Инструкция по настройке и использованию Lan2net NAT Firewall 1.5.

Мы настоятельно рекомендуем вам ознакомиться с нижеследующей "Инструкцией по настройке" до того, как вы начнете работать с программой. В ней кратко описаны все особенности поэтапной настройки Lan2net NAT Firewall. Ее прочтение займет максимум полчаса и поможет вам быстро настроить работу локальной сети с помощью Lan2net.

Содержание:
• Сетевые настройки Windows. Адреса компьютеров и адаптеров в локальной сети.
• Lan2net NAT Firewall - общая информация о функциональных разделах.
• Начальная конфигурация. "Мастер быстрой настройки" и результаты его работы.
• Шаг 1 - Добавление пользователей.
• Шаг 2 - Правила и группы. Настройка правил доступа и ограничений.
• Шаг 3 - Установка квот трафика для пользователей и групп.
• Шаг 4 - Настройка работы пользователей после исчерпания квот. Типы аутентификации пользователей и их приоритеты.
• Шаг 5 - Настройка доступа к службам (сервисам) локальной сети из Интернет. Сервисы Lan2net.
• Шаг 6 - Настройка сетевых интерфейсов, настройка NAT и DHCP.
• Мониторинг соединений пользователей.
• Журнал. Просмотр лог-файлов.
• Встроенный web-сервер, просмотр статистических отчетов через web.
• Port mapping. Переадресация трафика.
• Аутентификация пользователей по логину в Windows - NTLM аутентификация.
• Запуск Lan2net NAT Firewall на машине с одной сетевой картой.

Сетевые настройки Windows. Адреса компьютеров и адаптеров в локальной сети.

Для работы Lan2net NAT Firewall необходима уже работающая локальная сеть. Lan2net NAT Firewall устанавливается на шлюз - компьютер, через который осуществляется доступ в Интернет. На шлюзе должно быть не меньше двух сетевых интерфейсов:

• Внешний интерфейс - сетевая карта (или модем), подключенные к Интернет.
• Внутренний интерфейс - сетевая карта, подключенная к сетевому коммутатору или концентратору (хабу, свитчу и т.п.), к которому, в свою очередь, подключены компьютеры локальной сети.

Lan2net NAT Firewall также может работать с несколькими внутренними и внешними интерфейсами.

Для внутренней сети обычно выбирают IP-адреса из следующих диапазонов так называемых "серых" адресов: 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.16.255.255 и 192.168.0.0 - 192.168.255.255.

Рассмотрим простейший пример настройки сети на шлюзе с одним внешним и одним внутренним интерфейсом. Предположим, что вы выбрали для своей внутренней сети диапазон адресов 192.168.0.1 - 192.168.0.255. Допустим, что адрес внешнего интерфейса (IP-адрес, который вам выдал провайдер) - 80.1.88.1.15. Тогда правильные настройки сети в Windows будут следующими:

На шлюзе.
Внешний интерфейс (все настройки выдает вам провайдер):
IP-адрес: 80.1.88.15, DNS: 80.1.88.133, Default Gateway: 80.1.88.1

Внутренний интерфейс:
IP-адрес: 192.168.0.1. DNS и Default Gateway указывать не нужно.

На компьютерах локальной сети.
IP-адрес: 192.168.0.2 (из диапазонов серых адресов), DNS: 80.1.88.133* (как и на внешнем интерфейсе), Default Gateway: 192.168.0.1

Lan2net NAT Firewall - общая информация о функциональных разделах.

В программе Lan2net NAT Firewall есть восемь функциональных разделов, которым соответствуют кнопки в панели инструментов.

Раздел "Пользователи".
Здесь отображается список пользователей, объединенных в группы. В разделе "Пользователи" можно:

• добавлять, редактировать и удалять пользователей;
• посмотреть размер трафика (за сегодня, за текущий календарный месяц и весь трафик) каждого пользователя или группы пользователей;
• задавать квоты трафика для пользователей;
• вызвать монитор скорости пользователя.

