Идентификация пользователя и
администрирование cache использует алгоритм MD5;
Источник : RSA Data Security, Inc. MD5 Message-Digest Algorithm.
Предупреждение:
названия продуктов, фирм и т.п. , которые были
использованы в документе могут быть охранными
марками или регистрированными охранными марками
соответствующих владельцев.
Этот документ предназначен для пользователей
программы WinProxy. Описывает, для чего WinProxy служит,
как работает, как провести конфигурацию а также
содержит другую полезную информацию. Документ
будет постепенно дополняться актуальной
информацией. Актуальная версия будет доступна на
вебе. Просим читателей, чтоб в случае неточности,
непонятности или не достаточной информации
обращались со своими пожеланиями к нам. Мы
приветствуем также предложения о дополнении
информации касающейся данной проблематики, или
описание конфигурации software, который здесь не был
приведен. Наш адрес :
Авторы
2.
Что такое WinProxy и как он работает?
Proxy сервер - это программа
предназначенная для предоставления доступа к
ресурсам сети Internet из локальной сети охраняемой
Firewall. Под Firewall подразумевается компьютер,
который находится на границе между локальной
сетью и сетью Internet. Его задачей является охрана
локальной сети и информации на компьютерах этой
сети от нападений из относительного опасного
Interneta. Эта охрана осуществляется несколькими
способами, чаще всего путем запрещения
направления пакетов на компьютере выполняющем
функцию firewall. Это означает, что невозможно
попасть в локальную сеть c IP уровня, а именно
проникновения с этого уровня являются самыми
опасными. Недостатком такого решения является
отсутствие прямого доступа к сети Internet c
компьютера в локальной сети.
В настоящее время наиболее
популярными являются следующие решения, которые
преодолевают этот недостаток :
Proxy server
Gateway
SOCKS server
Обычно речь идет о программе, которая
запущена на компьютере с прямым подключением к
сети Internet (или к любой другой требуемой сети).
Таким образом компьютеры из локальной сети
получают доступ к Internet не прямо, а через этот
компьютер (firewall).
Следующий рисунок описывает часто встречаемую
ситуацию :
Если компьтер A хочет связаться с
компьютером B, то сначала должен связаться с
компьютером C. После установления связи
пошлет компьютер A компьютеру C запрос с
требованием связи с компьютером B. Компьютер C
свяжется с компьютером B, после чего может
начаться обмен данными между компьютерами A и
B. Формат запроса приходящего к компьютеру C
может быть различным и зависит от выше указанных
доступов. Также задача компьютера C при
обмене данными между компьютерами A и B
отличается в зависимости от используемого
доступа. В простых случаях компьютер C в
обмене данными участие не принимает, в более
сложных - может трансформировать протоколы.
Компьютер C может также проверить
пришедший к нему запрос о связи и, в зависимости
от определенных критериев, решить будет ли связь
предоставлена. Это позволит управлять доступом
пользователей локальной сети к определенным
ресурсам.
Чтобы нельзя было связаться обратным
путем, то-есть компьютер в Internete не мог
присоединиться к компьютеру в локальной сети
через компьютер C, WinProxy позволяет установить
так называемый безопасный сетевой интерфейс или
интервал IP адресов, с которых можно пользоваться
услугами WinProxy. Таким образом, связь с компьютером
C возможна только из локальной сети.
Указанная модель кроме
увеличения безопасности предоставляет и другие
интересные возможности :
Необходимость только одного IP адреса
Компьютеры составляющие локальную сеть могут
иметь произвольно выбранные IP адреса. Настоящий
Internetовский адрес требуется только один - у
компьютера C. Наиболее распостраненными
являются ситуации :
Локальная сеть с несколькими компьютерами, к
одному подключен модем для доступа к Internet.
Локальная сеть с несколькими компьютерами, один
из них имеет два сетевых интерфейса, к примеру
ethernet. Одним подключен к локальной сети, другим - к
внешнему сегменту.
Сохранение проходящих объектов в общей cache
памяти
Компьютер C может проходящие объекты
укладывать в собственную cache. При повторном
обращении к этим данным информация не поступает
из источника, а берется из cache. Этот метод снижает
нагрузку линии и увеличивает скорость ответа. В
cache естественно помещается только общедоступная
информация, то-есть там не появляются документы
личного характера.
более, выделенный или мало загруженный
компьютер (NT Server) Pentium 120MHz, 32 RAM
3.2
Установка, описание файлов
Установка проходит путем запуска
программы SETUP.EXE, которая находится на
установочной дискете или запуском архивного
файла полученного с Internet.
Если работаете под Windows NT, то можете
установить WinProxy с возможностью запуска в режиме
службы (application with service support). Для этого вы должны
иметь привилегии администратора.
В конце получите вопрос, хотите-ли
организовать в Администраторе программ (Program
Manager) группу. Если Вы провели установку с
поддержкой службы для Windows NT, то будет образована
группа типа Common, в обратном случае - типа Personal.
После проведения установки WinProxy
готов к эксплуатации.
В целевой директории (куда Вы WinProxy
наинсталировали) найдете следующие файлы :
winproxy.exe
- сама апликация
proxy.pac
- файл автоматической конфигурации
config.htm
- help для конфигурации
readme.txt
- основная информация
4. Конфигурация
Если у Вас на компьютере не установлен
протокол TCP/IP , то прочитайте сперва главу
5 Конфигурация TCP/IP..
Конфигурация проводится путем заполнения
страниц с использованием веб-браузера. Откройте
свой браузер и укажите URL : http://host:3129/admin , где host
- компьютер, на котором WinProxy установлен. Для
конфигурирования лучше всего использовать
браузер, который изображает рамки (frames).
Конфигурируемые параметры разделены на
несколько групп, каждой группе соответствует
одна форма-страница. В режиме on-line доступен help
предназначенный для помощи при конфигурации.
В предыдущей главе были оговорены
основные принципы работы WinProxy. Таким образом
программа выполняет функции :
proxy сервер для
протоколов http, https, ftp a gopher
позволяет
укладывать данные из этих протоколов в
совместной cache (кроме https)
gateway для Telnet, FTP,
SMTP, NEWS, POP3 a RealAudio
Mail Server
SOCKS сервер
версии 4 и 5, DNS forwarder
позволяет
установить телефонную связь сети
управление
пользователями и группами + ограничение доступа
FireWall - охраняет
локальную сеть
Каждая задача представляет
определенную подсистему WinProxy. Параметры этих
подсистем устанавливаются при помощи
форм-страниц. В следующих главах рассмотрены
способы их конфигурации.
Внимание
: в дальнейшем часто будем
ссылаться на компьютер, на котором работает WinProxy.
Для удобства будем этот компьютер называть Proxy
Host. Таким образом ProxyHost представляет DNS имя или
IP адрес компьютера (в локальной сети), на
котором WinProxy работает.
Далее предполагаем , что компьютер ProxyHost
имеет доступ к локальной сети и к Internet. Связь с
Internet может быть реализована любым способом :
коммутируемая линия, ISDN, еще одна сетевая карта,
...
4.1 Proxy server
Установка WinProxy
WinProxy ожидает запросы через порт 3128.
Этот параметр можно изменить на странице Network.
Далее, необходимо
правильно сконфигурировать браузер. В настоящее
время существует несколько браузеров, но не все
поддерживают proxy сервер. Если эти браузеры
поддерживают proxy, то их конфигурирование между
собой подобно. Приведем пример конфигурации
наиболее распространенных браузеров:
Конфигурация клиентов
Netscape
Navigator
menu Options -> Network Configuration -> Proxies
выберите Manual Proxy Configuration
нажмите клавишу View
в поле HTTP Proxy, FTP Proxy, GOPHER Proxy и Security Proxy укажите
компьютер ProxyHost, а порт установите на 3128.
Второй возможностью является
использование файла автоматической
конфигурации. Этот файл после инсталирования
находится в тойже директории что и WinProxy. В этом
файле необходимо вписать в поле proxy - компьютер
ProxyHost. В Navigator выберите Automatic Proxy Configuration, а в поле
Configuration Location (URL)укажите : ProxyHost:3129/autoconfig.
NCSA Mosaic
menu Options -> Preferences -> Proxy
в поле proxy сервера для HTTP, FTP, GOPHER укажите
компьютер ProxyHost и порт 3128 разделенные двоеточием.
MS Internet Explorer
3.0
Выберите в меню View->Options->Connections
Для Windows 95 , нажмите клавишу Proxy
Отметьте возможность Use the same proxy for all protocols.
В поле HTTP укажите компьютер ProxyHost и порт 3128.
Каскадирование
Если Ваш ISP имеет свой proxy
сервер с большим объемом cache, то Вы можете на
странице Advanced указать его
адрес и порт. В этом случае запросы будут
поступать к этому серверу.
4.2 Cache
Информацию, которая пройдет через
proxy, можно укладывать в совместной cache. При
повторном обращении к этой информации, она
поступает из cache.
Определение параметров
Правила (параметры) для сохранения
объектов в cache можно установить на странице Cache. Главным параметром является
максимальный объем cache (поле Max. Size). Это
максимальный объем помещенной в cache информации.
При наполнении cache до этой величины, будут
удаляться объекты с наиболее старой датой.
Следующим параметром является максимальная
величина объекта, который может быть в cache
помещен. Этот параметр можно указать отдельно
для объектов каждого протокола (HTTP, FTP, GOPHER). При
оптимальных величинах этих параметров можно
избежать таким ситуациям, при которых передача и
помещение 2 MB файла в cache Вам сотрет 330 небольших
файлов (при средней величине объекта 6kB). Cache Directory
определяет место расположения директории с cache.
Весь процесс помещения информации в
cache можно запретить выключением (Enable Caching).
Параметр (Continue loading aborted objects) Вам позволит
указать: продолжать или нет передачу данных при
отключении браузера клиента. Также можно
установить (Keep aborted Objects) - помещение в cache неполных
объектов при нарушении связи.
"Долговечность" объекта
"Долговечность" объекта
(англ. Time-To-Live, сокращенно TTL) время актуальности
информации в cache. В случае, если TTL данных
закончилось, то WinProxy при получении запроса на эти
данные, начнет их обновление.
Установка TTL проводится на странице Time-To-Live.
TTL устанавливается для
каждого протокола отдельно (HTTP, FTP, GOPHER) или более
детально для определенных URL.
Форма записи - ttl@url , где ttl - время
актуальности для URL. URL необходимо указать в
формате :scheme://host/path. В URL можно использовать знак
"*" , который означает - любая
последовательность знаков. Например: 12@*www* устанавливает время
актуальности на 12 дней для всех объектов, URL
которых включает в себя последовательность www. 2@ftp://*.zip устанавливает
"долговечность" на 2 дня для всех объектов
поступивших через ftp и имеющих расширение .zip
4.3 Gateway
4.3.1 Telnet gateway
Telnet - это протокол, который позволяет
присоединиться к любому компьютеру в Internet и
работать с ним в удаленном режиме (естественно
только в том случае, если этот компьютер имеет
пользовательский счет).
