Плетем сети. Часть 3

В первых частях нашей статьи (см. «МБ» №46'2005, №48'2005) мы научились прокладывать и настраивать локальные сети, а также выделять в них серверы. В заключительной части мы научимся все это администрировать; узнаем, как организовать совместный доступ в Интернет, а также как защитить нашу сеть от всякой нечисти…

Как же всем этим управлять?
Вполне закономерный вопрос. Что, каждый раз, как понадобится провести обслуживание сервера, подключать к нему монитор и клавиатуру? Вовсе нет! Управлять сервером можно с одной из рабочих станций сети. А поможет нам в этом программа Remote Administrator. Взять ее можно практически на любом софтверном портале, например, на www.softodrom.ru.
Суть программы в том, что, подклю­чаясь клиентским модулем к серверу, вы как будто садитесь за него. Становится возможным, не выходя из-за собственного компьютера, работать на самом сервере в привычном режиме — с поддержкой клавиатуры и мыши. При установке нам предлагается поставить сервер и просмотрщик. Соответственно ставим сервер на сервер (извините за каламбур), а просмотрщик — на управляющую машину. В просмотрщике создаем подключение к серверу: в свойствах нового подключения вводим IP-адрес сервера и пароль (его попросят задать при установке сервера). В рабочем поле создастся иконка, нажатием на которую мы попадем на сервер. Просто? Да! Эффективно? Еще бы. Удобно? Несомненно.
Ну что, товарищи администраторы, пора бы расширить возможности нашей сети. О чем это я? Об Интернете, конечно же.

Организация общего доступа к Интернету
С помощью нашего сервера можно пустить всю сеть в Интернет с помощью всего лишь одного физического подключения. В наше время достаточно большое количество фирм предлагает свои услуги по выходу в Интернет. Причем скорости постоянно растут, а цены при этом падают. Существует множество технологий широкополосного доступа в Сеть: ADSL, спутниковый, радио и т.д. Почему именно широкополосного? По традиционному Dial-Up с его 53.3 Кбит/с выходить в Интернет и одному-то уже некомфортно: даже простые текстовые страницы загружаются медленно, не говоря уже о сайтах, насыщенных различной графикой. А закачка файлов вообще вызывает только огорчение и кучу ругательств. На мой взгляд, самый дешевый и быстрый — спутниковый канал. В таком случае провайдер гораздо меньше использует наземные линии, соответственно, меньше платит за их аренду. Вследствие этого цены на трафик довольно дружественные. Но спутник используется только для приема информации. Для отсылки исходящих запросов используется традиционный телефонный модем. С аппаратными средствами вы определитесь сами, руководствуясь своими финансами, а мы поговорим лишь о программной части.

Для организации общего доступа нам понадобится прокси-сервер. Один из лучших, на мой взгляд, — User Gate. Эта программа позволяет вести подробную статистику по времени и трафику, потраченным каждым пользователем. К плюсам можно отнести и то, что она сохраняет в кэше посещенные страницы, так что при следующем обращении они запускаются уже оттуда, экономя ваш трафик. Этот прокси-сервер также умеет обрезать баннеры, другие виды рекламы и блокировать различные ненужные страницы, которые тоже наращивают трафик. Просто клад, а не программа. О настройках рассказывать не буду: программа имеет подробнейшую справку на русском языке. Более подробную информацию о программе можно найти на странице rus.consultitnow.com/usergate.shtml.

