Материалы о построении роутера на базе Squid - одни из самых популярных на нашем сайте. Такое решение позволяет с минимальными затратами (прежде всего на программную часть) организовать и упорядочить доступ к сети интернет на предприятии. Но рассматриваемые нами варианты предназначались преимущественно для работы в составе рабочей группы. Отсутствие интеграции с Active Directory резко снижало удобство применения такого роутера в доменных сетях, поэтому мы решили исправить это упущение.

В процессе подготовки данного материала мы не планировали отдельно останавливаться на подготовке сервера, намереваясь использовать для этого уже существующий материал: . Однако, когда количество уточнений и отличий стало превышать разумные пределы, мы решили посвятить этому вопросу отдельную статью. В тоже время мы предполагаем, что читатель знаком с вышеуказанным материалом и поэтому не будем объяснять подробно многие используемые нами настройки и не будем останавливаться на второстепенных деталях.

Особенности интеграции с Active Directory

В чем смысл интеграции прокси-сервера Squid в Active Directory? Скажем сразу, что если ваша основная цель - просто раздать интернет всем и без ограничений, ну разве что закрыв социальные сети, то дальше можно не читать, уже описанная нами конфигурация полностью удовлетворит ваши потребности. Основное преимущество интеграции роутера в Active Directory - это использование единой точки аутентификации и управление доступом к сети интернет на базе уже существующих в домене учетных записей и групп безопасности.

Отсюда следуют некоторые особенности. Так прозрачный режим не поддерживает аутентификацию и от него придется отказаться, указывая настройки прокси непосредственно в настройках браузера. Этот процесс несложно автоматизировать при помощи DHCP-сервера и протокола WPAD.

В качестве DNS-серверов, в том числе и на роутере , должны обязательно указываться только доменные DNS, по умолчанию DNS-сервером является каждый контроллер домена. По этой причине роутер не должен иметь роли DNS-сервера. Также, для обеспечения интеграции с AD, роль DHCP-сервера также следует передать Windows Server, обычно на один или несколько контроллеров домена.

Теперь подходим к тому, ради чего все это затевалось. Аутентификация по доменным учетным записям позволяет использовать единую точку входа (SSO, Single Sign-On ), когда пользователь вводит логин и пароль один раз - при входе в систему. Это достигается применением протокола Kerberos , который является способом аутентификации в AD по умолчанию. В отличии от авторов иных руководств, мы не видим смысла настраивать или Basic-аутентификацию, в первую очередь по соображениям безопасности. Тем более Kerberos поддерживают все современные операционные системы.

Следующим шагом является авторизация на основе существующих групп безопасности, это особенно актуально при переходе с Forefront TMG или ISA Server . Это позволяет один раз настроив Linux-сервер дальнейшее управление доступом осуществлять привычным способом - через группы Active Directory, что позволяет снизить порог вхождения для администраторов.

Так как Active Directory имеет более сложную структуру и большее количество "действующих лиц", то чтобы вы не запутались в используемых нами адресах и именах хостов мы подготовили небольшую схему:


В наших примерах будет использоваться домен Active Directory с FQDN именем interface31.lab , за который отвечают два контроллера домена SRV-DC01 и SRV-DC02 с адресами 192.168.31.101 и 102 соответственно. Оба контроллера реализованы на базе Windows Server 2012 R2.

Роутер выполнен на базе Ubuntu Server 14.04 (Debian 7/8) и имеет имя SRV-GW01 с адресом 192.168.31.100. Также в сети имеется группа серверов со статическими адресами 192.168.31.103-105 и клиентские ПК, адреса которым выдаются DHCP сервером из диапазона 192.168.31.111-199.

Настройка сети

Сеть настраивается традиционным образом, посредством правки конфигурационного файла /etc/network/interfaces . Примем что внешней сети соответствует интерфейс eth0 , а внутренней eth1 . В результате настройки у нас должно получиться примерно следующее:

Auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 172.18.0.106
netmask 255.255.240.0
gateway 172.18.0.1
dns-search interface31.lab
dns-nameservers 192.168.33.101 192.168.31.102

auto eth1
iface eth1 inet static
address 192.168.31.100
netmask 255.255.255.0

post-up /etc/nat

Обратите внимание, что несмотря на то, что в настройках внешнего интерфейса использован внешний адрес и шлюз, адреса DNS-серверов указаны внутренние. Также указана опция dns-search , которая определяет домен для разрешения не FQDN-имен. Это означает, что к каждому короткому имени будет автоматически добавлен указанный домен, например, srv-dc01 будет дополнено до srv-dc01.interface31.lab .

Если вас смущает указание внутренних DNS в настройках внешней сетевой карты, то можете перенести эти строки в секцию eth1, на работу сервера это не повлияет.

DNS-сервера провайдера или публичные DNS следует указать в разделе Серверы пересылки внутреннего DNS-сервера на любом из контроллеров домена.

Если вы получаете сетевые настройки от провайдера по DHCP, то для использования внутренних серверов имен, вместо DNS провайдера секция eth0 должна иметь вид:

Auto eth0
iface eth0 inet dhcp
dns-search interface31.lab
dns-nameservers 192.168.33.101 192.168.31.102

Таким образом явно указанные настройки перекроют полученные автоматом от провайдера.

Сохраняем содержимое файла, перезагружаемся. Проверяем наличие интернета на сервере и разрешение имен. Например, выполните команду:

Nslookup srv-dc02

Ответить вам должен первый указанный доменный сервер имен, в нашем случае 192.168.33.101 и выдать полное FQDN-имя хоста и его IP-адрес.

После чего проверьте разрешение внешних имен:

Nslookup ya.ru

Вы также должны получить ответ от внутреннего сервера. На этом настройку сети можно считать законченной.

Настройка NAT и брандмауэра

Базовая настройка брандмауэра принципиально ничем не отличается от варианта роутера для рабочей группы, за одним исключением. Так как наш прокси является непрозрачным, то существует возможность выхода напрямую через NAT, если по какой-то причине браузер не будет настроен на работу с прокси-сервером. Поэтому ограничим доступ по HTTP (порт 80) для всех клиентов локальной сети, за исключением серверов и отдельных хостов, которым может потребоваться прямой доступ.

