WinProxy 1.5.x

Руководство по использованию

последние изменения
31. 8. 2001 

© 1996,2001 Martin Viktora, Martin Rubáš, Tomáš Hnetila
Идентификация пользователя и администрирование cache использует алгоритм MD5; 
Источник : RSA Data Security, Inc. MD5 Message-Digest Algorithm. 

Предупреждение:
названия продуктов, фирм и т.п. , которые были использованы в документе могут быть охранными марками или регистрированными охранными марками соответствующих владельцев.



Вступление  
1.Вступление
2.Что такое WinProxy и как работает ?
3.Основная информация
   3.1 Системные требования
   3.2 Установка
4.Конфигурация
   4.1 Proxy
   4.2 Network
   4.3 Dial
   4.4 Accounts
   4.5 Mail
   4.6 Security
   4.7 Advanced
5. Конфигурация TCP/IP
   5.1 Установка IP адресов
   5.2 Установка DNS
A Сети с несколькими сегментами
B Пример установки Mail Сервера
C Информация для ISP

 

1.Вступление

Этот документ предназначен для пользователей программы WinProxy. Описывает, для чего WinProxy служит, как работает, как провести конфигурацию и другую полезную информацию. Документ будет постепенно дополняться актуальной информацией. Актуальная версия будет доступна на вебе. Просим читателей, чтоб в случае неточностей, неясности или не достаточной информации обращались со своими пожеланиями к нам. Мы также приветствуем Ваши предложения чем бы мы могли информацию о данной проблематике дополнить, или описание конфигурации software, которое здесь не было приведено.
Obбlka Наш адрес : winproxy@winproxy.cz 

Авторы 

 

2. Что такое WinProxy и как он работает?

    Proxy сервер - это программа, предназначенная для предоставления доступа к ресурсам сети Интернет из локальной сети охраняемой Firewall. Под Firewall подразумевается компьютер, который находится на границе между локальной сетью и сетью Интернет. Его задачей является охрана локальной сети и информации на компьютерах этой сети от нападений из относительно опасного Интернетa. Эта охрана осуществляется несколькими способами, чаще всего путем запрещения направления пакетов на компьютере выполняющем функцию firewall. Это означает, что невозможно попасть в локальную сеть c IP уровня, а именно проникновения с этого уровня являются самыми опасными. Недостатком такого решения является отсутствие прямого доступа к сети Интернет c компьютера в локальной сети.
    В настоящее время наиболее популярными являются следующие решения, которые преодолевают этот недостаток :
   Proxy server 
   Gateway 
   SOCKS server
    Обычно речь идет о программе, которая запущена на компьютере с прямым подключением к сети Интернет (или к любой другой требуемой сети). Таким образом, компьютеры из локальной сети получают доступ к Интернетуу не прямо, а через этот компьютер (firewall).
Следующий рисунок описывает часто встречаемую ситуацию :
 
    Если компьтер A хочет связаться с компьютером B, то сначала должен связаться с компьютером C. После установления связи компьютер A пошлет компьютеру C запрос с требованием связи с компьютером B. Компьютер C свяжется с компьютером B, после чего может начаться обмен данными между компьютерами A и B. Формат запроса приходящего к компьютеру C может быть различным и зависит от выше указанных доступов. Также задача компьютера C при обмене данными между компьютерами A и B меняется в зависимости от используемого доступа. В простых случаях компьютер C в обмене данными участие не принимает, в более сложных - может трансформировать протоколы.

    Компьютер C также может проверить пришедший к нему запрос о связи и, в зависимости от определенных критериев, решить будет ли связь предоставлена. Это позволит управлять доступом пользователей локальной сети к определенным ресурсам.

   Чтобы предотвратить обратную связь, то-есть чтобы компьютер в Интернетуe не мог присоединиться к компьютеру в локальной сети через компьютер C, WinProxy позволяет установить так называемый безопасный сетевой интерфейс или интервал IP адресов, с которых можно пользоваться услугами WinProxy. Таким образом, связь с компьютером C возможна только из локальной сети.

   Вышеописанное решение кроме увеличения безопасности предоставляет и другие интересные возможности :
  Необходимость только одного IP адреса 
Компьютеры, составляющие локальную сеть, могут иметь произвольно выбранные IP адреса. Настоящий Интернетовский адрес требуется только один - у компьютера C. Наиболее распостраненными являются ситуации : 
Локальная сеть с несколькими компьютерами, к одному подключен модем для доступа к Internet.
Локальная сеть с несколькими компьютерами, один из них имеет две сетевые карты, к примеру ethernet. Одна подключена к локальной сети, другая - к внешнему сегменту.
  Сохранение проходящих объектов в общей cache памяти 
Компьютер C может проходящие объекты укладывать в собственную cache. При повторном обращении к этим данным информация не поступает из источника, а берется из cache. Этот способ снижает нагрузку линии и увеличивает скорость ответа. В cache естественно помещается только общедоступная информация, то-есть там не появляются документы конфиденциального характера.

3. Основная информация

3.1 

Системные требования

Операционная система : 

    Windows 95/98 или Windows NT/2000 с установленной поддержкой TCP/IP (см. Конфигурация TCP/IP).

Hardware : 

    минимальная конфигурация HW для данной операционной системы, приблизительно 1 MB на HDD + место на диске для cache.

    С увеличивающимися требованиями пользователей и объемом cache увеличиваются требования к памяти, процессору, диску и скорости присоединения.

     Рекомендуем следующие (минимальные) :

 3.2 Установка, описание файлов

    Установка проходит путем запуска программы SETUP.EXE, которая находится на установочной дискете или запуском архивного файла полученного с Интернет.