Lan2net NAT Firewall позволяет завести несколько пользователей для одного компьютера локальной сети. Подробности читайте в параграфе "Аутентификация пользователей по логину в Windows - NTLM аутентификация".

Раздел "Группы по правилам доступа".
Пользователи объединяются в группы в зависимости от назначаемых им правил доступа. Каждый пользователь обязательно должен быть включен в ту или иную группу, правила которой определяют его права доступа. В этом разделе можно задать правила доступа для пользователей, установить квоты трафика для групп и назначить локальные адреса (те, для которых не считается трафик).

Раздел "Интерфейсы".
В Lan2net NAT Firewall каждому сетевому адаптеру соответствует определенный интерфейс (внешний или внутренний), причем одному адаптеру может соответствовать только один интерфейс.
В этом разделе можно:

• выбрать какой адаптер будет соответствовать определенному интерфейсу;
• задать настройки NAT (трансляции адресов);
• разрешить DHCP запросы отдельно от правил

Раздел "Сервисы".
Сервис Lan2net NAT Firewall - это правило, разрешающее доступ к различным сетевым сервисам, таким как серверы Web, FTP, Telnet, e-Mail и т.п. Обычно сервисы используются для определения прав доступа из Интернет к различным сервисам (службам) локальной сети.

Раздел "Управление загрузкой канала".
В Lan2net NAT Firewall реализовано управление загрузкой канала, служащее для динамического распределения ресурсов Интернет-канала между пользователями в зависимости от его загрузки. По умолчанию управление загрузкой канала выключено. Настраивать эту функцию необязательно.
Подробную информацию об управлении загрузкой канала в Lan2net NAT Firewall вы можете получить в статье "Динамическое управление загрузкой канала в различных режимах работы".

Раздел "Мониторинг".
Мониторинг служит для просмотра активных соединений пользователей, а также показывает системные соединения. В этом разделе есть возможность создавать правила на основе активных соединений.

Раздел "Журнал".
Этот раздел служит для просмотра лог-файлов. Есть различные фильтры для удобного поиска.

Раздел "Параметры".
В этом разделе находятся дополнительные настройки Lan2net NAT Firewall: настройки лог-файлов, настройки веб-сервера и порты для клиента NTLM аутентификации Lan2net (подробности читайте в параграфе "Аутентификация пользователей по логину в Windows - NTLM аутентификация".)

Начальная конфигурация. "Мастер быстрой настройки" и результаты его работы.

При первом запуске Lan2net NAT Firewall вам будет предложено воспользоваться "Мастером быстрой настройки" для создания первоначальной конфигурации программы. Мы рекомендуем не настраивать программу вручную, а воспользоваться мастером.

"Мастер быстрой настройки" создает конфигурацию для двух сетевых карт, достаточную для работы в Интернет. В результате его работы:

• на всех машинах локальной сети будет доступ в Интернет;
• будет подсчитываться общий трафик всех пользователей локальной сети;
• firewall будет запрещать все соединения, инициированные из Интернет, кроме Ping.

Мастер создает 3 группы и 5 пользователей, где пользователи представляют из себя не конкретные компьютеры локальной сети, а совокупность определенных видов трафика.

