СЕТЕВЫЕ ПРЯТКИ - настраиваем NAT под Windows

Alex Shark

Спецвыпуск Xakep, номер #033, стр. 033-026-5

Operation - что делал юзер с серваком (GET, PUT, POST, HEAD).

Object Name - используется только Web proxy, он сюда пишет запрошенный урл.

Object MIME - аналогично, только в Web proxy используется для записи, что юзер качал.

Object Source - в Web proxy пишется, откуда брались данные (кэш или сеть).

Result Code - удачность соединения.

При разборе формата тебе стоит учесть, что не все поля обязательны к заполнению, а поле с именем сервера и поле с переданными данными не обязательно идут подряд. Ориентироваться стоит по большей части на имя пользователя и время запроса. Запрос файла всегда идет перед передачей ответа. В случае использования winsock-проксика никакие данные не кэшируются, все остается как есть. Также неплохо загнать все логи в MySQL и производить выборку уже средствами сервера. По умолчанию проксик умеет пихать все логи в базу, но только в MS SQL. Если горишь желанием поставить этого монстра ради обработки логов, то флаг в руки. Но это, по меньшей мере, забивание микроскопом гвоздей. Если же таковой сервак уже стоит, то можно на него довешать еще и логирование, сильно грузить его это не будет. Скрипты по обработке запросов юзверей типа "а сколько мне уже накапало" написать раз плюнуть.

Бочка меда

Если ты уже решил для себя воткнуть в сетку NAT, дабы избавиться от лишнего геморроя, то всем юзверям (как, впрочем, и начальству) нужно еще рассказать, на кой, собственно, оно им надо.

Во-первых, это простота установки. Достаточно поставить клиента и все, нигде ничего прописывать больше не надо. Все проги под мастдаем, как правило, пользуют winsock, а следовательно, они даже не поймут, что их круто обвели. Во-вторых, не надо заморачиваться открытием входящего порта, например, в icq или в ftp клиентах. В обоих случаях все за тебя сделает сервак, достаточно его один раз настроить и на всякий случай сделать бакап всех настроек.

В-третьих, поскольку все завязано на домен, не надо прописывать отдельно пользователей, пароль вводить нужно только при загрузке Винды, далее все пойдет на автопилоте. Также не надо мучиться с написанием клиент-серверного софта, поскольку коннект с серваком в твоей сетке и за ее пределами будет проходить по одному и тому же сценарию.

Ну и жирный плюс: если ты админ, у тебя есть все вентили по управлению трафиком. Кроме того, все коннекты пойдут через одну единственную точку в сети. Ставь туда снифак или файрволл, оба они будут работать как надо. Но как всегда, в любой дискете есть пара бэд-блоков.

Ложка дегтя

Пора узнать, с какими трудностями тебе придется столкнуться. При перемене чего-либо на серваке придется апдейтить все клиентские части. Так, например, тебе вздумалось поменять внутреннюю адресацию сети. Ты зашел на сервак и сказал, что IP такие-то теперь наша локалка и нечего слать все это через весь и-нет. Но это не все, приготовься к наплыву пользователей, которые будут кричать, что у них нет интернета. Для исправления этого мини-бага надо пройтись по машинам и нажать update в настройках клиента MSP. Самое интересное, что клиент может вообще отказаться апдейтиться, придется его сносить, перегружаться и ставить с нуля. Иногда, при невыясненных пока обстоятельствах, клиент слетает сам по себе. Кроме того, никто не писал, да и не думает писать клиента под ось Unix-платформы; если у тебя есть продвинутые юзвери, пользующие эту ось, то инета им не видать как своих ушей. Также придется ставить отдельно файрволл, потому что средствами Винды много не отрежешь. Придется ставить отдельный отлов баннеров. Если хочешь перекрыть кислород на порно-сайты, то и тут придется поставить дополнительный софт, потому как winsock не различает и не умеет глушить отдельный трафик. Кроме того, если какой-нибудь умник подсядет на жирный канал и будет тянуть фильмец, то вся сеть просто встанет без инета, пока этот ухарь не докачает. В общем, нет пока идеального решения от этих граблей. Все это обещалось исправиться в ISA сервере, но он пока по производительности даже на инвалида в коляске не похож.