   Если работаете под Windows NT, то можете установить WinProxy с возможностью запуска в режиме службы (application with service support). Для этого необходимы права администратора.

    В конце получите вопрос, хотите-ли организовать в Администраторе программ (Program Manager) группу. Если Вы провели установку с поддержкой службы для Windows NT, то будет образована группа типа Common, в обратном случае - типа Personal.

    После проведения установки WinProxy готов к эксплуатации.

    В целевой директории (куда Вы WinProxy наинсталировали) найдете следующие файлы :
winproxy.exe  - сама апликация
proxy.pac  - файл автоматической конфигурации
config.htm  - help для конфигурации
readme.txt  - основная информация

4. Конфигурация

   Если у Вас на компьютере не установлен протокол TCP/IP , то прочитайте сперва главу 5. Конфигурация TCP/IP.
   Конфигурация проводится путем заполнения страниц с использованием веб-браузера. Откройте свой браузер и укажите URL : http://host:3129/admin , где host - компьютер, на котором WinProxy установлен. Для конфигурирования лучше всего использовать браузер, который изображает рамки (frames). Конфигурируемые параметры разделены на несколько групп, каждой группе соответствует одна форма-страница. В режиме on-line доступен help предназначенный для помощи при конфигурации.

    В предыдущей главе были оговорены основные принципы работы WinProxy. Таким образом программа выполняет функции :
   proxy сервер для протоколов http, https, ftp a gopher
   позволяет укладывать данные из этих протоколов в совместной cache (кроме https)
   gateway для Telnet, FTP, SMTP, NEWS, POP3 a RealAudio
   Mail Server
   SOCKS сервер версии 4 и 5, DNS forwarder
   позволяет установить телефонную связь сети
   управление пользователями и группами + ограничение доступа
   FireWall - охраняет локальную сеть
   Каждая задача представляет определенную подсистему WinProxy. Параметры этих подсистем устанавливаются при помощи страниц. В следующих главах рассмотрены способы их конфигурации.

       Внимание :  в дальнейшем часто будем ссылаться на компьютер, на котором работает WinProxy. Для удобства будем этот компьютер называть Proxy Host. Таким образом ProxyHost представляет DNS имя или IP адрес компьютера (в локальной сети), на котором WinProxy работает.

    Далее предполагаем , что компьютер ProxyHost имеет доступ к локальной сети и к Интернет. Связь с Интернетом может быть реализована любым способом : коммутируемая линия, ISDN, еще одна сетевая карта и проч.

 

4.1 Proxy

4.1.1 Proxy - General (общее)

   Установка WinProxy

    WinProxy ожидает запросы через порт 3128. Этот параметр можно изменить на странице General. Далее, необходимо правильно сконфигурировать браузер. В настоящее время существует несколько браузеров, но не все поддерживают proxy сервер. Если эти браузеры поддерживают proxy, то их конфигурирование между собой подобно. Приведем пример конфигурации наиболее распространенных браузеров:

Конфигурация клиентов

   MS Internet Explorer 5.X

  1. меню Tools / Internet options / Connections / LAN Settings /
  2. установите  Use a proxy server
  3. в поле Address укажите IP адрес PC с WinProxy и порт - 3128
  4. установите Bypass server for local (Intranet) addresses
  5. отключите Automatically detect settings.
  6. нажмите Advanced
  7. установите Use the same proxy for all protocols.
  8. укажите IP адрес PC с WinProxy в Do not use proxy server for addresses beginning with.
  9. в случае присоединения к Интернету по модему в Dial up setting опять укажите адрес и порт proxy сервера

   MS Internet Explorer 4.X

  1. меню View / Internet options / Connections / LAN Settings / 
  2. укажите  Use a proxy server
  3. в поле Address укажите IP адрес PC с WinProxy и порт - 3128
  4. в Advanced установите Use the same proxy for all protocols 
  5. IP адрес PC с WinProxy в Do not use proxy server for addresses beginning with.

   MS Internet Explorer 3.0

  1. меню View->Options->Connections
  2. выберите  Use a proxy server
  3. нажмите Settings
  4. В поле HTTP укажите компьютер ProxyHost и порт 3128.
  5. установите Use the same proxy for all protocols

   Netscape Navigator 

  1. меню Options / Network Configuration / Proxies
  2. выберите Manual Proxy Configuration
  3. нажмите клавишу View
  4. в поле HTTP Proxy, FTP Proxy, GOPHER Proxy и Security Proxy укажите компьютер ProxyHost, а порт установите на 3128.
   Второй возможностью является использование файла автоматической конфигурации. Этот файл после инсталирования находится в той же директории что и WinProxy. В этом файле необходимо вписать в поле proxy - компьютер ProxyHost. В Navigator выберите Automatic Proxy Configuration, а в поле Configuration Location (URL)укажите : ProxyHost:3129/autoconfig.


  NCSA Mosaic 
  1. menu Options/ Preferences / Proxy
  2. в поле proxy сервера для HTTP, FTP, GOPHER укажите компьютер ProxyHost и порт 3128, разделенные двоеточием.
  3.  

4.1.2 Proxy - Cache, Cache TTL 

    Информацию, которая пройдет через proxy, можно укладывать в совместной cache. При повторном обращении к этой информации, она поступает из cache.