1. Группа Разрешено всё с пользователями:
   • Все пользователи LAN - совокупность трафика всех компьютеров сети, подключенных к внутреннему адаптеру. После добавления реальных пользователей вашей локальной сети этого пользователя надо отключить или удалить.
   • Lan2net => Internet - трафик в Интернет с компьютера, на котором установлен Lan2net NAT Firewall (без учета транзитного, т.е. трафика компьютеров, подключенных к внутреннему адаптеру).
2. Группа Разрешен только доступ в LAN с пользователями:
   • Lan2net => LAN - трафик в локальную сеть с компьютера, на котором установлен Lan2net NAT Firewall.
   • Пользователи после превышения квот - представляет собой совокупный трафик превысивших квоты пользователей из всего диапазона IP-адресов сети. Таким пользователям разрешен только доступ в LAN. Поскольку после работы мастера квоты не заданы, то этот пользователь выключен (т.к. еще не созданы реальные пользователи).
   После превышения пользователем квот трафика, весь его трафик будет регистрироваться на специального пользователя "Пользователи после превышения квот". Подробности читайте в параграфе "Настройка работы пользователей после исчерпания квот. Типы аутентификации пользователей и их приоритеты".
3. Группа Разрешен только PING:
   • Internet => Lan2net - совокупность трафика, инициированного со стороны Интернет. Для обеспечения безопасности локальной сети по умолчанию извне разрешен только протокол ICMP (Ping), а все остальные запросы не пропускает firewall. Если пользователь Internet => Lan2net отключен, то Lan2net NAT Firewall перейдет в режим "невидимки" (stealth).

После завершения работы "Мастера быстрой настройки" нужно добавить в Lan2net NAT Firewall всех пользователей локальной сети. Читайте об этом в следующем параграфе.

Шаг 1 - Добавление пользователей.

Чтобы считать трафик каждого из пользователей локальной сети, нужно завести этих пользователей в Lan2net NAT Firewall.

Рассмотрим пример создания пользователя с аутентификацией по IP и МАС адресам.

На главном окне в контекстном меню выбираем Добавить пользователя (или нажимаем соответствующую кнопку на тулбаре). Откроется окно свойств пользователя. Заполняем форму:

• Выбираем Имя пользователя;
• Выбираем Интерфейс Локальная сеть, т.к. компьютеры пользователей LAN подключены к внутреннему адаптеру;
• Выбираем Группу по правилам доступа, например, Разрешено ВСЁ (в дальнейшем пользователя можно определить группу с другими правами доступа);
• Выбираем Статус (по умолчанию - Включен);
• Если пользователь работает на компьютере, где установлен Lan2net NAT Firewall, устанавливаем флажок Пользователь сервера Lan2net;
• Выбираем Способ аутентификации. Самый простой - по IP адресу. Указываем IP-адрес компьютера локальной сети, например, 192.168.0.2. Подробнее про способы аутентификации читайте здесь;
• Если необходимо установить расписание работы пользователя - жмем на кнопку Расписание работы и в новом окне устанавливаем расписание.
  
  

Другие пользователи добавляются аналогичным образом.

Пользователям можно устанавливать квоты трафика. Подробнее об этом читайте в параграфе "Установка квот трафика для пользователей и групп".

Шаг 2 - Правила и группы. Настройка правил доступа и ограничений.

После добавления всех пользователей сети, они находятся в группе Разрешено ВСЁ. Если вам нужно ввести ограничения для определенных пользователей, то необходимо создать новую группу с соответствующими правами доступа в разделе Группы по правилам доступа.

Рассмотрим для примера случай, когда нужно определенным пользователям запретить все ресурсы кроме web-страниц (HTTP).

• В разделе Группы по правилам доступа нажимаем на кнопку Добавить группу и создаем новую группу с именем Только web.
• Определяем правила доступа. Для этого нажимаем на кнопку Добавить правило доступа (или выбираем соответствующий пункт в контекстном меню) и выбираем правило из списка - в данном случае HTTP протокол (порт 80). Нажимаем кнопку Применить.
• Чтобы для группы не считался трафик с определенных адресов (например, внутрисетевой трафик), идем на вкладку Локальные адреса и указываем нужный диапазон, например 192.168.0.2 - 192.168.0.254.
• В разделе Пользователи для каждого пользователя, которому нужно ограничить доступ, в свойствах пользователя меняем группу с Разрешено всё на Только web.

Таким же образом задаются другие правила доступа. Правила можно выбрать из списка уже готовых типовых правил, или выбрать в списке правил Другое правило и настроить его вручную.

Группам можно устанавливать квоты трафика. Подробнее об этом - в следующем параграфе "Установка квот трафика для пользователей и групп".

