Администрирование WinRoute
WinRoute должен быть установлен на компьютере, который облегчит доступ в Internet компьютеров локальной сети (или нескольких локальных сетей). На компьютере должны быть установлены сетевая карта для соединения с LAN и устройство доступа в Internet: модем, адаптер ISDN, еще одна сетевая карта и т.п.
WinRoute может быть установлен как обычное приложение или как служба Windows NT и Windows 2000.
Архитектура WinRoute показана на рис. 1.2.
Для достижения высокого уровня безопасности, WinRoute содержит так называемый модуль инспектирования. Это специальный драйвер, осуществляющий связь между линией и сетевым протоколом модели OSI, и использующий специальную технологию, обеспечивающую получение WinRout'ом пакетов непосредственно от драйвера сетевой карты, до того как пакет будет доступен для любого компонента операционной системы.
WinRoute (proxy, почтовый, DNS, DHCP сервера) |
|||||
интерфейс windows sockets |
|||||
протокол TCP/IP |
|||||
модуль инспекции WinRoute (фильтрация пакетов, NAT) |
|||||
драйвер сетевого адаптера |
|
подсистема WAN |
|
… |
|
сетевой адаптер |
модем |
ISDN |
… |
||
Рис. 1.2
Общее окно администрирования сервера WinRoute показано на рис.1.3.
Рис. 1.3.
Сетевые интерфейсы WinRoute определяют тип подключения к глобальной (внешней) сети. Каждый сетевой интерфейс имеет уникальное имя. Для получения списка сетевых интерфейсов, доступных на компьютере, используется пункт меню Settings => Interface Table. После выбора интерфейса и нажатия кнопки «Settings», откроется диалоговое окно с закладками, содержащими данные конфигурирования интерфейса:
NAT – настройка трансляции сетевого адреса (рис. 1.4);
RAS – настройка линий удаленного доступа.
NAT конфигурируется меню Settings => Interface Table => NAT.
В WinRoute NAT просто включается/выключается опцией «Осуществлять NAT используя IP-адрес этого интерфейса для всех транзакций» («Perform NAT with the IP address of this interface on all communication passing through») в панели настройки сетевого интерфейса. После включения NAT будет обрабатывать все пакеты, проходящие через интерфейс.
Рис. 1.4.
Опция «Исключить этот компьютер из NAT» («Exclude this computer from NAT») управляет работой NAT с компьютером, на котором установлен WinRoute. Если включить эту опцию, NAT не будет обслуживать этот компьютер и, следовательно, он не будет защищен. Не рекомендуется использовать эту опцию. Это необходимо, только если используется серверное приложение, которое должно быть доступно из Internet и не должно работать внутри ЛВС (используя port mapping).
Расширенные настройки NAT могут применяться, если вы хотите, чтобы NAT работал не со всей ЛВС, а с определенными ее сегментами. Чтобы применять расширенные настройки NAT, необходимо, чтобы он был включен для интерфейса. Расширенные настройки NAT производятся в меню Settings => Advanced => NAT => Add/Edit button (рис.1.5).
Рис. 1.5.
В открывшемся окне:
Packet Description (Описание пакета) определяет, какие правила будут применены к пакету. Пакет характеризуется адресом источника/приемника. Это может быть единичный адрес или группа адресов, определенных сетевой маской, диапазон адресов или поименованная группа адресов. Условие «Only when outgoing interface is» («Только для исходящего интерфейса») говорит, что правило применимо, только если пакет отсылается через указанный интерфейс.
NAT определяет, что делать с пакетом, когда для него определено правило. Есть следующие возможности: «Не применять NAT» – «Do not do NAT»; «Применять NAT для указанного IP-адреса» – «Do NAT with specified IP address».
Log Packet (Запись пакета в журнал). Если к пакету применяется правило, информация о пакете записывается. Журнал особенно удобен в случае тестирования конфигурации или обнаружения проблем с ней.
Интерфейс RAS (Remote Access Service) позволяет получить доступ в Internet, используя модем или адаптер ISDN. Настройки RAS показаны на рис.1.6.
Рис. 1.6.
RAS Entry обозначает, какая запись удаленного доступа Windows будет использоваться интерфейсом.
Username, Password – имя и пароль пользователя для установления соединения.
Connection (Соединение) – определяет способы установки соединения (Manual – вручную, On Demand – при необходимости, Persistent – постоянное, Custom – настраиваемое).
Options
Hangup if idle for ... (Разорвать соединение, если нет активности в течение...). Обрывает связь, если нет передачи данных в течение указанного периода времени.
Redial when busy (Дозвон если линия занята).
Reconnect on line failure (Восстановить соединение при обрыве)
Настройка назначения портов производится с помощью меню Settings => Advanced => Port Mapping => Add/Edit Button. В открывшемся окне (рис.1.7) имеются следующие параметры настройки:
Protocol – протокол, используемый для передачи через назначенный порт.
Listen IP. Если вы этом поле введен IP-адрес (необязательно), адрес назначения входящих пакетов сравнивается с ним. Пакет пропускается только при совпадении адресов.
Listen Port. Определяет номер порта или диапазон портов, для которых разрешены транзакции.
Destination IP – IP-адрес компьютера, на который будут переправляться пакеты, соответствующие предыдущему условию.
Destination Port – номер порта компьютера, на который переназначаются пакеты. В большинстве случаев эквивалентен Listen Port.
Рис. 1.7.
Настройка фильтрации пакетов осуществляется с помощью меню Setting => Advanced => Packet Filtering => Add/Edit Button. Здесь закладки «Incoming» и «Outgoing» соответствуют наборам правил для входящих и исходящих пакетов соответственно.
Рис. 1.8.
На рис.1.8 основные параметры настроек означают следующее.
Protocol (Сетевой протокол пакета). Возможные значения: IP, TCP, UDP, ICMP, PPTP.
Source (Источник), Destination (Пприемник) – определяет адреса источника и приемника. Можно ввести одиночный адрес или группу адресов, определяемых сетевой маской или интервалом адресов. Также может быть использована поименованная группа адресов. Можно указать входящие/исходящие порты для протоколов TCP и UDP.
Action (Действие). Если это правило применимо к пакету, производятся следующие действия:
Permit (разрешить) – пакет пропускается в защищенную ЛВС;
Drop (сбросить) – пакет отменяется;
Deny (запретить) – прохождение пакета блокируется.
Если пакет запрещен, его источнику отсылается уведомление (сообщения «TCP reset» или «ICMP port unreachable»)
Log Packet (Запись пакета в журнал). При употреблении этого правила записывается информация о пакете. Запись производится либо в окно WinRoute, либо в файл.
Valid at (Разрешен с...до...). Определяет период времени, в течение которого работает правило (или постоянно).