Мы считаем, что прокси-сервер нужен в первую очередь для контроля пользователей, поэтому заворачивать на него сервера и служебные хосты, которые не предоставляют доступ к интернет пользователям, не видим никакого смысла.

Создадим и откроем файл /etc/nat

touch /etc/nat

внесем в него следующее содержимое:

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем трафик на lo
iptables -A INPUT -i lo -j ACCEPT

#Разрешаем HTTP серверам
iptables -A FORWARD -i eth1 -s 192.168.31.101 -p tcp --dport 80 -j ACCEPT
...
iptables -A FORWARD -i eth1 -s 192.168.31.105 -p tcp --dport 80 -j ACCEPT

#Запрещаем HTTP
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.31.0/24 -j MASQUERADE

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

Секция #Разрешаем HTTP серверам подразумевает набор идентичных правил для каждого хоста, которому мы разрешаем выход в интернет в обход прокси. В нашем случае это адреса от 192.168.31.101 до 192.168.31.105, чтобы не загромождать пример мы написали первый и последний, разделив их многоточием (которого в реальном конфиге быть не должно).

Сохраним файл и дадим ему права на исполнение:

Chmod +x /etc/nat

Перезагрузимся:

После чего можно проверить интернет на клиентах, на тех, которые входят в список исключений - он будет, на остальных нет. Другие протоколы: почта (SMTP, POP3, IMAP), FTP, HTTPS и т.п. должны работать на всех клиентах.

Настройка синхронизации времени

Для успешной работы с доменом Active Directory и прохождения Kerberos-аутентификации важно чтобы часы роутера были синхронизированы с часами контроллера домена.

Установим NTP-клиент:

Apt-get install ntp

Затем откроем файл конфигурации /etc/ntp.conf и закомментируем все строки, начинающиеся на server . После чего добавим две свои записи:

Server srv-dc01.interface31.lab
server srv-dc02.interface31.lab

Как вы уже, наверное, догадались, мы закомментировали записи сторонних серверов времени и добавили в этом качестве контроллеры домена.

Затем добавим в конец файла две строки, ограничивающие работу NTP-клиента внутренним интерфейсом:

Interface ignore wildcard
interface listen eth1

Сохраняем файл и перезапускаем службу:

Service ntp restart

Чтобы убедиться, что NTP работает только на внутреннем интерфейсе, выполните:

Ss -l | grep 123

В выводе команды должны быть только внутренние адреса и адреса локальной петли (localhost):

Проверить синхронизацию можно командой:

В выводе обращаем внимание на колонки: when -время с последнего ответа сервера, pool - время опроса сервера, offset - разница времени в секундах.

Если ваш роутер расположен в виртуальной среде, то при загрузке, пока система не знает с кем синхронизировать время, время внутри виртуальной машины синхронизируется с временем гипервизора. Поэтому либо отключите эту функцию в настройках виртуальной машины, либо синхронизируйте часы гипервизора с часами домена.

Настройка кэширующего прокси-сервера Squid3

Внимание! Если вы перенастраиваете сервер для рабочей группы, то обязательно удалите пакет dnsmasq или иные DNS и DHCP сервера!

Установим прокси-сервер squid3 командой:

Apt-get install squid3

Откроем конфигурационный файл /etc/squid3/squid.conf и зададим минимальную конфигурацию, добавив или раскомментировав в соответствующих секциях указанные строки.

Укажем acl элемент для локальной сети:

Acl localnet src 192.168.31.0/24

Минимальный набор списков доступа:

Http_access allow localnet
http_access allow localhost
http_access deny all

Интерфейсы, порты и режимы работы прокси:

Http_port 192.168.31.100:3128
http_port 127.0.0.1:3128

Настройки кэша:

Cache_mem 1024 MB
maximum_object_size_in_memory 512 KB

cache_dir ufs / var /spool/squid3 2048 16 256

maximum_object_size 4 MB

Настройки лога:

Access_log daemon:/var/log/squid3/access.log squid
logfile_rotate 31

Для squid 3.1 и ниже первая строка должна выглядеть так:

Access_log /var/log/squid3/access.log squid

Сохраните и проверьте конфигурацию:

Squid3 -k check

Если нет ошибок, то перезапускаем squid:

Service squid3 restart

Перестраиваем кэш:

Service squid3 stop
squid3 -z
service squid3 start

На DNS-сервере домена добавьте A-запись для нашего роутера:

Теперь в настройках браузера укажите полное FQDN имя сервера и порт 3128:

Так как никаких ограничений пока не установлено, то вы должны получить доступ в интернет.

Сегодня мы поговорим о прокси-серверах.

Прокси-сервер - это такая штука, обеспечивающая доступ нескольких компьютеров из одной сети в другую сеть (но не путать с маршрутизаторами - это совсем разные вещи, прокси-сервер работает на прикладном уровне). Наиболее расспространенная задача прокси-сервера - обеспечить доступ в интернет для ПК, на которых его нет через один ПК, который имеет доступ в глобальную сеть. Рассмотрим эту задачу в случае использования Windows-компьютера в качестве шлюза в интернет.

Для решения этой задачи можно пользоваться проприетарными решениями с визуальным интерфейсом - например, UserGate.Но у меня не получилось заставить его корректно работать на ПК с Windows 7 да и он платный:) Поэтому лучшим решением я считаю доставшийся нам с *nix-ов Squid. Скачать сие творение можно по адресу: Squid 2.7 (последняя версия на момент написания статьи)

Скачиваем и распаковываем желательно в корень диска. Не пытайтесь что-нибудь запустить оттуда - в этой программе нет графического интерфейса - и пусть вас это не пугает:)
Далее открываем консоль - Win+R / сmd / переходим в папку с установленным сквидом (далее я буду писать для пути установки c:\squid)

c:\
cd c:\squid\sbin

Теперь необходимо установить сквид как службу Windows командой:

squid -i -f c:/squid/etc/squid.conf -n Squid27

Где Squid27 - имя службы, которое в принципе может быть любое допустимое.