   Определение параметров

    Правила (параметры) для сохранения объектов в cache можно установить на странице Cache. Главным параметром является максимальный объем cache (поле Max. Size). Это максимальный объем помещенной в cache информации. При наполнении cache до этой величины, будут удаляться объекты с наиболее старой датой. Следующим параметром является максимальная величина объекта, который может быть в cache помещен. Этот параметр можно указать отдельно для объектов каждого протокола (HTTP, FTP, GOPHER). При оптимальных величинах этих параметров можно избежать таких ситуаций, при которых передача и помещение 2 MB файла в cache Вам сотрет 330 небольших файлов (при средней величине объекта 6kB). Cache Directory определяет место расположения директории с cache.
    Весь процесс помещения информации в cache можно запретить выключением (Enable Caching). Параметр Continue loading aborted objects позволит Вам указать: продолжать или нет передачу данных при отключении браузера клиента. Также можно установить (Keep aborted Objects) - помещение в cache неполных объектов при нарушении связи.

  "Долговечность" объекта  с точки зрения WinProxy

    "Долговечность" объекта (англ. Time-To-Live, сокращенно TTL) - время актуальности информации в cache. В случае, если TTL данных закончилось, то WinProxy при получении запроса на эти данные, начнет их обновление.
    Установка TTL проводится на странице Time-To-Live. TTL устанавливается для каждого протокола отдельно (HTTP, FTP, GOPHER) или более детально для определенных URL.
    Формат записи - ttl@url , где ttl - время актуальности для URL. URL необходимо указать в формате :scheme://host/path. В URL можно использовать знак "*" , который означает - любая последовательность знаков. Например:
12@*www*    устанавливает время актуальности на 12 дней для всех объектов, URL которых включает в себя последовательность www.
2@ftp://*.zip    устанавливает "долговечность" на 2 дня для всех объектов поступивших через ftp и имеющих расширение .zip

  Долговечность объекта с точки зрения сервера

    Удаленный web сервер сам может определять как долго объект будет уложен в cache, это имеет особое значение при генерировании динамических страниц (ASP, PHP, CGI), которые не имеет смысл укладывать. Несмотря на это в случае медленного присоединения через модем может быть полезным установить следующий параметр Cache / Cache pages marked as non-cachable by web server.

 

4.1.3 Proxy - Access (контроль доступа)

   WinProxy позволяет создать счет пользователей и группы пользователей. Пользователи и группы пользователей создаются для того, чтобы обозначить область доступа пользователей через WWW и для обработки почты, если используется Mail Server.

    Пользователи, группы и членство пользователей в группах создается на странице Accounts. WinProxy автоматически создает группу Admins. Члены этой группы не имеют ограничения при никаких операциях. Эту группу нельзя уничтожить.


     Access List 
Контроль доступа пользователей к определенным URL проводится в соответствии с Access List на странице Access.
URL указывается в следующем формате scheme://host/path. В URL можно использовать знак "*", который заменяет любую последовательность. При доступе к URL требуется идентификация пользователя. Для того, чтобы пользователь мог получить доступ к указанному адресу, он должен быть в списке пользователей или быть членом группы, которой разрешен доступ к данной URL. Нажатием кнопки Edit получите список пользователей/групп, которые имеют доступ к данной URL. Группы находятся в начале списка и заключены в квадратные скобки. После добавления новой URL никто к этой URL не имеет доступ.

      Определение доступа на основе Access List 
Алгоритм, при помощи которого определяется, будет ли запрос на данную URL принят или нет, следующий: при получении запроса программа пытается найти в Access List URL, соответствующую требованию. Если ни одна из URL, находящихся в Access List, не соответствует запрашиваемой URL, запрос принимается. В обратном случае WinProxy пытается из запроса получить идентификацию пользователя, его имя и пароль. Если эта информация в запросе отсутствует, то программа предлагает пользователю указать свое имя и пароль. Если же эта информация получена из запроса, то она будет проверена. Если пользователь находится в Access List для данной URL или является членом группы находящейся в Access List, то запрос принимается. 

При помощи клавиш UP (вверх) и DOWN (вниз) строки в Access List можно  менять местами и таким образом определять, в каком порядке правила будут выполняться.

   Примеры 

Access List  пользователь / группа 
http://www.firma.cz/* [все]
http://* [руководство]

Если бы правила были в обратном порядке, то пользователи из группы [все] не имели бы доступ к странице www.firma.cz


     Ограничение доступа к веб броузеру 
Ограничить доступ пользователей можно также и к веб интерфейсу. Однако существует одно исключение - имя компьютера (в URL это host) всегда переводится на "WinProxy". Например, ограничить доступ к веб броузеру WinProxy можно записав в Access List следующую строку: http://WinProxy/admin/* 
Если хотите ограничить доступ к определенному веб броузеру, то не забудьте указать хотя бы одного пользователя, который к данному интерфейсу будет иметь доступ, или который включен в группу Admins, иначе уже никто к данному броузеру не будет иметь доступ.


   Примечание 

     Примеры 

1.    Необходимо следующее: чтобы пользователи, которые находятся в группе [users], имели доступ только к следующим доменам : domain.cz, work.cz, а пользователь boss имел доступ ко всему. Access List и доступ пользователя / группы установим следующим образом:

Access List  uživatel / skupina 
*.domain.cz*  [users] 
*.work.cz*  [users] 
boss 

2.    Необходимо, чтобы никто не имел доступ к домену bad.cz :

Access List  пользователь / группа
*.bad.cz*   

 

4.2 Network (сеть)

   4.2.1 General

Telnet gateway

    Telnet - это протокол, который позволяет присоединиться к любому компьютеру в Интернет и работать с ним в удаленном режиме (естественно только в том случае, если этот компьютер имеет пользовательский счет).
    Используют Тelnet через WinProxy следующим образом: запустите программу Telnet, присоединитесь к компьютеру, на котором работает WinProxy, после чего укажите имя компьютера, к которому хотите присоединиться. По желанию можно указать номер порта. Если хотите использовать эту возможность, то зачеркните Telnet Gateway на странице Network. Также можно указать номер порта, на котором Telnet gateway будет работать. По умолчанию - 23.