Использование telnet через WinProxy
следующее : запустите программу Telnet,
присоединитесь к компьютеру, на котором работает
WinProxy, после чего укажите имя компьютера, к
которому хотите присоединиться. По желанию можно
указать номер порта. Если хотите использовать
эту возможность, то зачеркните Telnet
Gateway на странице Network.
Также можно указать номер порта, на котором Telnet
gateway будет работать. По умолчанию - 23.
4.3.2 Ftp gateway
FTP (File Transfer Protocol) - протокол
предназначенный к передаче файлов. Ftp gateway
предоставляет ftp клиентам доступ к ftp серверам в
Internet. Gateway имеет вид user@host. Если Вы хотите
присоединиться к компьютеру ftp.bestsite.com в режиме
anonymous, то сначала присоединитесь к компьютеру с
WinProxy, в качестве username укажите anonymous@ftp.bestsite.com.
Можно также использовать программу WS_FTP, которая
автоматически поддерживает этот тип gateway. В этом
случае необходимо установить Firewall Type на USER
with no logon, Host Name на ProxyHost a port на 21.
Если хотите функцией Ftp gateway пользоваться, то
зачеркните на странице Network
поле Ftp Gateway.
4.3.3 RealAudio gateway (proxy)
RealAudio gateway позволяет принимать звуки
с Internet в формате RealAudio. Поддерживаются как TCP, так
и UDP. Если хотите этой возможностью пользоваться,
то активизируйте на странице Network
поле RealAudio. Номер порта по умолчанию 1090.
Конфигурация RealAudio Player проходит следующим
образом : menu View -> Preferences -> Proxy, зачеркнуть Use Proxy,
в поле host указать компьютер ProxyHost, а в поле порт
вписать 1090.
4.3.3 News
News gateway позволит Вам принимать и
посылать информацию из USENET News. Конфигурация
следующая: на странице Network в
поле News server укажите имя или IP адрес
компьютера, с которого News хотите получать. В
"читайте news" укажите в поле "имя news
сервера" компьютер ProxyHost. К примеру: в Netscape
Navigator-е - это поле News (NNTP) server на той же
странице, что и для Mail сервера.
4.4 Mail
WinProxy может обрабатывать почту тремя
различными способами. Перед тем, как рассмотрим
каждый из них, уделим внимание проблематике
электронной почты как таковой.
Дла переноса почты в Internet служит
протокол SMTP (Simple Mail Transfer Protocol). При помощи этого
протокола компьютеры обмениваются электронной
почтой. Почта может пройти несколькими
компьютерами, прежде чем дойдет к адресату. SMTP
требует, чтобы почта была доставлена в течении
определенного времени. Если же целевой компьютер
недоступен в течении этого срока (обычно три дня),
то почта возвращается к отправителю.
Из этого следуют две причины почему SMTP
непригоден для приема почты на отдельные
компьютеры или при коммутируемой линии (dial-up):
компьютер выполняющий функцию SMTP должен быть
все время доступен (за исключением
кратковременных отключений)
компьютер выполняющий функцию SMTP становится
ответственным за доставку полученной почты. Если
адресат в настоящий момент недоступен, то почта
должна быть временно уложена, а сервер должен в
определенных временных интервалах стремится
почту передать адресату.
По этой причине почта пересылаемая по
Internet при помощи протокола SMTP чаще всего
заканчивает свой путь на больших беспрерывно
работающих машинах, размещенных к примеру у ISP.
Перенос почты на компьютеры отдельных
пользователей осуществляется по протоколу POP3.
Таким образом, пользователь имеет возможность в
любое время присоединиться к почтовому
компьютеру и скачать почту на свой компьютер.
В заключении можно сказать, что для
dial-up подключения чаще всего используется метод,
при котором пользователи (почтовые программы)
посылают почту в Internet при помощи программы SMTP
(это проходит без проблем), а принимают почту при
помощи программы POP3. Такой же метод использует и
WinProxy.
4.4.1 Mail Gateway
Mail Gateway является наиболее простым
способом. В конфигурации почтовых клиентов
укажете, что компьютер ProxyHost будет SMTP и POP3
сервером. В этом случае при приходу запроса WinProxy
перенаправит его на сервер указанный в
конфигурации WinProxy.
Конфигуоация WinProxy :
На странице Mail выберите
возможность SMTP/POP3 Gateway и нажмите клавишу Save. Потом
нажмите на Settings. В поле Remote SMTP Server и Remote POP3 Server
впишите Ваш SMTP и POP3 Internet сервер. Конфигурация клиента :
Существует несколько клиентов работающих с SMTP/POP3
почтой, например Pegasus mail for Windows, Netscape Navigator, MS
Explorer 3.0 - Internet Mail, MS Exchange, Eudora. Их
конфигурацию найдете в документациях
прилагаемых к этим программам. В каждом из них в
качестве SMTP и POP3 сервера укажите ProxyHost компьютер,
а POP3 Username (Account) и Password установите на имя и пароль
пользователя соответствующего для указанного POP3
сервера.
Если некоторые пользователи принимают почту от
других компьютеров, то могут этот сервер в
конфигурации почтовой программы
специфицировать в поле POP3 username. Имя сервера
присоединяется к концу имени, от имени
пользователя отделяется знаком "#". Таким
образом запись имеет следующий вид :
username#popserver.domain.cz . Замечание: Если Вы пользуетесь
программой Eudora, то поле POP Account заполняете в
следующем формате: username#popserver.domain.cz@ProxyHost
4.4.2 Mail Server
В этом случае будет WinProxy работать как
SMTP/POP3 сервер. SMTP сервер специально приспособлен к
условиям dial-up присоединения. Пользователи
используют WinProxy для приема и отправления почты в
Internet или в локальную сеть. Если WinProxy получит
почту предназанченную для отправления в Internet, то
почта будет уложена и послана при подключении.
