WinProxy 1.5
Uživatelská příručka
poslední úprava 1. 5. 2001
© 1996,2001 Martin Viktora, Martin Rubáš, Tomáš Hnetila
Autentifikace uživatelů a správa cache využívá algoritmus MD5. Odvozeno z RSA
Data Security, Inc. MD5 Message-Digest Algorithm.
Upozornění :
V dokumentu použité názvy produktů, firem apod. mohou být ochrannými známkami
nebo registrovanými ochrannými známkami příslušných vlastníků.
Obsah
1.Předmluva
2.Co je WinProxy a jak pracuje ?
3.Základní Informace
3.1 Systémové požadavky
3.2 Instalace
4.Konfigurace
4.1 Proxy
4.2 Network
4.3 Dial
4.4 Accounts
4.5 Mail
4.6 Security
4.7 Advanced
5. Konfigurace TCP/IP
5.1 Nastavení IP adres
5.2 Nastavení DNS
A Sítě s více segmenty
B Příklad nastavení Mail Serveru
C Informace pro ISP
1.Předmluva
Tento dokument je určen uživatelům programu WinProxy. Popisuje k čemu WinProxy
slouží, jak pracuje, jak provést správnou konfiguraci a další informace. Jeho
obsah se bude postupně měnit, tak jak budeme schopni doplňovat nové, aktuální
infomace. Poslední verze bude dostupná na Webu. Prosíme čtenáře, aby nás upozornili
na případné nejasnosti, nepřesnosti či nedostatečné informace. Vítány jsou též
návrhy na doplnění dalších informací vztahující se k problematice, či popisy konfigurace
software jež zde nebylo uvedeno.
Naše adresa : winproxy@winproxy.cz
Autoři
2. Co to vlastně je a jak pracuje WinProxy ?
Proxy server (odpovídající český výraz - zástupný server) je program určený
pro zpřístupnění Internetových služeb z lokální sítě chráněné Firewallem.
Firewall je obecně počítač, který je umístěn na rozhraní mezi lokální sítí
a Internetem. Jeho úkolem je chránit lokální (privátní) síť a data na počítačích
této sítě proti útoku z relativně nebezpečného Internetu. Tato ochrana je prováděna
různými způsoby, nejčastěji se na počítači realizující firewall zakáže směrování
paketů. To znamená, že je nemožné dostat se na úrovni IP vrstvy do lokální sítě
a právě útoky vedené z této vrstvy patří k velmi nebezpečným. Nevýhodou tohoto
řešení je, že počítače na lokální síti chráněné firewallem ztratí možnost přímého
přístupu na Internet.
V současné době se nejvíce ujaly následující řešení překlenující tento problém
:
-
Proxy server
- Gateway
- SOCKS server
Obvykle se jedná o nějaký program, který je spuštěn na počítači s přímou konektivitou
do Internetu (nebo jiné požadované sítě). Počítače pak přistupují z lokání sítě
do Internetu nepřímo, prostřednictvím tohoto počítače (firewallu).
Následující obrázek ilustruje nejčastější situaci :
Jestliže se chce počítač A spojit s počítačem B, musí se nejprve
spojit s počítačem C. Po navázání spojení zašle počítač A počítači
C žádost o spojení s počítačem B. Počítač C naváže spojení
s počítačem B a nyní může začít výměna dat mezi počítači A a B.
Formát žádosti o spojení přicházející na počítač C může být různý a je
určen výše uvedenými přístupy. Také úloha počítače C při výměně dat mezi
počítači A a B je různá, závislá od použitého přístupu. V jednodušších
případech počítač C do procházejících dat vůbec nezasahuje, ve složitějších
případech může provádět transformaci protokolů.
Počítač C může také provést ověření žádosti o spojení a podle určitých
kritérií rozhodnout, zda bude požadavek vyřízen nebo zamítnut. To umožňuje řídit
přístup uživatelů lokální sítě k vybraným službám.
Aby nebylo možné použít opačného přístupu, tj. aby počítače v Internetu nemohly
přistoupit přes počítač C na lokální síť, umožňuje WinProxy definovat tzv.
bezpečná síťová rozhraní nebo rozsah IP addres, ze kterých je povoleno využívat
služeb WinProxy. Spojení na počítač C je pak možné jedině z lokální sítě.
Uvedený model přináší kromě zvýšení bezpečnosti další zajímavé možnosti :
 |
Nutnost pouze jedné IP adresy
Počítače v lokální síti mohou mít libovolně zvolené IP adresy. Skutečná
Internetová adresa je vyžadována pouze jedna a to pro počítač C.
Nejčastější situace jsou :
Lokální síť s několika počítači, k jednomu je připojen modem pro připojení
do Internetu.
Lokální síť s několika počítači, jeden má dvě např. ethernet rozhraní,
jedním je připojen do lokální sítě, druhým na veřejný segment. |
| |
Ukládání procházejících dat do sdílené cache
Počítač C může procházející data ukládat do vlastní cache. Při
opětovných žádostech o jejich zaslání již nejsou data získána z původních
míst, ale jsou vzata z cache. Tento přístup snižuje zatížení linky a urychluje
odezvu. Samozřejmě do cache jsou ukládána data pouze veřejná, v cache
se tedy neobjeví informace privátního charakteru. |
3. Základní informace
3.1 Systémové požadavky
Operační systém :
Windows 95/98 nebo Windows NT/2000 s nainstalovanou podporou TCP/IP (viz.
Konfigurace TCP/IP).
Hardware :
minimální HW konfigurace pro daný operační systém , cca. 1 MB na HDD + diskový
prostor pro cache.
S rostoucím počtem uživatelů a velikostí cache rostou požadavky na paměť,
procesor a disk, a také rychlost připojení.
Doporučujeme následující (minimálně):
- 5 uživatelů, cache 20 MB -> 486, 8 MB RAM
- do 10 uživatelů, cache 80 MB -> Pentium, 16 MB RAM
- více -> vyhrazená nebo málo zatížená stanice (NT Server) Pentium 120 MHz,
32 RAM
3.2
Instalace, popis souborů
Instalace se provede spuštěním programu SETUP.EXE, který se nachází
na instalační disketě, nebo spuštěním archivního souboru staženého z Internetu.
Pokud pracujete pod Windows NT, máte možnost WinProxy nainstalovat s možností
spouštění jako služby (application with service support). K tomu však musíte mít
administrátorská privilegia.
Na závěr budete dotázáni, zda chcete vytvořit skupinku ve Správci programů.
Skupinka bude mít jméno WinProxy. Pokud jste instalovali s podporou služby pod
Windows NT, pak bude vytvořena skupinka typu Common, jinak bude typu Personal.
Po instalaci je WinProxy schopen okamžitého použití.
V cílovém adresáři (kam jste WinProxy nainstalovali) najdete tyto soubory:
| winproxy.exe |
- vlastní aplikace |
| proxy.pac |
- autokonfigurační soubor pro Netscape |
| config.htm |
- nápověda pro konfiguraci |
| readme.txt |
- základní informace |
4. Konfigurace
Jestliže nemáte na počítačích fungující protokol TCP/IP, čtěte nejprve kapitolu
5. Konfigurace TCP/IP.
Konfigurace se provádí prostřednictvím formulářů web rozhraní. Toto rozhraní
je přístupné přes URL : http://host:3129/admin kde host je počítač,
kde běží WinProxy. Ke konfiguraci je vhodné použít prohlížeč, který dovede zobrazit
rámce (frames). Konfigurační hodnoty jsou uspořádány do několika skupin, každé
skupině přísluší jeden formulář. Na web rozhraní je také umístěna on-line nápověda
s informacemi, jak pracovat s konfiguračními formuláři.