Теперь надо подредактировать файл настроек squid.conf, который находится в папке c:/squid/etc/ советую забекапить оригинальный файл. Далее удаляем из этого файла весь текст и прописываем следующее:

http_port 3128
acl localnet src 192.168.3.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
http_access allow localnet
http_access allow localhost
http_access deny all
cache_log none
cache_store_log none

где

  • http_port 3128 - номер порта на сервере, через который работает скви д. Т. е. в настройках клиентов будем указывать адрес сервера и этот порт;
  • acl localnet src 192.168.0.0/255.255.0.0 - эта строчка указывает диапазон ip-адресов, для которых возможно подключение к нашему прокси. Маску можно указывать как /8, /16, /24 (для 255.0.0.0, 255.255.0.0, 255.255.255.0 соответсвенно), а localnet - это имя. По сути, этой строчкой мы объявляем переменную, с которой дальше будем работать. следующая строчка аналогично объявляет переменную all, где указаны все существующие ip;
  • http_access allow localnet - этой строкой мы разрешаем доступ с ip, указанных в переменной localnet к нашему прокси;
  • http_access deny all - запрещаем всем остальным доступ к прокси. Эти разрешения работают сверху-вниз, потому эту строчку нужно указывать последней! Иначе никто до проксика не достучится:)
  • cache_log none - нужна, как и следующая строка, чтобы логи не разрослись в гигабайты)
Еще можно внести следующие параметры:
  • cache_mem 32 MB - определяет размер дополнительного кеша сквида в оперативной памяти;
  • cache_dir ufs c:/squid/var/cache 100 16 256 - определяет путь к папке кеша, размер его в Мб (100) и количество подпапок (зачем последнее - я так и не понял:))
Теперь надо в той же папке убрать ".default" в названии файла mime.conf или просто создать пустой текстовый файл с таким именем. Это нужно для формирования кеша. В консоли набираем команду (находясь в папке sbin):

squid -z -f c:\squid\etc\squid.conf

Вот, в принципе, мы и готовы к запуску нашего прокси. Пишем в командной строке (или можно зайти в Службы и запустить мышкой:)

net start Squid27

Остановка:

net stop squid27

Переконфигурация:

squid -n Squid27 -f с:/squid/etc/squid.conf -k reconfigure

Еще можно много чего наворотить в этом прокси, например, задать ограничения разным пользователям по времени, по скорости, запретить доступ на определенные сайты и т. д. и т. п. Но в задачи этой статьи не входит описывание этого всего - такой материал легко найти на просторах Интернета.

Применимо к Windows 7

Если на компьютере установлено несколько сетевых адаптеров и для каждого из них настроен основной шлюз (шлюз, который создает в таблице IP-маршрутизации маршрут по умолчанию для всех мест назначения, расположенных вне подсети), данные в сети могут быть направлены в неправильные места назначения, если компьютер подключен к непересекающимся сетям , т. е. отдельным сетям, между которыми обмен данными напрямую невозможен.

Даже если настроено несколько основных шлюзов, только один из них используется для всех мест назначения, расположенных вне подсети. Примером может служить компьютер, подключенный как к интрасети с несколькими подсетями, так и к Интернету. Если основной шлюз настроен для обоих адаптеров, то можно обмениваться данными либо с компьютерами в Интернете, либо в интрасети, но не одновременно.

Чтобы устранить эту проблему, выполните следующие действия:

    Настройте основной шлюз для сетевого адаптера, подключенного к сети с большинством маршрутов (обычно это адаптер, подключенный к Интернету).

    Не настраивайте основной шлюз для других сетевых адаптеров. Вместо этого используйте статические маршруты или протоколы динамической маршрутизации, чтобы добавить маршруты других непересекающихся сетей в локальную таблицу IP-маршрутизации. Если в инфраструктуре маршрутов используется протокол RIP для IPv4, можно включить прослушивание RIP в Windows, позволяющее компьютеру узнавать другие маршруты в сети, «прослушивая» широковещательные сообщения RIP и добавляя маршруты IPv4 в таблицу маршрутизации. Если в инфраструктуре маршрутизации не используется RIP, RIP-прослушивание невозможно.

    Альтернативным способом может стать использование команды route add -p , позволяющей вручную добавлять маршруты в таблицу маршрутизации IPv4. Для IPv6 должна использоваться команда .

Настройка основного шлюза

Включение прослушивания RIP

Добавление маршрутов вручную для IPv4

Добавление маршрутов вручную для IPv6

  1. Откройте окно командной строки. Для этого нажмите кнопку Пуск . В поле поиска введите Командная строка , а затем в списке результатов выберите пункт Командная строка .

    2. В командной строке введите netsh interface ipv6 add route /<целое число> <строка>
    [ ] [<целое число> ]
    [<целое число> ] [<значение> ]
    [<целое число> |infinite]
    [<целое число> ]
    [<значение> ].

    Приведенная ниже таблица описывает параметры команды netsh interface ipv6 add route .

    Параметр

    Описание

    Адрес или префикс подсети, для которого добавляется маршрут.

    Имя или индекс интерфейса.

    Адрес шлюза, если префикс не на связи.

    siteprefixlength

    Длина префикса для сайта, если на связи.

    Метрика маршрута.

    • no: не объявлять в объявлениях маршрутов
      (по умолчанию)

      age: объявлять в объявлениях маршрутов
      с убывающим временем действия

      yes: объявлять в объявлениях маршрутов
      с неизменяемым временем действия

    Если значение параметра publish равно
    age, объявление маршрута будет содержать допустимое время действия,
    оставшееся до удаления.

    Если значение параметра publish равно yes, маршрут никогда не удаляется
    независимо от значения параметра validlifetime, а каждое
    объявление маршрута будет содержать (одно и то же) указанное допустимое время действия. Если значение параметра publish равно no или age, маршрут удаляется
    после истечения допустимого времени действия.

