Добро пожаловать на Luksian key

главная | библиотека | почта | игры | обои | анекдоты

Библиотека RTFM

Начало / Internet-технологии / Сервисы / WinProxy 1.4 Руководство по использованию
Martin Viktora Martin Rubas Tomas Hnetila

WinProxy 1.4 Руководство по использованию

Proxy Software
© 1996 Martin Viktora Martin Rubas Tomas Hnetila

Идентификация пользователя и администрирование cache использует алгоритм MD5
Источник : RSA Data Security, Inc. MD5 Message-Digest Algorithm.

Предупреждение:
Названия продуктов, фирм и т.п. , которые были использованы в документе могут быть охранняемыми марками или регистрированными охранняемыми марками соответствующих владельцев.

Содержание

1.Вступление

Этот документ предназначен для пользователей программы WinProxy. Описывает, для чего WinProxy служит, как работает, как провести конфигурацию а также содержит другую полезную информацию. Документ будет постепенно дополняться актуальной информацией. Актуальная версия будет доступна на вебе.

Просим читателей, чтобы в случае неточности, непонятности или не достаточной информации обращались со своими пожеланиями к нам. Мы приветствуем также предложения о дополнении информации касающейся данной проблематики, или описание конфигурации software, который здесь не был приведен.
Наш адрес : winproxy@winproxy.cz

Авторы

2. Что такое WinProxy и как он работает?

Proxy сервер - это программа предназначенная для предоставления доступа к ресурсам сети Internet из локальной сети охраняемой Firewall. Под Firewall подразумевается компьютер, который находится на границе между локальной сетью и сетью Internet. Его задачей является охрана локальной сети и информации на компьютерах этой сети от нападений из относительного опасного Interneta. Эта охрана осуществляется несколькими способами, чаще всего путем запрещения направления пакетов на компьютере выполняющем функцию firewall. Это означает, что невозможно попасть в локальную сеть c IP уровня, а именно проникновения с этого уровня являются самыми опасными. Недостатком такого решения является отсутствие прямого доступа к сети Internet c компьютера в локальной сети.

В настоящее время наиболее популярными являются следующие решения, которые преодолевают этот недостаток :

Proxy server
Gateway
SOCKS server

Обычно речь идет о программе, которая запущена на компьютере с прямым подключением к сети Internet (или к любой другой требуемой сети). Таким образом компьютеры из локальной сети получают доступ к Internet не прямо, а через этоткомпьютер (firewall).

Следующий рисунок описывает часто встречаемую ситуацию :

Схема

Если компьтер A хочет связаться с компьютером B, то сначала должен связаться с компьютером C. После установления связи пошлет компьютер A компьютеру C запрос с требованием связи с компьютером B. Компьютер C свяжется с компьютером B, после чего может начаться обмен данными между компьютерами A и B. Формат запроса приходящего к компьютеру C может быть различным и зависит от выше указанных доступов. Также задача компьютера C при обмене данными между компьютерами A и B отличается в зависимости от используемого доступа. В простых случаях компьютер C в обмене данными участие не принимает, в более сложных - может трансформировать протоколы.

Компьютер C может также проверить пришедший к нему запрос о связи и, в зависимости от определенных критериев, решить будет ли связь предоставлена. Это позволит управлять доступом пользователей локальной сети к определенным ресурсам.

Чтобы нельзя было связаться обратным путем, то-есть компьютер в Internete не мог присоединиться к компьютеру в локальной сети через компьютер C, WinProxy позволяет установить так называемый безопасный сетевой интерфейс или интервал IP адресов, с которых можно пользоваться услугами WinProxy. Таким образом, связь с компьютером C возможна только из локальной сети.

Указанная модель кроме увеличения безопасности предоставляет и другие интересные возможности :
Необходимость только одного IP адреса
Компьютеры составляющие локальную сеть могут иметь произвольно выбранные IP адреса. Настоящий Internetовский адрес требуется только один - у компьютера C. Наиболее распостраненными являются ситуации :
Локальная сеть с несколькими компьютерами, к одному подключен модем для доступа к Internet.
Локальная сеть с несколькими компьютерами, один из них имеет два сетевых интерфейса, к примеру ethernet. Одним подключен к локальной сети, другим - к внешнему сегменту.
Сохранение проходящих объектов в общей cache памяти
Компьютер C может проходящие объекты укладывать в собственную cache. При повторном обращении к этим данным информация не поступает из источника, а берется из cache. Этот метод снижает нагрузку линии и увеличивает скорость ответа. В cache естественно помещается только общедоступная информация, то-есть там не появляются документы личного характера.

3. Основная информация

3.1 Системные требования

Операционная система:

Windows 95 или Windows NT с установленной поддержкой TCP/IP (см. Конфигурация TCP/IP).

Hardware :

Минимальная конфигурация HW для данной операционной системы, приблизительно 1 MB на HDD + место на диске для cache.

С увеличивающимися требованиями пользователей и объемом cache увеличиваются требования к памяти, процессору, диску и скорости присоединения.

Рекомендуем следующие (минимальные) :

  • 5 пользователей, cache 20MB, - >486, 8MB RAM
  • 10 пользователей, cache 80MB, - >Pentium, 16MB RAM
  • более, выделенный или мало загруженный компьютер (NT Server) Pentium 120MHz, 32 RAM

3.2 Установка, описание файлов

Установка проходит путем запуска программы SETUP.EXE, которая находится на установочной дискете или запуском архивного файла полученного с Internet.

Если работаете под Windows NT, то можете установить WinProxy с возможностью запуска в режиме службы (application with service support). Для этого вы должны иметь привилегии администратора.

В конце получите вопрос, хотите-ли организовать в Администраторе программ (Program Manager) группу. Если Вы провели установку с поддержкой службы для Windows NT, то будет образована группа типа Common, в обратном случае - типа Personal.

После проведения установки WinProxy готов к эксплуатации.

В целевой директории (куда Вы WinProxy проинсталировали) найдете следующие файлы:

winproxy.exe - сама апликация
proxy.pac - файл автоматической конфигурации
config.htm - help для конфигурации
readme.txt - основная информация

4. 4. Конфигурация

Если у Вас на компьютере не установлен протокол TCP/IP , то прочитайте сперва главу 5 Конфигурация TCP/IP..

Конфигурация проводится путем заполнения страниц с использованием веб-браузера. Откройте свой браузер и укажите URL : http://host:3129/admin , где host - компьютер, на котором WinProxy установлен. Для конфигурирования лучше всего использовать браузер, который изображает рамки (frames). Конфигурируемые параметры разделены на несколько групп, каждой группе соответствует одна форма-страница. В режиме on-line доступен help предназначенный для помощи при конфигурации.

В предыдущей главе были оговорены основные принципы работы WinProxy. Таким образом программа выполняет функции :

proxy сервер для протоколов http, https, ftp a gopher
позволяет укладывать данные из этих протоколов в совместной cache (кроме https)
gateway для Telnet, FTP, SMTP, NEWS, POP3 a RealAudio
Mail Server
SOCKS сервер версии 4 и 5, DNS forwarder
позволяет установить телефонную связь сети
управление пользователями и группами + ограничение доступа
FireWall - охраняет локальную сеть

Каждая задача представляет определенную подсистему WinProxy. Параметры этих подсистем устанавливаются при помощи форм-страниц. В следующих главах рассмотрены способы их конфигурации.

Внимание: в дальнейшем часто будем ссылаться на компьютер, на котором работает WinProxy. Для удобства будем этот компьютер называть Proxy Host. Таким образом ProxyHost представляет DNS имя или IP адрес компьютера (в локальной сети), на котором WinProxy работает.

Далее предполагаем, что компьютер ProxyHost имеет доступ к локальной сети и к Internet. Связь с Internet может быть реализована любым способом : коммутируемая линия, ISDN, еще одна сетевая карта, ...

Схема

4.1 Proxy server

Установка WinProxy

WinProxy ожидает запросы через порт 3128. Этот параметр можно изменить на странице Network.
Далее, необходимо правильно сконфигурировать браузер. В настоящее время существует несколько браузеров, но не все поддерживают proxy сервер. Если эти браузеры поддерживают proxy, то их конфигурирование между собой подобно. Приведем пример конфигурации наиболее распространенных браузеров:

Конфигурация клиентов

Netscape Navigator

  1. menu Options -> Network Configuration -> Proxies
  2. выберите Manual Proxy Configuration
  3. нажмите клавишу View
  4. в поле HTTP Proxy, FTP Proxy, GOPHER Proxy и Security Proxy укажите компьютер ProxyHost, а порт установите на 3128.

Второй возможностью является использование файла автоматической конфигурации. Этот файл после инсталирования находится в тойже директории что и WinProxy. В этом файле необходимо вписать в поле proxy - компьютер ProxyHost. В Navigator выберите Automatic Proxy Configuration, а в поле Configuration Location (URL)укажите : ProxyHost:3129/autoconfig.

NCSA Mosaic

  1. menu Options -> Preferences -> Proxy
  2. в поле proxy сервера для HTTP, FTP, GOPHER укажите компьютер ProxyHost и порт 3128 разделенные двоеточием.

MS Internet Explorer 3.0

  1. Выберите в меню View->Options->Connections
  2. Для Windows 95 , нажмите клавишу Proxy
  3. Отметьте возможность Use the same proxy for all protocols.
  4. В поле HTTP укажите компьютер ProxyHost и порт 3128.

Каскадирование
Если Ваш ISP имеет свой proxy сервер с большим объемом cache, то Вы можете на странице Advanced указать его адрес и порт. В этом случае запросы будут поступать к этому серверу.

4.2 Cache

Информацию, которая пройдет через proxy, можно укладывать в совместной cache. При повторном обращении к этой информации, она поступает из cache.

Определение параметров

Правила (параметры) для сохранения объектов в cache можно установить на странице Cache. Главным параметром является максимальный объем cache (поле Max. Size). Это максимальный объем помещенной в cache информации. При наполнении cache до этой величины, будут удаляться объекты с наиболее старой датой. Следующим параметром является максимальная величина объекта, который может быть в cache помещен. Этот параметр можно указать отдельно для объектов каждого протокола (HTTP, FTP, GOPHER). При оптимальных величинах этих параметров можно избежать таким ситуациям, при которых передача и помещение 2 MB файла в cache Вам сотрет 330 небольших файлов (при средней величине объекта 6kB). Cache Directory определяет место расположения директории с cache.

Весь процесс помещения информации в cache можно запретить выключением (Enable Caching). Параметр (Continue loading aborted objects) Вам позволит указать: продолжать или нет передачу данных при отключении браузера клиента. Также можно установить (Keep aborted Objects) - помещение в cache неполных объектов при нарушении связи.

"Долговечность" объекта

"Долговечность" объекта (англ. Time-To-Live, сокращенно TTL) время актуальности информации в cache. В случае, если TTL данных закончилось, то WinProxy при получении запроса на эти данные, начнет их обновление.