V předchozí kapitole byly naznačeny základní principy práce WinProxy. Ta tedy
pracuje jako :
- proxy server pro
protokoly http, https, ftp a gopher
- umožňuje ukládat
data těchto protokolů do sdílené cache (kromě https)
- gateway pro služby
Telnet, FTP, SMTP, NEWS, POP3 a RealAudio
- Mail Server
- SOCKS server v4,
v5 a DNS forwarder
- umožňuje vyvolat
telefonické připojení sítě
- správa uživatelů
a skupin + omezení přístupu
- FireWall - zabezpečuje
lokální síť
Každý z bodů představuje určitý subsystém WinProxy. Vlastnosti těchto subsystémů
se nastavují prostřednictvím formulářů. V následujících kapitolách jsou popsány
způsoby jejich nastavení.
Důležité :
V následujícím textu je často zapotřebí odkázat se na počítač, kde běží WinProxy.
Pro pohodlnost budeme tento počítač nazývat ProxyHost. ProxyHost tedy představuje
DNS jméno nebo IP adresu počítače (v lokální síti), na kterém provozujete
WinProxy.
Dále předpokládáme, že počítač ProxyHost má přístup do lokální sítě
a zároveň do Internetu. Spojení do Internetu může být realizováno libovolným způsobem
: komutovaná linka, ISDN, další síťová karta, ...
4.1 Proxy
4.1.1 Proxy - General (obecné)
Nastavení WinProxy
WinProxy očekává požadavky na portu 3128. Toto implicitní nastavení
lze změnit na podstránce General. Dále je
nutné správně nakonfigurovat browser. V současné době je k dispozici větší počet
prohlížečů, ale ne každý podporuje proxy server. Pokud tyto prohlížeče podporují
proxy, pak je jejich konfigurace navzájem podobná. Pro názornost uvedeme příklad
konfigurace nejrozšířenějších browserů :
Nastavení klientů
MS Internet
Explorer 5.X
- menu Nástroje -> Možnosti sítě Internet -> záložka Připojení
-> Nastavení místní sítě
- zvolte
Používat proxy
server
- do políčka Adresa zadejte IP adresu počítače s WinProxy a port nastavte
na 3128
- zaškrtněte Nepoužívat proxy server pro adresy vnitřní sítě
- zrušte zaškrtnutí Automaticky zjišťovat nastavení
- stiskneme tlačítko Upřesnit
- zaškrtněte volbu Pro všechny protokoly používat stejný proxy server
- zadejte IP adresu počítače s WinProxy do Nepoužívat proxy server na adresy
začínající
- v případě připojení do Internetu modemem vyplňte v Nastavení telefonického
připojení na záložce Připojení opět adresu a port proxy serveru
MS Internet
Explorer 4.X
- menu Zobrazit -> Možnosti sítě Internet -> záložka Připojení
-> Nastavení místní sítě
- zvolte Používat proxy
server
- do políčka Adresa zadejte IP adresu počítače s WinProxy a port nastavte
na 3128
- zaškrtněte volbu Pro všechny protokoly používat stejný proxy server
v Upřesnit
- zadejte IP adresu počítače s WinProxy do Nepoužívat proxy server na adresy
začínající
MS Internet
Explorer 3.0
- menu Zobrazit -> záložka Možnosti -> tlačítko Připojení
- zvolíme připojovat
se přes proxy server
- stiskneme tlačítko Nastavení
- Do políčeka HTTP uvedete počítač ProxyHost a port nastavíte na 3128.
- Zaškrtněte volbu pro všechny protokoly používat týž proxy server.
MS Internet
Explorer 2.0
- Start -> Nastavení -> Ovládací panely -> Internet
- záložka Upřesnění -> zvolíme
Použít zprostředkující server
- Do políčka zprostředkující server uveďte ProxyHost:3128
Netscape
Navigator
- menu zvolíme Edit -> Preferences -> Advanced
-> Proxies
- zvolíme
Manual Proxy
Configuration
- stiskneme tlačítko View
- do políček HTTP Proxy, FTP Proxy, GOPHER Proxy a Security Proxy uveďte
počítač ProxyHost a port nastavíme na 3128.
Druhou možností je použít autokonfigurační soubor. Tento soubor se po instalaci
nachází ve stejném adresáři jako WinProxy. V tomto souboru je zapotřebí nastavit
proxy na počítač ProxyHost. V Navigatoru zvolíte Automatic Proxy Configuration
a do políčka Configuration Location (URL) zadáte : ProxyHost:3129/autoconfig.
NCSA Mosaic
- menu Options -> Preferences -> záložka Proxy
- do políček proxy serveru pro HTTP, FTP, GOPHER uvedete počítač ProxyHost
a port 3128 oddělené dvojtečkou.
4.1.2 Proxy - Cache, Cache TTL (životnost objektů)
Data procházející přes proxy server je možné ukládat do sdílené cache. Při
opakovaných požadavcích jsou data vzata z cache.
Nastavení parametrů
Pravidla (parametry) pro ukládání dat do cache lze nastavit na podstránce
Cache / Cache. Hlavním parametrem je maximální
velikost cache (políčko Max. Size). Je to maximální velikost, na kterou je možno
cache naplnit. Po dosažení této velikosti jsou z ní umazávány objekty nejstaršího
data. Dalším parametrem je maximální velikost objektů, které ještě budou ukládány
do cache. Tato velikost se dá nastavit pro objekty u každého protokolu (HTTP,
FTP, GOPHER) zvlášť. Rozumným nastavením těchto hodnot se můžeme vyhnout situacím,
kdy při stažení a uložení 2 MB souboru do cache bude smazáno 330 menších souborů
(při průměrné velikosti objektů 6 kB). Cache Directory určuje umístění adresáře
pro cache.
Celý proces ukládání dat do cache lze vypnout pomocí volby (Enable Caching).
Zda se má pokračovat s přenosem a ukládáním dat, pokud bylo spojení s klientským
browserem přerušeno, určuje volba (Continue loading aborted objects). Nastavit
lze také, zda se mají do cache ukládat neúplné objekty v případě, že spojení bylo
předčasně zrušeno (Keep aborted Objects).
Životnost objektů na straně WinProxy
Životnost objektů (angl. Time-To-Live, zkr. TTL) označuje dobu platnosti
uložených dat v cache. Pokud tato doba vyprší, WinProxy při požadavku na tato
data přistoupí k jejich obnovení.
Nastavení TTL se provádí na podstránce Cache /
Cache TTL. TTL se nastavuje pro jednotlivé protokoly (HTTP, FTP,
GOPHER) nebo detailně pro jednotlivé URL.
Formát zápisu je ttl@url, kde ttl je požadovaná doba platnosti pro url.
Url se musí uvést ve formátu :scheme://host/path. V url je možné použít znak
"*", který zastupuje libovolný řetězec. Například:
12@*www* nastavuje dobu platnosti na 12 dní pro všechny objekty,
jejichž url obsahuje řetězec www.
