Инструкция по настройке и использованию Lan2net NAT Firewall 1.6.
Мы настоятельно рекомендуем вам ознакомиться с нижеследующей "Инструкцией по настройке" до того, как вы начнете работать с программой. В ней кратко описаны все особенности поэтапной настройки Lan2net NAT Firewall. Ее прочтение займет максимум полчаса и поможет вам быстро настроить работу локальной сети с помощью Lan2net.
Сетевые настройки Windows. Адреса компьютеров и адаптеров в локальной сети.Для работы Lan2net NAT Firewall необходима уже работающая локальная сеть. Lan2net NAT Firewall устанавливается на шлюз - компьютер, через который осуществляется доступ в Интернет. На шлюзе должно быть не меньше двух сетевых интерфейсов:
Lan2net NAT Firewall также может работать с несколькими внутренними и внешними интерфейсами. Для внутренней сети обычно выбирают IP-адреса из следующих диапазонов так называемых "серых" адресов: 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.16.255.255 и 192.168.0.0 - 192.168.255.255. Рассмотрим простейший пример настройки сети на шлюзе с одним внешним и одним внутренним интерфейсом. Предположим, что вы выбрали для своей внутренней сети диапазон адресов 192.168.0.1 - 192.168.0.255. Допустим, что адрес внешнего интерфейса (IP-адрес, который вам выдал провайдер) - 80.1.88.1.15. Тогда правильные настройки сети в Windows будут следующими:
На шлюзе.
Внешний интерфейс (все настройки выдает вам провайдер):
Внутренний интерфейс:
На компьютерах локальной сети. *Если у вас в локальной сети есть DNS сервер, то нужно указать его IP адрес. Lan2net NAT Firewall - общая информация о функциональных разделах.
В программе Lan2net NAT Firewall есть восемь функциональных разделов, которым соответствуют кнопки в панели инструментов.
Раздел "Пользователи"
При добавлении пользователя его нужно обязательно привязать к определенной группе и выбрать в свойствах пользователя интерфейс, к которому пользователь подключен физически. Так, пользователей локальной сети нужно привязать к интерфейсу "Локальная сеть".
Lan2net NAT Firewall позволяет завести несколько пользователей для одного компьютера локальной сети. Подробности читайте в параграфе "Аутентификация пользователей по логину в Windows - NTLM аутентификация".
Раздел "Группы и правила пользователей"
Раздел "Правила Firewall"
Раздел "Интерфейсы"
Раздел "Мониторинг"
Раздел "Журнал логов"
Раздел "Управление загрузкой канала"
Раздел "Параметры" Начальная конфигурация. "Мастер быстрой настройки" и результаты его работы.При первом запуске Lan2net NAT Firewall вам будет предложено воспользоваться "Мастером быстрой настройки", который необходим для создания первоначальной конфигурации программы. "Мастер быстрой настройки" создает конфигурацию для двух сетевых карт, достаточную для работы в Интернет. В результате его работы:
После работы Мастера создается группа "Разрешено все" и следующие пользователи в ней:
Также создаются созданы "Правила Firewall" которые разрешают весь локальный трафик и запрещают весь трафик, инициированный из Интернет (кроме Ping):
После завершения работы "Мастера быстрой настройки" нужно добавить в Lan2net NAT Firewall всех пользователей локальной сети. Читайте об этом в следующем параграфе.
Шаг 1 - Добавление пользователей.Чтобы считать трафик каждого из пользователей локальной сети, нужно завести этих пользователей в Lan2net NAT Firewall. Рассмотрим пример создания пользователя с аутентификацией по IP и МАС адресам. На главном окне в контекстном меню выбираем Добавить пользователя (или нажимаем соответствующую кнопку на тулбаре). Откроется окно свойств пользователя. Заполняем форму:
Другие пользователи добавляются аналогичным образом.
Пользователям можно устанавливать квоты трафика. Подробнее об этом читайте в параграфе "Установка квот трафика для пользователей и групп".
Шаг 2 - Настройка DNS.После добавления пользователей нужно проверить настройки DNS (Domain Name System) на компьютерах локальной сети. Настройки DNS в Lan2net находятся в разделе "Настройки". Есть 2 варианта настроек DNS:
Шаг 3 - Группы и правила пользователей. Настройка правил доступа и ограничений.Все пользователи Lan2net объединены в группы. Для каждой группы задается набор правил, поэтому не нужно задавать свой набор правил для каждого пользователя, что упрощает настройку. Трафик, который неудобно учитывать на пользователей (например, трафик инициированный из Интернет, трафик web- или FTP-сервисов и т.п.) управляется Правилами Firewall. После работы мастера все пользователи привязаны к группе "Разрешено ВСЁ". Если вам нужно ввести ограничения для определенных пользователей, то необходимо создать новую группу с соответствующими правами доступа в разделе Группы по правилам доступа. Рассмотрим для примера случай, когда нужно определенным пользователям запретить все ресурсы кроме web-страниц (HTTP).