В течении связи почта, предназначенная
для Internet, отправляется на указанный Internet SMTP server,
после чего проходит прием почты для
зарегистрированных пользователей из Internet. Время,
в течение которого будет прием и отправление
почты проходить, можно указать. Прием /отправку
почты можно начать через веб-браузер.
Использование WinProxy в качестве Mail Server
предоставляет несколько выгод:
Пользователи не должны заботится о том, когда
будет установлена связь с Internet с целью
приема/отправления почты. В момент присоединения
их почта будет помещена в mailbox на WinProxy, а та почта,
которую пользователи послали в WinProxy, будет
отправлена. Принимать и посылать почту на WinProxy
могут в любое время независимо от того
установлена связь или нет.
Почту, которая приходит на один e-mail адрес WinProxy
может передать в mailbox группе пользователей.
Например: почта, которая пришла на адрес
sales@computers.cz, может быть передана трём сотрудникам.
Если пользователь принимает почту от
нескольких серверов, то WinProxy может принимать
почту со всех серверов и помещать их в один mailbox.
Самой интересной является возможность
организации собственного домена (например firma.cz).
Вся почта для Вашего домена firma.cz укладывается у
ISP в один mailbox. При помощи протокола POP3 WinProxy почту
выймет и россортирует её в ящики отдельных
пользователей в соответствии с заголовком To: . В
этом домене можете организовать произвольное
число e-mail адресов (например boss@firma.cz, sales@firma.cz,
petr@firma.cz , ...). Рекомендуем Вам эту возможность
продискутировать с Вашим ISP. Начинающие ISP могут
найти описание конфигурации направления почты в
один mailbox в приложении C .
Таким образом WinProxy скачивает почту
из удаленных mailboxов (POP3 серверов) в Internet и
укладывает её в локальные mailboxы. Из этих mailboxов
пользователь в последствии переносит почту на
свой компьютер.Так же происходит и отправление
почты. Пользователи отправляют почту на WinProxy, а
он в свою очередь пересылает её почтовому
серверу в Internet.
Конфигурация WinProxy
На странице Mail
выберите возможность Mail Server и нажмите кнопку Save.
Потом нажмите на ссылку Settings. В поле Remote
SMTP server укажите SMTP сервер, на который будет
почта, направленная в Internet, посылаться. Если
хотите указать время отсылки и приема почты, то
укажите это время в поле Send/Receive Mail. Если выберете every,
то почта будет обработана по
истечении определенного временного интервала.
Этот интервал указывается в следующем виде чч:мм, где чч
означают часы а мм минуты.
Если выберете at, то почта будет обрабатываться в
определенное время. Время укажите в формате
чч:мм, отдельные указатели
времени отделяются друг от друга пробелом. Если
хотите, чтобы WinProxy мог при обработке почты
установить dial-up связь, то зачеркните возможность
Allow to Dial. Информация о mailbox
пользователей находится в Account List
. Параметры добавляются в список при помощи
соответствующих кнопок. Remote POP3 account
определяет удаленный mailbox, из которого
почта будет пересылаться в локальный mailbox. Этот
параметр имеет форму username@popserver.domain.cz. Один знак @
служит к обозначению локального mailboxа. Поле
Password содержит
соответствующий пароль. Поле E-mail
содержит e-mail адрес в Internet. Если этот
параметр соответствует параметру в поле Remote POP3
Account, то можете это поле не заполнять. Этот
параметр служит для определения почты для
локальных пользователей. Если кто-либо пошлет
WinProxy почту, то WinProxy проверит все e-mail записи и,
если адресат находится в списке, почта будет
помещена в его mailbox. Последний параметр
Move to Local Account определяет
пользователя WinProxy, которому будет передана
почта. Все пользователи указываются на странице
Users. Если выберете группу
пользователей, то почта будет передана каждому
из этой группы. Специальным выбором является {RULE}.
Эту возможность чаще всего используют в случае,
если будете принимать почту для целого домена.
Почта, принятая из этого mailboxa, будет передана
различным пользователям в соответствии с
заголовком To:.
Правила сортировки определяются на странице
Sorting Rules. Письма, которые не
могли быть рассортированы, укладываются в
соответствии с правилом содержащим один знак @,
или в зависимости от Report Problems To (с
сообщением об ошибке).
Правильность конфигурации данных в
Account Listu лучше всего проверить путем
запуска обработки почты через веб интерфейс на
странице Manual. Запись
информации о приему/отправлении почты в Internet
установите параметром Enable Logging.
Конфигурация клиентов :
Есть несколько клиентов работающих с SMTP/POP3,
например Pegasus mail for Windows, Netscape Navigator, MS Explorer 3.0 -
Internet Mail, MS Exchange, Eudora. Для конфигурации
этих программ пользуйтесь прилагаемой к ним
документацией. В качестве SMTP и POP3 сервера укажите
компьютер ProxyHost. POP3 Username (Account) и Password такие же, как
и для WinProxy.
На странице Network
зачеркните SOCKS server для каждой версии SOCKS
протокола. В настоящее время версии 4 и 5.
Стандартным портом для SOCKS server является порт 1080.