Установка TTL проводится на странице Time-To-Live. TTL устанавливается для каждого протокола отдельно (HTTP, FTP, GOPHER) или более детально для определенных URL.
Форма записи - ttl@url , где ttl - время актуальности для URL. URL необходимо указать в формате :scheme://host/path. В URL можно использовать знак "*" , который означает - любая последовательность знаков. Например:
12@*www* устанавливает время актуальности на 12 дней для всех объектов, URL которых включает в себя последовательность www.
2@ftp://*.zip устанавливает "долговечность" на 2 дня для всех объектов поступивших через ftp и имеющих расширение .zip

4.3 Gateway

4.3.1 Telnet gateway

Telnet - это протокол, который позволяет присоединиться к любому компьютеру в Internet и работать с ним в удаленном режиме (естественно только в том случае, если этот компьютер имеет пользовательский счет).

Использование telnet через WinProxy следующее : запустите программу Telnet, присоединитесь к компьютеру, на котором работает WinProxy, после чего укажите имя компьютера, к которому хотите присоединиться. По желанию можно указать номер порта. Если хотите использовать эту возможность, то зачеркните TelnetGateway на странице Network. Также можно указать номер порта, на котором Telnet gateway будет работать. По умолчанию - 23.

4.3.2 Ftp gateway

FTP (File Transfer Protocol) - протокол предназначенный к передаче файлов. Ftp gateway предоставляет ftp клиентам доступ к ftp серверам в Internet. Gateway имеет вид user@host. Если Вы хотите присоединиться к компьютеру ftp.bestsite.com в режиме anonymous, то сначала присоединитесь к компьютеру с WinProxy, в качестве username укажите anonymous@ftp.bestsite.com.
Можно также использовать программу WS_FTP, которая автоматически поддерживает этот тип gateway. В этом случае необходимо установить Firewall Type на USER with no logon, Host Name на ProxyHost a port на 21.

Если хотите функцией Ftp gateway пользоваться, то зачеркните на странице Network поле Ftp Gateway.

4.3.3 RealAudio gateway (proxy)

RealAudio gateway позволяет принимать звуки с Internet в формате RealAudio. Поддерживаются как TCP, так и UDP. Если хотите этой возможностью пользоваться, то активизируйте на странице Network поле RealAudio. Номер порта по умолчанию 1090. Конфигурация RealAudio Player проходит следующим образом : menu View -> Preferences -> Proxy, зачеркнуть Use Proxy, в поле host указать компьютер ProxyHost, а в поле порт вписать 1090.

4.3.3 News

News gateway позволит Вам принимать и посылать информацию из USENET News. Конфигурация следующая: на странице Network в поле News server укажите имя или IP адрес компьютера, с которого News хотите получать. В "читайте news" укажите в поле "имя news сервера" компьютер ProxyHost. К примеру: в Netscape Navigator-е - это поле News (NNTP) server на той же странице, что и для Mail сервера.

4.4 Mail

WinProxy может обрабатывать почту тремя различными способами. Перед тем, как рассмотрим каждый из них, уделим внимание проблематике электронной почты как таковой.

Дла переноса почты в Internet служит протокол SMTP (Simple Mail Transfer Protocol). При помощи этого протокола компьютеры обмениваются электронной почтой. Почта может пройти несколькими компьютерами, прежде чем дойдет к адресату. SMTP требует, чтобы почта была доставлена в течении определенного времени. Если же целевой компьютер недоступен в течении этого срока (обычно три дня), то почта возвращается к отправителю.

Из этого следуют две причины почему SMTP непригоден для приема почты на отдельные компьютеры или при коммутируемой линии (dial-up):

  • компьютер выполняющий функцию SMTP должен быть все время доступен (за исключением кратковременных отключений)
  • компьютер выполняющий функцию SMTP становится ответственным за доставку полученной почты. Если адресат в настоящий момент недоступен, то почта должна быть временно уложена, а сервер должен в определенных временных интервалах стремится почту передать адресату.

По этой причине почта пересылаемая по Internet при помощи протокола SMTP чаще всего заканчивает свой путь на больших беспрерывно работающих машинах, размещенных к примеру у ISP. Перенос почты на компьютеры отдельных пользователей осуществляется по протоколу POP3. Таким образом, пользователь имеет возможность в любое время присоединиться к почтовому компьютеру и скачать почту на свой компьютер.

В заключении можно сказать, что для dial-up подключения чаще всего используется метод, при котором пользователи (почтовые программы) посылают почту в Internet при помощи программы SMTP (это проходит без проблем), а принимают почту при помощи программы POP3. Такой же метод использует и WinProxy.

4.4.1 Mail Gateway

Mail Gateway является наиболее простым способом. В конфигурации почтовых клиентов укажете, что компьютер ProxyHost будет SMTP и POP3 сервером. В этом случае при приходу запроса WinProxy перенаправит его на сервер указанный в конфигурации WinProxy.

Конфигуоация WinProxy :
На странице Mail выберите возможность SMTP/POP3 Gateway и нажмите клавишу Save. Потом нажмите на Settings. В поле Remote SMTP Server и Remote POP3 Server впишите Ваш SMTP и POP3 Internet сервер.
Конфигурация клиента :
Существует несколько клиентов работающих с SMTP/POP3 почтой, например Pegasus mail for Windows, Netscape Navigator, MS Explorer 3.0 - Internet Mail, MS Exchange, Eudora. Их конфигурацию найдете в документациях прилагаемых к этим программам. В каждом из них в качестве SMTP и POP3 сервера укажите ProxyHost компьютер, а POP3 Username (Account) и Password установите на имя и пароль пользователя соответствующего для указанного POP3 сервера.