Таким же образом задаются другие правила доступа. Правила можно выбрать из списка уже готовых типовых правил, или выбрать в списке правил Другое правило и настроить его вручную.
Группу, к которой привязан пользователь, можно менять в свойствах пользователя, но гораздо удобнее переносить пользователя мышкой из одной группы в другую (функция drag-n-drop).
Группам можно устанавливать квоты трафика. Подробнее об этом - в следующем параграфе "Установка квот трафика для пользователей и групп".
Шаг 4 - Установка квот трафика для пользователей и групп.Lan2net NAT Firewall позволяет установить дневные, месячные и общие квоты на входящий и исходящий трафик. Квоты могут устанавливаться как для групп, так и для пользователей. Квоты групп и квоты пользователей независимы друг от друга. Если исчерпана квота группы, то блокируются все пользователи группы. Если исчерпана квота пользователя, то он блокируется вне зависимости от квоты группы, в которую он входит. Квоты пользователя устанавливаются в окне Статистика раздела Пользователи (вызывается кнопкой Статистика или двойным щелчком мыши по пользователю в списке).
Квоты группы устанавливаются в закладке Квоты раздела Группы по правилам доступа. Чтобы задать одинаковые квоты всем пользователям группы, можно воспользоваться кнопкой Задать квоты для пользователей группы, расположенной здесь же.
Задавать квоты группы также можно в разделе Пользователи с помощью контекстного меню.
Шаг 5 - Настройка работы пользователей после исчерпания квот. Типы аутентификации пользователей и их приоритеты.В Lan2net NAT Firewall используется несколько типов аутентификации. Одному компьютеру локальной сети может быть соответствовать несколько пользователей Lan2net. Типы аутентификации в Lan2net имеют свои приоритеты - таким образом, можно точно определить каким именно образом авторизуется конкретный пользователь. Например, компьютеру с IP-адресом 192.168.0.2 могут соответствовать 2 пользователя: первый, с аутентификацией по IP-адресу 192.168.0.2, и второй, с аутентификацией по диапазону IP-адресов 192.168.0.1 - 192.168.0.254. Поскольку аутентификация по адресу имеет более высокий приоритет, чем аутентификация по диапазону адресов, то весь трафик компьютера с адресом 192.168.0.2 будет учтен на первого пользователя. Если мы отключим первого пользователя (либо у него исчерпается квота), то весь трафик будет учитываться на второго пользователя. Приоритеты аутентификации могут применяться для того, чтобы разрешить определенный вид доступа пользователям после исчерпания квот. Например, нужно чтобы после исчерпания квоты остался доступ к почте по протоколу POP3. Для этого:
После превышения квот каким-либо конкретным пользователем XYZ, этот конкретный пользователь XYZ отключится, а весь его трафик будет регистрироваться на пользователя Пользователи после превышения квот, если его IP адрес входит в диапазон, указанный в свойствах пользователя Пользователи после превышения квот.
Соответственно, к пользователю XYZ теперь будут применяться правила группы Разрешен только POP3.
Шаг 6 - Настройка правил firewall. Организация доступа к сервисам локальной сети (WWW, FTP, e-mail и т.д.)Весь трафик можно условно разделить на 2 вида: трафик, непосредственно инициированный самими пользователями и трафик, напрямую не связанный с действиями пользователей локальной сети (например, инициированный из Интернет, трафик вашего web- или FTP-сервисов и т.п.) Правила Firewall обеспечивают управление и подсчет того трафика, который не принадлежит пользователям, заведенным в Lan2net. В Lan2net есть 2 типа правил: правила пользователей и правила Firewall. Под пользователями в Lan2net подразумеваются реальные пользователи, трафик которых необходимо контролировать. В то же время существует необходимость разрешить, выделить и подсчитать другой трафик - например, трафик web-, FTP- и mail- сервера, программы "банк-клиент" и т.п. Правила Firewall предназначены для контроля такого трафика, т.к. в настройках правила можно указать все нужные параметры - адреса и порты источника и назначения, протокол. В правилах Firewall параметры источника и назначения задаются вместе - одним правилом. В правилах пользователей параметры источника - это свойства пользователя, а параметры назначения - это правила групп. В этом состоит коренное отличие правил firewall от правил групп пользователей. Каждое правило привязано к определенному интерфейсу. Приоритет Правил Firewall выше приоритета пользователей.
После работы "Мастера быстрой настройки" доступ из Интернет в локальную сеть закрыт, - разрешен только Ping. Зачастую требуется открыть доступ к определенному порту, ресурсу или сервису, расположенному в LAN - на шлюзе, или внутри локальной сети. Для настройки Правил Firewall рекомендуется пользоваться соответствующим Мастером.
Рассмотрим пример, когда нужно открыть доступ из Интернет к web-серверу, расположенному на шлюзе где установлен Lan2net NAT Firewall.
Другие Правил Firewall настраиваются аналогичным образом. Про настройку port mapping с помощью правил Firewall читайте в параграфе "Port mapping.
Переадресация трафика".
Шаг 7 - Настройка сетевых интерфейсов, настройка NAT и DHCP.Каждому сетевому адаптеру Windows должен соответствовать интерфейс в Lan2net NAT Firewall. Настройка интерфейсов в Lan2net NAT Firewall включает в себя выбор сетевого адаптера для интерфейса, настройку NAT и DHCP. Технология трансляции адресов (NAT) используется для подключения компьютеров локальной сети к Интернет через один внешний IP-адрес без изменения настроек клиентских программ. Подробности о NAT читайте в статье о NAT на нашем сайте. Настройка NAT сводится к выбору Диапазона IP-адресов для NAT и выбора внешнего интерфейса, на котором будет осуществляться трансляция адресов.
Если на шлюзе, где стоит Lan2net NAT Firewall, используется DHCP, то ставим флажок Разрешить выдачу IP-адресов через этот интерфейс (пропускать запросы DHCP-сервера). Если машина, где стоит Lan2net NAT Firewall, является DHCP клиентом,
то ставим флажок Разрешить автоматическое получение IP-адреса для этого интерфейса (пропускать запросы DHCP клиента). Если DHCP не используется, то ни один из флажков не должен быть отмечен.
Мониторинг соединений пользователей.Раздел Мониторинг служит для просмотра соединений и позволяет создавать правила на основе этих соединений.
Общее количество соединений показывается в статус-баре.
С помощью контекстного меню можно скопировать выбранное соединение как правило доступа либо как текст. Если соединение скопировано как правило доступа, то с помощью контекстного меню его можно вставить как правило для выбранной группы в разделе "Группы и правила пользователей". Журнал логов. Просмотр лог-файлов.Раздел "Журнал" служит для просмотра лог-файлов с возможностью использования многочисленных фильтров.
По умолчанию файлы логов сохраняются в базе данных, путь до которой указывается в разделе "Параметры".
В том же разделе можно дополнительно включить сохранение логов в текстовом виде (аналогичном Winroute),
что позволяет использовать внешние анализаторы логов. Правда, в отличии от формата Winroute,
логи Lan2net могут содержать русские символы и пробелы в именах пользователей.
Встроенный web-сервер, просмотр статистики трафика через web.Lan2net NAT Firewall имеет встроенный web-сервер, служащий для просмотра общей статистики и статистики конкретного пользователя. Для доступа к статистике на web-сервере нужно набрать в браузере http://192.168.0.1:8010, где 192.168.0.1 - адрес внутреннего интерфейса шлюза, на котором установлен Lan2net NAT Firewall, а 8010 - порт web-сервера, указанный в разделе "Параметры". Порт по умолчанию - 8010. Если этот порт занят, например, другим веб-сервером, то надо указать другой. Для доступа к общей статистике используется тот же пароль, что и для входа в панель администратора Lan2net NAT Firewall, вне зависимости от имени пользователя. Для просмотра своей статистики пользователю достаточно открыть браузер и набрать http://192.168.0.1:8010. Встроенный в Lan2net NAT Firewall web-сервер может использоваться не только для просмотра статистики, но и как и обычный web-сервер, - например, для организации корпоративного web-сайта. Корневая папка web-сервера по умолчанию - Program Files\LAN2NET\www\. Ее также можно поменять в разделе "Параметры". Отчеты делаются с применением технологи XML/XSL. Поэтому внешний вид отчетов можно изменить, редактируя шаблоны XSL для каждого отчета. Шаблоны расположены в папке \Program Files\LAN2NET\www\ReportTemplate.
Port mapping. Переадресация трафика.Port mapping - это переадресация пакетов, принимаемых на определенный порт сетевого интерфейса, на определенный порт другого компьютера. Например, с помощью технологии port mapping можно разрешить внешний трафик к определенному компьютеру локальной сети. В Lan2net port mapping - это действие Модифицировать. Настроить его можно в разделах "Правила Firewall" и "Группы и правила пользователей". Существует множество различных применений port mapping, таких как:
Рассмотрим пример настройки доступа в локальному web-серверу:
Аутентификация пользователей по логину в Windows - NTLM аутентификация.Когда одним компьютером пользуется несколько человек, то аутентификация по IP или IP+MAC нецелесообразна. В таком случае лучше использовать NTLM аутентификацию, которая позволяет распознать пользователя по его логину в Windows. Проще всего настроить NTLM-аутентификацию, если в сети используется Active Directory. Если Active Directory нет, то придется сначала завести всех пользователей в ОС компьютера, на котором установлен Lan2net NAT Firewall. После этого нужно завести пользователей в Lan2net NAT Firewall, указав Способ аутентификации NTLM (по логину Windows) и ввести в поле Логин имя пользователя AD (или логин пользователя Windows, если AD не используется). Для работы NTLM аутентификации на компьютерах пользователей должно быть установлено приложение Lan2net Client. Lan2net Client также служит для просмотра значений израсходованного трафика за день, за месяц и всего трафика, а также для просмотра значений соответствующих квот. В поле Сервер клиента надо ввести адрес внутреннего интерфейса шлюза, в поле Порт - порт для Lan2net Client (по умолчанию - 7001), указывающийся в разделе "Параметры". После первого запуска эти значения сохраняются в реестре, в ключе HKEY_CURRENT_USER\Software\Lan2net. В дальнейшем Lan2net Client можно поставить в папку Автозагрузка, чтобы пользователь автоматически аутентифицировался при входе в систему. Если запустить Lan2net Client с ключем -q, то появиться только значок в system tray (без запуска главного окна). Установить Lan2net Client можно двумя способами:
Работа с тремя и более сетевыми интерфейсамиЧасто бывает что шлюз раздает Интернет трафик в две подсети или несколько подсетей. Соответственно, на шлюзе есть 3 и более сетевых интерфейса. Мастер настройки позволяет создать конфигурацию для двух сетевых интерфейсов. Соответственно, если интерфейсов больше, то их нужно добавлять вручную. Рассмотрим ситуацию, когда есть один канал в Интернет и две подсети, пользователям которых нужно предоставить доступ в Интернет. После работы мастера нужно добавить третий интерфейс. Для этого идем в раздел "Интерфейсы" и добавляем новый интерфейс. Например, Локальная сеть 2. Затем идем в раздел "Пользователи" и создаем пользователей этой подсети, привязанных к этому интерфейсу.
Пользователи Локальной сети 2 (второй подсети) добавляются точно так же, как и пользователи первой подсети, но только привязываются к интерфейсу Локальная сеть 2
Настройка VPN.До начала настройки VPN-соединений в Lan2net NAT Firewall убедитесь, что ваш VPN-сервер правильно установлен и сконфигурирован. Существует несколько основных вариантов конфигураций VPN:
VPN-соединения в Lan2net можно настроить для вариантов 1, 2 и 3. Во всех других конфигурациях (в том числе и в варианте 4) VPN-трафик не сможет проходить через шлюз с Lan2net, поскольку реализация NAT в Lan2net не может обрабатывать VPN трафик.
VPN-соединения используют интерфейс NDISWANIP (dial-up) и протоколы GRE, PTPP и IPSec.
Надо сконфигурировать Lan2net NAT Firewall так, чтобы программа пропускала эти протоколы.
Вариант 1 (Соединение клиентов локальной сети с Интернет через VPN, сервер VPN установлен на шлюзе локальной сети)При первоначальной конфигурации Мастером быстрой настройки создается правило, которое пропускает протокол GRE. VPN-соединения в Windows являются dial-up соединениями. Поскольку для dial-up соединений в Windows используется интерфейс NDISWANIP, в Lan2net также нужно добавить соответствующий интерфейс. Для этого:
Вариант 2 (Соединение клиентов локальной сети с VPN-сервером, находящимся на шлюзе локальной сети)
При правильно настроенном сервере VPN такая конфигурация будет работать сразу после работы Мастера настройки Lan2net.
Вариант 3 (Клиенты из Интернет подключаются по VPN к шлюзу, на котором установлен Lan2net)
|