Программный шлюз для windows

Надеемся, что Вы указали достаточно контактной информации, и наши сотрудники смогут связаться с Вами в ближайшее время.

Согласие на обработку персональных данных

Пользователь, регистрируясь на сайте, дает свое согласие ООО «Айдеко», расположенному по адресу 620144, г. Екатеринбург, ул. Кулибина 2, оф.500, на обработку своих персональных данных со следующими условиями:

1. Согласие дается на обработку своих персональных данных с использованием средств автоматизации.
2. Согласие дается на обработку следующих персональных данных:
   1. Номера контактных телефонов;
   2. Адрес электронной почты;
   3. Место работы и/или занимаемая должность;
   4. Город пребывания или регистрации.
3. Целью обработки персональных данных является: предоставление доступа к материалам сайта http://ideco.ru, доступа к сервису on-line вебинаров или подготовки документов для согласования вариантов развития договорных отношений, включая коммерческие предложения, спецификации, проекты договоров или платежных документов.
4. В ходе обработки с персональными данными будут совершены следующие действия: сбор, систематизация, накопление, хранение, уточнение, использование, блокирование, уничтожение.
5. Основанием для обработки персональных данных является ст. 24 Конституции Российской Федерации; ст.6 Федерального закона №152-ФЗ «О персональных данных»; Устав ООО «Айдеко», иные федеральные законы и нормативно-правовые акты.
6. Передача персональных данных может осуществляться третьим лицам только в порядке, установленном законодательством Российской Федерации или при получении дополнительного согласия Пользователя.
7. Данное согласие действует до момента реорганизации или ликвидации ООО «Айдеко». Также Согласие может быть отозвано Пользователем, путем направления письменного заявления на почтовый адрес ООО «Айдеко».
8. Хранение персональных данных осуществляется согласно Приказу Министерства культуры РФ от 25.08.2010 №558 об утверждении «Перечня типовых управленческих документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» и иным нормативно-правовым актам в области архивного дела и архивного хранения.

Лицензионное Соглашение

о предоставлении прав на тестовое использование Программного Комплекса «Интернет-Шлюз Ideco ICS 6»

Лицензия ООО «Айдеко» на право использования программы для ЭВМ «Программный комплекс «Интернет-шлюз Ideco ICS 6» (далее – «Программа»):

1. Настоящая лицензия на право использования Программы (далее — «Лицензия») предоставляется лицу – конечному пользователю (далее — «Лицензиат») Лицензиаром — ООО «Айдеко» и содержит информацию об ограничении прав на тестовое использование Программы, включая любые ее компоненты.
2. Если Вы не согласны с условиями Лицензии, Вы не имеете права устанавливать, копировать или иным способом использовать данную Программу и любые ее компоненты, и должны их удалить.
3. Лицензиар предоставляет Лицензиату неисключительное право, которое включает использование Программы и ее компонентов следующими способами: право на воспроизведение, ограниченное правом инсталляции запуска, в объемах использования, предусмотренными настоящей Лицензией. Право на использование Программы и ее компонентов предоставляется исключительно с целью ознакомления и тестирования сроком на 1 (один) месяц с даты, указанной в настоящей лицензии.
4. Программа поставляется как есть, Лицензиар устранил все известные ему ошибки, остается вероятность выявления ошибок при дальнейшей эксплуатации.
5. Лицензиату известны важнейшие функциональные свойства Программы, в отношении которых предоставляются права на использование, и Лицензиат несет риск соответствия Программы его ожиданиям и потребностям, а также риск соответствия условий и объема предоставляемых прав своим ожиданиям и потребностям.
6. Лицензиар не несет ответственность за какие-либо убытки, ущерб, независимо от причин его возникновения, (включая, но не ограничиваясь этим, особый, случайный или косвенный ущерб, убытки, связанные с недополученной прибылью, прерыванием коммерческой или производственной деятельности, утратой деловой информации, небрежностью, или какие-либо иные убытки), возникшие вследствие использования или невозможности использования Программы и любых ее компонентов.
7. Лицензиат может устанавливать и использовать одну копию Программы на одном компьютере или сервере.
8. Программа включает технологии защиты от копирования, чтобы предотвратить ее неправомочное копирование. Запрещено незаконное копирование Программы и любых ее компонентов, удаление или изменение защиты от копирования.
9. Лицензиат не может модифицировать и декомпилировать Программу и любые ее компоненты, изменять структуру программных кодов, функции программы, с целью создания родственных продуктов, распространять или содействовать распространению нелицензионных копий Программы и любых ее компонентов.
10. Не допускается аренда и передача Программы и любых ее компонентов третьими лицам, а также распространение Программы и любых ее компонентов в сети Интернет.
11. По истечению тестового периода использования Программы Лицензиат обязан деинсталлировать Программу и все ее компоненты (удалить из памяти ЭВМ), удалить все сделанные копии Программы и ее компонентов, и уведомить об этом Лицензиара, либо приобрести право на использование Программы.