Если некоторые пользователи принимают почту от других компьютеров, то могут этот сервер в конфигурации почтовой программы специфицировать в поле POP3 username. Имя сервера присоединяется к концу имени, от имени пользователя отделяется знаком "#". Таким образом запись имеет следующий вид : username#popserver.domain.cz .
Замечание: Если Вы пользуетесь программой Eudora, то поле POP Account заполняете в следующем формате: username#popserver.domain.cz@ProxyHost

4.4.2 Mail Server

В этом случае будет WinProxy работать как SMTP/POP3 сервер. SMTP сервер специально приспособлен к условиям dial-up присоединения. Пользователи используют WinProxy для приема и отправления почты в Internet или в локальную сеть. Если WinProxy получит почту предназанченную для отправления в Internet, то почта будет уложена и послана при подключении.
В течении связи почта, предназначенная для Internet, отправляется на указанный Internet SMTP server, после чего проходит прием почты для зарегистрированных пользователей из Internet. Время, в течение которого будет прием и отправление почты проходить, можно указать. Прием /отправку почты можно начать через веб-браузер.

Использование WinProxy в качестве Mail Server предоставляет несколько выгод:

  • Пользователи не должны заботится о том, когда будет установлена связь с Internet с целью приема/отправления почты. В момент присоединения их почта будет помещена в mailbox на WinProxy, а та почта, которую пользователи послали в WinProxy, будет отправлена. Принимать и посылать почту на WinProxy могут в любое время независимо от того установлена связь или нет.
  • Почту, которая приходит на один e-mail адрес WinProxy может передать в mailbox группе пользователей. Например: почта, которая пришла на адрес sales@computers.cz, может быть передана трём сотрудникам.
  • Если пользователь принимает почту от нескольких серверов, то WinProxy может принимать почту со всех серверов и помещать их в один mailbox.
  • Самой интересной является возможность организации собственного домена (например firma.cz). Вся почта для Вашего домена firma.cz укладывается у ISP в один mailbox. При помощи протокола POP3 WinProxy почту выймет и россортирует её в ящики отдельных пользователей в соответствии с заголовком To:. В этом домене можете организовать произвольное число e-mail адресов (например boss@firma.cz, sales@firma.cz, petr@firma.cz , ...). Рекомендуем Вам эту возможность продискутировать с Вашим ISP. Начинающие ISP могут найти описание конфигурации направления почты в один mailbox в приложении C .

Таким образом WinProxy скачивает почту из удаленных mailboxов (POP3 серверов) в Internet и укладывает её в локальные mailboxы. Из этих mailboxов пользователь в последствии переносит почту на свой компьютер.Так же происходит и отправление почты. Пользователи отправляют почту на WinProxy, а он в свою очередь пересылает её почтовому серверу в Internet.

Конфигурация WinProxy

На странице Mail выберите возможность Mail Server и нажмите кнопку Save. Потом нажмите на ссылку Settings. В поле Remote SMTP server укажите SMTP сервер, на который будет почта, направленная в Internet, посылаться. Если хотите указать время отсылки и приема почты, то укажите это время в поле Send/Receive Mail.

Если выберете every, то почта будет обработана по истечении определенного временного интервала. Этот интервал указывается в следующем виде чч:мм, где чч означают часы а мм минуты. Если выберете at, то почта будет обрабатываться в определенное время. Время укажите в формате чч:мм, отдельные указатели времени отделяются друг от друга пробелом. Если хотите, чтобы WinProxy мог при обработке почты установить dial-up связь, то зачеркните возможность Allow to Dial. Информация о mailbox пользователей находится в Account List

. Параметры добавляются в список при помощи соответствующих кнопок. Remote POP3 account определяет удаленный mailbox, из которого почта будет пересылаться в локальный mailbox. Этот параметр имеет форму username@popserver.domain.cz. Один знак @ служит к обозначению локального mailboxа. Поле Password содержит соответствующий пароль. Поле E-mail содержит e-mail адрес в Internet. Если этот параметр соответствует параметру в поле Remote POP3 Account, то можете это поле не заполнять. Этот параметр служит для определения почты для локальных пользователей. Если кто-либо пошлет WinProxy почту, то WinProxy проверит все e-mail записи и, если адресат находится в списке, почта будет помещена в его mailbox. Последний параметр Move to Local Account определяет пользователя WinProxy, которому будет передана почта. Все пользователи указываются на странице Users. Если выберете группу пользователей, то почта будет передана каждому из этой группы. Специальным выбором является {RULE}. Эту возможность чаще всего используют в случае, если будете принимать почту для целого домена.Почта, принятая из этого mailboxa, будет передана различным пользователям в соответствии с заголовком To:. Правила сортировки определяются на странице Sorting Rules. Письма, которые не могли быть рассортированы, укладываются в соответствии с правилом содержащим один знак @, или в зависимости от Report Problems To (с сообщением об ошибке).

Правильность конфигурации данных в Account Listu лучше всего проверить путем запуска обработки почты через веб интерфейс на странице Manual. Запись информации о приему/отправлении почты в Internet установите параметром Enable Logging.

Конфигурация клиентов :
Есть несколько клиентов работающих с SMTP/POP3, например Pegasus mail for Windows, Netscape Navigator, MS Explorer 3.0 - Internet Mail, MS Exchange, Eudora. Для конфигурации этих программ пользуйтесь прилагаемой к ним документацией. В качестве SMTP и POP3 сервера укажите компьютер ProxyHost. POP3 Username (Account) и Password такие же, как и для WinProxy.

Приложение B - пример конфигурации Mail Server.

4.5 SOCKS Server и DNS

На странице Network зачеркните SOCKS server для каждой версии SOCKS протокола. В настоящее время версии 4 и 5. Стандартным портом для SOCKS server является порт 1080. Если будете пользоваться версией 4, то скорее всего надо будет установить DNS. Если в поле DNS server укажете имя DNS сервера, то WinProxy будет направлять DNS вопросы на этот сервер, таким образом WinProxy будет вести себя как DNS сервер.