Да хранит нас огненная стена
Как вы уже догадались, речь сейчас пойдет о файерволе. Программы этого типа позволяют четко означить, кому и куда можно или нельзя. Сегодня выход в Интернет без такой программы подобен самоубийству: сколько всякой электронной заразы развелось в Паутине! И вот не лень людям такой ерундой заниматься! Нам же остается только занять оборону и терпеть. На мой взгляд, самый лучший файервол — Agnitum Outpost Firewall (www.agnitum.ru). Вот о его настройках поговорим подробно.
При установке он сам находит все приложения, так или иначе относящиеся к сети. Они прячутся на вкладке Параметры->Приложения. Удаляем их все. Да-да, все. Будем писать свои правила.
Выделяем пользовательский уровень и жмем “Добавить”. Ищем исполняемый файл User Gate (у нас выход будет через него, так что остальным нечего соваться) и создаем для него правила: для исходящего направления на удаленные порты TCP-протокола 21 (ftp — передача файлов); 53 (DNS — разрешения имен домена в адреса); 80 (http — просмотр веб-страниц); 443 (https — тот же http, только с шифрованием данных); 1080 (Socks — тип прокси); 3128, 8080, 8088 (распространенные порты прокси-серверов) разрешить подключения. Готово. Теперь точно так же добавляем файл svchost.exe. Вообще говоря, этот процесс является родительским чуть ли не для всех процессов Windows. Можете легко в этом убедиться, открыв свойства любой службы. Любое воздействие на этот процесс извне может просто “обрушить” ваш сервер. Для этого приложения понадобится создать несколько правил:
– разрешить для протокола UDP удаленный порт BOOTPS и локальный порт BOOTPC. Это служба DHCP — динамическое конфигурирование хоста (требуется для некоторых провайдеров);
– разрешить для протокола TCP исходящее направление данных, удаленный порт 53. Это DNS. Если не включить эту службу, ничего работать не будет;
– разрешить то же самое, но для UDP;
– запретить для TCP входящие данные на порты 135 и 445. По этим портам и любит орудовать всякая зараза;
– то же для UDP.
Теперь добавляем в запрещенные приложения файл tftp.exe из system32. Это туннельный FTP. Как он работает, объяснять долго, но многие “трояны” успешно используют его для докачки своих компонентов.
Переходим на вкладку “Системные” в параметры сети. Если наша сеть еще не найдена, то надо ее добавить (192.168.0.0, маска 255.255.255.0, как вы помните). Можно включить режим доверенной сети для свободы перемещений. В параметрах ICMP ставим галочки на все пункты. По этому протоколу компьютеры в сети обмениваются технической информацией. По нему же работают такие утилиты, как ping. Далее идет пункт “Глобальные правила и доступ к rawsockets”. Последние нас не волнуют, а вот правила надо поменять, т.к. по умолчанию там не все хорошо. Итак:
– разрешаем исходящее направление для протокола TCP на удаленный порт 53 (как вы уже знаете, это DNS), тип пакета для этого и последующих правил — локальный. Дублируем это правило для UDP. Вы скажете, что мы это уже писали. Да. Но это было для конкретного приложения, а сейчас мы пишем глобальные правила, т.е. для всех;
– разрешаем исходящее направление для протокола TCP на удаленные порты 21, 80, 443, 3128, 1080, 8080, 8008, 8088;
– разрешаем для этого же протокола локальные порты с 1024 по 65535 и удаленный 1723. Это протокол PPTP. Именно по этому протоколу происходит удаленный доступ к серверу провайдера;
– из стандартных правил оставляем только “Блокировать SMB протокол”, “Блокировать Remote Procedure Call”, “Разрешить исходящий DHCP”, “Разрешить соединения LoopBack”
На вкладке “Политики” выбираем “Блокировать”. Теперь наш сервер защищен от нападений!

Достойный помощник
А чтобы окончательно обезопасить себя от вирусов и червей, нам понадобится антивирус. Попробовав достаточно программ подобного плана, я пришел к выводу, что лучшая — NOD32. Любой поисковик даст вам множество ссылок на эту программу. Антивирус хорош со всех сторон: дистрибутив программы весит всего 8.5 Мбайт (сравните с тем же Norton Antivirus), программа занимает совсем немного места в памяти, проверяет все, что только возможно (входящая почта, входящий http, файлы на локальных и сетевых носителях), обновляется через Интернет (обновления выходят чуть ни каждый день). Ставить ли такого помощника каждому пользователю сети — личное дело отдельного человека, но на сервере он однозначно должен быть.

Заключение
Вот, в принципе, и все. Мы построили довольно неплохую сеть практически на профессиональном уровне. Вы можете сами расширить ее функциональность за счет внедрения новых служб, будь то чат, выделенный игровой сервер и еще множество сервисов на ваше усмотрение. Желаю вашей сети долгих лет жизни, постоянного расширения и стабильной работы!


Рекомендуем почитать: