Самоучитель
системного администратора

5. Работа в глобальной сети

Работая в глобальной сети, необходимо решать несколько задач:

  • обеспечить доступ к внешним ресурсам Интернета;
  • защитить внутренние ресурсы организации от внешних и внутренних угроз (предотвратить потери и утечки данных);
  • организовать связь между центральным офисом и филиалами и наладить доступ к эксплуатируемым приложениям;
  • предоставить доступ мобильным сотрудникам к ресурсам организации.

Организация доступа к ресурсам Интернета

Во внутренней сети можно использовать реальные адреса Интернета, но такой вариант является скорее исключением, чем правилом. Обычно на организацию выделяется небольшое число реальных адресов, внутри периметра распределяются серые адреса (см. главу 3).

Для преобразования сетевых адресов применяется, в том или ином варианте, технология трансляции адресов — Network Address Translator (NAT).

NAT

Технология трансляции адресов (NAT) позволяет осуществить подключение к Интернету практически любого числа компьютеров, используя при этом всего лишь один или несколько реальных адресов глобальной сети. Фактически NAT — это IP-маршрутизатор, который способен преобразовывать (транслировать) адреса и номера портов TCP/UDP-пакетов в процессе их пересылки.

Логика работы NAT достаточно проста. При получении от локального компьютера пакета, предназначенного для внешней сети, маршрутизатор пересылает пакет, заменив в нем частный IP-адрес на реальный IP-адрес, выделенный провайдером Интернета, и TCP-порт (или UDP-порт) источника на другой, перенумерованный порт. Информация об этом преобразовании сохраняется программой. После получения ответа NAT ищет в своих записях, для какого локального запроса был выделен соответствующий порт. Если такая информация обнаружена, то NAT пересылает пакет локальному компьютеру, заменяя в пакете перенумерованный порт на исходный. Если NAT не находит у себя записи о перенумерованном порте, то пакет отбрасывается.

Таким образом, сервер NAT заменяет в пакетах адреса источника (назначения), номера портов и пересчитывает контрольную сумму пакета. Для большинства приложений такие изменения не вызывают каких-либо осложнений. Однако некоторые протоколы, например FTP, передают информацию о IP-адресах в своих данных, поэтому для корректной работы таких протоколов NAT модифицирует и сами TCP-последовательности. Так, в ОС Windows встроены редакторы для протоколов FTP, ICMP, PPTP, NetBIOS поверх TCP/IP. Если в организации на каком-либо компьютере применяется протокол, для которого необходимо внести аналогичные изменения в сам пакет, а соответствующего редактора в операционной системе не предусмотрено, то работа через NAT будет невозможна без использования для такой системы реального адреса.

Из описания работы NAT видно, что он защищает сеть предприятия от злоумышленника, "принимая" только ответы на запросы из локальной сети. Если же вам необходимо опубликовать некоторые ресурсы локальной сети в Интернете, то следует создать соответствующие правила в оснастке NAT, которые определят, на какой частный адрес пересылать заданные протоколы.

Такой алгоритм работы достаточно эффективен и подходит в большинстве случаев. Однако он может приводить к неработоспособности отдельных функций программ, если они активируются внешними запросами. Например, почтовый клиент MS Outlook при работе с сервером MS Exchange использует протокол RPC (Remote Procedure Call, вызов удаленных процедур). Пройдя регистрацию на почтовом сервере, клиент находится в состоянии ожидания сигнала о приходе новой почты. Поскольку инициатором такого сигнала является не клиент, а внешняя система, то межсетевой экран блокирует эти пакеты. Поэтому в данном примере клиент не будет получать автоматические сообщения о приходе новой почты, хотя сможет принимать и отправлять сообщения по команде пользователя.

Реализация NAT средствами службы маршрутизации Windows

Для серверных систем настройка NAT осуществляется через оснастку службы маршрутизации и удаленного доступа. Для настройки NAT следует добавить интерфейсы подключения к Интернету и локальной сети к протоколу маршрутизации NAT, для чего на вкладке Общие (General) свойств интернет-интерфейса надо установить переключатель Общий интерфейс подключен к Интернету (Public Interface connected to the Internet), а для интерфейса локальной сети — Частный интерфейс подключен к частной сети (Private interface connected to private network). При использовании одного адреса подключения к Интернету нужно установить переключатель Преобразовать TCP/UDP-заголовки (Translate TCP/UDP headers) для свойств интернет-интерфейса.

    Примечание

    NAT от Windows Server может осуществлять трансляцию как на частные адреса локальной сети, так и на реальные адреса. Если доступно несколько реальных адресов, то NAT сопоставляет частный IP-адрес с реальным. В этом случае трансляция портов не осуществляется. При исчерпании реальных адресов NAT включает трансляцию портов.

Реализация NAT при совместном использовании подключения к Интернету

NAT применяется в Windows при включении совместного использования подключения к Интернету. Эта функциональность присутствует как в рабочих станциях, так и в серверных операционных системах.

Организовать совместное использование подключения к Интернету можно при любом способе связи, будь это подключение через модем или локальную сеть (если провайдером проложен к вам выделенный канал). Соответствующую настройку легко выполнить аналогично описываемому далее примеру подключения к Интернету с использованием модема.

Если компьютер имеет настроенное подключение к Интернету, то в папке задач Сетевые подключения есть значок, соответствующий данному подключению. Щелкните по нему правой кнопкой мыши и выберите команду Свойства. На вкладке Дополнительно в опции включения совместного использования доступа в Интернет поставьте соответствующий флажок.