2@ftp://*.zip nastavuje dobu platnosti na 2 dni pro všechny
objekty stažené přes ftp a končící příponou .zip
Životnost objektů na strané webového serveru
Vzdálený webový server může sám určovat, jak dlouho může být objekt uložen
v cache, což má zásadní význam především pro dynamicky generované stránky (ASP,
PHP, CGI), které není vhodné do cache vůbec ukládat. Přesto v případě pomalého
modemového přípojení může být rozumné zapnout ignorování údaje o životnosti
objektu (Cache -> Cache pages marked as non-cachable by web server)
a snížit tak nutnosti vytáčení na minimum.
4.1.3 Proxy - Access (kontrola přístupu)
WinProxy umožňuje vytvářet uživatele a skupiny uživatelů. Uživatelé a skupiny
slouží pro vymezení oblastí, kam budou mít uživatelé přístup přes WWW a pro
zpracování pošty, pokud používáte Mail Server.
Uživatelé, skupiny a členství uživatelů ve skupinách se vytváří na stránce
Accounts. WinProxy automaticky vytváří skupinu
Admins. Na členy této skupiny se nevztahují žádná omezení. Tuto skupinu nelze
zrušit.
Access List
Kontrola přístupu uživatelů k jednotlivým URL se provádí podle Access
Listu na stránce Access.
URL jsou uváděny ve formátu scheme://host/path.
V URL je možné použít znak "*", který zastupuje
libovolný řetězec. Při přístupu na tyto URL je vyžadována autentifikace uživatele.
Aby mohl uživatel na tyto adresy přistoupit, musí být uveden v seznamu uživatelů
(členem skupiny), kteří mají povolen přístup k této URL. Stisknutím tlačítka
Edit získáte seznam uživatelů / skupin, kteří mají povolen přístup pro vybranou
URL. Skupiny jsou uvedeny v seznamu první a jsou uzavřeny v hranatých závorkách.
Po přidání nové URL nemá k této URL nikdo přístup.
Stanovení přístupu podle Access Listu
Algoritmus, který stanovuje, zda bude požadavek na danou URL přijmut nebo zamítnut,
je následující : při příchodu požadavku je prohledán Access List na URL, které
vyhovují URL požadavku. Pokud žádná URL z Access Listu nesouhlasí s URL požadavku,
je požadavek přijmut. V opačné případě se WinProxy pokusí zjistit z požadavku
autentifikační informace - jméno a heslo uživatele. Pokud nejsou v požadavku
uvedeny, je uživatel vyzván k jejich poskytnutí. V případě, že tyto informace
jsou k dispozici, následuje ověření jména a hesla uživatele. Pokud jsou v pořádku
a uživatel se nachází v Access Listu pro danou URL nebo je členem skupiny uvedené
v Access Listu, požadavek je příjmut. V ostatních případech je zamítnut.
Tlačítky UP (nahorů) a DOWN (dolů) je možné přesouvat jednotlivá pravidla v
Access listu a upravovat tak jejich pořadí. Pravidla s užšími kritérii
by měla být uvedena jako první, obecnější kriteria jako poslední.
Příklady nastavení
| Access List |
uživatel / skupina |
| http://www.firma.cz/* |
[vsichni] |
| http://* |
[sefove] |
Při opačném pořadí pravidel by se uživatele ze skupiny [všichni] nedostali ani
na stránku www.firma.cz
Omezení přístupu na web rozhraní
Omezit přístup uživatelů je také možné na web rozhraní. Je zde však jedna výjimka,
a to jméno počítače (v URL je to host) je vždy převedeno na "WinProxy".
Potom například omezení přístupu na web rozhraní WinProxy je možné přidáním
této řádky do Access Listu : http://WinProxy/admin/*
Pokud hodláte provést omezení přístupu na web rozhraní, nezapomeňte stanovit
alespoň jednoho uživatele, který na toto rozhraní bude mít přístup, nebo který
je ve skupině Admins. V případě že toto opomenete, nebude již nikdo na web rozhraní
schopen přistoupit.
Poznámky
- Ne všechny klientské programy podporují autentifikaci potřebnou při přístupu
přes proxy. Browsery, kteří tuto autentifikaci nepodporují, mohou WinProxy
nadále využívat. Je jim jen znemožněn přístup na URL uvedené v Access Listu.
Proxy autentifikaci podporují např.: MS IE a Netscape Navigator
- Uživatel je vyzván k zadání jména a hesla pouze jednou po spuštění prohlížeče.
Prohlížeč pak automaticky doplňuje tyto informace s každým požadavkem.
Příklady nastavení
1. Potřebujeme následující : aby uživatelé, kteří
jsou ve skupině [users], směli pouze do těchto domén
: domain.cz, work.cz a
uživatel boss směl všude. Access List
a přístup uživatele / skupiny nastavíme následovně :
| Access List |
uživatel / skupina |
| *.domain.cz* |
[users] |
| *.work.cz* |
[users] |
| * |
boss |
2. Potřebujeme, aby nikdo nesměl do domény bad.cz
:
| Access List |
uživatel / skupina |
| *.bad.cz* |
|
4.2 Network (síť)
4.2.1 General
Telnet gateway
Telnet je protokol umožňující připojení k libovolnému počítači v Internetu
a pracovat s ním vzdáleně v terminálovém režimu (samozřejmě za předpokladu, že
máte na tomto počítači zřízen uživatelský účet).
Použití telnetu přes WinProxy je následující : Spustíte program Telnet a připojíte
se nejprve na počítač, kde běží WinProxy. Pak budete vyzváni k zadání jména počítače,
ke kterému se chcete skutečně připojit. Volitelně je možné zadat číslo portu.
Pokud chcete tuto možnost využívat, musíte mít zaškrtnutou volbu Telnet
Gateway na stránce Network. Je také
možné zadat číslo portu, na kterém Telnet gateway poběží. Implicitní hodnota je
23.
Ftp gateway
FTP (File Transfer Protocol) je protokol určený k přenosu souborů. Ftp gateway
umožňuje ftp klientům přístup na ftp servery v Internetu. Gateway je typu user@host.
Jestliže se chcete např. připojit na počítač ftp.bestsite.com jako uživatel anonymous,
připojte se nejdříve na počítač s WinProxy a jako username zadejte anonymous@ftp.bestsite.com.
Můžete také použít FTP klienty (Windows Commander, Cute FTP, WS FTP), které automaticky
podporují tento typ gatewaye. V těchto programech je zapotřebí nastavit Firewall
Type na Send command user@hostname (ev. USER with no logon), Host
Name na ProxyHost, port na 21. Username a Password nechat
prázdné.
Pokud chcete Ftp gateway využívat, zaškrtněte volbu Ftp Gateway na stránce Network.
DNS Server
Zde můžete zadat IP adresu primárního DNS (názvového) serveru poskytovatele.
Pokud zaškrtnete Internal DNS Resolver na stránce Advanced, bude
se WinProxy chovat jako DNS Resolver. Pokud používáte telefonické připojení
doporučujeme zadat adresu primárního a sekundárního DNS serveru pouze ve vlastnostech
telefonického připojení.
RealAudio gateway (proxy)
RealAudio gateway umožňuje příjem zvuku z Internetu ve formátu RealAudio.
Podporováno je jak TCP, tak UDP. Pokud chcete tuto volbu používat, aktivujte volbu
RealAudio na stránce Network. Číslo portu
je implicitně nastaveno na 1090. Nastavení přehrávače RealAudia (RealAudio Player)
je následující : menu View -> Preferences -> Proxy, zaškrtnout Use Proxy a do
políčka host udevedete počítač ProxyHost a do políčka port hodnotu 1090.
News News
News gateway vám umožní přijímat a odesílat příspěvky do USENET News. Na
stránce Network zadáte do políčka News
server jméno nebo IP adresu počítače, ze kterého chcete News odebírat. Ve
čtečce news nastavíte jméno news serveru počítač ProxyHost. Např. v Netscape
Navigator-u je to políčko News (NNTP) server na stejné stránce jako pro
Mail server.
SOCKS Server a DNS
V současné době jsou podporované verze SOCKS 4 a SOCKS 5. Číslo portu, na
kterém SOCKS server standardně pracuje, je 1080. Při použití verze 4 pravděpodobně
budete potřebovat nastavit DNS. Je možné zapnout autentifiklaci pomocí Use
SOCKS5 Authentication. SOCKS server slouží společně s mapped link
k doplnění podpory nestandardních protokolů. Pomocí SOCKS serveru můžete například
zprovoznit ICQ.
4.2.2 Mapped links
Mapované linky umožňují namapováním příslušného portu ke vzdálenému serveru
dodatečnou podporu dalších protokolů. Local port je číslo lokálního portu
ve WinProxy, Remote Port je vzdálený port na vzdáleném serveru. Remote
host je adresa vzdáleného serveru. Požadavek jdoucí z klientského programu
na adresu Winproxy a lokální port je pomocí Winproxy tunelován na vzdálený port
vzdáleného serveru a zpět. Je možné namapovat protokoly typu TCP a UDP. V
klientském programu je vždy nutné změnit adresu serveru na adresu WinProxy.
Tímto způsobem je možné zprovoznit např. mIRC (TCP port 6697), další
News server (remote port TCP 179, local port jakýkoliv volný), stahovat
poštu z POP3 serveru, který není nastavený v mail serveru (remote port
TCP 110, local port jakýkoliv volný) apod.
4.3 Dial (telefonické připojení)
WinProxy umožňuje vyvolat telefonické připojení k poskytovateli Internetu.
Spojení může být vytvořeno dvěma způsoby:
- manuálně přes web rozhraní - viz web rozhraní
- automaticky při požadavku - spojení bude vytvořeno automaticky v případě
nemožnosti zpracovat požadavek z lokální sítě. Spojení může vytvořit proxy
server, všechny gateway-e a SOCKS server. Spojení je vytvářeno v případě,
že není možné převést DNS jméno na IP adresu, anebo jestliže operace connect
vrací chybu host unreachable (ve směrovací tabulce není nalezen směr
do požadované sítě).
Poznámka : V případě automatického spojení se může stát, že chcete stáhnout
nějaký dokument z lokální sítě a omylem zadáte chybné jméno počítače. To ovšem
WinProxy netuší a po neúspěšném pokusu o převedení chybného DNS jména na IP adresu
začne vytvářet telefonické spojení. To může někdy vyvolat dojem, že WinProxy vytváří
spojení samovolně bez důvodu.
4.3.1 General
Konfigurace telefonického připojení se provádí na podstránce Dial /General.
Předpokladem je správné nastavení a funkčnost připojení bez WinProxy. V combo
boxu Connection Name vyberete jméno požadovaného připojení. V políčku
Username a Password vyplníte jméno a heslo, které normálně používáte
u daného připojení. V políčku Hang up After se dále může nastavit čas,
po kterém bude spojení ukončeno, jestliže po lince nebudou přenášena žádná data.
WinProxy zavěšuje spojení jen v případě, že on sám spojení vytvořil. Pokud jste
připojení do Internetu jiným způsobem, než je vytáčené připojení, nechte v Connection
Name zvolenou položku (none).
4.3.2 Demand Dial
V podstránce Demand Dial je možnost volby časových intervalů (HH:MM-HH:MM),
kdy je povolené automatické připojení do Internetu, při požadavku, který se
nenachází v lokální síti ani v cache. Výchozí nastavení je denně 00:00-23:59.
Je možné provést odlišné nastavení pro každy den v týdnu a časové intervaly
v rámci jednoho dne se oddělují čárkou.
Příklad nastavení:
Pondělí: 7:30-11:00, 15:00-16:45
Úterý: 00:00-23:59
4.4 Accounts (správa uživatelů)
WinProxy umožňuje vytvářet uživatele (podstránka Users) a skupiny
uživatelů (podstránka Groups). Uživatelé a skupiny slouží pro vymezení
oblastí, kam budou mít uživatelé přístup přes WWW (Access) a pro zpracování
pošty, pokud používáte Mail Server. WinProxy automaticky vytváří skupinu
Admins. Na členy této skupiny se nevztahují žádná omezení. Tuto skupinu nelze
zrušit.
4.5 Mail (pošta)
WinProxy může zpracovávat elektronickou poštu třemi různými způsoby. Před jejich
vlastním popisem uvedeme základní pohled na problematiku elektronické pošty.
K přenosu pošty na Internetu slouží protokol SMTP (Simple Mail Transfer Protocol).
Pomocí tohoto protokolu si spolu počítače vyměňují elektronickou poštu. Pošta
může projít přes více počítačů než se dostane k adresátovi. SMTP vyžaduje, aby
pošta byla doručena příjemci v určitém čase. Pokud tedy není cílový počítač dostupný
do určitého časového okamžiku (většinou 3 dni ), pošta je vrácena odesílateli.
Z uvedeného vyplývají dva hlavní důvody, proč SMTP není vhodné pro příjem pošty
na jednotlivé počítače (pracovní stanice) nebo pro komutovaná (dial-up) připojení
:
- počítač pracující jako SMTP server musí být stále dostupný (s vyjímkou
krátkých výpadků)
- počítač pracující jako SMTP server přebírá odpovědnost za doručení došlé
pošty. Pokud adresát není zrovna dosažitelný, pošta musí být dočasně uložena
a v server se musí snažit o její doručení v pravidelných intervalech.
Z těchto důvodů většinou končí cesta pošty Internetem pomocí protokolu SMTP
na větších, neustále pracujících počítačích, umístěných např. u poskytovatelů
Internetu. Přenos pošty na počítače jednotlivých uživatelů se pak děje nejčastěji
prostřednictvím protokolu POP3. Uživatelé se tak mohou v libovolném čase připojit
k poštovnímu serveru u poskytovatele a stáhnout si poštu na svůj počítač.
Závěrem lze říci, že pro dial-up připojení se nejčastěji používá model, kdy
uživatelé (poštovní programy) odesílají poštu do Internetu pomocí SMTP (to jde
bez problémů) a přijímají poštu pomocí POP3. Stejný model využívá i WinProxy.
4.5.1 Mail Gateway
Mail Gateway je nejjednošší způsob. V konfiguraci poštovních klientů uvedete
počítač ProxyHost jako SMTP a POP3 server. WinProxy pak při příchodu požadavku
provede přesměrování na příslušný server nastavený v konfiguraci WinProxy.
Nastavení WinProxy :
Na stránce Mail nastavte volbu SMTP/POP3
Gateway a stiskněte tlačítko Save. Dále klikněte na odkaz Settings. Do políčka
Remote SMTP Server a Remote POP3 Server uveďte SMTP a POP3 server vašeho ISP.
Nastavení klientů :
Klientů pracující s SMTP/POP3 poštou je více, např. MS Outlook, MS Outlook
Express, Netscape Messanger, Pegasus mail for Windows, MS Explorer 3.0 - Internet
Mail, MS Exchange, Eudora. Pro jejich nastavení si prostudujte dokumentaci
dostupnou k těmto programům. Ve všech případech platí, že jako příchozí (POP3)
a odchozí (POP3) server uvedete počítač ProxyHost. Název účtu (POP3 Username,
Account) a heslo (Password) nastavíte na uživatelské jméno a heslo příslušné
pro uvedený POP3 server.
Pokud někteří uživatelé odebírají poštu z jiných počítačů, mohou tento server
specifikovat v položce POP3 username v konfiguraci poštovního programu. Jméno
serveru se připojí na konec jména, od uživatelského jména se oddělí znakem "#".
Tvar zápisu tedy je : username#popserver.domain.cz .
Pozn: Jestliže používáte program Eudora je zapotřebí políčko POP Account
zadat ve formátu : username#popserver.domain.cz@ProxyHost
4.5.2 Mail Server
V tomto případě bude WinProxy pracovat jako SMTP/POP3 server. SMTP server
je speciálně optimalizován do podmínek dial-up připojení. Uživatelé využívají
WinProxy pro vyzvedávání a odesílání pošty do Internetu nebo do lokální sítě.
Pokud na WinProxy přijde pošta určená do Internetu, WinProxy ji uchová a odešle
až v době připojení.
V době připojení je tedy pošta určená pro Internet odeslána na zadaný Internet
SMTP server a potom je proveden příjem Internetové pošty pro nastavené uživatele.
Čas, kdy bude provedeno odesílání a příjem pošty jem ožné nastavit. Příjem/odeslání
pošty je také možné zahájit přes web rozhraní.
Použití WinProxy jako Mail Serveru přináší několik zajímavých výhod:
- Uživatelé nemusí dbát na to, kdy bude vytvořeno spojení do Internetu, aby
mohli provést příjem a odeslání pošty. Pošta se jim stáhne do mailboxu na
WinProxy sama v okamžiku připojení a zároveň je odeslána pošta, kterou do
té doby na WinProxy odeslali. Přijímat a odesílat poštu na WinProxy mohou
tedy kdykoliv, bez ohledu na dobu připojení.
- Poštu, která chodí na jednu e-mail adresu může WinProxy předat do mailboxu
skupině uživatelů. Například můžete chtít, aby pošta došlá na Internetovou
adresu sales@computers.cz byla předána 3 příslušným pracovníkům.
- Pokud některý uživatel odebírá poštu z více serverů, může WinProxy vyzvedávat
poštu ze všech těchto serverů a ukládat ji do jednoho mailboxu.
- Nejzajímavější výhodou je možnost mít zřízenu vlastní doménu ( například
firma.cz ). Veškerá pošta pro vaši doménu firma.cz je ukládána u poskytovatele
připojení do jednoho mailboxu. WinProxy pomocí protokolu POP3 poštu vyzvedne
a provede roztřídění této pošty pro jednotlivé uživatele podle hlavičky pošty
To: . V této doméně si můžete nadefinovat libovolný počet e-mail adres (například
boss@firma.cz, sales@firma.cz, petr@firma.cz , ...). Tuto možnost doporučujeme
konzultovat s vašim poskytovatelem Internetu. Méně zkušení poskytovatelé připojení
mohou v příloze C najít popis konfigurace směrování pošty
do jednoho mailboxu.
WinProxy tedy stahuje poštu ze vzdálených mailboxů (POP3 serverů) v Internetu
a ukládá ji do lokálních mailboxů. Z těchto mailboxů si pak uživatelé poštu
přenáší na svůj počítač. Podobně je to s odesíláním pošty. Uživatelé odesílají
poštu na WinProxy a ta ji dále předává poštovnímu serveru v Internetu.
Nastavení klientů
Klientů pracující s SMTP/POP3 poštou je více, např. MS Outlook, MS Outlook
Express, Netscape Messanger, Pegasus mail for Windows, MS Explorer 3.0 - Internet
Mail, MS Exchange, Eudora. Pro jejich nastavení si prostudujte dokumentaci
dostupnou k těmto programům. Ve všech případech platí, že jako příchozí (POP3)
a odchozí (POP3) server uvedete počítač ProxyHost. Jako Název účtu (POP3
Username, Account) a heslo (Password) uveďte odpovídající údaje, které
jste zadali ve WinProxy / Accounts.
Příloha B uvádí příklad nastavení Mail Serveru.
4.5.2.1 General
Do políčka Remote SMTP server uveďte SMTP server
ISP, na který bude odesílána pošta do Internetu. Pokud chcete, aby příjem a
odeslání pošty probíhalo ve vámi zvoleném čase, nastavte tento čas v políčku
Send/Receive Mail. Pokud zvolíte every,
pošta bude zpracovávána po uplynutí uvedeného intervalu.
Interval se udává ve tvaru hh:mm,
kde hh značí hodiny a mm
minuty. Pokud zvolíte at, pošta
bude zpracovávána v uvedených časech. Časy se uvádějí opět ve formátu hh:mm.
Jednotlivé časy se oddělují mezerou. Jestliže chcete,
aby WinProxy mohl vytvořit dial-up spojení při zpracování pošty, povolte volbu
Allow to Dial.
Logování pošty je možné ve třech úrovních:
- stažená přes POP3
- přijatá přes SMTP
- odchozí pošta
Je také možné zvolit účet (např. backup), do kterého se bude ukládat
veškerá pošta - přijatá i odeslaná.
4.4.2.2 POP3 Downloads
Informace o uživatelských mail boxech se nachází na podstránce
POP3 downloads v seznamu Account List.
Do seznamu jsou přidávány hodnoty pomocí příslušných tlačítek. Remote
POP3 account udává vzdálený mailbox ze kterého bude
přenesena pošta do lokálního mailboxu. Údaj je ve tvaru username@popserver.domain.cz.
Samotný znak @ slouží k definici pouze lokálního mailboxu. Políčko Password
udává příslušné heslo. Políčko E-mail
obsahuje Internetovou e-mail adresu. Pokud je tento údaj shodný s údajem v políčku
Remote POP3 Account, můžete toto pole nechat prázdné. Tento údaj slouží k rozpoznání
pošty pro lokální uživatele. Pokud někdo na WinProxy odešle poštu, WinProxy
projde všechny e-mail záznamy a pokud se adresát nachází v seznamu, bude mu
pošta ihned předána do mailboxu. Poslední položka, Move
to Local Account určuje uživatele WinProxy, kterému
bude pošta předána. Uživatelé se definují na stránce Accounts. Zvolíte-li
skupinu uživatelů, bude pošta předána všem uživatelům ve skupině. Speciální
volba je {RULE}. Tuto možnost nejčastěji využijete v případě, že budete
přijímat poštu pro celou doménu. Pošta přijatá z tohoto mailboxu bude dále tříděna
pravidly v Sorting Rules.