Если будете пользоваться версией 4, то скорее
всего надо будет установить DNS. Если в поле DNS server
укажете имя DNS сервера, то WinProxy будет направлять
DNS вопросы на этот сервер, таким образом WinProxy
будет вести себя как DNS сервер.
4.6 Телефонная связь
WinProxy позволяет установить
телефонную связь с ISP. Связь может быть
установлена двумя способами:
вручную через веб интерфейс - см. веб интерфейс
автоматически по требованию - связь
устанавливается автоматически по требованию в
случае, если запрос не может быть удовлетворен в
локальной сети. Связь может установить proxy server,
все gateway и SOCKS сервер. Связь устанавливается, если
невозможно DNS-имя перевести в IP адрес, или, если
операция connect вернет ошибку host unreachable (в
таблице направлений не было найдено направление
в соответствуещую сеть).
Schedule Dial - связь устанавливается в определенных
интервалах.
Примечание : В случае
автоматического соединения может случится, что
Вы хотите скачать файл в рамках локальной сети,
но по-ошибке укажете неправильное имя
компьютера, WinProxy об этом не подозревает и после
неуспешного первода DNS-имя на IP адрес начнет
устанавливать связь. Таким образом может
показаться, что WinProxy устанавливает связь
самовольно и без повода.
Конфигурация телефонной связи
проводится на странице Dial.
Условием для этого является правильная
конфигурация и работоспособность связи без WinProxy.
В combo box Connection Name выберите имя требуемого
присоединения. В поле Username и Password укажите
имя и пароль для выбранного имени присоединения.
Если хотите, чтоб связь устанавливалась
автоматически по требованию, то зачеркните check box Demand
Dial. В поле Hang up After также можете указать
время, по истечении которого связь прервется,
если по линии не будут переносится никакие
данные. WinProxy прерывают только ту связь, которую
сам установил.
Примечание : Если Ваш ISP не
поддерживает PAP или CHAP, то в этом случае Вы имеете
следующие возможности :
Windows NT 3.51 - Вы должны создать log-on skript пригодный
для Вашего соединения. Шаблон такого skriptа
найдете в файле WINNT35\system32\ras\switch.inf.
Windows 95 - в момент присоединения надо подойти к
WinProxy и указать в терминальном окне необходимые
данные.
Windows 95 - лучший способ: установку связи можно
автоматизировать, более подробную информацию см.
на домашней странице WinProxy.
4.7 Управление пользователями,
контроль доступа
WinProxy позволяет создать счет
пользователей и группы пользователей.
Пользователи и группы пользователей создаются
для того, чтобы обозначить область доступа
пользователей через WWW и для обработки почты,
если используется Mail Server.
Пользователи, группы и членство
пользователей в группах создается на странице Accounts. WinProxy автоматически создает
группу Admins. Члены этой группы не имеют
ограничения при никаких операциях. Эту группу
нельзя уничтожить.
Access List
Контроль доступа пользователей к определенным URL
проводится в соответствии с Access List
на странице Access.
URL указываются в следующем формате scheme://host/path.
В URL можно использовать знак "*",
который заменяет любую последовательность. При
доступе к URL требуется идентификация
пользователя. Для того, чтобы мог пользователь
получить доступ к указанному адресу, должен
находится в списке пользователей или быть членом
группы, которой разрешен доступ к данной URL.
Нажатием кнопки Edit получите список
пользователей/групп, которые имеют доступ к
данной URL. Группы находятся в начале списка и
заключены в квадратные скобки. После добавления
новой URL никто к этой URL не имеет доступ.
Определение доступа на основе
Access List
Алгоритм, при помощи которого определяется,
будет-ли запрос на данную URL принят или нет,
следующий: при получении запроса программа
пытается найти в Access List URL соответствующую
требованию. Если ни одна из URL находящихся в Access
List не соответствует запрашиваемой URL, запрос
принимается. В обратном случае WinProxy пытается из
запроса получить идентификацию пользователя,
его имя и пароль. Если эта информация в запросе
отсутствует, то программа предлагает
пользователю указать свое имя и пароль. Если же
эта информация получена из запроса, то она будет
проверена. Если пользователь находится в Access List
для данной URL или является членом группы
находящейся в Access List, то запрос принимается.
Ограничение доступа к веб
интерфейсу
Ограничить доступ пользователей можно также и к
веб интерфейсу. Однако существует одно
исключение - имя компьютера (в URL это host) всегда
переводится на "WinProxy".
Например, ограничить доступ к веб интерфейсу
WinProxy можно записав в Access List следующую строку:
http://WinProxy/admin/*
Если хотите ограничить доступ к определенному
веб интерфейсу, то не забудьте указать хотя бы
одного пользователя, который к данному
интерфейсу будет иметь доступ, или который
включен в группу Admins, иначе уже никто к данному
интерфейсу не будет иметь доступ.
Примечание
Не все клиентские программы поддерживают
идентификацию необходимую для доступа через рroxy.
WinProxy могут пользоваться и те браузеры, которые
эту идентификацию не поддерживают. Для них будут
не доступны URL неуказанные в Access Listu. Proxy
идентификацию поддерживает например: Netscape Navigator
и MSIE 3.0.
Программа требует от пользователя указать имя и
пароль только один раз - после запуска браузера.
