эта функция добавит несколько полей к твоему логу и даст тебе больше информации о том, кто чем и куда лазает. Тут же ты можешь собрать несколько проксиков в один кластер и устроить распределенный доступ в инет. Это имеет смысл, только если у тебя действительно несколько исходящих линий.