4.5.2.3 Sorting Rules
Třídící pravidla pro jednotlivé aliasy (uživatelská jména)
v doméně se definují na podstránce Sorting Rules. Dopisy, které
nebylo možné zařadit, jsou ukládány podle pravidla obsahujícího samostatný znak
@, nebo podle Report Problems To (s chybovým hlášením).
Bezchybnost nastavení údajů v Account Listu
je vhodné ověřit vyvoláním zpracování pošty přes web rozhraní na stránce Manual.
Povolením volby Enable Logging budou zaznamenávány
informace o příjmu / odeslání pošty z Internetu.
4.5.2.4 SMTP Relay restrictions
V případě, že je počítač s WinProxy připojen do Internetu neustále (pevnou
linkou, bezdátovým připojením, kabelovým modemem...), je vestavěný SMTP server
vystaven nebezpečí rozeslání spamu. V mail severu je však možné nastavit takové
restrikce (podstránka SMTP Relay restrictions), které tomu zabrání.
V prvním políčku je třeba zadat seznam IP adres všech počítačů v lokální
síti. Z těchto adres je možné poslat mail do libovolné domény. V druhém políčku
zadejte vaši lokální doménu (např. firma.cz) nebo domény. Do této domény
je možné poslat mail odkudkoliv, tedy nejen z lokálních IP adres.
Příklad seznamu lokálních IP adres:
147.228.5.18 192.168.2.1 192.168.1.0/255.255.255.0
Poznámka: IP adresy jsou oddělené mezerou a rozsah je specifikován maskou
podsítě oddělené lomítkem.
Příklad seznamu lokálních domén:
firma.cz spolecnost.cz company.com
Poznámka: Lokální domény jsou oddělené mezerou a jsou uvedené bez zavináče.
4.6 Security (bezpečnost)
Zabezpečení lokálních sítí proti útoku z Internetu v současné době nabývá
stále více na aktuálnosti a trendem v této oblasti bude ústup od přímé konektivity.
S WinProxy můžete snadno vybudovat jednoduchý Firewall, což je počítač chránící
lokální síť před napadením a umožňující ostatním počítačům chráněné sítě přistupovat
do Internetu. Aby WinProxy fungoval jako firewall, musí být splněny následující
podmínky :
- WinProxy musí běžet na počítači, který je styčným bodem mezi lokální chráněnou
sítí a Internetem.
- Tento počítač má vypnuté směrování paketů. V případě Windows 95 je tato
podmínka splněna automaticky, neboť tento systém neumí směrovat pakety.
Dále, pokud chcete zabránit, aby někdo z Internetu přes WinProxy přistoupil
do vaší sítě, pak máte dvě možnosti:
- Nastavit adresu bezpečného rozhraní (Secure Interface) na stránce
Security. To je IP adresa síťového rozhraní
počítače (na kterém běží WinProxy), přes které mohou přicházet požadavky.
Požadavky přijaté přes jiné rozhraní budou okamžitě zamítnuty. Adresa tohoto
rozhraní je tedy nejčastěji IP adresa ethernetovské síťové karty tohoto počítače
(prostřednictvím této síťové karty je počítač spojen s lokální sítí).
- Nastavit na stránce Security IP adresy
(IP List), ze kterých je možné využívat služeb WinProxy. Můžete zadat
jednu IP adresu, nebo rozsah IP adres ve formátu 192.168.1.32-192.168.1.63.
Rozsah je možné také specifikovat počtem bitů síťové masky, např. : 192.168.1.32/27.
27 bitů odpovídá síťové masce 255.255.255.224
Nutno dodat, že v nejběžnější situaci, tj. lokální síť + jeden počítač s modemem,
není důvod k obavám a zmíněná opatření jsou více méně nadbytečná.
4.7 Advanced (další nastavení)
Na této stránce lze zvolit Timeout, tedy za jak dlouho WinProxy
čeká na odpověd, než zahlásí chybu. Dále počet pokusů vytáčení, pokud se spojení
nepovedlo napoprvé (Connect Rety). Internal DNS Resolver byl vysvětlen
v kapitole Network. Reverse DNS převádí IP adresy počítačů na
názvy, čehož lze využít v logovacích souborech. Cesta, kam se logovací soubory
ukládají, lze zvolit v Logs Directory.
Jestliže váš poskytovatel Internetu provozuje vlastní proxy
server s velkou cache, potom můžete nastavit jeho adresu a port v políčkách Parent
Proxy a Parent Proxy Port. Požadavky pak budou postupovány tomuto
serveru.
Zaškrtnutí Run as service umožní spuštění WinProxy, aniž je
třeba přihlášení uživatele do Windows. Platí pouze pro Windows 95/98. Ve Windows
NT/2000 může WinProxy běžet jako plnohodnotná služba (service).
5. Konfigurace TCP/IP
Pro správnou funkci WinProxy je nutné správně nastavit TCP/IP na počítačích,
ze kterých budete služeb WinProxy využívat a na počítači, na kterém WinProxy poběží.
Na počítači, kde poběží WinProxy, musí být nainstalován operační systém Windows
NT/2000 nebo Windows 95/98/ME. Na počítačích, jež budou WinProxy používat, může
být libovolný operační systém podporující TCP/IP (Windows, Unix, Macintosh, VMS,
...).
Pokud ještě nemáte TCP/IP nainstalované, máte následující možnosti :
- Přenecháte instalaci osobě pověřené správou vaší sítě
- Provedete instalaci sami podle následujícího návodu
Budeme uvažovat následující model :
Síť s pěti počítači; počítače mají následující jména v síti Microsoft: Tom,
Petr, Dušan a Martin. K počítači Martin je připojen modem pro připojení do Internetu
a na tomto počítači tedy spustíme WinProxy. Na počítačích jsou nainstalovány následující
operační systémy: Windows 95, Windows NT a Windows 3.1.
5.1 Nastavení IP adres
Aby mohly počítače spolu komunikovat prostřednictvím TCP/IP, musí mít přiděleny
tzv. IP adresy. IP adresa je 32 bitové číslo, pro přehlednost se uvádí po jednotlivých
bytech ve formátu a.b.c.d . IP adresa musí být jedinečná, tj. nemůže být použita
ve stejné síti vícekrát.
Dokument RFC 1597 doporučuje
volit při budování privátních síťí adresy z privátního adresového prostoru. Pro
tento adresní prostor vyhradila organizace IANA tři bloky IP adres. Tyto bloky
obsahují 1 adresu ve třídě A, 16 po sobě následujících adres ve třídě B a 255
po sobě následujících adres ve třídě C.
Jsou to následující adresy:
- třída A : 10.0.0.0 - 10.255.255.255
- třída B : 172.16.0.0 - 172.31.255.255
- třída C : 192.168.0.0 - 192.168.255.255
U těchto adres je zaručeno, že v Internetu nejsou používány žádným jiným
počítačem. Důvody pro použití těchto adres a další návrhy jak postupovat při návrhu
TCP/IP sítí, najdete ve výše zmíněném dokumentu.