Выбираем корпоративный интернет-шлюз

Корпоративный интернет-шлюз — голова ИТ-инфраструктуры, но в случае любых проблем он мгновенно превращается в другую часть тела… для компании.

Выбор интернет-шлюза зависит от множества обстоятельств: выделенного бюджета, квалификации и пристрастий к аппаратным и программным решениям ответственного за сеть админа, размера сети, необходимости наличия сертификатов и т.д. Наверное, эта статья не для познавших Дао гуру, которые с помощью подручных средств вроде третьего пенька, бубна и какой-то матери играючи могут обеспечить бесперебойный доступ в интернет и контроль трафика для сотен машин. Мы поговорим о вещах более стандартных и приземленных: как выбрать корпоративный интернет-шлюз и что в нем должно быть?

Аппаратное или программное решение?

В первую очередь, стоит определиться: выбрать аппаратное решение или же программное. Большинство аппаратных решений выпускаются преднастроенными и работают по принципу «поставил и забыл». В условиях ограниченного бюджета и при недостаточной квалификации лучше (от греха подальше) использовать аппаратное решение.

Кастомизацией настроек и количеством возможностей контроля и управления сетью при таком подходе приходится пожертвовать. Программные же решения обычно предполагают постоянный контроль работы сети, анализ статистики, настройку параметров фильтрации, выбор режима работы, добавления пользователей, изменение политик безопасности, – в общем, разумное использование имеющегося функционала. Поэтому если нужно заточить продукт под себя «от и до» и иметь полный набор инструментов для управления сетью – необходимо соответствующее программное решение и собственный корпоративный сервер.

Необходимый функционал корпоративного интернет-шлюза

Интернет-шлюз организует бесперебойную работу в интернете всех работников фирмы, поэтому прокси-сервер, на базе которого он выполнен, должен обладать достаточным функционалом, удобным интерфейсом и возможностью гибкой настройки сети и прав доступа: VIP-пользователям обеспечить полный доступ к сети, а рядовым отрубить ВКонтакте и любимые форумы. Также важно легко управлять скоростью пользователей, устанавливать приоритеты для различных видов трафика (например, повысить приоритет IP-телефонии для обеспечения качественной связи и понизить для архивов). Не стоит забывать и о поддержке VPN и NAT. Крайне полезна возможность удаленного администрирования, чтобы львиную долю проблем с сетью можно было решать, не выходя из дома.

Встроенный прокси-сервер помогает контролировать и экономить интернет-трафик: он позволяет анализировать запросы пользователей, загружаемые сайты и их элементы и действовать в строгом соответствии с установленными правилами. Обычно от интернет-шлюза требуются следующие функции фильтрации трафика:

• наличие контентной фильтрации,
• возможность фильтрации HTTPS,
• назначение фильтров в зависимости по времени,
• на определенные группы пользователей,
• наличие готовых шаблонов для правил.

Часто используются системы каскадирования прокси, возможность перенаправления трафика разных пользователей на разные вышестоящие прокси, причем с разными способами и типами авторизации.

Отдельно стоит сказать о статистике, которая для интернет-шлюза является не «третьим видом лжи», а важным источником информации о поведении пользователя. Благодаря статистике можно в любое время узнать, кто из пользователей забивает Интернет-канал, на каких ресурсах зависают сотрудники и когда пора блокировать сайты и резать лимит трафика.

Кроме того, интернет-шлюз обеспечивает защиту корпоративной сети от внешних воздействий. Особенно надежная защита важна в случае, когда по тем или иным причинам не только пользователи сидят под Windows, но и сам сервер (не будем разводить холивар на тему, почему под Windows, но практика показывает, так бывает весьма часто). В таком случае антивирус и фаервол необходимы как воздух. Также нужен модуль защиты от фишинга и, главное, прямые руки того, кто все это великолепие настраивает.

Отдельная тема – наличие сертификатов безопасности, которые, во-первых, определенную безопасность гарантируют (абы кому их не выдают), а во-вторых, в случае наличия сертификата ФСТЭК, интернет-шлюз не вызовет подозрения в ходе «всеми горячо любимых» бюрократических проверок организации.

Основные проблемы сисадминов с интернет-шлюзом

Каждый раз при размещении нового сервера или службы у сисадмина возникает проблема: как «вписать» новую постоянно работающую службу или сервер в уже устоявшуюся сеть.

Как подстроить NAT и другие сетевые службы для ее корректной работы, будет ли данный сервер в AD, могут ли на нем размещаться другие сетевые службы или сервер должен быть выделенным. Это не зависит от способа реализации – это вопрос сетевого планирования.

Основные проблемы при использовании программных шлюзов следующие. В первую очередь это знакомая многим ситуация: старый админ уволился, а новый гений в процессе работы сбил корректно работающие настройки и понятия не имеет, почему ничего не работает, и что же теперь делать. Тяжелый случай – прошлый админ корректно все настроил через фряху, а админ – любитель Windows полез разбираться с печальными для себя и предприятия последствиями. Часто у новичков встречается некорректная настройка фильтров из-за нежелания прочесть мануал и понять, что же там написано. Или просто пользователь поставил программу и понятия не имеет, а что же с ней делать.

В общем, интернет-шлюз – это инструмент, который нужно подбирать в зависимости от решаемых задач, вкусов и компетентности отвечающего за безопасную и бесперебойную работу сети сисадмина. Главное, чтобы сеть работала как часы и выполняла важнейшую возложенную на нее функцию обеспечения коммуникации организации с внешним миром.

Благодарим вас за внимание и ждем ваших комментариев.

RusRoute — программный роутер под Windows

Меня часто спрашивают, неужели нет никакого программного маршрутизатора под Windows? Ведь не всегда есть возможность использовать отдельный комп под pfSense или zeroshell, зато есть какой-нибудь виндовый сервер, через который можно организовать централизованный доступ в интернет. Оказывается, есть решение и в этом случае. Сегодня речь пойдет о маршрутизаторе RusRoute, который разработан нашим соотечественником — Андреем Моисеенко. Для некоммерческого использования программа бесплатна с учетом одного ограничения — максимальное количество пользователей или IP-адресов в вашей сети не больше 15.

Этот программный роутер наделен внушительным набором функций. Роутинг, фаервол, проброс портов, VPN, учет пользователей, биллинг, Captive Portal и пр. Одним словом — круто!

Установка

Чтобы раздавать интернет в локальную сеть, вам понадобится собственно сам комп с Windows и одну или две сетевых карты в нем. Одну если у вас интернет приходит по какому-нибудь модему а-ля 3G и/или с соединением по PPPoE, две — если у вас интернет по выделенке. В моем обзоре будет комп с двумя сетевухами.
В винде надо отключить Брандмауэр Windows, чтобы он не мешался. Сделать это лучше и в его настройках и в системных службах. Установку роутера, конечно, лучше производить из учетной записи с правами администратора. Кстати, в мануале к программе об этом почему-то говорится только когда вы доберетесь до 11-го пункта.
Итак, заходим на официальный сайт проекта, скачиваем exe-файл и начинаем установку. На момент написания обзора была доступна версия 1.8.4. Нам рекомендуют устанавливать роутер в каталог C:RusRoute. Да пусть так и будет…

Жмем кнопку Install, после чего через пару мгновений перед нами появится новое окно с лицензионным согашением. В верхней части окна выбираем русский язык, затем принимаем само соглашение.

Затем перед нами появится вот такое сообщение:

Жмем Продолжить. Выскакивает следующее окно:

Жмем ОК. Затем появляется вот это окно:

Жмем Да и только после этого начинается процесс настройки. Многовато сообщений, однако.
Кстати, пока я делал скриншоты всех этих окон, установщик зачем-то два раза определял архитектуру моего процессора… То ли баг, то ли установщик действительно думает, что в процессе инсталляции я могу успеть сменить начинку ПК? 🙂

Во время установки перед вами появится еще несколько окон, которые будут то появляться, то исчезать и в конце-концов процесс будет завершен. Жмем кнопку Готово.

В системном трее появится вот такой значок:

Если по нему кликнуть, то развернется основное окно всех настроек, однако, если нажать по крестику в верхне-правом углу окна, то программа настройки закроется совсем. На мой взгляд этот момент не до конца продуман. Если нажимаем по крестику, то нас должны спросить: закрыть или свернуть. Ну да ладно, ведь сам роутер при этом будет продолжать работать, т.к. он в системе регистрируется как сервис. Запустить заново программу настройки можно из меню ПускПрограммы или через ярлык на рабочем столе.

Настройка

Итак, вот мы открыли основное окно…

Первое, что бросается в глаза это Demo-режим работы роутера, который скажет вам до свидания через 30 дней. Как заставить это дело работать в бесплатном некоммерческом режиме не совсем понятно, пришлось залезть в мануал к программе. Оказывается, надо по табличке нажать правой кнопкой мыши и выбрать нужный пункт. Во как!

Я нажал пункт «Опционально: переключиться в режим бесплатной версии» после чего вылезло окно, в котором нам сообщают, что максимальное число клиентов = 8.

Отвечаем Да. Затем нам отдельным окном сообщат, что мы можем не активировать бесплатную версию.

В итоге у нас должно получиться примерно вот это.

Тут пишется об ограничении = 15-и адресов. Не совсем понятно как именно они считаются, но по большому счету для нас это не столь важно.
Ладно. Итак, у меня в компе 2 сетевухи. Одна из них смотрит в интернет и получает IP-адрес и все остальное автоматически, а вторая смотрит в локальную сеть. На ней адрес настроен вручную. Еще RusRoute установил в моей системе виртуальный сетевой адаптер, правда, не знаю для чего. Итого три сетевухи. Как написано в мануале, нам нужно убедиться, что роутер правильно распознал наши сетевые адаптеры. Для этого идем в пункт Информация о сетиСетевые адаптеры. Тут нам нужно просто посмотреть что все так.

Далее нужно сходить в раздел правил файервола и как учит инструкция щелкнуть правой кнопкой мыши в каком-нибудь месте. В выпавшем меню нужно выбрать Мастер правил.

Вот так выглядит мастер. Здесь жмем Далее.

Первым делом надо указать, какая сетевуха у нас смотрит в локальную сеть. Почему-то в правом списке уже присутствует две позиции под названием «Some network» и «VPN».

Зачем они тут — непонятно. Я все это убрал и добавил только одну сетевую карту, которая у меня смотрит в локалку. После этого жмем Далее.

Теперь выбираем подключение к интернету. В правом списке уже присутствуют два пункта pppoe и dialup (я так понял, это на тот случай, если интернет приходит по модему) и я добавил туда одну сетевуху, которая у меня смотрит в интернет. Жмем Далее, после чего нам предложат выбрать сетевой адаптер для подключения через спутник. Мы таким не пользуемся поэтому смело кликаем Далее. Затем нас спросят про спутниковый pptp подключения. Я тоже это пропустил.
Следующий этап — определяем те сервисы, которым разрешен доступ из локальной сети в интернет. Нам будет уже предложен стандартный список разрешенных протоколов, но если промотать этот список до конца, то можно обнаружить небольшой прикол — ALL TCP и ALL UDP. Действительно, весь трафик будет пропускаться без ограничений, а перечисления остальных протоколов нужны, например, для подсвечивания в журнале.

Пока согласимся с настройками по умолчанию и продолжим. Теперь нас попросят определить все разрешенные сервисы для компа с RusRoute в интернет. Я просто нажал Далее. Потом нас спросят про разрешенные сервисы из локалки к роутеру. Тоже согласился с настройкам по умолчанию. И последнее — нужно определить разрешенные сервисы для доступа из интернета к роутеру. Жму Далее.
Следующий этап — «Отображение портов для внешних адресов в адреса и порты локальной сети». Бррр. Из этой фразы новичек точно ничего не поймет, а специалист подумает что за ересь. По-моему это называется форвардинг портов (port forwarding) или просто проброс портов. Мы ничего пробрасывать не будем. Жмем Далее.
Следующий пункт — «Сервисы для маршрутизации между локальными сетями и другими сетями». Просто жмем Далее.
Последним пунктом нас спросят про перенаправление CaptivePortal. Здесь остановлюсь чуть подробнее. Если вы хотите ограничить доступ в интернет с помощью паролей для отдельных пользователей, то галку Captive Portal снимать не нужно. Если нужно просто выпустить всю локальную сеть в интернет, то снимите галку. На IPTV multicast пока заострять внимание не будем.
Последнее диалоговое окно мастера порадовало, где сказано «нажми конец для установки правил..» и кнопка «Конец» внизу формы. 🙂 Как говорится, лучше ужасный конец, чем ужас без конца. На мой взгляд кнопка должна называться «Завершение», «Готово» или «Применить»! Я не видел ни одной программы, где мастер заканчивался бы кнопкой «Конец».

Теперь, когда основные правила фаервола созданы, необходимо нажать кнопку «Применить» в основном окне программы.

Если вы оставили включенной галку Captive Portal в мастере, то при попытке зайти на какой-нибудь сайт с любого компьютера сети у вас появится вот такая замечательная страница, которая снабжена двумя ссылками на вход и выход и кучей других не очень нужных ссылок.

Важное замечание: на компьютерах в сетевых настройках шлюз по умолчанию (gateway) и DNS сервер должен быть указан IP-адрес компа с RusRoute.
Простой доступ в интернет
Если мы хотим пользоваться только базовыми настройками роутера без всяких паролей на интернет, то во-первых, как я уже отмечал выше нам нужно снять галку Captive Portal в мастере, а во-вторых — отредактировать руками одно правило на фаерволе. Идем в раздел «Правила фаервола», находим в списке правило 6.1 и в колонке Пользователи нажимаем правой кнопкой мыши. В появившемся меню выбираем пункт Редактировать.

В появившемся окне выставляем все галки, как показано на скриншоте ниже, нажимаем ОК и в основном окне программы нажимаем Применить.

Всё, после этих действий вся наша локальная сеть получит беспрепятственный доступ в интернет.

Доступ в интернет по паролям
Для этого сценария в мастере должна быть установлена галка Captive Portal и всё что нам потребуется сделать — создать нужное количество пользователей с нужными параметрами. Идем в меню Пользователи. Где нибудь в пустом месте нажимаем правой кнопкой мыши и в меню выбираем «Добавить пользователя».

Появится окно добавления пользователя:

Здесь есть поля, которые не вызывают никаких вопросов, например, имя (это логин), пароль, комметарий. Но есть настройки, по которым хотелось бы получить некое пояснение. Было бы здорово, если при наведении курсора мыши на некоторые поля и галки появлялась всплывающая подсказка. Самое главное, добавьте «денег» на баланс пользователю, в противном случае интернет ему будет недоступен. Можно сделать вход пользователя без пароля, а по MAC-адресу сетевой карты в его компьютере. Тут есть поле для ввода MAC-адреса и галка «Автоматический вход». Главное, после создания пользователя не забудьте нажать кнопку Применить в основном окне программы.

В процессе изучения роутера нашел еще один ньанс. Созданного ранее универсального пользователя можно отключить только обнулив его баланс. Галка «Отключен» в его настройках почему-то не срабатывает.

По мере свободного времени мы расскажем об остальных функциях RusRoute, а пока подведем промежуточный итог.
Идея и функционал, надо сказать, выше всяческих похвал, но реализация именно по части удобства не самая лучшая. Это небольшой недостаток, если вы будете использовать RusRoute в самом простом режиме «настроил и забыл». Но если вы каждый день будете в него лазить по несколько раз, например, администрируя пользователей, то удобство управления имеет значение.
Спасибо Андрею за RusRoute. Надеюсь, что этот продукт будет совершенствоваться и дальше.

PS: После выхода обзора мы связались с Андреем и получили от него некоторые комментарии. Материал был существенно дополнен и отредактирован.