  Ftp gateway

    FTP (File Transfer Protocol) - протокол предназначенный к передаче файлов. Ftp gateway предоставляет ftp клиентам доступ к ftp серверам в Интернете. Gateway имеет вид user@host. Если Вы хотите присоединиться к компьютеру ftp.bestsite.com в режиме anonymous, то сначала присоединитесь к компьютеру с WinProxy, в качестве username укажите anonymous@ftp.bestsite.com.
Можно также использовать программу WS_FTP, которая автоматически поддерживает этот тип gateway. В этом случае необходимо установить Firewall Type на USER with no logon, Host Name на ProxyHost a port на 21.

Если хотите пользоваться функцией Ftp gateway, то зачеркните на странице Network поле Ftp Gateway.

DNS Server

    Здесь можете указать IP адрес примарного DNS сервера провайдера. Если на странице Advanced установите Internal DNS Resolver, то WinProxy будет вести себя как DNS Resolver. Если используете dial-up присоединение, рекомендуем указать адрес примарного и секундарного DNS сервера Dial-up properties.

RealAudio gateway (proxy)

    RealAudio gateway позволяет принимать звуки с Интернета в формате RealAudio. Поддерживаются как TCP, так и UDP. Если хотите этой возможностью пользоваться, то активизируйте на странице Network поле RealAudio. Номер порта по умолчанию 1090. Конфигурация RealAudio Player проходит следующим образом : menu View -> Preferences -> Proxy, зачеркнуть Use Proxy, в поле host указать компьютер ProxyHost, а в поле порт вписать 1090.

News 

    News gateway позволит Вам принимать и посылать информацию из USENET News. Конфигурация следующая: на странице Network в поле News server укажите имя или IP адрес компьютера, с которого News хотите получать. В "читайте news" укажите в поле "имя news сервера" компьютер ProxyHost. К примеру: в Netscape Navigator-е - это поле News (NNTP) server на той же странице, что и для Mail сервера.

SOCKS Server и DNS

   В настоящее время поддерживаются версии 4 и 5. Стандартным портом для SOCKS сервера является порт 1080. Если будете пользоваться версией 4, то скорее всего надо будет установить DNS. Можно установить Use SOCKS5 Authentication. SOCKS сервер вместе с mapping links служит к расширению поддержки нестандартных протоколов.  При помощи SOCKS сетвета можете к примеру использовать ICQ.

 

4.2.2 Mapped links

   Mapped links позволяют при помощи определения порта удаленного сервера расширить возможности поддержки дополнительных протоколов. Local port - номер локального порта в WinProxy, Remote Port - удаленный порт удаленного сервера. Remote host - адрес удаленного сервера. Запрос, который поступает от клиента на адрес и локальный порт Winproxy, при помощи Winproxy передается на удаленный порт удаленного сервера и обратно. Mapped links возможны в сетях с протоколами TCP и UDP. В клиентской программе необходимо изменить адрес сервера на адрес WinProxy.

   Таким образом можно использовать к примеру mIRC (TCP port 6697), еще один News server (remote port TCP 179, local port любой свободный), загружать почту с POP3 сервера, который не будет установлен в mail server (remote port TCP 110, local port любой свободный) и т.д.

 

4.3 Dial (телефонная связь)

    

WinProxy позволяет установить телефонную связь с ISP. Связь может быть установлена двумя способами:

     Примечание : В случае автоматического соединения может случится, что Вы хотите загрузить файл в рамках локальной сети, но по-ошибке укажете неправильное имя компьютера, WinProxy об этом не подозревает и после неуспешного первода DNS-имя на IP адрес начнет устанавливать связь. Таким образом может показаться, что WinProxy устанавливает связь самовольно и без повода. 

 
4.3.1 General

     Конфигурация телефонной связи проводится на странице Dial. Условием для этого является правильная конфигурация и функционированиесвязи без WinProxy. В combo box Connection Name выберите имя требуемого присоединения. В поле Username и Password укажите имя и пароль для выбранного имени присоединения. Можете также в поле Hang up After указать время, по истечении которого связь прервется, если по линии не будут переносится никакие данные. WinProxy прерывают только ту связь, которую сам установил. Если вы присоединяетесь к Интернету иным способом, то в Connection Name оставте (none).

4.3.2 Demand Dial

На странице Demand Dial можно установить временные интервалы (ЧЧ:MM-ЧЧ:MM), в течении которых позволено автоматическое присоединение к Интернету. По умолчанию - ежедневно 00:00-23:59. Можно установить временной интервал для каждого дня недели. Временные интервалы в течении одного дня отделяются запятыми.

    Пример:

Понедельник: 7:30-11:00, 15:00-16:45
Вторник: 00:00-23:59

4.4 Accounts (управление пользователями)

    WinProxy позволяет создать счет пользователей (страница Users) и группы пользователей (страница Groups). Пользователи и группы пользователей создаются для того, чтобы обозначить область доступа пользователей через WWW и для обработки почты, если используется Mail Server. WinProxy автоматически создает группу Admins. Члены этой группы не имеют ограничения при никаких операциях. Эту группу нельзя уничтожить.

 

4.5 Mail (почта)

    WinProxy может обрабатывать почту тремя различными способами. Перед тем, как рассмотрим каждый из них, уделим внимание проблеме электронной почты как таковой.