Pro náš účel (síť do 255 počítačů) postačí adresy třídy C; použijeme tedy
192.168.1.1 až 192.168.1.4. Přiřazení IP adres počítačům provedeme podle následující
tabulky :
| Jméno počítače |
Operační systém |
IP adresa |
| Martin |
Windows 95 |
192.168.1.1 |
| Tom |
Windows 95 |
192.168.1.2 |
| Petr |
Windows NT |
192.168.1.3 |
| Dusan |
Windows 3.1 |
192.168.1.4 |
Následuje nastavení pro jednotlivé operační systémy :
Windows 95 / 98
- Menu Start -> Nastavení -> Ovládací Panely -> Ikona
Síť
- Zvolte protokol TCP/IP. Pokud tento protokol ještě není v seznamu,
zvolte tlačítko Přidat, z nabídnutého seznamu vyberte protokol,
opět tlačítko Přidat, a ze seznamu vyberte výrobce Microsoft
a síťový protokol TCP/IP.
- Tlačítko Vlastnosti, vyberte záložku Adresa IP, zaškrtněte
Zadat adresu IP ručně
- Do políčka adresa IP zadejte adresu počítače, viz. Tabulka, do políčka
maska podsítě zadejte hodnotu 255.255.255.0 . Instalaci ukončíte odklepáním
tlačítek OK. Nastavení se projeví až po restartu počítače.
Windows 2000
- zvolíme Start -> Nastavení -> Síťová a telefonická
připojení -> Připojení místní sítí -> Vlastnosti -> TCP/IP
- nastavíme IP adresu a masku podsítě
Windows NT 4.0
- zvolíme Ovládací panely ->Síť -> Protokoly -> TCP/IP
-> Vlastnosti
- nastavíme IP adresu a masku podsítě
Windows NT 3.51
- Program Manager -> skupinka Main -> aplikace Control Panel
-> ikonka Network
- V seznamu Installed Network Software vybereme TCP/IP protocol
a stiskneme tlačítko Configure. Pokud TCP/IP protokol není v seznamu
uveden, postupujte podle bodu 4.
- Do políčka IP address zadejte hodnotu podle tabulky, do políčka
Subnet Mask zadejte hodnotu 255.255.255.0 . Instalaci ukončíte odklepáním
tlačítek OK. Nastavení se projeví až po restartu počítače.
- Tlačítko Add Software, z kombo boxu Network Software vybereme
TCP/IP Protocol and related components, tlačítko Continue ,
ještě jednou Continue a vložte instalační medium. Po nahrání potřebných
souborů klikněte na tlačítko OK v dialogu Network Settings.
Objeví se vám dialog TCP/IP Configuration, ve kterém vyplníte hodnoty
podle bodu 3.
Windows 3.1
Protokoly TCP/IP nejsou součástí tohoto operačního systému. Jednou
z nejpoužívanějších implementací je oblíbený sharewareový program Trumpet Winsock.
Windows for Workgroups 3.11
Podpora protokolů TCP/IP není sice standartní součástí distribuce.
Je ji ale možné získat na ULR:
http://www.microsoft.com/kb/softlib/mslfiles/TCP32B.EXE
Microsoft TCP/IP-32 version 3.11b for Windows for Workgroups is a 32-bit
TCP/IP network protocol for Windows for Workgroups only. (690031 bytes).
Konfigurace je podobná jako ve Windows NT 3.51. Detailnějsí popis bude doplněn
později.
Další možností je použít výše zmiňovaný Trumpet Winsock.
Nyní můžete používat TCP/IP ve vaší síti. Adresovat počítače však můžete
jen pomocí IP adres. Na všech místech výše v dokumentu, kde je uvedeno „zadejte
adresu počítače, kde běží WinProxy" uvedete IP adresu počítače Martin tj. 192.168.1.1
. Jestliže se chcete na počítače odkazovat pomocí jmen, pak proveďte nastavení
podle následující kapitoly.
5.2 Nastavení DNS
Předchozí část pojednávala o použití a přiřazení IP adres počítačům na lokální
síti. Protože se IP adresy obtížně pamatují a lidem je bližší dávat počítačům
jména, je možné také v sítích TCP/IP přiřazovat počítačům jména. Jedná se o tzv.
DNS jména, jež mohou být odlišná od jmen použitých v síti Microsoft (to jsou jména
které vidíte např. pod ikonou Okolní počítače). Každé IP adrese je tak přiřazeno
jméno popřípadě aliasy. Musí také existovat způsob, jak převádět tato jména na
IP adresy, neboť ty jsou nutné pro vlastní vlastní komunikaci. Převod je prováděn
buď prostřednictvím DNS serveru nebo pomocí statických tabulek umístěných na každém
počítači v lokální síti. My budeme uvažovat druhý způsob, neboť pro síť o čtyřech
počítačích je dostatečný. Počítačům také přiřadíme DNS jména shodující se s jmény
v síti Microsoft.
Soubor obsahující tabulku se jmény musí mít název hosts a musí být umístěn
v následujících adresářích :
| Windows 95 |
\Windows |
| Windows NT |
\WINNT35\SYSTEM32\DRIVERS\ETC |
| Windows 3.1 |
\ETC |
| WfW 3.11 |
\Windows |
Soubor hosts je textový soubor a jednotlivé záznamy jsou ve formátu :
IP_adresa DNS_jméno [aliasy]
Pro editaci / vytvoření souboru nebo můžete použít libovolný editor. Soubor
však musí být uložen jako textový a nesmí mít příponu. Například jestliže v NOTEPADu
neuvedete příponu, bude implicitně připojeno .txt . Potom musíte tedy soubor ručně
přejmenovat.
Náš soubor bude tedy vypadat takto :
# soubor hosts
# tento soubor obsahuje mapování DNS jmen na IP adresy
#
127.0.0.1 localhost
192.168.1.1 martin winproxy
192.168.1.2 tom
192.168.1.3 petr
192.168.1.4 dusan
# konec souboru hosts
Soubor je zapotřebí nakopírovat na všechny počítače do patřičných adresářů.
Nyní můžete adresovat počítače v síti TCP/IP pomocí jejich DNS jmen. Na všech
místech výše v dokumentu, kde je uvedeno „zadejte adresu počítače, kde běží WinProxy"
můžete uvést místo jeho IP adresy DNS jméno, v našem případě martin nebo winproxy.
A. Sítě s více segmenty
Tento dodatek se věnuje použití WinProxy v sítích s více segmenty v souvislosti
s telefonickým připojením sítě. Pro lepší názornost budeme uvažovat 2 sítě, podle
následujícího obrázku :
První síť má adresu 192.168.1.0, druhá 192.168.2.0. Sítě jsou propojené routerem,
jehož IP adresy jsou 192.168.1.1 a 192.168.2.1. Počítač 192.168.1.3 se používá
na připojení do Internetu. Problémem, který se objevuje u takovéto konfigurace
je, že počítače obou sítí mají obvykle ve směrovací tabulce nastaven defaultní
směr na příslušné rozhraní routeru. V okamžiku, kdy se připojí počítač 192.168.1.3
do Internetu, je na tomto počítači změněn defaultní směr na Internet gateway (její
IP adresu uvádíte při konfiguraci telefonního adapteru). V tomto okamžiku přestane
počítač 192.168.1.3 "vidět" počítače na síti 192.168.2.0. Je to způsobeno právě
tím, že pro přístup do druhé sítě byl použit defaultní směr, který je nyní jiný.
V důsledku to znamená, že počítače ze sítě 192.168.2.0 nemohou komunikovat s počítačem
192.168.1.3.
Pomoc v takovéto situaci je jednoduchá. Spočívá v nahrazení defaultního směru
normálním v routovací tabulce. Konkrétně bychom na počítači 192.168.1.3 vydali
z příkazové řádky příkaz :
c:\>route ADD 192.168.2.0 MASK 255.255.255.0 192.168.1.1
příkaz říká : pokud se objeví paket určený pro síť 192.168.2.0 se síťovou maskou
255.255.255.0, pošli tento paket prostřednictvím routeru s adresou 192.168.1.1.
Pod Windows NT je ještě k dispozici přepínač -p, který způsobí trvalé nastavení
tohoto směru. Pod Windows 95 je možné tento příkaz umístit do souboru AUTOEXEC.BAT.
Po tomto příkazu bude počítač 192.168.1.3 "vidět" počítače na síti 192.168.2.0
nezávisle na nastavení defaultního směru.
B. Příklad nastavení
Mail Serveru
I. Jednoduchý příklad
Budeme uvažovat 4 uživatele. Každému z nich bylo na WinProxy zřízeno konto
na stránce Users; jména jsou následující
: boss, petr, tom,
martin. Dále byla vytvořena skupina uživatelů [prodej],
se členy boss a petr. Poštu budeme
chtít zpracovávat podle následující tabulky:
| POP3 účet |
E-mail Adresa |
Kdo dostane poštu |
| novak@mbox.prov.cz |
novak@mbox.prov.cz |
boss |
| petr@bob.uni.cz |
petr@bob.uni.cz |
petr |
| tom@mbox.uni.cz |
tom@computers.cz |
tom |
| hruby@pop.serv.cz |
hruby@mbox.serv.cz |
martin |
| martin@popserv.x-media.cz |
martin@x-media.cz |
martin |
| sales@mbox.prov.cz |
sales@mbox.prov.cz |
boss, petr |
V tomto případě bychom přidali jednotlivé záznamy do Account
Listu, který by pak vypadal takto :
Bezchybnost nastavení údajů v Account Listu
je vhodné ověřit vyvoláním zpracování pošty přes web rozhraní na stránce Manual.
II. Komplexní příklad s použitím třídících pravidel
Budeme uvažovat firmu se 6 uživateli. Každý z nich má na WinProxy zřízeno
konto; jména jsou následující : boss, petr,
tom, martin, robert,
jana. Dále jsou vytvořeny skupiny uživatelů [prodej]
se členy boss a petr
, skupina [developers] se členy martin,
tom a jana a skupina
[users], jejímiž členy jsou všichni uživatelé. Firma
si zařídila u svého ISP vlastní doménu za účelem příjmu pošty. Doména má jméno
firma.cz a pošta pro tuto doménu se ukládá na počítači
mbox.prov.cz do mailboxu firma.Každý
uživatel má v této doméně zřízenu e-mail adresu. Dále byla zřízena e-mail adresa
pro informace o prodeji sales@firma.cz a poštu chodící
na tuto adresu budou dostávat uživatelé ve skupině [prodej].
Uživatelé martin a tom
navíc odebírají poštu z dalších počítačů. Dále uživatel tom
je přihlášen do elektronické konference s adresou conf-l@prov.cz
a chceme, aby poštu z této konference dostávali i uživatelé martin
a jana. Firma chce také provozovat vlastní (interní)
diskusní skupinu a přiřadila ji e-mail adresu info-l@firma.cz.
Account List by v tomto případě vypadal takto :
Všimněte si e-mail adresy v 1. řádce Account Listu. Adresa je uvedena jen
jako @firma.cz. Zápis říká, že všichni uživatelé z
domény firma.cz jsou lokální.
Bezchybnost nastavení údajů v Account Listu je
vhodné ověřit vyvoláním zpracování pošty přes web rozhraní na stránce Manual.
Poznámky :
- Zřízení domény a ukládání pošty chodící na tuto doménu by v současné době
neměl být problém. Z pohledu ISP vyžaduje tento úkon přibližně stejně administrativy,
jako zřízení samostatné e-mail adresy. Také cena by neměla být o moc vyšší
než cena za zřízení jedné e-mail adresy. Pokud vám nechce váš ISP vyhovět,
nebo má pro vás nevyhovující podmínky, můžete si zvolit jiného poskytovatele.
- Tato poznámka (pro odborníky) se týká e-mail hlavičky To:
v souvislosti se tříděním do jednotlivých mailboxů. Tato hlavička totiž nemusí
vždy obsahovat skutečnou e-mail adresu adresáta. Většinou dopisy chodící z
elektronických konferencí obsahují v hlavičce To: adresu konference. V předchozím
případě jsme problém vyřešili tak, že jeden uživatel byl do konference přihlášen
a dopisy chodící z této konference jsme nakopírovali všem ostatním zájemcům.
Tento způsob má také výhodu : dopisy chodící z konference chodí v pouze
jediném exempláři.
Nepříjemné by ovšem bylo, kdyby dva uživatelé byli zároveň přihlášeni do stejné
konference. Pak by dopisy chodily dvakrát a nebylo by možné rozlišit, komu který
patří. Pokud se tedy někomu z tohoto důvodu nelíbí předchozí způsob, připravili
jsme ještě možnost třídění pošty podle hlavičky X-Envelope-To: .Tato
hlavička musí být převzata z tzv. obálky dopisu a vložena do hlavičky dopisu
před vlastním uložením do mailboxu.WinProxy třídí poštu přednostně podle této
hlavičky. Pokud máte zájem získat bližší informace o tomto způsobu, napište
na naši adresu.
C. Informace pro ISP
Ukládání pošty pro celou doménu do jednoho mailboxu
(UNIX, sendmail)
Do souboru /etc/sendmail.cf je protřeba přidat do
sady přepisovacích pravidel S0 případně do S98 následují
řádku:
R$*<@firma.cz.>$* $#local $: firma
Přidání hlavičky X-Enevelope-To do mailu (UNIX, sendmail)
Potřebné úpravy konfiguračního souboru sendmail.cf:
1. do sady přepisovacích pravidel S0 případně do S98 je nutné pro každého
zákazníka přidat řádku:
R$*<@firma.cz.>$* $# xlocal $@ firma $: $1<@firma.cz.>$2
$# xlocal ... jméno našeho maileru
$@ firma .... obvykle jméno počítače, v našem případě jméno lokálního mailboxu
$: $1<@firma.cz.>$2 ..... adresa příjemce, která bude v X-Envelope-To:
2. do definic maileru:
Mxlocal, P=/usr/local/etc/bin/xlocal, F=lsDFMA, S=10/30, R=21,
T=DNS/RFC822/SMTP,
A=xlocal $u procmail $h
$u ... adresa, která bude v X-Envelope-To: $1<@firma.cz.>$2
$h ... jméno mailboxu
A=xlocal $u procmail $h ... příkazový řádek, jako lokální mailer použít procmail
Použité flagy maileru:
l lokální mailer
s vyhoď z adres nepotřebné informace (uvozovky, závorky, ...)
D doplní hlavičku Date: (pokud neexistuje)
F doplní hlavičku From: (pokud neexistuje)
M doplní hlavičku Message-Id: (pokud neexistuje)
A ARPA kompatibilní mailer
Zde je zdrojový kód "fake" maileru xlocal.
Překlad :
cc -o xlocal xlocal.c