СЕТЕВЫЕ ПРЯТКИ - настраиваем NAT под Windows

Alex Shark

Спецвыпуск Xakep, номер #033, стр. 033-026-2

Юзвероводство

Для ограничения доступа всем и вся можно создать свои стандарты, например, всем разрешить 80 порт. Некоторым можно разрешить еще 21, 25 и 110. В общем, тут твоя фантазия не ограничивается, можешь делать с пользователями что угодно. Очень полезная функция, так как именно с помощью нее ты и будешь отрезать от инета некоторых особо опанных юзеров. Старайся также придерживаться ограничений по имени пользователя, а не по имени машины. Иногда поменять имя на машине проще, чем узнать пароль пользователя. Тем более, что логины просто так не посмотришь, в отличие от списка известных машин в домене.

Многое зависит и от политики компании. То есть, если у тебя запрещено иметь ICQ, то советую тебе не давать разрешения пользователям делать все. Если нельзя читать никакую другую почту кроме корпоративной, то не добавляй также в разрешенные порты 25 и 110. Короче, решай с шефом, что можно делать всем, а чего нельзя. Если же ты сам себе хозяин, то посоветуйся со своей совестью.

К сожалению, тут ты не сможешь назначить список разрешенных и запрещенных хостов, как и не сможешь контролировать контент пролетающего мимо трафика. Так что единственное, что ты можешь сделать для запрета (средствами NAT и мастдая), - это записать эти хосты в локальную сеть, прописать их в localhost-таблице и назначить им жесткий IP в виде 127.0.0.1 или обрезать через IP-SECURITY. Но это не принципиальный выход, это что-то вроде отмазки. Лучше все-таки подключить нечто более существенное.

Доведение клиента до кондиции

Все, после того как ты поставил и настроил сервак, самое время взяться за клиентов. Не ставь его на ту же машину, где и сервак, если это твоя тачка. Берешь любую тачку и по сети находишь свой сервак. Там должна быть расшарена папка mspclnt, в которой лежит сетап для клиента. Не копируй к себе файлы, запускай прямо с сервера. Это делается для того, чтобы при смене настроек, нажав на клиенте кнопочку update, он не лез в локальную папку и не пытался апдейтить все оттуда, а лез на сервер и качал обновления. После установки клиента надо перезагрузить тачку. Это просто необходимо, потому что клиент, по сути, подменяет dll-ку winsock2.dll на свою версию. И все проги, которые попытаются открыть сокет для соединения с другим компом в инете, будут обмануты. То есть, на самом деле, никакой прямой сокет не откроется, все данные о соединении (прога, запросившая коннект, адрес и порт) будут упакованы в UDP пакет и посланы на NAT сервак, в порт 1745. Сервак переварит их и попытается сконнектиться, в случае удачи он перекинет клиенту все, что ему сказали в инете. В противном случае он даст отмашку клиенту, и тот зарубит соединение. То есть прога так и не поймет, был ли это реальный сокет или его жестко нагнули. Если же прога попытается открыть сокет для прослушки (типа FTP сервак) то сервер NAT прежде всего попытается открыть порт с тем же номером и, если ему удастся, то он установит у себя состояние BIND и вернет клиенту код удачного завершения операции. В свою очередь клиент вернет проге номер сокета. В противном случае ошибка будет выглядеть так же, как если бы ты попытался открыть дважды один и тот же порт локально. То есть прога опять не врубится, а был ли мальчик. Единственный минус всего этого действа - если у тебя в сети уже кто-то поднял FTP сервак, то тебе сделать это уже не удастся, то есть сервак-то поднимется, но виден он будет только из локалки.