   Для переноса почты в Интернет служит протокол SMTP (Simple Mail Transfer Protocol). При помощи этого протокола компьютеры обмениваются электронной почтой. Почта может пройти несколькими компьютерами, прежде чем дойдет к адресату. SMTP требует, чтобы почта была доставлена в течение определенного времени. Если же целевой компьютер недоступен в течение этого срока (обычно три дня), то почта возвращается к отправителю.
   Из этого следуют две причины, почему SMTP непригоден для приема почты на отдельные компьютеры или при коммутируемой линии (dial-up):    По этой причине почта, пересылаемая по Internet при помощи протокола SMTP, чаще всего заканчивает свой путь на больших беспрерывно работающих машинах, размещенных к примеру у ISP. Перенос почты на компьютеры отдельных пользователей осуществляется по протоколу POP3. Таким образом, пользователь имеет возможность в любое время присоединиться к почтовому компьютеру и загрузить почту на свой компьютер.

    В заключении можно сказать, что для dial-up подключения чаще всего используется метод, при котором пользователи (почтовые программы) посылают почту в Интернет при помощи программы SMTP (это проходит без проблем), а принимают почту при помощи программы POP3. Такой же метод использует и WinProxy.

4.5.1 Mail Gateway

   Mail Gateway является наиболее простым способом. В конфигурации почтовых клиентов укажете, что компьютер ProxyHost будет SMTP и POP3 сервером. В этом случае по приходу запроса WinProxy перенаправит его на сервер, указанный в конфигурации WinProxy.

Конфигурация WinProxy :
На странице Mail выберите возможность SMTP/POP3 Gateway и нажмите клавишу Save. Потом нажмите на Settings. В поле Remote SMTP Server и Remote POP3 Server впишите Ваш SMTP и POP3 Internet сервер.


Конфигурация клиента : 
Существует несколько клиентов работающих с SMTP/POP3 почтой, например MS Outlook, MS Outlook Express, Netscape Messanger, Pegasus mail for Windows, MS Explorer 3.0 - Internet Mail,  MS Exchange, Eudora. Их конфигурацию найдете в документации прилагаемой к этим программам. В каждом из них в качестве SMTP и POP3 сервера укажите ProxyHost компьютер, а POP3 Username (Account) и Password установите на имя и пароль пользователя соответствующего для указанного POP3 сервера.

Если некоторые пользователи принимают почту от других компьютеров, то можно этот сервер в конфигурации почтовой программы специфицировать в поле POP3 username. Имя сервера присоединяется к концу имени, от имени пользователя отделяется знаком "#". Таким образом, запись имеет следующий вид : username#popserver.domain.cz .
Замечание:    Если Вы пользуетесь программой Eudora, то поле POP Account заполняете в следующем формате: username#popserver.domain.cz@ProxyHost

4.5.2 Mail Server

     В этом случае WinProxy будет работать как SMTP/POP3 сервер. SMTP сервер специально приспособлен к условиям dial-up присоединения. Пользователи используют WinProxy для приема и отправления почты в Интернет или в локальную сеть. Если WinProxy получит почту, предназанченную для отправления в Интернет, то почта будет уложена и послана при подключении.
    В течение связи почта, предназначенная для Интернета, отправляется на указанный Internet SMTP server, после чего проходит прием почты для зарегистрированных пользователей из Интернета. Время, в течение которого будет проходить прием и отправление почты, можно указать. Прием /отправку почты можно начать через веб-браузер.

    Использование WinProxy в качестве Mail Server предоставляет несколько преимуществ:

    Таким образом WinProxy загружает почту из удаленных mailboxов (POP3 серверов) в Internet и укладывает её в локальные mailboxы. Позже пользователь переносит почту из этих mailboxов на свой компьютер. Так же происходит и отправление почты. Пользователи отправляют почту на WinProxy, а он в свою очередь пересылает её почтовому серверу в Интернете.

Конфигурация клиентов


Есть несколько клиентов работающих с SMTP/POP3, например MS Outlook, MS Outlook Express, Netscape Messanger, Pegasus mail for Windows, MS Explorer 3.0 - Internet Mail,  MS Exchange, Eudora. Для конфигурации этих программ пользуйтесь прилагаемой к ним документацией. В качестве SMTP и POP3 сервера укажите компьютер ProxyHost. POP3 Username (Account) и Password такие же, как и для WinProxy.

Приложение B - пример конфигурации Mail Server.

4.5.2.1 General

    В поле Remote SMTP server укажите SMTP сервер ISP, на который почта, направленная в Интернет, будет посылаться.  Если хотите указать время отсылки и приема почты, то укажите это время в поле Send/Receive Mail. Если выберете every, то почта будет обработана по истечении определенного временного интервала. Этот интервал указывается в следующем виде чч:мм, где чч означают часы а мм минуты. Если выберете at, то почта будет обрабатываться в определенное время. Время укажите в формате чч:мм, отдельные указатели времени отделяются друг от друга пробелом. Если хотите, чтобы WinProxy мог при обработке почты установить dial-up связь, то зачеркните возможность Allow to Dial.

    Loggin почты можно проводить на трёх уровнях:

Также можно выбрать счёт (к примеру backup), на который будет посылаться вся почта - пришедшая и отправленная.

4.4.2.2 POP3 Downloads

    Информация о почтовых ящиках пользователей находится в Account List на странице POP3 downloads. Данные добавляются в список при помощи соответствующих клавиш. Remote POP3 account указывает удаленный mailbox, с которого почта будет загружена в локальный mailbox. Данные записываются в следующем формате username@popserver.domain.cz. Один знак @ служит к определению локального  mailboxu. Поле Password указывает соответствующий пароль. Поле E-mail указывает e-mail адрес на Интернете. Если эти данные такие же как и данные в поле Remote POP3 Account, можете это поле не заполнять. Этот параметр служит для определения почты для локальных пользователей. Если кто-либо пошлет WinProxy почту, то WinProxy проверит все e-mail записи и, если адресат находится в списке, почта будет помещена в его mailbox. Последний параметр Move to Local Account определяет пользователя WinProxy, которому будет передана почта. Все пользователи указываются на странице Users. Если выберете группу пользователей, то почта будет передана каждому из этой группы. Специальным выбором является {RULE}. Эту возможность чаще всего используют в случае, если будете принимать почту для целого домена. Почта, принятая из этого mailboxa, будет передана различным пользователям в соответствии с заголовком To:. Правила сортировки определяются на странице Sorting Rules.

