Авторизация

Голосование

Какие разделы наполнять в первую очередь?
 
Администрирование Прокси-серверов PDF
Автор: TRSteep   
07.04.2009 00:29

Сейчас Я хотел бы рассказать  о прокс-серверах, сначала будет небольшая информация - что же они из себя представляем, потом описан принцип работы, а затем я опишу пример, как настроить 3proxy. В заключении предоставлю наиболее популярные прокси-сервера

Информация о прокси-сервере


Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам.

Прокси-сервер может быть как программный, так и программно-аппаратный комплекс.


Чаще всего прокси-серверы применяются для следующих целей:

 

1.  Обеспечение доступа с компьютеров локальной сети в Интернет.

2.  Кеширование данных: если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации.

3.  Сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверы используются в основном с целью экономии внешнего трафика.

4.  Защита локальной сети от внешнего доступа: в прокси-сервер для защиты от внешних угроз встраивают брандмауэр. А для того чтобы локальные компьютеры не были видны извне используют NAT.

5.  Ограничение доступа из локальной сети к внешней: например, можно запретить доступ к определённым веб-сайтам, ограничить использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.

6.  Анонимизация доступа к различным ресурсам. Прокси-сервер может скрывать сведения об источнике запроса или пользователе. В таком случае целевой сервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеет возможности определить истинный источник запроса. Существуют также искажающие прокси-серверы, которые передают целевому серверу ложную информацию об истинном пользователе.

7.  Маршрутизация. Прописываение путей для ближайших маршрутов.


Многие прокси-серверы используются для нескольких целей одновременно.


Принцип работы прокси сервера


Локальный компьютер (192.168.0.2) хочет получить информацию с сайта, например ya.ru (213.180.204.8)

Компьютер (192.168.0.2) делает запрос прокси-серверу (192.168.0.1)
Source:  192.168.0.2
Destination:  213.180.204.8

Прокси-сервер (192.168.0.2) получив запрос, проверяет есть ли такой сервер и посылает запрос от своего имени (81.30.199.193)
Source:  81.30.199.193
Destination:  213.180.204.8

Сервер (213.180.204.8) отработав запрос возвращает его отправителю (81.30.199.193)
Source: 213.180.204.8
Destination: 81.30.199.193

 

Прокси-Сервер (192.168.0.1) отработав запрос возвращает его отправителю (192.168.0.2)

 

Запреты прокси-сервера:


В случае использования методов GET / POST (обычное перемещение по web сайтам):

  • запрещать доступ к определенным сайтам (например «vkontakte.ru»);
  • запрещать доступ к сайтам, содержащим на страницах запрещенные ключевые слова (например «скачать»)
  • вырезать определенные фрагменты страниц (баннеры);
  • запрещать прием файлов с определенным расширением и/или определенного размера (как в Kb, так и размера в пикселях), например баннеров - 468x60, файлов *.MP3, .ZIP, .EXE, .RAR и т.д.;
  • протоколировать все перемещения по web страницам и выдавать системному администратору отчет о посещаемых страницах;
  • запрещать использование любых протоколов (скажем запрещать доступ к https:// и/или ftp:// сайтам);
  • запрещать доступ с любых компьютеров к этому прокси-серверу.


В случае использования метода CONNECT можно запрещать

  • подключение к определенным портам, например: на 25-й порт (SMTP), на 6667 порт (IRC), на порт 5190 (ICQ)

 

Рассмотрим пример настройки прокси-сервера на  примере небольшого бесплатного 3proxy

Возьмем пример с запросом к внешнего сервера.

Для начала описываются внутренний и внешний интерфейсы
internal 192.168.0.1
external 81.30.199.193


Затем прописывается DNS провайдера, предположит это 213.153.100.1: nserver 213.153.100.1
Запрещает доступ к сайту анекдотов, перенаправлением: nsrecord www.anekdot.ru 127.0.0.1
Запрещает доступ к сайтам со словами «rabota» в названии: deny * * rabota* *

Указываем лимит скорости в 128килобит на троих
bandlimin 128000 * 192.168.0.2,192.168.0.3, 192.168.0.4

Затем указываем тип авторизации по IP адресам: auth iponly

Разрешаем всем троим пользоваться http и mail в любое время, а остальное запрещаем
allow * 192.168.0.2,192.168.0.3, 192.168.0.4 * 80,443,25,110 * 1-7 00:00:00-23:59:59
deny *


Затем указываем на каком порту будет запущен прокси-сервер, возьмем стандартный 8080
proxy -p 8080

Использование прокси-сервера имеет  одну особенность:  легко справляясь  с исходящим трафиком, он не может перенаправить входящий, т.к. не знает кому его адресовать. Чтобы справиться с этим существует технология port mapping (перенаправление портов).

Вот пример обращение из вне на 80 порт прокси-сервера  перебрасывает запрос на 80 порт локального компьютера.

tcppm -i81.30.199.193 80 192.168.0.2 80

Другая важное технология NAT,  без которой для получения почты пришлось бы писать правила перенаправления портов на каждый сервер.
т.е.  Для отправки почты на mail.ru, нам придется прописать:
tcppm -i192.168.0.1 25 smtp.mail.ru 25
SMTP-сервер: 192.168.0.1
и так для каждого сервера

Используя NAT мы можем решить эти проблемы
NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.

Функционирование
Суть механизма состоит в замене адреса источника (source) при прохождении пакета в одну сторону и обратной замене адреса назначения (destination) в ответном пакете. Наряду с адресами source/destination могут также заменяться номера портов source/destination.

 

Програмные решения

Сейчас мы рассмотрели лишь один прокси-сервер. Т.к. прокси-серверов существует большое множество, то и способов их настройки и администрирования большое множество.

 

Корпоративные решение:

Microsoft ISA Server
Traffic Inspector
Kerio WinRoute

Решения для небольших фирм и домашнего использования:

UserGate
HandyCache


Консольные программные (могут быть использованы в разных категориях)

Squid — изначально прокси развивался под nix системами, сейчас портирован практически на все современные операционные системы.
3proxy — маленький многоплатформный набор прокси-серверов (под Linux/Unix и Windows, включая 64-битные версии)


Специализированные:

Web-прокси – используется в основном для анонимности, сокрытые реального IP
Socs – предоставляет трансляцию пакетов на более низком уровне, но нет фильтрации

 

 

Обновлено 10.01.2010 04:57
 
sape

Разное