    Допустимое время действия маршрута, выражаемое в днях, часах, минутах и секундах (например, 1d2h3m4s).
    По умолчанию используется значение infinite.

    preferredlifetime

    Время действия маршрута, в течение которого он является предпочтительным.
    По умолчанию равно допустимому времени действия.

    Может иметь следующие значения:

      active: изменения действуют только до следующей загрузки

      persistent: внесенные изменения постоянны (по умолчанию)

Если вам нужно обеспечить несколько устройств внутри локальной сети доступом в интернет, но у вас отсутствует желание либо вероятность приобретать маршрутизатор либо роутер, то настройте на одном из ПК интернет-шлюз. При этом придется изменить параметры сети у всех остальных компьютеров.

Вам понадобится

  • – сетевые кабели;
  • – сетевая карта.

Инструкция

1. Определите особенно сильный компьютер, находящийся в заданной локальной сети. Если в ее состав входит огромнее 10 ПК, то рекомендуют выбирать двуядерный компьютер с объемом оперативной памяти, превышающим 3 Гбайта. Подключите к выбранному компьютеру кабель провайдера.

2. Настройте подключение к интернету. Не указывайте никаких дополнительных параметров. Исполните настройку таким образом, как это рекомендует делать ваш провайдер. Удостоверитесь в том, что доступ в интернет энергичен и исправен.

3. Сейчас подключите к основному компьютеру вторую сетевую карту. Дозволено также применять один многоканальный сетевой адаптер. Подключите при помощи дополнительной сетевой карты данный компьютер к локальной сети.

4. Откройте список сетевых подключений. Кликните правой кнопкой мыши по значку сетевого адаптера, подключенного к сети. Откройте его свойства. Сейчас выберите протокол интернета TCP/IP и перейдите к его свойствам. Установите флажок вблизи параметра «Применять дальнейший IP-адрес». Введите значение IP, равное 216.216.216.1. Данный компьютер будет исполнять функции шлюза для доступа остальных ПК в интернет.

5. Перейдите к свойствам незадолго сделанного подключения к интернету. Выберите меню «Доступ». Установите флажок наоборот пункта «Позволить иным пользователям сети применять подключение к интернету этого ПК». Сбережете настройки сетевых адаптеров.

6. Сейчас перейдите к настройке вторичного компьютера. Откройте список локальных сетей. Перейдите в меню настроек протокола TCP/IP. Для всего пункта этого меню установите следующие значения:216.216.216.Х – IP-адрес;255.255.255.0 – Маска подсети;216.216.216.1 – Стержневой шлюз;216.216.216.1 – Выбираемый и альтернативный DNS-серверы.

7. Исполните схожую настройку остальных компьютеров. Безусловно, Х должен быть поменьше 250 и огромнее 2.

Шлюз, либо маршрутизатор – непременное условие работоспособности домашней либо корпоративной сети. Именно следственно главна его стабильная работа, а также вы обязаны уметь положительно устанавливать и настраивать маршрутизатор, дабы обеспечить бесперебойную работу своей сети. Настроить маршрутизатор в Windows XP и Windows 7 вовсе нетрудно.

Инструкция

1. Для начала настройки откройте «Пуск», после этого – «Панель управления», и выберите меню сетевых подключений. Кликните правой клавишей мыши по адаптеру, для которого необходимо настроить шлюз, после этого нажмите в вывалившемся меню «Свойства».

2. Откройте вкладку «Сеть». Обнаружьте раздел «Компоненты, используемые этим подключением» для метаморфозы протоколов.

3. Откройте раздел «Протокол Интернета TCP/IPv4» и нажмите на «Свойства», дабы изменить IP. Вам будет предложено предпочесть как механическое приобретение IP-адресов и адресов DNS-серверов, так и настройку этих параметров вручную.

4. Настроив приобретение адресов механически, вы сделаете свой шлюз DHCP-сервером. Если вы настроите адреса вручную, вашим основным шлюзом будет тот IP-адрес, тот, что вы ввели.

5. Завершив настройку шлюза, добавьте маршруты сети с поддержкой командной строки. Для ее вызова откройте Пуск, нажмите «Исполнить» и введите команду cmd в появившееся окно.

6. Вносите новые маршруты по дальнейшей схеме: route -p add [место назначения] [>шлюз] >, где место назначения – IP-адрес, маска подсети устанавливается механически – 255.255.255.255, шлюзом будет IP-адрес, соответствующий маршрутизатору, метрика должна быть наименьшей, а индекс интерфейса вам необходимо определить, введя в командной строке команду route print. Вы можете пропустить данный параметр, и он механически определится, вследствие адресу шлюза.

Компьютерные сети в наше время получили широкое распространение. Без них полновесного обмена информацией между пользователями не получится. Сами сети бывают различными. Это интернет, офисные и локальные сети . Дабы настроить компьютеры по локальной сети , их сначала соединяют кабелем «витая пара» в всеобщее виртуальное пространство. Позже этого настраивают сами компьютеры. Для этого класснее воспользоваться службами сертифицированных экспертов либо дозволено испробовать это сделать самому.

Инструкция

1. Зайдите в меню «Пуск». Выберите вкладку «панель управления». Откройте пункт «сетевые подключения» либо «центр управления сетями». Если у вас нет никаких подключений по сети , то запустите «мастер создания подключений». Позже того как появится первое подключение, вам нужно его будет настроить. Для этого вам потребуется узнать, к какой «домашней группе» принадлежит ваш компьютер, и какие «ip-адреса» у остальных компьютеров. Если сеть настраивается впервой, то эти параметры вы укажите сами. Для того, дабы узнать либо поменять «домашнюю группу», кликните правой кнопкой мыши на значок «мой компьютер». В вывалившемся меню выберите пункт «свойства». Перед вами появится окно, где вы увидите имя компьютера и домашнюю группу. Можете эти значения поменять. Перезагрузите компьютер.

2. Позже этого зайдите в меню «сетевые подключения». Кликните правой кнопкой мыши на значок подключения к сети . Выберите пункт «свойства». Перед вами появится окно, в котором обнаружьте параметр «протокол интернета (TCP/IP)». Нажмите кнопку «свойства». В появившемся окне поставьте галочку в поле «применять дальнейший IP-адрес». Пропишите его в таком порядке: «129.168.0.1». Цифра один обозначает порядковый номер компьютера в сети . Следующие компьютеры обязаны быть «2,3,» и так дальше. Кликните мышкой в поле «маска подсети ». Пропишется значение «255.255.255.0». Ничего не меняйте. Чуть ниже дозволено прописать «выбираемый DNS-сервер», скажем «192.168.001.1». Сбережете метаморфозы.

3. Позже этого вам нужно настроить доступ к вашим локальным дискам. Для этого двукратно кликните мышкой по значку «мой компьютер». Перед вами появится окно с локальными дисками. Кликните на один из них правой кнопкой мыши. В появившемся меню выберите пункт «всеобщий доступ». Поставьте галочки наоборот тех параметров, которые вы считаете необходимыми позволить. Нажмите кнопку «ок». Сейчас настрой те остальные компьютеры по такому же тезису.

4. Позже этого откройте всякое окно. В адресной строке введите ip-адрес соседнего компьютера и, если вы всё сделали верно, вы получите доступ к его источникам. Если этого не происходит, отключите брандмауэр, и испробуйте вновь.

Видео по теме

Совет 4: Как настроить доступ в интернет в локальной сети

Обеспечить доступ к сети интернет нескольких компьютеров, имея в распоряжение только один кабель провайдера, дозволено несколькими методами. Комплект оборудования также зависит от схемы сделанной вами сети .

Вам понадобится

  • Маршрутизатор либо сетевой концентратор.

Инструкция

1. Давайте разглядим обстановку, когда для построения вашей локальной сети был задействован маршрутизатор. Подключите к этому оборудованию кабель интернета, применяя для этой цели разъем Internet (WAN). Выберите всякий компьютер либо ноутбук, подключенный к маршрутизатору через разъем LAN и включите его.

2. Откройте браузер и введите в его адресную строку IP-адрес маршрутизатора. Перед вами откроется меню настроек устройства. Перейдите к пункту Internet Setup (Настройка сети ). Заполните требуемые поля так, как вы сделали бы это, осуществляя подключение к интернету с компьютера. Введите ваш логин и пароль, укажите точку доступ а для подключения к серверу провайдера.

3. Включите функцию DHCP, сбережете настройки и перезагрузите маршрутизатор.

4. Сейчас разглядим обстановку, когда для создания сети был использован концентратор. Данное оборудование невозможно настроить для подключения к интернету, и тем больше активировать DHCP.

5. Выберите один из компьютеров, объединенный с сетевым концентратором. Подключите к нему кабель интернета. Произведите настройку соединения с интернетом в соответствии с требованиями вашего провайдера.

6. Откройте настройки локальной сети , образованной при помощи сетевого концентратора. На данном компьютере нужно заполнить только одно поле – IP-адрес. Введите в него 192.168.0.1.

7. Перейдите к настройкам подключения к интернету. Откройте вкладку «Доступ». Позволите всеобщий доступ к интернету каждому компьютерам, входящим в состав локальной сети .

8. Перейдите к любому иному компьютеру в этой сети . Откройте настройки протокола TCP/IP. Введите IP-адрес 192.168.0.N, где N – любая цифра от 2 до 255. Для приобретения доступ у к сети интернет вам нужно заполнить поля «Стержневой шлюз» и «Выбираемый DNS-сервер». Введите в них значение, соответствующее IP-адресу первого компьютера.

9. Повторите алгорифм, описанный в предыдущем шаге, для всех остальных ноутбуков и компьютеров. Учтите, что 1-й компьютер должен быть включен, дабы остальные получали доступ к сети интернет.

Совет 5: Как настроить подключение к интернету по локальной сети

Основная масса пользователей создает домашнюю локальную сеть лишь с одной финальной целью – обеспечить доступом к интернету все компьютеры и ноутбуки данной сети . Для осуществления поставленной задачи нужно уметь положительно настроить локальную сеть.

Вам понадобится

  • Сетевой концентратор.

Инструкция

1. Дозволено придумать большое число схем построения локальной сети с всеобщим доступом к интернету. Мы разглядим обстановку, в которой для связи компьютеров между собой будет применяться сетевой концентратор, а один из ПК, входящих в состав сети, будет исполнять функции сервера и маршрутизатора.

2. Сразу хочется подметить, что данный способ один из самых недорогих, но не самый комфортный. Приобретите дополнительную сетевую карту для компьютера и сетевой концентратор для создания сети.

3. Расположите концентратор в особенно комфортном месте. Помните, что вам понадобится подключить его к сети переменного тока. Объедините все компьютеры и ноутбуки, которые будут входить в состав локальной сети, с сетевым концентратором.

4. Компьютер, к которому вы подключили дополнительную сетевую карту, объедините с кабелем доступа к интернету. Настройте подключение в соответствии с рекомендациями провайдера.

5. Откройте свойства сделанного подключения к интернету. Выберите вкладку «Доступ». Позволите применять данное подключение к интернету компьютера для локальной сети. Укажите ту сеть, которая построена с применением концентратора.

6. Перейдите к свойствам сетевого подключения. Откройте протокол передачи данных TCP/IPv4. Задайте статический IP-адрес, значение которого должно быть 192.168.0.1.

7. Произведите аналогичную настройку сетевых адаптеров остальных компьютеров. При этом всякий раз меняйте последнюю цифру IP-адреса, а в поля «Выбираемый DNS-сервер» и «Стержневой шлюз» вводите IP-адрес основного компьютера.

8. Если вы все сделали верно, то все компьютеры локальной сети получат доступ к интернету. Непременное условие для этого: компьютер-маршрутизатор должен быть включен. Безусловно, соединение с интернетом у него должно быть энергично.

Интернет давным-давно стал средством общения, методом заработка и местом отдыха. К сожалению, примерно сразу же его превратили в источник суровой угрозы кибер-похитители и кибер-хулиганы. Незащищенное либо слабо защищенное интернет-соединение может угрожать вам утратой индивидуальной либо деловой информации, порчей данных на жестком диске, денежными потерями.

Инструкция

1. В киберпространстве силы света продолжают борьбу с силами тьмы – разработчики браузеров придумывают новые методы охраны от вредных программ и сайтов – их распространителей. Дабы настроить параметры Internet Exploer, в основном меню выбирайте пункт «Сервис» и опцию «Свойства обозревателя». На вкладке «Безопасность» отражены значки четырех зон безопасности, на которые IE делит все сайты.

2. В зону «Интернет» по умолчанию включены все вебсайты, помимо тех, для которых вы независимо предпочли иной ранг. По умолчанию для нее установлен ярус безопасности выше среднего. Если вы хотите поменять настройки, нажмите на кнопку «Иной». «Здешняя интрасеть» – это локальная сеть, в которую включен ваш компьютер. Предполагается, что содержимое локальных сайтов безвредно для компьютеров, входящих в нее. Ярус безопасности по умолчанию «ниже среднего».«Верные узлы» объединяют те сайты, в безопасности которых уверены. Дабы добавить сайт в эту зону, подметьте ее значок и нажмите на кнопку «Узлы», введите веб-адрес и нажмите «Добавить». В окне «Веб-узлы» отображается список сайтов, которые входят в безвредную зону. Верно так же вы можете добавить сайт в зону «Ограниченные узлы». Доступ к сайту не будет заблокирован – легко их энергичное содержимое не сумеет исполнять никаких действий на вашем компьютере.

3. Когда вы посещаете какой-либо сайт, он оставляет на жестком диске вашего компьютера метки – «куки», вследствие которым опознает вас при вашем дальнейшем визите. Во вкладке «Конфиденциальность» вы можете сделать список управляемых веб-узлов, которым запрещено либо разрешено оставлять куки на вашем компьютере. В окно «Адрес веб-узла» введите соответствующие данные, а после этого нажмите кнопку «Позволить» либо «Запретить».

4. Во вкладке «Оглавление» вы можете изменить параметры автозаполнения адресной строки, имен и паролей в формах. Эта функция упрощает жизнь и вам, и тому, кто захочет воспользоваться вашим логином и паролем – отменно подумайте, стоит ли ее задействовать. В разделе «Лимитация доступа к информации, получаемой из интернета» вы можете позволить либо запретить доступ с вашего компьютера к тем источникам, которые могут оказать пагубное воздействие членов вашей семьи.

5. Во вкладке «Добавочно» обратите внимание на пункты, разрешающие действие энергичного содержимого на вашем компьютере – флажки вблизи них следует снять.

6. Браузер Mozilla Firefox так же, как Internet Exploer, заботится о безопасности интернет-соединений. Для настройки ее параметров зайдите в пункт «Инструменты» основного меню и выбирайте опцию «Настройки».Во вкладке «Содержимое» вы можете указать браузеру, как поступать с энергичным содержимым различных сайтов – используйте кнопки «Исключения» и «Добавочно».

7. Во вкладке «Приватность» вам предлагается позволить либо запретить тем либо другим сайтам оставлять куки на вашем компьютере, удалять историю посещений сайтов, пароли и другое, что может как-то нарушить вашу анонимность в интернете.

8. Во вкладке «Охрана» вы можете предпочесть мастер-пароль, дабы не запоминать пароль для всякого источника, на котором зарегистрированы.

При создании и настройке локальной сети дозволено применять один из неподвижных компьютеров либо ноутбуков в качестве сервера. Обыкновенно это дозволяет сэкономить средства, так как отсутствует надобность приобретать роутер.

Вам понадобится

  • – сетевые кабели.

Инструкция

1. Определите, какой компьютер либо ноутбук будет играть роль маршрутизатора. Учтите, что выбранное оборудование должно быть непрерывно включено. Приобретите для этого компьютера добавочный сетевой адаптер. В случае с ноутбуком нужно применять переходник USB-LAN.

2. Подключите сетевое устройство к компьютеру и установите для него драйверы. Сейчас подключите к нему сетевой кабель, иной конец которого объедините с сетевым концентратором. Если вы создаете сеть, состоящую из 2-х устройств, то концентратор вам не понадобится.

3. Включите компьютер-сервер и дождитесь загрузки операционной системы. Сделайте подключение к интернету и настройте его. Откройте свойства нового подключения. Перейдите к пункту «Свойства». Установите галочку наоборот параметра «Позволить иным пользователям сети применять это подключение». Выберите ту сеть, которая образована вторым сетевым адаптером.

4. Откройте настройки этого адаптера. Перейдите к параметрам протокола TCP/IP. Выберите режим «Применять дальнейший IP-адрес». В дальнейшей строчке пропишите значение IP-адреса этой сетевой карты, которое будет равно 123.132.141.1 (дозволено применять и иной IP).

5. Сейчас включите всякий компьютер, подключенный к вашей сети. Перейдите к настройке сетевого адаптера, тот, что объединен с компьютером-сервером либо сетевым концентратором. Откройте параметры протокола TCP/IP. Введите значение непрерывного IP-адреса, которое будет отличаться от IP компьютера-сервера лишь четвертой цифрой, скажем 123.132.141.5.

6. Сейчас пропишите в строки «Стержневой шлюз » и «Выбираемый сервер DNS» значение IP-адреса компьютера-сервера. Исполните схожую настройку сетевых карт остальных компьютеров. Учтите, что нужно указывать весь раз новую последнюю цифру IP-адреса.

Видео по теме

Дабы обеспечить все сетевые компьютеры доступом в интернет , нужно определенным образом настроить параметры их сетевых адаптеров. Безусловно, все вышеуказанные ПК обязаны быть так либо напротив объединены с компьютером-сервером.