4.5.2.3 Sorting Rules

    Правила сортировки для  отдельных алиасов (user name) в домену устанавливаются на странице Sorting Rules. Письма, которые не могли быть рассортированы, укладываются в соответствии с правилом содержащим один знак @, или в зависимости от Report Problems To (с сообщением об ошибке).

    Правильность конфигурации данных в Account Listu лучше всего проверить путем запуска обработки почты через веб интерфейс на странице Manual. Запись информации о приеме/отправлении почты в Интернет установите параметром Enable Logging.

4.5.2.4 SMTP Relay restrictions

    В случае, если компьютер WinProxy присоединен к Интернету постоянно (по постоянной линии, безпроволочной связью, кабельным модемом ...), то встроенный SMTP сервер находится под угрозой рассылки спама. В mail сервере можно установить такие ограничения (страница SMTP Relay restrictions), которые этому помешают.

    В первом поле надо указать список IP адресов всех компьютеров локальной сети. С этих адресов можно послать mail в любой домен. Во втором поле укажите ваш локальный домен (например firma.cz) или домены. В этот домен можно послать mail с любого места, а не только с локальных IP адресов.

Пример списка локальных IP адресов:

147.228.5.18 192.168.2.1 192.168.1.0/255.255.255.0

Примечание: IP адреса отделяются пробелом и интервал специфицирован маской подсети, которая пишется через /.

Пример списка локальных адресов:

firma.cz spolecnost.cz company.com

Примечание: Локальные домены отделяются поробелом и записываются без @.

 

4.6 Security (безопасность)

    Все более актуальной в настоящее время становится охрана локальной сети от проникновений из Интернета, и трэндом в этой области будет отказ от прямой связи. С WinProxy довольно легко можно установить простой Firewall. Под этим подразумевается компьютер охраняющий локальную сеть от внешних атак и предоставляющий остальным компьютерам доступ к сети Internet. Для того, чтобы WinProxy работал как firewall, необходимо :     Далее, для охраны сети от проникновений пиратов из Интернета через WinProxy, есть две возможности:

Необходимо сказать, что в стандартном случае, т.е. локальная сеть + один компьютер с модемом, нет причин для опасения и выше указанные меры безопасности в какой-то степени избыточны.

 

4.7 Advanced 

    На этой странице можно указать Timeout, то-есть как долго WinProxy ожидает ответ, прежде чем сообщит об ошибке. Далее, количество попыток набора номера, если присоединение не установилось сразу (Connect Retry). Internal DNS Resolver был описан в разделе Network. Reverse DNS переводит IP адреса компьютеров на их названия, это можно использовать в log файлах. Адрес, на котором log файлы сохраняются, можно выбрать в Logs Directory.
    Если ваш ISP имеет свой собственный  proxy сервер с большой cache, тогда можете указать его адрес и порт в поле Parent Proxy и Parent Proxy Port. Тогда запросы будут передаваться этому серверу.
    Если установите Run as service, то позволите запускать WinProxy, без регистрации пользователя в Windows. Действительно только для Windows 95/98. В Windows NT/2000  WinProxy может быть запущен в качестве сервиса (service).

5. Konfigurace TCP/IP

 Для того, чтобы WinProxy правильно работал, необходимо правильно установить TCP/IP на компьютерах, которые службами WinProxy будут пользоваться, и на копьютере, на котором WinProxy будет работать.

     На компьютере, на котором WinProxy будет работать, должна быть установлена Windows NT или Windows 95. На клиентах может быть любая операционная система поддерживающая TCP/IP (Windows, Unix, Macintosh, VMS, ...).

     Если Вы еще не установили TCP/IP, то у Вас есть следующие возможности:
  1. Доверьте инсталирование системному администратору.
  2. Пользуясь следующими инстукциями, проведите установку сами.
Будем пользоваться следующей моделью :

     Сеть с пятью компьютерами; компьютеры в сети Microsoft имеют следующие имена: Tom, Petr, Dusan и Martin. К компьютеру Martin присоединен модем для связи с Интернетом, на этом компьютере запустим WinProxy. На компьютерах установлены следующие операционные системы: Windows 95, Windows NT и Windows 3.1.

5.1 Установка IP адреса

     Для того, чтобы компьютеры могли между собой общаться через TCP/IP, они должны иметь так называемые IP адреса. IP адреса - это 32 битовое число, для большей ясности указывается по байтах в формате a.b.c.d . IP адрес должен быть уникальным, т.е не может использоваться в той же сети несколько раз.
     Документ RFC 1597 рекомендует выбирать для организации частной сети адреса из частного адресного пространства. Для этого адресного пространства организация IANA забронировала три блока IP адресов. Эти адреса содержат один адрес в классе A, 16 последовательных адресов в классе B и 255 последовательных адресов в классе C.

  Эти адреса следующие:

    Гарантируется, что эти адреса не используются компьютерами в рамках сети Интернет. Причины использования этих адресов и другие предложения, как составить TCP/IP сеть, найдете в вышеуказанном документе.
     Для нашего случая (сеть не более 255 компьютеров) будут достаточны адреса класса C; также используем адреса от 192.168.1.1 до 192.168.1.4. Закрепим IP адреса за компьютерами в соответствии со следующей таблицей:

 

Имя компьютера Операционная система IP адреса 
Martin  Windows 95  192.168.1.1 
Tom  Windows 95  192.168.1.2 
Petr  Windows NT  192.168.1.3 
Dusan  Windows 3.1  192.168.1.4 

      За этим следует установка для отдельных операционных систем:
Windows 95 / 98
  1. Меню Start -> Setting -> Control Panels -> Network 
  2. Выберите протокол TCP/IP. Если этого протокола в списке нет, выберите Add, из предложенного списка выберите Protocol, опять Add, из списка выберите производителя Microsoft и сетевой протокол TCP/IP.
  3. Кнопка Properties, выбрать закладку IP address , зачеркните Enter the IP address 
  4. В поле IP address впишите адрес компьютера, см. Таблица, в поле subnet mask впишите 255.255.255.0 . Установку закончите нажатием на OK. Новая конфигурация будет действительна после перезапуска компьютера.
Windows 2000
  1. Start -> Setting -> Network and Dial-up Connections -> Lan setting -> Options -> TCP/IP
  2. укажите IP адрес и маску подсети
Windows NT 4.0 
  1. выбрать Control Panel -> Network Protokols -> TCP/IP -> Options
  2. укажите IP адрес и маску подсети
Windows NT 3.51
  1. Program Manager -> группа Main -> Control Panel -> Network
  2. В списке Installed Network Software выберите TCP/IP protocol и нажмите Configure. Если TCP/IP протокол в списке не присутствует, то перейдите к пункту 4.
  3. В поле IP address впишите адрес в соответствии с таблицей, в поле Subnet Mask впишите 255.255.255.0. Установку закончите нажатием кнопки OK. Новая конфигурация будет действительна после перезапуска компьютера.
  4. Кнопка Add Software, из сombo box Network Software выберем TCP/IP Protocol and related components, кнопка Continue , ещё раз Continue и вложите установочный носитель. Для копирования нужных файлов нажмите кнопку OK в диалоге Network Settings. Появится диалог TCP/IP Configuration, в котором укажите параметры в соответствии с пунктом 3.
Windows 3.1 
Протоколы TCP/IP не входят в эту операционную систему. Самой интересной разработкой является shareware программа Trumpet Winsock.
Windows for Workgroups 3.11 
Поддержка протокола TCP/IP не является частью распространяемой программы.Однако её можно получить на URL:
http://www.microsoft.com/kb/softlib/mslfiles/TCP32B.EXE 
Microsoft TCP/IP-32 version 3.11b for Windows for Workgroups is a 32-bit TCP/IP network protocol for Windows for Workgroups only. (690031 bytes).
Конфигурация подобна конфигурации Windows NT 3.51. Подробное её описание будет добавлено позже.

Следующей возможностью является использование Trumpet Winsock.

     Теперь можете использовать протокол TCP/IP в Вашей сети. Адресовать компьютеры можете только при помощи IP адресов. Во всех выше указанных местах, где написано "укажите адрес компьютера, на котором WinProxy работает" укажите IP адрес компьютера Martin т.е.. 192.168.1.1 . Если хотите к компьютерам обращаться по именам, то проведите конфигурацию в соответствии со следующей главой.

5.2 Конфигурация DNS

     В предыдущей главе мы рассматривали использование и закрепление IP адресов за компьютерами в локальной сети. Так как IP адреса тяжело запоминаются, а для людей более удобно давать компьютерам имена, то в TCP/IP можно закреплять за компьютерами имена. Речь идет о так называемых DNS именах, которые могут отличаться от имен использованных в сети Microsoft (это имена, которые видны под иконой Network Neighbors). Каждому IP, таким образом, отвечает имя или alias. Должен существовать способ как переводить эти имена на IP адреса, так как именно они требуются для коммуникации. Перевод осуществляется или через DNS сервер, или при помощи статических таблиц, размещенных в каждом компьютере локальной сети. Мы рассмотрим второй способ, так как для сети с четырмя компьютерами он вполне достаточен. Компьютерам дадим DNS имена, соответствующие именам в сети Microsoft.

     Файл, содержащий таблицу с именами, должен называться hosts и должен находиться в следующих директориях :

 

Windows 95     \Windows 
Windows NT     \WINNT35\SYSTEM32\DRIVERS\ETC 
Windows 3.1     \ETC 
WfW 3.11     \Windows 
     Файл hosts - текстовый файл, его записи имеют формат 
IP_адрес DNS_имя [aliasеs]
     Для корректировки / создания файла можно использовать любой текстовый редактор. Файл должен быть уложен как текстовый и не иметь расширение. К примеру, если в NOTEPAD не укажете расширение, то по умолчанию расширение будет .txt . Тогда надо переименовать файл вручную.

     Наш файл будет выглядеть так : 
# файл hosts
# этот файл содержит соответствие между именами DNS и IP адресами
#
127.0.0.1       localhost       
192.168.1.1     martin     winproxy
192.168.1.2     tom     
192.168.1.3     petr    
192.168.1.4     dusan   
# конец файла hosts
   Файл надо скопировать на все компьютеры в соответствующие директории.
     Теперь можно адресовать компьютеры в сети TCP/IP при помощи их DNS имен. На всех местах, где ранее встречалась запись "укажите адрес компьютера, на котором работает WinProxy" можете указать вместо его IP адреса соответствующее DNS имя, в нашем случае martin или winproxy.





   A. Сеть с несколькими сегментами 

     Это приложение рассматривает использование WinProxy в сетях с несколькими сегментами в связи с телефонной связью. Для наглядности будем рассматривать рисунок с 2 сетями: 


 

   Адрес первой сети 192.168.1.0, второй - 192.168.2.0. Сети связаны через роутер, IP адреса которого 192.168.1.1 и 192.168.2.1. Компьютер 192.168.1.3 используется для связи с Интернетом. При такой конфигурации возникает следующая проблема: компьютеры используют для связи с другой сетью default route. В момент присоединения компьютера 192.168.1.3 к Интернету, default route изменено на Internet gateway (её IP адрес указываете при конфигурации телефонного адаптера). В этот момент компьютер 192.168.1.3 перестанет "видеть" компьютеры составляющие сеть 192.168.2.0. Причиной этого является то, что для связи было выбрано направление по умолчанию, которое теперь изменилось. В итоге это означает, что компьютеры из сети 192.168.2.0 не могут общаться с компьютером 192.168.1.3.
    

Эту проблему можно легко решить. Решение заключается в замене default route на нормальное. А именно, на компьютере 192.168.1.3 в командной строке задать команду: 

c:\>route ADD 192.168.2.0 MASK 255.255.255.0 192.168.1.1
которая означает следующее: если появится пакет предназначенный для сети 192.168.2.0 с сетевой маской 255.255.255.0, то этот пакет посылается через роутер с адресом 192.168.1.1. В Windows NT есть еще параметр -p, который устанавливает это направление как постоянное. В Windows 95 можно эту команду поместить в файл AUTOEXEC.BAT.


   После проведения этой команды компьютер 192.168.1.3 будет "видеть" компьютера сети 192.168.2.0 вне зависимости от параметра default route.



    B. Пример конфигурации Mail Serveru 


 I. Простой пример. 

Возмем 4 пользователя. Каждый из них имеет счет организованный на WinProxy на странице Users; имена следующии : boss, petr, tom, martin. Далее, была организована группа пользователей [sales], члены этой группы: boss и petr. Почту будем обрабатывать в соответствии со следующей таблицей :

 

POP3 счет E-mail адрес Кто получит почту
novak@mbox.prov.cz  novak@mbox.prov.cz  boss 
petr@bob.uni.cz  petr@bob.uni.cz  petr 
tom@mbox.uni.cz  tom@computers.cz  tom 
hruby@pop.serv.cz  hruby@mbox.serv.cz  martin 
martin@popserv.x-media.cz  martin@x-media.cz  martin 
sales@mbox.prov.cz  sales@mbox.prov.cz  boss, petr 
    

   В этом случае надо дополнить Account List, после чего он будет выглядеть следующим образом : 

  Account List 

 

     Правильность данных в Account List лучше всего проверить запуском обработки почты через веб интерфейс на странице Manual.

II. Комплексный пример с использование правил сортировки. 

   Возьмем фирму с 6 пользователями. Каждый из них имеет счет на WinProxy, имена следующие: boss, petr, tom, martin, robert, jana. Далее, организованы группы пользователей [sales], члены которой: boss и petr , группа [developers] , члены которой: martin, tom и jana и группа [users], члены которой все пользователи. Фирма имеет у ISP свой домен для приема почты. Имя домена firma.cz, почта для этого домена укладывается в mailbox firma на компьютере mbox.prov.cz. Каждый пользователь имеет в этом домене свой e-mail адрес. Далее был создан еще один e-mail адрес для информаций о продаже - sales@firma.cz , тогда почту приходящую на этот адрес будут получать пользователи группы [sales]. Пользователи martin и tom также получают почту с других компьютеров. Далее, пользователь tom является участником конференции conf-l@prov.cz , а также хотим, чтоб почту из этой конференции получали martin и jana. Ещё фирма хочет иметь свою собственную (внутреннюю) конференцию, адресом которого будет info-l@firma.cz.

  Account List в этом случае выглядел бы следующим образом : 

  Account List 

 

A Rule List так : 

  Rule List 

   

Обратите внимание на e-mail адреса в первой строке Account List. Адрес указан так: @firma.cz. Запись означает, что все пользователи домена firma.cz локальные.

    Правильность данных в Account List лучше всего проверить запуском обработки почты через веб интерфейс на странице Manual.

Примечания : 

    C. Информация для ISP

 

Укладывание почты для целого домена в один mailbox (UNIX, sendmail) 
В правило S0 или S98 в файле /etc/sendmail.cf необходимо дополнить следующую строку:  

R$*<@firma.cz.>$*                       $#local $: firma
Добавление заголовка X-Enevelope-To к mail (UNIX, sendmail) 

Необходимая корректировка файла sendmail.cf:

1. В правило S0 или S98 необходимо для каждого клиента добавить строку:
    
R$*<@firma.cz.>$*       $# xlocal $@ firma $: $1<@firma.cz.>$2

$# xlocal ... имя нашего почтового клиента
$@ firma .... нормальное имя компьютера, в нашем случае mailbox
$: $1<@firma.cz.>$2 ..... адрес получателя, который будет в X-Envelope-To:

2. к параметрам почтового клиента:
Mxlocal,        P=/usr/local/etc/bin/xlocal, F=lsDFMA, S=10/30, R=21,
                T=DNS/RFC822/SMTP,
                A=xlocal $u procmail $h

$u ... адрес, который будет в X-Envelope-To:   $1<@firma.cz.>$2
$h ... имя mailboxа
A=xlocal $u procmail $h ... командная строка, в качестве локального почтового клиента использован procmail

  Использованные флаги почтовых клиентов:
l  локальный почтовый клиент
s  выбросить из адресов лишнюю информацию (кавычки, скобки, ...)
D  дополнить заголовок Date: (если его нет)
F  дополнить заголовок From: (если его нет)
M  дополнить заголовок Message-Id: (если его нет)
A  ARPA совместимый почтовый клиент
Здесь находится код источника "fake" почтового клиента xlocal.
Перевод : 
cc -o xlocal xlocal.c