    Примечание

    Если вы не хотите, чтобы соединение с Интернетом автоматически устанавливалось каждый раз, когда кто-либо из локальной сети обращается к Сети (пытается открыть страницу Интернета, принять почту и т. п.), то уберите соответствующий флажок в опциях настройки.

При выборе совместного использования подключения IP-адрес сетевой карты компьютера автоматически изменяется на 192.168.0.1. Компьютер становится для других членов локальной сети сервером DHCP (диапазон 192.168.0.х) и сервером DNS, поэтому на остальных компьютерах настройка протокола TCP/IP должна быть выполнена с параметрами по умолчанию, которые предполагают автоматическое получение всех необходимых данных.

Публикация компьютеров в Интернете при совместном использовании подключения

Для публикации внутренних ресурсов в Интернете при совместном использовании подключения достаточно создать соответствующее правило. Покажем на примере, как выполнить публикацию внутреннего FTP-сервера в сети Интернет при совместном использовании подключения.

  1. Откройте свойства соединения с Интернетом, для которого организовано совместное использование, перейдите на вкладку Дополнительно и нажмите кнопку Настройки. Появится окно с перечнем типовых сервисов Интернета, которым разрешен доступ во внутреннюю сеть через данное подключение.
  2. Выберите нужный сервис и отметьте флажок, разрешающий его публикацию в Интернете. Появится окно, в котором нужно указать компьютер, где в локальной сети работает данный сервис. Обратите внимание, что можно указать как имя, так и IP-адрес компьютера. Если отдается предпочтение IP-адресу, то целесообразно прописать его на соответствующем компьютере статически, чтобы он не изменялся впоследствии, поскольку стандартно при совместном использовании подключения к Интернету адреса компьютерам выдаются динамически и могут изменяться. После завершения операций закройте все окна настройки, нажав кнопку OK.

В результате подобных настроек, например, на FTP-запрос, поступающий из внешней сети, будет отвечать не непосредственно подключенный к Интернету компьютер, а указанный вами при описанных ранее операциях.

Использование соединения может быть протоколировано (записаны пропущенные или отклоненные пакеты, рис. 5.1), однако в связи с большим объемом файла протокола для его анализа необходимо использовать программные продукты других разработчиков.

Рис. 5.1.
Настройка параметров совместно используемого подключения

Таким же способом можно настроить публикацию в Интернете любых сервисов, которые реализуются на локальных компьютерах сети. Если нужного сервиса нет в стандартном списке, вы можете его добавить, воспользовавшись соответствующей опцией. При введении нового сервиса необходимо указать тип используемого протокола и номера портов.

Главная проблема, которая будет подстерегать вас при подобном решении, — это возможное отсутствие статического IP-адреса компьютера, подключенного к Интернету. Иными словами, если вы имеете в локальной сети информационный сервер и используете сеансовое подключение к Интернету, то его реальный адрес подключения будет меняться при каждом сеансе связи с провайдером, что, естественно, не позволит кому-либо обратиться к опубликованным ресурсам.

Ограничения совместного использования подключения к Интернету

Из технических особенностей реализации совместного использования подключения к Интернету вытекают ограничения его применения.

Совместное использование подключения позволяет быстро и с минимальными затратами обеспечить работу компьютеров локальной сети в Интернете через одну точку подключения. Однако такое решение применимо только для домашней сети или сети малого офиса, потому что данный вариант подключения создает неконтролируемый доступ в Интернет для всех компьютеров локальной сети. В сети организации необходимо вести контроль доступа к ресурсам Интернета, иметь возможность выборочно предоставлять доступ одним сотрудникам и запрещать другим и т. п., в связи с чем в средних и крупных организациях применяются серверные решения, позволяющие реализовывать принятую политику предоставления доступа в Интернет.

Кроме того, можно использовать в локальной сети только диапазон адресов 192.168.0.0/24, причем адрес 192.168.0.1 может быть только у компьютера, обеспечивающего совместное подключение к Интернету. Данное ограничение также осложняет задачу настройки безопасного соединения между несколькими площадками организации (или настройку VPN-подключения пользователя к ресурсам другой организации в случае совпадения диапазонов адресов локальных сетей).

Аппаратный NAT

Для небольших организаций подключение к Интернету удобнее всего организовать с помощью аппаратных маршрутизаторов. Эти устройства дешевы (стоимость порядка 100$ в зависимости от модели), оборудованы несколькими внутренними портами (обычно 2—4), функционалом Wi-Fi-точки доступа. Устройство содержит настраиваемый сервер DHCP для автоматической настройки компьютеров локальной сети. Поддерживаемые решения по подключению к интернет-провайдеру обеспечивают работу в российских условиях.

Выполнены эти маршрутизаторы на Linux-операционной системе, настраиваются через веб-интерфейс и не требуют вмешательства пользователя в процессе эксплуатации.

Реализация NAT средствами Linux

Настройка NAT в Linux осуществляется крайне просто. Делается это одной командой утилиты iptables.

Пусть eth0 — это интерфейс Интернета, а eth1 — интерфейс локальной сети.

После этого в настройку iptables достаточно добавить только строчку:

iptables --table nat --append POSTROUTING--out-interface eth0 -j MASQUERADE

    Примечание

    Кроме указанного правила не следует забывать о необходимости других правил фильтрации. Например, правил контроля пересылаемых пакетов, фильтрации доступа к системе из внутренней сети и т. п.


Рейтинг@Mail.ru