Инструкция

1. Обыкновенно в роли сервера выступает сетевой компьютер, тот, что обеспечен прямым подключением к интернет у. Если такого ПК еще нет, то отменнее применять особенно сильное оборудование. В этом компьютере обязаны присутствовать минимум два сетевых адаптера. Один из них будет объединен с кабелем провайдера, а иной – с локальной сетью.

2. Выберите подходящий компьютер и обеспечьте вышеописанные соединения. Исполните настройку выбранного ПК. Откройте центр управления сетями и всеобщим доступом и выберите меню «Изменить параметры адаптера». В открывшемся меню обязаны присутствовать как минимум два значка. Кликните правой кнопкой мыши по ярлыку подключения к интернет у. Перейдите во вкладку «Доступ». Включите всеобщий доступ для определенной локальной сети, активировав необходимый параметр и указав требуемую сеть.

3. Сейчас откройте свойства протокола интернет а TCP/IP 2-й сетевой карты, которая подключена к вашей локальной сети. Активируйте параметр «Применять дальнейший IP-адрес». Заполните 1-й пункт данного меню, введи значение статического IP-адреса. Остальные пункты этого меню заполнять не следует.

4. Выберите всякий сетевой компьютер, тот, что надобно подключить к интернет у. Исполните настройку протокола TCP/IP. В поле «IP-адрес» введите значение, отличающееся от адреса сервера четвертым сегментом. Нажмите два раза клавишу Tab, дабы определить маску подсети и перейди к пункту «Стержневой шлюз». Заполните данный пункт, введя в него IP-адрес компьютера-сервера. Аналогичным образом заполните параметр «Выбираемый DNS-сервер». Сбережете настройки сетевой карты.

5. Измените параметры сетевых адаптеров других компьютеров. Весь раз задавайте новое значение IP-адреса. Это дозволит избежать раздоров оборудования внутри вашей локальной сети.

Видео по теме

При настройке сетевого оборудования доводится сталкиваться с некоторыми не дюже знакомыми новичку параметрами, к примеру, с адресами основного шлюза . Данная опция частенько применяется для указания компьютера, предоставляющего доступ в интернет, следственно познание настройки основного шлюза сгодится многим начинающим пользователям.

Инструкция

1. Для начала настройте само сетевое оборудование, традиционно это роутер. Для этого объедините через LAN-порт ваше оборудование с сетевой картой. Позже этого откройте всякий интернет-браузер и в адресную строку введите IP вашего роутера (скажем, 192.168.1.1, подробнее написано в инструкции к вашему оборудованию). Позже этого появится форма входа, в которую нужно ввести логин и пароль (почаще каждого это admin). После этого, изучив интерфейс страницы, обнаружьте опцию WAN и активируйте ее.

2. Дальше перейдите в раздел «Стержневой шлюз» (на английском это может звучать как Server Adress). В текстовое поле введите нужное значение шлюза . Тут же в случае необходимости дозволено покопаться в настройках DNS-серверов, которые узко связаны со шлюзом. Для этого уберите галочку наоборот надписи «Получить ДНС механически» и введите нужные адреса. Сбережете внесенные метаморфозы, нажав на кнопку Save либо Apply, позже чего перезапустите ваше сетевое оборудование для того, что настройки вступили в силу. Также допустима настройка основного шлюза и в самом компьютере. Для этого нажмите кнопку «Пуск» и перейдите в «Панель управления». В открывшемся окне обнаружьте раздел «Сеть и интернет» и откройте его.

3. После этого нажмите на объект под наименованием «Центр сети и всеобщего доступа». В данном подразделе выберите опцию «Управление сетевыми подключениями», позже открытия которой сразу же перейдите в «Сетевые подключения». Правой кнопкой мыши укажите адаптер, для которого нужно настроить стержневой шлюз. Выберите «Свойства» в открывшемся окне и перейдите во вкладку «Сеть». Обнаружьте раздел «Компоненты, используемые этим подключением». Нажмите «Протокол Интернета версии 6 (TCP/IPv6)» либо «Протокол Интернета версии 4 (TCP/IPv4)». Выберите «Свойства» и кликните по опции «Получить IP-адрес механически» либо «Применять дальнейший IP-адрес».

Во время синхронного применения нескольких сетевых адаптеров на одном компьютере могут появиться определенные задачи с доступом в интернет либо локальную сеть. Почаще каждого сходственные неполадки обусловлены неверной настройкой метрики.

Вам понадобится

  • Аккаунт менеджера.

Инструкция

1. Если при подключении кабеля ко 2-й сетевой карте на данном компьютере разрывается соединение с интернетом, измените приоритет адаптеров. В Windows Seven откройте панель управления, предпочтя необходимую ссылку в меню «Пуск».

2. Обнаружьте подменю «Центр управления сетями и всеобщим доступом» и откройте его. Сейчас откройте ссылку «Метаморфоза параметров адаптера», расположенную в левой графе.

3. Если вы используете Windows XP, то для доступа к указанному меню выберите пункт «Сетевые подключения», нажав заблаговременно кнопку «Пуск». Обнаружьте иконку сетевого адаптера, через тот, что ваш компьютер получает доступ в интернет.

4. Кликните по ней правой кнопкой мыши и откройте свойства этой сетевой карты. В открывшемся меню обнаружьте пункт «Протокол интернета (TCP/IP)» и откройте его параметры. В Windows Seven нужно предпочесть протокол TCP/IPv4.

5. Позже открытия параметров сетевого адаптера нажмите кнопку «Добавочно». Снимите флажок с пункта «Механическое предназначение метрики». Установите вручную значение 1. Несколько раз нажмите кнопку Ok для использования параметров.

6. Проделайте данную процедуру для иной сетевой карты. Безусловно, в поле «Значение метрики» поставьте цифру 2.

7. Также сменить метрику дозволено через консоль управления Windows. Откройте меню «Пуск» и перейдите в пункт «Программы». Обнаружьте подменю «Программы» и кликните по пункту «Командная строка».

8. Введите команду route print и нажмите клавишу Enter. Узнаете стержневой шлюз и номер интерфейса для обеих сетевых карт. Введите команду route -p add 0.0.0.0 mask 0.0.0.0 192.168.0.1 metric 1 if 10. Нажмите клавишу Enter. В данном примере число 10 обозначает номер интерфейса первого адаптера.

9. Аналогичным образом измените метрику иной сетевой карты, заменив строку metric 1 на metric 2. Безусловно, адрес шлюза также должен быть изменен.

Видео по теме

Корпоративный интернет-шлюз - голова ИТ-инфраструктуры, но в случае любых проблем он мгновенно превращается в другую часть тела… для компании.

Выбор интернет-шлюза зависит от множества обстоятельств: выделенного бюджета, квалификации и пристрастий к аппаратным и программным решениям ответственного за сеть админа, размера сети, необходимости наличия сертификатов и т.д. Наверное, эта статья не для познавших Дао гуру, которые с помощью подручных средств вроде третьего пенька, бубна и какой-то матери играючи могут обеспечить бесперебойный доступ в интернет и контроль трафика для сотен машин. Мы поговорим о вещах более стандартных и приземленных: как выбрать корпоративный интернет-шлюз и что в нем должно быть?

Аппаратное или программное решение?

В первую очередь, стоит определиться: выбрать аппаратное решение или же программное. Большинство аппаратных решений выпускаются преднастроенными и работают по принципу «поставил и забыл». В условиях ограниченного бюджета и при недостаточной квалификации лучше (от греха подальше) использовать аппаратное решение.

Кастомизацией настроек и количеством возможностей контроля и управления сетью при таком подходе приходится пожертвовать. Программные же решения обычно предполагают постоянный контроль работы сети , анализ статистики, настройку параметров фильтрации, выбор режима работы, добавления пользователей, изменение политик безопасности, – в общем, разумное использование имеющегося функционала. Поэтому если нужно заточить продукт под себя «от и до» и иметь полный набор инструментов для управления сетью – необходимо соответствующее программное решение и собственный корпоративный сервер.

Необходимый функционал корпоративного интернет-шлюза

Интернет-шлюз организует бесперебойную работу в интернете всех работников фирмы, поэтому прокси-сервер, на базе которого он выполнен, должен обладать достаточным функционалом, удобным интерфейсом и возможностью гибкой настройки сети и прав доступа: VIP-пользователям обеспечить полный доступ к сети, а рядовым отрубить ВКонтакте и любимые форумы. Также важно легко управлять скоростью пользователей, устанавливать приоритеты для различных видов трафика (например, повысить приоритет IP-телефонии для обеспечения качественной связи и понизить для архивов). Не стоит забывать и о поддержке VPN и NAT. Крайне полезна возможность удаленного администрирования, чтобы львиную долю проблем с сетью можно было решать, не выходя из дома.

Встроенный прокси-сервер помогает контролировать и экономить интернет-трафик: он позволяет анализировать запросы пользователей, загружаемые сайты и их элементы и действовать в строгом соответствии с установленными правилами. Обычно от интернет-шлюза требуются следующие функции фильтрации трафика:

  • наличие контентной фильтрации,
  • возможность фильтрации HTTPS,
  • назначение фильтров в зависимости по времени,
  • на определенные группы пользователей,
  • наличие готовых шаблонов для правил.
Часто используются системы каскадирования прокси, возможность перенаправления трафика разных пользователей на разные вышестоящие прокси, причем с разными способами и типами авторизации.

Отдельно стоит сказать о статистике, которая для интернет-шлюза является не «третьим видом лжи», а важным источником информации о поведении пользователя. Благодаря статистике можно в любое время узнать, кто из пользователей забивает Интернет-канал, на каких ресурсах зависают сотрудники и когда пора блокировать сайты и резать лимит трафика.

Кроме того, интернет-шлюз обеспечивает защиту корпоративной сети от внешних воздействий. Особенно надежная защита важна в случае, когда по тем или иным причинам не только пользователи сидят под Windows, но и сам сервер (не будем разводить холивар на тему, почему под Windows, но практика показывает, так бывает весьма часто). В таком случае антивирус и фаервол необходимы как воздух. Также нужен модуль защиты от фишинга и, главное, прямые руки того, кто все это великолепие настраивает.

Отдельная тема – наличие сертификатов безопасности, которые, во-первых, определенную безопасность гарантируют (абы кому их не выдают), а во-вторых, в случае наличия сертификата ФСТЭК, интернет-шлюз не вызовет подозрения в ходе «всеми горячо любимых» бюрократических проверок организации.

Основные проблемы сисадминов с интернет-шлюзом

Каждый раз при размещении нового сервера или службы у сисадмина возникает проблема: как «вписать» новую постоянно работающую службу или сервер в уже устоявшуюся сеть.

Как подстроить NAT и другие сетевые службы для ее корректной работы, будет ли данный сервер в AD, могут ли на нем размещаться другие сетевые службы или сервер должен быть выделенным. Это не зависит от способа реализации – это вопрос сетевого планирования.

Основные проблемы при использовании программных шлюзов следующие. В первую очередь это знакомая многим ситуация: старый админ уволился, а новый гений в процессе работы сбил корректно работающие настройки и понятия не имеет, почему ничего не работает, и что же теперь делать. Тяжелый случай – прошлый админ корректно все настроил через фряху, а админ – любитель Windows полез разбираться с печальными для себя и предприятия последствиями. Часто у новичков встречается некорректная настройка фильтров из-за нежелания прочесть мануал и понять, что же там написано. Или просто пользователь поставил программу и понятия не имеет, а что же с ней делать.

В общем, интернет-шлюз – это инструмент, который нужно подбирать в зависимости от решаемых задач, вкусов и компетентности отвечающего за безопасную и бесперебойную работу сети сисадмина. Главное, чтобы сеть работала как часы и выполняла важнейшую возложенную на нее функцию обеспечения коммуникации организации с внешним миром.

Благодарим вас за внимание и ждем ваших комментариев.

Предыдущие посты: