top
logo


Функции прокси в маршрутизаторах m0n0wall, NanoWall PDF Печать E-mail
Автор: Administrator   
10.11.10 15:00

Функции прокси в маршрутизаторах m0n0wall, NanoWall

 


Часто у нас интересуются, может ли NanoWall выступать в качестве прокси-сервера. Здесь я постараюсь дать ответ на этот вопрос.
NanoWall вырос из проекта m0n0wall, представляющего из себя ПО на основе FreeBSD. Идеология проектов такова, что поскольку разрабатывается высоконадежный продукт, в него не добавляется ничего лишнего. То есть NanoWall — это маршрутизатор в чистом виде. Однако, есть еще проект pfsense, также взявший за основу m0n0wall. В pfsense существует возможность установки специальных пакетов, в число которых входит и прокси-сервер Squid. При тестировании нашими специалистами связка pfsense + squid не проявила требуемой стабильности и не была легко настраиваемым решением. Так же отметим, что для proxy требуется дополнительное дисковое пространство, в т.ч. и под кэш, что недопустимо для CF-карт.
Как все же решить эти задачи? Разберемся, что чаще всего требуется от прокси-сервера за исключением кэширования. В основном требуются ограничения: во-первых, авторизованный доступ в интернет, а во-вторых возможность контентной фильтрации трафика. Так обязательно ли для этих целей использовать proxy? Вовсе не обязательно. В NanoWall уже есть средства для авторизованного доступа, а в мире есть бесплатные и надежные сервисы для фильтрации трафика.

Авторизованный доступ в Интернет реализуется в NanoWall с помощью функции Captive portal. Тем, кто часто пользуется общественными WiFi сетями эта функция должна быть знакома. Суть сводится к тому, что при попытке воспользоваться браузером и зайти на какой-либо web-ресурс пользователь перенаправляется на страницу авторизации. После ввода логина/пароля пользователь получает на заданное время доступ в Интернет. Базовая настройка Captive Portal в NanoWall выглядит следующим образом:
1. Зайти в меню ServicesCaptive Portal
2. Включить сервис галочкой Enable captive portal.
3. Если авторизация локальная, то отметить пункт AuthenticationLocal user manager.
4. Создать страницу авторизации. Для этого нужно html код из пункта Portal page contents сохранить в текстовый файл с расширением .html у себя на компьютере, после чего с помощью кнопки Browse указать на него для загрузки на NanoWall.
5. Нажать кнопку Save.
6. Затем зайти на вкладку Users и кнопкой добавить пользователей.
7. После сохранения настроек кнопкой Save Captive portal начинает работать.




Базовая настройка Captive portal

 


Добавление пользователей Captive portal

Как видно из иллюстраций, функционал Captive portal в NanoWall гораздо богаче:
-можно производить авторизацию по Radius;
-можно использовать Radius accounting для учета трафика по пользователям;
-можно ограничивать полосу пропускания;
-можно производить фильтрацию по IP и MAC адресам;
-и пр.

Фильтрацию контента предлагается делать при помощи бесплатного сервиса OpenDNS. Для того чтобы начать пользоваться OpenDNS достаточно пройти процедуру бесплатной регистрации и прописать DNS-серверы OpenDNS (208.67.222.222, 208.67.220.220) вместо серверов провайдера на маршрутизаторе NanoWall. Естественно, у пользователей в качестве DNS-сервера должен быть указан NanoWall или сервер OpenDNS. Принцип фильтрации основан на обработке DNS запросов и на самом деле происходит анализ URL. Если сайт относится к группе запрещенных, то вместо него пользователь будет перенаправлен на страничку с уведомлением о том, что сайт заблокирован. Если локальная сеть находится за NATом или публичный внешний IP динамический, можно воспользоваться программой OpenDNS Updater, бесплатно распространяемой на сайте OpenDNS. Программу нужно установить на какой-либо компьютер в локальной сети и указать в ее настройках логин/пароль к сервису OpenDNS. В итоге OpenDNS всегда будет знать текущий адрес клиента. Нужно отметить, что сервис работает достаточно стабильно и располагает богатой базой, для запрета сайтов. Настройка ограничений производится довольно гибко, оценить ее можно взглянув на скриншот. Использование такого сервиса станет также дополнительной защитой от троянов.





Контентная фильтрация OpenDNS

Дополнительные возможности для url-фильтрации предоставляет сервис DNS-forwarder маршрутизатора NanoWall, в котором можно задать ip адрес для редиректа некоторых доменов. Так, например, можно прописать ip адрес одного из серверов yandex, на который будут перенаправляться все запросы к социальным сетям.

Таким образом, если проанализировать требуемые функции шлюза в интернет, очень часто можно обойтись без прокси-сервера, используя при этом достаточно гибкий механизм ограничений доступа.

{jcomments on}

Последнее обновление 10.11.10 15:11
 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика