Различия между версиями 17 и 19 (по 2 версиям)
Версия 17 от 2008-07-08 11:38:21
Размер: 8820
Редактор: MaximByshevskiKonopko
Комментарий:
Версия 19 от 2008-07-08 11:43:44
Размер: 9175
Редактор: MaximByshevskiKonopko
Комментарий:
Удаления помечены так. Добавления помечены так.
Строка 2: Строка 2:

=== Proxy ===
Строка 17: Строка 19:

==== Настройка браузера ====

Строка 22: Строка 28:


==== Настройка прокси-сервера ====
Строка 33: Строка 43:
=== Служба слежения за сетевым трафиком ===
Строка 36: Строка 48:

=== Управление веб-сервером конфигуратора ===
Строка 43: Строка 57:

=== Настройка сетевого экрана ===

Web-интерфейс центра управления: продолжение

Proxy

Следующий пункт меню: прокси-сервер. Что такое есть прокси-сервер? Буквально --- ретранслятор. Как и почему его можно применить: есть некая группа компьютеров в сети, которая соединена маршрутизатором с интернетом. Этой группе компьютеров в сети выдан диапазон адресов, например 10.0.0.0/8. Как мы знаем, пакеты с такими адресами не маршрутизируются в интернете. Абсолютно бессмысленно выставлять машину с адресом из этого диапазона. Есть два способа проблему решить: преобразовывать адрес машины, или вообще не позволять внутренней машине какие-либо соединения с внешними хостами устанавливать. В последнем случае машина устанавливает соединение с внутренним сервером, а он ретранслирует это соединение (устанавливает отдельное новое соединение) на внешний сервер. Это означает что внешний сервер будет думать, что с ним соединяется ретранслирующий сервер. Вообще говоря, получается такая ситуация, что функционируют два отдельных TCP-соединения.

 ___________                 _______               ~~~~~~~~~~~~
/           \               |       |              ~          ~
| 10.0.0.0/8 | -- TCP 1 --> | Proxy | -- TCP 2 --> ~ Internet ~
\___________/               |_______|              ~          ~
                                                   ~~~~~~~~~~~~

Наиболее простая практика состоит в следующем: внутреннее подключение осуществляется на специальный порт, в ПСПО по умолчанию 3128. То есть, клиент знает, что для соединения с интернет-сервером, ему надо передать на заданный порт специального локального сервера адрес и порт интернет-сервера, с которым клиент желает соединиться. Далее, прокси-сервер подключается, передаёт данные, получает ответ, передаёт его клиенту. При этом, важно понимать, что когда происходит такого рода подключение, удалённая сторона не знает, какой именно внутренний компьютер подключается к ней.

Иногда это представляет некие неудобства: в некоторых случаях удалённому серверу передаётся локальный адрес того, кому нужно передавать данные в ответ. Именно поэтому существуют анонимизирующие прокси, которые работают на протоколах прикладного уровня, подменяя адреса в нужных пакетах.

Настройка браузера

Начнём с простого: настроим браузер на то, чтобы он пользовался нашим сквидом.

../proxy_settings_configured.png

Это фича, за которую руки надо оторвать (адрес конфигуратора по умолчанию --- не локалхост, а доменное имя данной машины). Если мы настраиваем в броузере прокси на своей машине, надо первым делом запомнить, что надо ходить на 127.0.0.1, или в список исключений адресов, на которые не ходить, добавить себя (или всю локальную сеть).

Настройка прокси-сервера

../alterator_www_squid.png

Принимать соединения --- принимает соединения от любого компьютера. Если есть несклько сетевых интерфейсов, то по умолчанию принимаются соединения с любого. Можно конкретизировать адрес, на который они будут приниматься.

Для добавления клиентов, которые могут проходить через прокси, необходимо добавить машины и подсети в список "Допускать сети".

Добавлять домен --- для случаев, когда адрес машины задан внутри домена, к адресам дописывается заданный в этом поле домен (видимо, для фильтрации соединений внутри локальной сети).

Администратор сервера --- опция cachemgr_passwd --- возможность при аутентификации заданным в поле паролем выполнять некоторые действия (полный список см. squid.conf) с прокси и его кэшем.

Служба слежения за сетевым трафиком

Сетевой трафик. По умолчанию эта служба выключена, чтобы лишний раз не грузить машину. Точно также, как и прокси.

../alterator_www_ulogd.png

Управление веб-сервером конфигуратора

Сервер. Настройки web-сервера, на котором крутится конфигуратор. Можно создать самподписанный сертификат. Это удобно --- если сертитфикат самоподписанный и его нельзя проверить, то его можно переподписать, и потом проверить, что это тот самый сертификат. Более того, можно как-то общаться с удостоверительным центром. Речь идёт о том, что можно сгенерировать запрос на подпись, отправить его.

../alterator_www_settings.png

Для того, чтобы завершить тему конфигурации машины через web-морду, осталось рассмотреть сетевой экран.

Настройка сетевого экрана

Сетевой экран. По умолчанию ничего не запрещено. И если делаете какие-то настройки, то последним правилом вставляется запретить всё. По умолчанию стоит пропускать ICMP, HTTP, HTTPS, SSH. Это запрет на входящий трафик, а не на исходящий.

../alterator_www_firewall.png


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

20

1

1

1

1

MaximByshevskiKonopko, DmitryChistikov


CategoryLectures CategoryPspo CategoryMpgu CategoryUneex

PspoClasses/080707/02WebConfig (последним исправлял пользователь MaximByshevskiKonopko 2008-10-09 21:22:15)