Примеры
1. Необходимо
следующее: чтобы пользователи, которые находятся
в группе [users], имели доступ
только к следующим доменам : domain.cz,
work.cz, а пользователь boss
имел доступ ко всему. Access List и доступ
пользователя / группы установим следующим
образом:
Access List
пользователь / группа
*
boss
*.domain.cz*
[users]
*.work.cz*
[users]
2. Хотим, чтоб никто не имел доступ к
домену bad.cz :
Access List
пользователь / группа
*.bad.cz*
4.8 Безопасность
Все более актуальной в настоящее время
становится охрана локальной сети от
проникновений из Internet, и трэндом в этой области
будет отказ от прямой связи. С WinProxy довольно
легко можете установить простой Firewall. Под этим
подразумевается компьютер охраняющий локальную
сеть от внешних атак и предоставляющий остальным
компьютерам доступ к сети Internet. Для того, чтобы
WinProxy работал как firewall, необходимо :
WinProxy должен работать на компьютере, который
является точкой соприкосновения между
локальной, охраняемой, сетью и сетью Internet.
Функция направления пакетов у этого компьютера
должна быть отключена. Windows 95 не имеет эту
функцию, поэтому в нем она отключена
автоматически.
Далее, для охраны сети от
проникновений пиратов из Internet через WinProxy, есть
две возможности:
Посетить адрес интерфейса охраны (Secure Interface)
на странице Security. Это IP адрес
сетевого интерфейса компьютера (на котором
работает WinProxy), через который могут поступать
запросы. Запросы принятые через другой интерфейс
будут отменены. Адресом этого интерфейса чаще
всего является IP адрес сетевой карты ethernet этого
компьютера (через эту сетевую карту компьютер
соединен с локальной сетью).
Указать на странице Security IP
адреса (IP List), с которых можно использовать
WinProxy. Можете указать один IP адрес или интервал IP
адресов в формате 192.168.1.32-192.168.1.63. Интервал можно
также определить количеством битов сетевой
маски, например: 192.168.1.32/27. 27 битов
соответствует сетевой маске 255.255.255.224
Необходимо сказать, что в стандартном случае,
т.е. локальная сеть + один компьютер с модемом, нет
причин к опасениям и выше указанные меры
безопасности более-менее избыточны.
5.
Конфигурация TCP/IP
Для того, чтобы WinProxy правильно
работал, необходимо правильно установить TCP/IP на
компьютерах, которые службами WinProxy будут
пользоваться, и на копьютере, на котором WinProxy
будет работать.
На компьютере, на котором WinProxy
будет работать, должна быть установлена система
Windows NT или Windows 95. На клиентах может быть любая
операционная система поддерживающая TCP/IP (Windows,
Unix, Macintosh, VMS, ...).
Если Вы еще TCP/IP не установили, то у
Вас есть следующие возможности:
Сеть с пятью компьютерами;
компьютеры в сети Microsoft имеют следующие имена: Tom,
Petr, Dusan и Martin. К компьютеру Martin присоединен модем
для связи с Internet, на этом компьютере запустим
WinProxy. На компьютерах установлены следующие
операционные системы: Windows 95, Windows NT и Windows 3.1.
5.1 Установка IP адреса
Для того, чтобы компьютеры могли
между собой общаться через TCP/IP, то должны иметь
так называемые IP адреса. IP адреса - это 32 битовое
число, для большей ясности указывается по байтах
в формате a.b.c.d . IP адрес должен быть уникальным,
т.е не может использоваться в той же сети
несколько раз.
Документ рекомендует выбирать для организации
частной сети адреса из частного адресового
пространства. Для этого адресного пространства
организация IANA забронировала три блока IP
адресов. Эти адреса содержат один адрес в классе
A, 16 последовательных адресов в классе B и 255
последовательных адресов в классе C.
Эти адреса следующие:
класс A : 10.0.0.0 - 10.255.255.255
класс B : 172.16.0.0 - 172.31.255.255
класс C : 192.168.0.0 - 192.168.255.255
Гарантируется, что эти
адреса не используются компьютерами в рамках
сети Internet. Причины для использования этих
адресов и другие предложения как составить TCP/IP
сеть найдете в вышеуказанном документе.
Для нашего случая (сеть неболее 255
компьютеров) будут достаточны адреса класса C;
также используем адреса от 192.168.1.1 до 192.168.1.4.
Закрепим IP адреса за компьютерами в соответствии
со следующей таблицей:
Имя компьютера
Операционная система
IP адреса
Martin
Windows 95
192.168.1.1
Tom
Windows 95
192.168.1.2
Petr
Windows NT
192.168.1.3
Dusan
Windows 3.1
192.168.1.4
За этим следует установка для
отдельных операционных систем:
Windows 95
Меню Start -> Setting -> Control Panels -> Network
Выберите протокол TCP/IP. Если этого протокола
в списке нет, выберите Add, из предложенного
списка выберите Protocol, опять Add, из списка
выберите производителя Microsoft и сетевой
протокол TCP/IP.
Кнопка Properties, выбрать закладку IP address ,
зачеркните Enter the IP address
В поле IP address впишите адрес компьютера, см.
Таблица, в поле subnet mask впишите 255.255.255.0 .
Установку закончите нажатием на OK. Новая
конфигурация будет актуальна после перезапуска
компьютера.
Windows NT (3.51)
Program Manager -> группа Main -> Control Panel -> Network
В списке Installed Network Software выберите TCP/IP protocol
и нажмите Configure. Если TCP/IP протокол в списке не
присутствует, то перейдите к пункту 4.
В поле IP address впишите адрес в соответствии с
таблицей, в поле Subnet Mask впишите 255.255.255.0.
Установку закончите нажатием кнопки OK. Новая
конфигурация будет актуальна после перезапуска
компьютера.
Кнопка Add Software, из сombo box Network Software выберем
TCP/IP Protocol and related components, кнопка Continue , ещё
раз Continue и вложите установочный носитель. Для
копирования нужных файлов нажмите кнопку OK в
диалоге Network Settings. Появится диалог TCP/IP
Configuration, в котором укажете параметры в
соответствии с пунктом 3.
Windows 3.1
Протоколы TCP/IP не входят в эту операционную
систему. Самой интересной разработкой является
shareware программа Trumpet Winsock.
Windows для Workgroups 3.11
Поддержка протокола TCP/IP не является частью
распространяемой программы.Однако её можно
получить на ULR:
Microsoft TCP/IP-32 version 3.11b for Windows for Workgroups is a 32-bit TCP/IP network
protocol for Windows for Workgroups only. (690031 bytes).
Конфигурация подобна конфигурации Windows NT 3.51.
Подробное описание будет добавлено позже.
Следующей возможностью является использование
Trumpet Winsock.
Теперь можете использовать
протокол TCP/IP в Вашей сети. Адресовать компьютеры
можете только при помощи IP адресов. Во всех выше
указанных местах, где написано "укажите адрес
компьютера, на котором WinProxy работает" укажите
IP адрес компьютера Martin т.е.. 192.168.1.1 . Если хотите к
компьютерам обращаться по именам, то проведите
конфигурацию в соответствии со следующей главой.
5.2 Конфигурация DNS
В предыдущей главе мы
рассматривали использование и закрепление IP
адресов за компьютерами в локальной сети. Так как
IP адреса тяжело запоминаются, а для людей более
приемлемо давать компьютерам имена, то в TCP/IP
можно закреплять за компьютерами имена. Речь
идет о так называемых DNS именах, которые могут
отличаться от имен использованных в сети Microsoft
(это имена, которые видны под иконой Network Neighbors).
Каждому IP таким образом отвечает имя или alias.
Должен существовать способ как переводить эти
имена на IP адреса, так как именно они требуются
для коммуникации. Перевод осуществляется или
через DNS сервер, или при помощи статических
таблиц размещенных в каждом компьютере
локальной сети. Мы рассмотрим второй способ, так
как для сети с четырмя компьютерами вполне
достаточен. Компьютерам дадим DNS имена
соответствующие именам в сети Microsoft.
Файл, содержащий таблицу с
именами, должен называться hosts и должен
находиться в следующих директориях :
Windows 95
\Windows
Windows NT
\WINNT35\SYSTEM32\DRIVERS\ETC
Windows 3.1
\ETC
WfW 3.11
\Windows
Файл hosts - текстовый файл, его
записи имеют формат
IP_адрес DNS_имя [aliasеs]
Для корректировки / создания
файла можно использовать любой текстовый
редактор. Файл должен быть уложен как текстовый и
не иметь расширение. К примеру, если в NOTEPAD не
укажете расширение, то по умолчанию расширение
будет .txt . Тогда надо файл вручную переименовать.
Наш файл будет выглядеть так :
# файл hosts
# этот файл содержит соответствие между именами DNS и IP адресами
#
127.0.0.1 localhost
192.168.1.1 martin winproxy
192.168.1.2 tom
192.168.1.3 petr
192.168.1.4 dusan
# конец файла hosts
Файл надо скопировать на все компьютера в соответствующие директории.
Теперь можете адресовать
компьютера в сети TCP/IP при помощи их DNS имен. На
всех местах, где ранее встречалась запись
"укажите адрес компьютера, на котором работает
WinProxy" можете указать вместо его IP адреса
соответствующее DNS имя, в нашем случае martin или
winproxy.
A. Сеть с
несколькими сегментами
Это приложение рассматривает
использование WinProxy в сетях с несколькими
сегментами в связи с телефонной связью. Для
наглядности будем рассматривать рисунок с 2
сетями:
Адрес первой сети 192.168.1.0, второй - 192.168.2.0.
Сети связанны через роутер, IP адреса которого
192.168.1.1 и 192.168.2.1. Компьютер 192.168.1.3 используется для
связи с Internet. В такой конфигурации наступает
следующая проблема: компьютеры используют для
связи с другой сетью default route. В момент
присоединения компьютера 192.168.1.3 к Internet, default route
изменено на Internet gateway (её IP адрес указываете при
конфигурации телефонного адаптера). В этот
момент перестанет компьютер 192.168.1.3 "видеть"
компьютеры составляющие сеть 192.168.2.0. Причиной
этого является то, что для связи было выбрано
направление по умолчанию, которое теперь
изменилось. В итоге это означает, что компьютера
из сети 192.168.2.0 не могут общаться с компьютером
192.168.1.3.
Эту ситуацию можно легко решить.
Решение заключается в замене default route на
нормальное. А именно, на компьютере 192.168.1.3 в
командной строке задать команду:
команда означает следующее: если появится
пакет предназначенный для сети 192.168.2.0 с сетевой
маской 255.255.255.0, послать этот пакет через роутер с
адресом 192.168.1.1. В Windows NT есть еще параметр -p,
который устанавливает это направление как
постоянное. В Windows 95 можно эту команду поместить в
файл AUTOEXEC.BAT.
После проведения этой команды компьютер
192.168.1.3 будет "видеть" компьютера сети 192.168.2.0
вне зависимости от параметра default route.
B. Пример
конфигурации Mail Serveru
I. Простой пример.
Возмем 4 пользователя. Каждый из них
имеет счет организованный на WinProxy на странице
Users; имена следующии :
boss, petr, tom,
martin. Далее, была организована
группа пользователей [sales], члены
этой группы: boss и petr.