Шаг 3 - Установка квот трафика для пользователей и групп.

Lan2net NAT Firewall позволяет установить дневные, месячные и общие квоты на входящий и исходящий трафик. Квоты могут устанавливаться как для групп, так и для пользователей.

Квоты групп и квоты пользователей независимы друг от друга. Если исчерпана квота группы, то блокируются все пользователи группы. Если исчерпана квота пользователя, то он блокируется вне зависимости от квоты группы, в которую он входит.

Квоты пользователя устанавливаются в окне Статистика раздела Пользователи (вызывается кнопкой Статистика или двойным щелчком мыши по пользователю в списке).

Квоты группы устанавливаются в закладке Квоты раздела Группы по правилам доступа. Чтобы задать одинаковые квоты всем пользователям группы, можно воспользоваться кнопкой Задать квоты для пользователей группы, расположенной здесь же.

Шаг 4 - Настройка работы пользователей после исчерпания квот. Типы аутентификации пользователей и их приоритеты.

В Lan2net NAT Firewall используется несколько типов аутентификации. Одному компьютеру локальной сети может быть соответствовать несколько пользователей Lan2net. Типы аутентификации в Lan2net имеют свои приоритеты - таким образом, можно точно определить каким именно образом авторизуется конкретный пользователь.

Например, компьютеру с IP-адресом 192.168.0.2 могут соответствовать 2 пользователя: первый, с аутентификацией по IP-адресу 192.168.0.2, и второй, с аутентификацией по диапазону IP-адресов 192.168.0.1 - 192.168.0.254. Поскольку аутентификация по адресу имеет более высокий приоритет, чем аутентификация по диапазону адресов, то весь трафик компьютера с адресом 192.168.0.2 будет учтен на первого пользователя. Если мы отключим первого пользователя (либо у него исчерпается квота), то весь трафик будет учитываться на второго пользователя.

Приоритеты аутентификации могут применяться для того, чтобы разрешить определенный вид доступа пользователям после исчерпания квот. При первоначальной настройке "Мастер быстрой настройки" создает пользователя Пользователи после превышения квот, который аутентифицируется по всему диапазону IP-адресов локальной сети и по умолчанию находится в группе "Разрешен только доступ в LAN". После превышения квот каким-либо конкретным пользователем XYZ, этот конкретный пользователь XYZ отключится, а весь его трафик будет регистрироваться на пользователя Пользователи после превышения квот. Соответственно, к нему будут применяться правила группы Разрешен только доступ в LAN.

Шаг 5 - Настройка доступа к службам (сервисам) локальной сети из Интернет. Сервисы Lan2net.

По умолчанию после работы "Мастера быстрой настройки" доступ из Интернет в локальную сеть закрыт, - разрешен только Ping. Зачастую требуется открыть доступ к определенному порту, ресурсу или сервису, расположенному в LAN - на шлюзе, или внутри локальной сети.
Это можно сделать двумя способами:

• Задать соответствующее правило доступа для пользователя Internet => Lan2net.
• Более удобный способ - с помощью Сервисов, - специальных правил для доступа к ресурсам LAN из Интернет.

Сервисы имеют более высокий приоритет, чем обычные правила и отличаются от них возможностью указать IP-адрес источника. Для того, чтобы с помощью сервиса открыть доступ в локальную сеть, не нужно создавать специального пользователя и задавать для него правила, а всё можно сделать в одном окне в разделе Сервисы. Для настройки сервисов рекомендуется пользоваться Мастером настройки сервиса.

Рассмотрим пример, когда нужно открыть доступ из Интернет к web-серверу, расположенному на шлюзе где установлен Lan2net NAT Firewall. Нажимаем на кнопку Добавить сервис. Откроется окно редактирования сервиса. Заполняем форму:

• Указываем Название сервиса, например, Web-сервер;
• Выбираем Протокол TCP;
• Выбираем IP-адрес источника Любой;
• Выбираем IP-адрес назначения - здесь надо указать IP-адрес внешнего интерфейса шлюза, например 80.1.88.15;
• Выбираем Порт источника Любой;
• Указываем Порт назначения 80;
• Выбираем Действие Разрешить.

Другие сервисы настраиваются аналогичным образом. Про настройку port mapping с помощью сервисов читайте в параграфе "Port mapping. Переадресация трафика".

Шаг 6 - Настройка сетевых интерфейсов, настройка NAT и DHCP.

Каждому сетевому адаптеру Windows должен соответствовать интерфейс в Lan2net NAT Firewall. Настройка интерфейсов в Lan2net NAT Firewall включает в себя выбор сетевого адаптера для интерфейса, настройку NAT и DHCP.

Технология трансляции адресов (NAT) используется для подключения компьютеров локальной сети к Интернет через один внешний IP-адрес без изменения настроек клиентских программ. Подробности о NAT читайте в статье о NAT на нашем сайте. Настройка NAT сводится к выбору Диапазона IP-адресов для NAT и выбора внешнего интерфейса, на котором будет осуществляться трансляция адресов.

Если на шлюзе, где стоит Lan2net NAT Firewall, используется DHCP, то ставим флажок Разрешить выдачу IP-адресов через этот интерфейс (пропускать запросы DHCP-сервера). Если машина, где стоит Lan2net NAT Firewall, является DHCP клиентом, то ставим флажок Разрешить автоматическое получение IP-адреса для этого интерфейса (пропускать запросы DHCP клиента). Если DHCP не используется, то ни один из флажков не должен быть отмечен.

Мониторинг соединений пользователей.

Раздел Мониторинг служит для просмотра соединений и позволяет создавать правила на основе этих соединений.

Общее количество соединений показывается в статус-баре.
Все текущие соединения показываются в виде дерева, также показываются системные соединения, такие как:

• System0 - запрещенные соединения, не попавшие ни под одного пользователя;
• System1 - транзитный трафик между интерфейсами шлюза;
• System2, System4 - соединения NAT.

С помощью контекстного меню можно скопировать выбранное соединение как правило доступа либо как текст. Если соединение скопировано как правило доступа, то с помощью контекстного меню его можно вставить как правило для выбранной группы в разделе "Группы по правилам доступа".

Журнал. Просмотр лог-файлов.

Раздел Журнал служит для просмотра лог-файлов с возможностью использования многочисленных фильтров.

По умолчанию файлы логов сохраняются в базе данных, путь до которой указывается в разделе Параметры. В том же разделе можно дополнительно включить сохранение логов в текстовом виде (аналогичном Winroute), что позволяет использовать внешние анализаторы логов. Правда, в отличии от формата Winroute, логи Lan2net могут содержать русские символы и пробелы в именах пользователей.

Встроенный web-сервер, просмотр статистических отчетов через web.

Lan2net NAT Firewall имеет встроенный web-сервер, служащий для просмотра общей статистики и статистики конкретного пользователя. Для доступа к статистике на web-сервере нужно набрать в браузере http://192.168.0.1:8010, где 192.168.0.1 - адрес внутреннего интерфейса шлюза, на котором установлен Lan2net NAT Firewall, а 8010 - порт web-сервера, указанный в закладке Параметры. Порт по умолчанию - 8010. Если этот порт занят, например, другим веб-сервером, то надо указать другой.

Для доступа к общей статистике используется тот же пароль, что и для входа в панель администратора Lan2net NAT Firewall, вне зависимости от имени пользователя. Для просмотра своей статистики пользователю достаточно открыть браузер и набрать http://192.168.0.1:8010.

Встроенный в Lan2net NAT Firewall web-сервер может использоваться не только для просмотра статистики, но и как и обычный web-сервер, - например, для организации корпоративного web-сайта. Корневая папка web-сервера по умолчанию - Program Files\LAN2NET\www\. Ее также можно поменять на закладке Параметры.

Отчеты делаются с применением технологи XML/XSL. Поэтому внешний вид отчетов можно изменить, редактируя шаблоны XSL для каждого отчета. Шаблоны расположены в папке \Program Files\LAN2NET\www\ReportTemplate.

• sumall.xsl - суммарный отчет;
• user.xsl - статистика пользователя;
• userip.xsl - детальный отчет по пользователю.

Port mapping. Переадресация трафика.

Port mapping - это переадресация пакетов, принимаемых на определенный порт сетевого интерфейса, на определенный порт другого компьютера. Например, с помощью технологии port mapping можно разрешить внешний трафик к определенному компьютеру локальной сети.

В Lan2net port mapping - это действие Модифицировать. Настроить его можно в разделах Сервисы и Группы по правилам доступа.

Существует множество различных применений port mapping, таких как:

• Организация прозрачного (transparent) прокси - в таком случае в настройках программ-клиентов не нужно указывать адрес прокси-сервера.
• Доступ из Интернет в локальную сеть с частными, т.е. "серыми" IP адресами. Это может потребоваться в случае, когда у вас внутри локальной сети есть ресурс (например, web-сервер), доступ к которому нужно предоставить из Интернет.

Рассмотрим пример настройки доступа в локальному web-серверу:
Для этого в разделе Сервисы выбираем интерфейс Интернет, вызываем кнопкой Добавить сервис окно редактирования нового сервиса и заполняем форму:

• Указываем Название, например, Доступ из Интернет к web-серверу
• Выбираем IP-адрес источника Любой.
• Указываем IP-адрес назначения, т.е. адрес внешнего интерфейса, например, 80.1.88.15.
• Выбираем Порт источника Любой. Указываем Порт назначения 80.
• Выбираем Действие Модифицировать (Port mapping), выбираем IP-адрес и указываем внутренний адрес web-сервера, например, 192.168.0.2.
• Нажимаем OK и затем Применить.

Аутентификация пользователей по логину в Windows - NTLM аутентификация.

Когда одним компьютером пользуется несколько человек, то аутентификация по IP или IP+MAC нецелесообразна. В таком случае лучше использовать NTLM аутентификацию, которая позволяет распознать пользователя по его логину в Windows.

Проще всего настроить NTLM-аутентификацию, если в сети используется Active Directory. Если Active Directory нет, то придется сначала завести всех пользователей в ОС компьютера, на котором установлен Lan2net NAT Firewall. После этого нужно завести пользователей в Lan2net NAT Firewall, указав Способ аутентификации NTLM (по логину Windows) и ввести в поле Логин имя пользователя AD (или логин пользователя Windows, если AD не используется).

Для работы NTLM аутентификации на компьютерах пользователей должно быть установлено приложение Lan2net Client. Lan2net Client также служит для просмотра значений израсходованного трафика за день, за месяц и всего трафика, а также для просмотра значений соответствующих квот.

В поле Сервер клиента надо ввести адрес внутреннего интерфейса шлюза, в поле Порт - порт для Lan2net Client (по умолчанию - 7001), указывающийся на закладке Параметры. После первого запуска эти значения сохраняются в реестре, в ключе HKEY_CURRENT_USER\Software\Lan2net. В дальнейшем Lan2net Client можно поставить в папку Автозагрузка, чтобы пользователь автоматически аутентифицировался при входе в систему.

Установить Lan2net Client можно двумя способами:

• Запустить установку дистрибутива Lan2net NAT Firewall и выбрать в опциях только установку Lan2net Client;
• Скопировать на компьютер в локальной сети из папки, где установлен Lan2net NAT Firewall, 2 файла: Lan2netClient.exe и Lan2netClientrc.dll.

Запуск Lan2net NAT Firewall на машине с одной сетевой картой.

При первом запуске в "Мастере быстрой настройки" для случая одной сетевой карты:

• Выбираем Внешний адаптер - ваша сетевая карта
• Выбираем Внутренний адаптер - NDISWANIP
• Выключаем NAT.

© 2006 ООО "Ростбиохим" | Администратор