4.6 Телефонная связь

WinProxy позволяет установить телефонную связь с ISP. Связь может быть установлена двумя способами:

  • вручную через веб интерфейс - см. веб интерфейс
  • автоматически по требованию - связь устанавливается автоматически по требованию в случае, если запрос не может быть удовлетворен в локальной сети. Связь может установить proxy server, все gateway и SOCKS сервер. Связь устанавливается, если невозможно DNS-имя перевести в IP адрес, или, если операция connect вернет ошибку host unreachable (в таблице направлений не было найдено направление в соответствуещую сеть).
  • Schedule Dial - связь устанавливается в определенных интервалах.

Примечание: В случае автоматического соединения может случится, что Вы хотите скачать файл в рамках локальной сети, но по-ошибке укажете неправильное имя компьютера, WinProxy об этом не подозревает и после неуспешного первода DNS-имя на IP адрес начнет устанавливать связь. Таким образом может показаться, что WinProxy устанавливает связь самовольно и без повода.

Конфигурация телефонной связи проводится на странице Dial. Условием для этого является правильная конфигурация и работоспособность связи без WinProxy. В combo box Connection Name выберите имя требуемого присоединения. В поле Username и Password укажите имя и пароль для выбранного имени присоединения. Если хотите, чтоб связь устанавливалась автоматически по требованию, то зачеркните check box Demand Dial. В поле Hang up After также можете указать время, по истечении которого связь прервется, если по линии не будут переносится никакие данные. WinProxy прерывают только ту связь, которую сам установил.

Примечание : Если Ваш ISP не поддерживает PAP или CHAP, то в этом случае Вы имеете следующие возможности :

  • Windows NT 3.51 - Вы должны создать log-on skript пригодный для Вашего соединения. Шаблон такого skriptа найдете в файле WINNT35\system32\ras\switch.inf.
  • Windows 95 - в момент присоединения надо подойти к WinProxy и указать в терминальном окне необходимые данные.
  • Windows 95 - лучший способ: установку связи можно автоматизировать, более подробную информацию см. на домашней странице WinProxy.

4.7 Управление пользователями, контроль доступа

WinProxy позволяет создать счет пользователей и группы пользователей. Пользователи и группы пользователей создаются для того, чтобы обозначить область доступа пользователей через WWW и для обработки почты, если используется Mail Server.

Пользователи, группы и членство пользователей в группах создается на странице Accounts. WinProxy автоматически создает группу Admins. Члены этой группы не имеют ограничения при никаких операциях. Эту группу нельзя уничтожить.

Access List
Контроль доступа пользователей к определенным URL проводится в соответствии с Access List на странице Access.
URL указываются в следующем формате scheme://host/path. В URL можно использовать знак "*", который заменяет любую последовательность. При доступе к URL требуется идентификация пользователя. Для того, чтобы мог пользователь получить доступ к указанному адресу, должен находится в списке пользователей или быть членом группы, которой разрешен доступ к данной URL. Нажатием кнопки Edit получите список пользователей/групп, которые имеют доступ к данной URL. Группы находятся в начале списка и заключены в квадратные скобки. После добавления новой URL никто к этой URL не имеет доступ.

Определение доступа на основе Access List
Алгоритм, при помощи которого определяется, будет-ли запрос на данную URL принят или нет, следующий: при получении запроса программа пытается найти в Access List URL соответствующую требованию. Если ни одна из URL находящихся в Access List не соответствует запрашиваемой URL, запрос принимается. В обратном случае WinProxy пытается из запроса получить идентификацию пользователя, его имя и пароль. Если эта информация в запросе отсутствует, то программа предлагает пользователю указать свое имя и пароль. Если же эта информация получена из запроса, то она будет проверена. Если пользователь находится в Access List для данной URL или является членом группы находящейся в Access List, то запрос принимается.

Ограничение доступа к веб интерфейсу
Ограничить доступ пользователей можно также и к веб интерфейсу. Однако существует одно исключение - имя компьютера (в URL это host) всегда переводится на "WinProxy". Например, ограничить доступ к веб интерфейсу WinProxy можно записав в Access List следующую строку: http://WinProxy/admin/*

Если хотите ограничить доступ к определенному веб интерфейсу, то не забудьте указать хотя бы одного пользователя, который к данному интерфейсу будет иметь доступ, или который включен в группу Admins, иначе уже никто к данному интерфейсу не будет иметь доступ.

Примечание

  • Не все клиентские программы поддерживают идентификацию необходимую для доступа через рroxy. WinProxy могут пользоваться и те браузеры, которые эту идентификацию не поддерживают. Для них будут не доступны URL неуказанные в Access Listu. Proxy идентификацию поддерживает например: Netscape Navigator и MSIE 3.0.
  • Программа требует от пользователя указать имя и пароль только один раз - после запуска браузера.

Примеры

1. Необходимо следующее: чтобы пользователи, которые находятся в группе [users], имели доступ только к следующим доменам : domain.cz, work.cz, а пользователь boss имел доступ ко всему. Access List и доступ пользователя / группы установим следующим образом:

Access List пользователь / группа
* boss
*.domain.cz* [users]
*.work.cz* [users]

2. Хотим, чтоб никто не имел доступ к домену bad.cz :

Access List пользователь / группа
*.bad.cz*

4.8 Безопасность

Все более актуальной в настоящее время становится охрана локальной сети от проникновений из Internet, и трэндом в этой области будет отказ от прямой связи. С WinProxy довольно легко можете установить простой Firewall. Под этим подразумевается компьютер охраняющий локальную сеть от внешних атак и предоставляющий остальным компьютерам доступ к сети Internet. Для того, чтобы WinProxy работал как firewall, необходимо :

  • WinProxy должен работать на компьютере, который является точкой соприкосновения между локальной, охраняемой, сетью и сетью Internet.
  • Функция направления пакетов у этого компьютера должна быть отключена. Windows 95 не имеет эту функцию, поэтому в нем она отключена автоматически.

Далее, для охраны сети от проникновений пиратов из Internet через WinProxy, есть две возможности:

  • Посетить адрес интерфейса охраны (Secure Interface) на странице Security. Это IP адрес сетевого интерфейса компьютера (на котором работает WinProxy), через который могут поступать запросы. Запросы принятые через другой интерфейс будут отменены. Адресом этого интерфейса чаще всего является IP адрес сетевой карты ethernet этого компьютера (через эту сетевую карту компьютер соединен с локальной сетью).
  • Указать на странице Security IP адреса (IP List), с которых можно использовать WinProxy. Можете указать один IP адрес или интервал IP адресов в формате 192.168.1.32-192.168.1.63. Интервал можно также определить количеством битов сетевой маски, например: 192.168.1.32/27. 27 битов соответствует сетевой маске 255.255.255.224

Необходимо сказать, что в стандартном случае, т.е. локальная сеть + один компьютер с модемом, нет причин к опасениям и выше указанные меры безопасности более-менее избыточны.

5. Конфигурация TCP/IP

Для того, чтобы WinProxy правильно работал, необходимо правильно установить TCP/IP на компьютерах, которые службами WinProxy будут пользоваться, и на копьютере, на котором WinProxy будет работать.

На компьютере, на котором WinProxy будет работать, должна быть установлена система Windows NT или Windows 95. На клиентах может быть любая операционная система поддерживающая TCP/IP (Windows, Unix, Macintosh, VMS, ...).

Если Вы еще TCP/IP не установили, то у Вас есть следующие возможности:

  1. Доверите инсталирование системному администратору.
  2. Пользуясь следующими инстукциями проведете установку сами.

Будем пользоваться следующей моделью :

Сеть с пятью компьютерами; компьютеры в сети Microsoft имеют следующие имена: Tom, Petr, Dusan и Martin. К компьютеру Martin присоединен модем для связи с Internet, на этом компьютере запустим WinProxy. На компьютерах установлены следующие операционные системы: Windows 95, Windows NT и Windows 3.1.

5.1 Установка IP адреса

Для того, чтобы компьютеры могли между собой общаться через TCP/IP, то должны иметь так называемые IP адреса. IP адреса - это 32 битовое число, для большей ясности указывается по байтах в формате a.b.c.d . IP адрес должен быть уникальным, т.е не может использоваться в той же сети несколько раз.
Документ RFC 1597 рекомендует выбирать для организации частной сети адреса из частного адресового пространства. Для этого адресного пространства организация IANA забронировала три блока IP адресов. Эти адреса содержат один адрес в классе A, 16 последовательных адресов в классе B и 255 последовательных адресов в классе C.

Эти адреса следующие:

  • класс A : 10.0.0.0 - 10.255.255.255
  • класс B : 172.16.0.0 - 172.31.255.255
  • класс C : 192.168.0.0 - 192.168.255.255

Гарантируется, что эти адреса не используются компьютерами в рамках сети Internet. Причины для использования этих адресов и другие предложения как составить TCP/IP сеть найдете в вышеуказанном документе.

Для нашего случая (сеть неболее 255 компьютеров) будут достаточны адреса класса C; также используем адреса от 192.168.1.1 до 192.168.1.4. Закрепим IP адреса за компьютерами в соответствии со следующей таблицей:

Имя компьютера Операционная система IP адреса
Martin Windows 95 192.168.1.1
Tom Windows 95 192.168.1.2
Petr Windows NT 192.168.1.3
Dusan Windows 3.1 192.168.1.4

За этим следует установка для отдельных операционных систем:

Windows 95

  1. Меню Start -> Setting -> Control Panels -> Network
  2. Выберите протокол TCP/IP. Если этого протокола в списке нет, выберите Add, из предложенного списка выберите Protocol, опять Add, из списка выберите производителя Microsoft и сетевой протокол TCP/IP.
  3. Кнопка Properties, выбрать закладку IP address , зачеркните Enter the IP address
  4. В поле IP address впишите адрес компьютера, см. Таблица, в поле subnet mask впишите 255.255.255.0 . Установку закончите нажатием на OK. Новая конфигурация будет актуальна после перезапуска компьютера.

Windows NT (3.51)

  1. Program Manager -> группа Main -> Control Panel -> Network
  2. В списке Installed Network Software выберите TCP/IP protocol и нажмите Configure. Если TCP/IP протокол в списке не присутствует, то перейдите к пункту 4.
  3. В поле IP address впишите адрес в соответствии с таблицей, в поле Subnet Mask впишите 255.255.255.0. Установку закончите нажатием кнопки OK. Новая конфигурация будет актуальна после перезапуска компьютера.
  4. Кнопка Add Software, из сombo box Network Software выберем TCP/IP Protocol and related components, кнопка Continue , ещё раз Continue и вложите установочный носитель. Для копирования нужных файлов нажмите кнопку OK в диалоге Network Settings. Появится диалог TCP/IP Configuration, в котором укажете параметры в соответствии с пунктом 3.

Windows 3.1

Протоколы TCP/IP не входят в эту операционную систему. Самой интересной разработкой является shareware программа Trumpet Winsock.

Windows для Workgroups 3.11

Поддержка протокола TCP/IP не является частью распространяемой программы.Однако её можно получить на ULR:
http://www.microsoft.com/kb/
softlib/mslfiles/TCP32B.EXE
Microsoft TCP/IP-32 version 3.11b for Windows for Workgroups is a 32-bit TCP/IP network protocol for Windows for Workgroups only. (690031 bytes).
Конфигурация подобна конфигурации Windows NT 3.51. Подробное описание будет добавлено позже.

Следующей возможностью является использование Trumpet Winsock.

Теперь можете использовать протокол TCP/IP в Вашей сети. Адресовать компьютеры можете только при помощи IP адресов. Во всех выше указанных местах, где написано "укажите адрес компьютера, на котором WinProxy работает" укажите IP адрес компьютера Martin т.е.. 192.168.1.1 . Если хотите к компьютерам обращаться по именам, то проведите конфигурацию в соответствии со следующей главой.

5.2 Конфигурация DNS

В предыдущей главе мы рассматривали использование и закрепление IP адресов за компьютерами в локальной сети. Так как IP адреса тяжело запоминаются, а для людей более приемлемо давать компьютерам имена, то в TCP/IP можно закреплять за компьютерами имена. Речь идет о так называемых DNS именах, которые могут отличаться от имен использованных в сети Microsoft (это имена, которые видны под иконой Network Neighbors). Каждому IP таким образом отвечает имя или alias.

Должен существовать способ как переводить эти имена на IP адреса, так как именно они требуются для коммуникации. Перевод осуществляется или через DNS сервер, или при помощи статических таблиц размещенных в каждом компьютере локальной сети. Мы рассмотрим второй способ, так как для сети с четырмя компьютерами вполне достаточен. Компьютерам дадим DNS имена соответствующие именам в сети Microsoft.

Файл, содержащий таблицу с именами, должен называться hosts и должен находиться в следующих директориях :

Windows 95 \Windows
Windows NT \WINNT35\SYSTEM32\DRIVERS\ETC
Windows 3.1 \ETC
WfW 3.11 \Windows

Файл hosts - текстовый файл, его записи имеют формат

IP_адрес DNS_имя [aliasеs]

Для корректировки / создания файла можно использовать любой текстовый редактор. Файл должен быть уложен как текстовый и не иметь расширение. К примеру, если в NOTEPAD не укажете расширение, то по умолчанию расширение будет .txt . Тогда надо файл вручную переименовать.

Наш файл будет выглядеть так:

# файл hosts
# этот файл содержит соответствие между именами DNS и IP адресами

#
127.0.0.1 localhost
192.168.1.1 martin winproxy
192.168.1.2 tom
192.168.1.3 petr
192.168.1.4 dusan
# конец файла hosts

Файл надо скопировать на все компьютера в соответствующие директории.

Теперь можете адресовать компьютера в сети TCP/IP при помощи их DNS имен. На всех местах, где ранее встречалась запись "укажите адрес компьютера, на котором работает WinProxy" можете указать вместо его IP адреса соответствующее DNS имя, в нашем случае martin или winproxy.

Сеть с несколькими сегментами

Это приложение рассматривает использование WinProxy в сетях с несколькими сегментами в связи с телефонной связью. Для наглядности будем рассматривать рисунок с 2 сетями:

Сеть

Адрес первой сети 192.168.1.0, второй - 192.168.2.0. Сети связанны через роутер, IP адреса которого 192.168.1.1 и 192.168.2.1. Компьютер 192.168.1.3 используется для связи с Internet. В такой конфигурации наступает следующая проблема: компьютеры используют для связи с другой сетью default route. В момент присоединения компьютера 192.168.1.3 к Internet, default route изменено на Internet gateway (её IP адрес указываете при конфигурации телефонного адаптера).

В этот момент перестанет компьютер 192.168.1.3 "видеть" компьютеры составляющие сеть 192.168.2.0. Причиной этого является то, что для связи было выбрано направление по умолчанию, которое теперь изменилось. В итоге это означает, что компьютера из сети 192.168.2.0 не могут общаться с компьютером 192.168.1.3.

Эту ситуацию можно легко решить. Решение заключается в замене default route на нормальное. А именно, на компьютере 192.168.1.3 в командной строке задать команду:
c:\>route ADD 192.168.2.0 MASK 255.255.255.0 192.168.1.1

команда означает следующее: если появится пакет предназначенный для сети 192.168.2.0 с сетевой маской 255.255.255.0, послать этот пакет через роутер с адресом 192.168.1.1. В Windows NT есть еще параметр -p, который устанавливает это направление как постоянное. В Windows 95 можно эту команду поместить в файл AUTOEXEC.BAT.

После проведения этой команды компьютер 192.168.1.3 будет "видеть" компьютера сети 192.168.2.0 вне зависимости от параметра default route.

Пример конфигурации Mail Serveru

I. Простой пример.

Возмем 4 пользователя. Каждый из них имеет счет организованный на WinProxy на странице Users; имена следующии : boss, petr, tom, martin. Далее, была организована группа пользователей [sales], члены этой группы: boss и petr. Почту хотим обрабатывать в соответствии со следующей таблицей :

POP3 счет E-mail адрес Кто получит почту
novak@mbox.prov.cz novak@mbox.prov.cz boss
petr@bob.uni.cz petr@bob.uni.cz petr
tom@mbox.uni.cz tom@computers.cz tom
hruby@pop.serv.cz hruby@mbox.serv.cz martin
martin@popserv.x-media.cz martin@x-media.cz martin
sales@mbox.prov.cz sales@mbox.prov.cz boss, petr

В этом случае надо дополнить Account List, после чего он бы выглядел следующим образом :

Account List
hruby@pop.serv.cz (hruby@pop.serv.cz) >> martin
martin@popserv.x-media.cz (martin@x-media.cz) >> martin
novak@mbox.prov.cz (novak@mbox.prov.cz) >> boss
petr@bob.uni.cz (petr@bob.uni.cz) >> petr
sales@mbox.prov.cz (sales@mbox.prov.cz) >> [sales]
tom@mbox.uni.cz (tom@computers.cz) >> tom

Правильность данных в Account List лучше всего проверить запуском обработки почты через веб интерфейс на странице Manual.

II.Комплексный пример с использование правил сортировки.

Возьмем фирму с 6 пользователями. Каждый из них имеет счет на WinProxy, имена следующие: boss, petr, tom, martin, robert, jana. Далее, организованы группы пользователей [sales], члены которой: boss и petr , группа [developers] , члены которой: martin, tom и jana и группа [users], члены которой все пользователи. Фирма имеет у ISP свой домен для приема почты. Имя домена firma.cz, почта для этого домена укладывается в mailbox firma на компьютере mbox.prov.cz. Каждый пользователь имеет в этом домене свой e-mail адрес. Далее был создан еще один e-mail адрес для информаций о продаже - sales@firma.cz , а почту приходящую на этот адрес будут получать пользователи группы [sales]. Пользователи martin и tom также получают почту с других компьютеров. Далее, пользователь tom является участником конференции conf-l@prov.cz , а также хотим, чтоб почту из этой конференции получали martin и jana. Фирма хочет иметь свою собственную (внутреннюю) конференцию, адресом которого будет info-l@firma.cz.

Account List в этом случае выглядел бы следующим образом :

Account List
firma@mbox.prov.cz (@firma.cz) >> { RULE }
martin@mbox.prov.cz (martin@mbox.prov.cz) >> martin
tom@mbox.uni.cz (tom@computers.cz) >> tom

A Rule List так :

Rule List
boss@firma.cz >> boss
conf-l@prov.cz >> [developers]
info-l@firma.cz >> [users]
jana@firma.cz >> jana
martin@firma.cz >> martin
petr@firma.cz >> petr
robert@firma.cz >> robert
sales@firma.cz >> [sales]
tom@firma.cz >> tom

Обратите внимание на e-mail адреса в первой строке Account List. Адрес указан так: @firma.cz. Запись означает, что все пользователи домена firma.cz локальные.

Правильность данных в Account List лучше всего проверить запуском обработки почты через веб интерфейс на странице Manual.

Примечания :

  • Организация домена и сохранение почты приходящей на этот домен в настоящее время не проблема. С точки зрения ISP эта задача сравнима по своей трудоемкости с установкой одного e-mail адреса. Также цена не на много больше, чем у установки одного e-mail адреса. Если Ваш ISP не хочет удовлетворить Ваше требование, то обратитесь к другому.
  • Это примечание (для специалистов) касается e-mail заголовка To: в связи с сортировкой почты в отдельные mailboxы. В этом заголовке не всегда указан действительный e-mail адрес получателя. Обычно письма приходящие от конференции в заголовке To: имеют адрес конференции. В выше указанном примере это было решено таким образом: мы в конференции зарегиcтрировали одного пользователя, а письма приходящие из конференции мы скопировали всем желающим. Этот способ имеет также выгоду, что письма, приходящие из конференции, приходят только в одном экземпляре.
  • Проблемы возникнут, если два пользователя зарегистрированы в одной конференции. В этом случае письма приходили бы дважды и нельзя было бы различить кому из них принадлежат. Если кого-то этот способ не устраивает, то мы подготовили ещё один способ сортировки почты, на основе заголовка X-Envelope-To:. Этот заголовок должен изыматься из так называемого конверта и вкладываться в заголовок письма перед его помещением в mailbox. WinProxy сортирует почту в первую очередь на основании этого заголовка. Если хотите об этом способе узнать побольше, напишите на адрес нашей фирмы.

Информация для ISP

Укладывание почты для целого домена в один mailbox (UNIX, sendmail)
В правило S0 или S98 в файле /etc/sendmail.cf необходимо дополнить следующую строку: R$*<@firma.cz.>$* $#local $: firma

Добавление заголовка X-Enevelope-To к mail (UNIX, sendmail)

Необходимая корректировка файла sendmail.cf:

1. В правило S0 или S98 необходимо для каждого клиента добавить строку:
R$*<@firma.cz.>$* $# xlocal $@ firma $: $1<@firma.cz.>$2

$# xlocal ... имя нашего почтового клиента
$@ firma .... нормальное имя компьютера, в нашем случае mailbox
$: $1<@firma.cz.>$2 ..... адрес получателя, который будет в X-Envelope-To:

2. к параметрам почтового клиента:

Mxlocal, P=/usr/local/etc/bin/xlocal, F=lsDFMA, S=10/30, R=21, T=DNS/RFC822/SMTP, A=xlocal $u procmail $h$u ... адрес, который будет в X-Envelope-To:
$1<@firma.cz.>$2
$h ... имя mailboxа
A=xlocal $u procmail $h ... командная строка, в качестве локального почтового клиента использован procmail

Использованные флаги почтовых клиентов:
l локальный почтовый клиент
s выбросить из адресов лишнюю информацию (кавычки, скобки, ...)
D дополнить заголовок Date: (если его нет)
F дополнить заголовок From: (если его нет)
M дополнить заголовок Message-Id: (если его нет)
A ARPA совместимый почтовый клиент

Здесь находится код источника "fake" почтового клиента xlocal.
Перевод :
cc -o xlocal xlocal.c









Если необходимая Вам документация отсутствует на нашем сайте, то вы можете заказать ее.
Сообщите нам, и мы постараемся добавить ее как можно скорее.

Сайт принадлежит группе Luksian group





Rambler's Top100