Почту хотим обрабатывать в соответствии со
следующей таблицей :
POP3 счет
E-mail адрес
Кто получит почту
novak@mbox.prov.cz
novak@mbox.prov.cz
boss
petr@bob.uni.cz
petr@bob.uni.cz
petr
tom@mbox.uni.cz
tom@computers.cz
tom
hruby@pop.serv.cz
hruby@mbox.serv.cz
martin
martin@popserv.x-media.cz
martin@x-media.cz
martin
sales@mbox.prov.cz
sales@mbox.prov.cz
boss, petr
В этом случае надо дополнить
Account List, после чего он бы выглядел
следующим образом :
Правильность данных в Account
List лучше всего проверить запуском
обработки почты через веб интерфейс на странице
Manual.
II.Комплексный пример с использование
правил сортировки.
Возьмем фирму с 6 пользователями.
Каждый из них имеет счет на WinProxy, имена следующие:
boss, petr, tom,
martin, robert,
jana. Далее, организованы группы
пользователей [sales], члены
которой: boss и petr ,
группа [developers] , члены которой:
martin, tom и jana и
группа [users], члены которой все
пользователи. Фирма имеет у ISP свой домен для
приема почты. Имя домена firma.cz,
почта для этого домена укладывается в mailbox
firma на компьютере mbox.prov.cz.
Каждый пользователь имеет в этом домене свой e-mail
адрес. Далее был создан еще один e-mail адрес для
информаций о продаже - sales@firma.cz , а
почту приходящую на этот адрес будут получать
пользователи группы [sales].
Пользователи martin и tom
также получают почту с других компьютеров. Далее,
пользователь tom является
участником конференции conf-l@prov.cz ,
а также хотим, чтоб почту из этой конференции
получали martin и jana.
Фирма хочет иметь свою собственную (внутреннюю)
конференцию, адресом которого будет info-l@firma.cz.
Account List в этом случае выглядел бы следующим
образом :
Обратите внимание на e-mail адреса в первой
строке Account List. Адрес указан так: @firma.cz.
Запись означает, что все пользователи домена
firma.cz локальные.
Правильность данных в Account
List лучше всего проверить запуском
обработки почты через веб интерфейс на странице
Manual.
Примечания :
Организация домена и сохранение почты
приходящей на этот домен в настоящее время не
проблема. С точки зрения ISP эта задача сравнима по
своей трудоемкости с установкой одного e-mail
адреса. Также цена не на много больше, чем у
установки одного e-mail адреса. Если Ваш ISP не хочет
удовлетворить Ваше требование, то обратитесь к
другому.
Это примечание (для специалистов)
касается e-mail заголовка To: в связи с
сортировкой почты в отдельные mailboxы. В этом
заголовке не всегда указан действительный e-mail
адрес получателя. Обычно письма приходящие от
конференции в заголовке To: имеют адрес
конференции. В выше указанном примере это было
решено таким образом: мы в конференции
зарегиcтрировали одного пользователя, а письма
приходящие из конференции мы скопировали всем
желающим. Этот способ имеет также выгоду, что
письма, приходящие из конференции, приходят
только в одном экземпляре.
Проблемы возникнут, если два пользователя
зарегистрированы в одной конференции. В этом
случае письма приходили бы дважды и нельзя было
бы различить кому из них принадлежат. Если
кого-то этот способ не устраивает, то мы
подготовили ещё один способ сортировки почты, на
основе заголовка X-Envelope-To:. Этот заголовок
должен изыматься из так называемого конверта и
вкладываться в заголовок письма перед его
помещением в mailbox. WinProxy сортирует почту в первую
очередь на основании этого заголовка. Если
хотите об этом способе узнать побольше, напишите
на адрес нашей фирмы.
C. Информация для
ISP
Укладывание почты для целого домена в
один mailbox (UNIX, sendmail)
В правило S0 или S98 в файле /etc/sendmail.cf
необходимо дополнить следующую строку:
R$*<@firma.cz.>$* $#local $: firma
Добавление заголовка X-Enevelope-To к mail (UNIX,
sendmail)
Необходимая корректировка файла sendmail.cf:
1. В правило S0 или S98 необходимо для каждого
клиента добавить строку:
R$*<@firma.cz.>$* $# xlocal $@ firma $: $1<@firma.cz.>$2
$# xlocal ... имя нашего почтового клиента
$@ firma .... нормальное имя компьютера, в нашем случае mailbox
$: $1<@firma.cz.>$2 ..... адрес получателя, который будет в X-Envelope-To:
2. к параметрам почтового клиента:
Mxlocal, P=/usr/local/etc/bin/xlocal, F=lsDFMA, S=10/30, R=21,
T=DNS/RFC822/SMTP,
A=xlocal $u procmail $h
$u ... адрес, который будет в X-Envelope-To: $1<@firma.cz.>$2
$h ... имя mailboxа
A=xlocal $u procmail $h ... командная строка, в качестве локального почтового клиента использован procmail
Использованные флаги почтовых клиентов:
l локальный почтовый клиент
s выбросить из адресов лишнюю информацию (кавычки, скобки, ...)
D дополнить заголовок Date: (если его нет)
F дополнить заголовок From: (если его нет)
M дополнить заголовок Message-Id: (если его нет)
A ARPA совместимый почтовый клиент
Здесь находится код источника "fake"
почтового клиента .
Перевод :
Наш адрес : 
Установка WinProxy
Netscape
Navigator
Manual Proxy Configuration
NCSA Mosaic
MS Internet Explorer
3.0
Укладывание почты для целого домена в
один mailbox (UNIX, sendmail)