Інструкція з налаштування та використання Lan2net NAT Firewall 1

Налаштування мережі Windows. Адреси комп'ютерів та адаптерів у локальній мережі.

Для роботи Lan2net NAT Firewall потрібна вже працююча локальна мережа. Lan2net NAT Firewall встановлюється на шлюз – комп'ютер, через який здійснюється доступ до Інтернету. На шлюзі має бути не менше двох мережевих інтерфейсів:

  • Зовнішній інтерфейс - мережна карта (або модем), підключені до Інтернету.
  • Внутрішній інтерфейс - мережна карта, підключена до мережного комутатора чи концентратору (хабу, свитчу тощо.), якого, своєю чергою, підключені комп'ютери локальної мережі.

Lan2net NAT Firewall також може працювати з кількома внутрішніми та зовнішніми інтерфейсами.

Lan2net NAT Firewall - загальна інформація про функціональні розділи.

У програмі Lan2net NAT Firewall є вісім функціональних розділів, яким відповідають кнопки на панелі інструментів.

Розділ "Користувачі". Тут відображається список користувачів, об'єднаних у групи. У розділі "Користувачі" можна:

  • додавати, редагувати та видаляти користувачів;
  • переглянути розмір трафіку (за сьогодні, за поточний календарний місяць та весь трафік) кожного користувача або групи користувачів;
  • ставити квоти трафіку для користувачів;
  • викликати монітор швидкості користувача.

Розділ "Сервіси". Сервіс Lan2net NAT Firewall - це правило, що дозволяє доступ до різних мережевих сервісів, таких як сервери Web, FTP, Telnet, e-Mail і т.п. Зазвичай сервіси використовуються визначення прав доступу з Інтернету до різних сервісів (службам) локальної мережі.

Розділ "Керування завантаженням каналу". У Lan2net NAT Firewall реалізовано управління завантаженням каналу, що служить динамічного розподілу ресурсів Інтернет-каналу між користувачами залежно від його завантаження. За промовчанням керування завантаженням каналу вимкнено. Налаштувати цю функцію необов'язково. Докладну інформацію про керування завантаженням каналу в Lan2net NAT Firewall ви можете отримати у статті "Динамічне керування завантаженням каналу в різних режимах роботи".

Початкова конфігурація. "Майстер швидкого налаштування" та результати його роботи.

"Майстер швидкого налаштування" створює конфігурацію для двох мережних карт, достатню для роботи в Інтернеті. Внаслідок його роботи:

  • на всіх машинах локальної мережі буде доступ до Інтернету;
  • буде підраховуватись загальний трафік усіх користувачів локальної мережі;
  • firewall заборонятиме всі з'єднання, ініційовані з Інтернету, крім Ping.

Після завершення роботи "Майстра швидкого налаштування" потрібно додати до Lan2net NAT Firewall всіх користувачів локальної мережі. Читайте про це у наступному параграфі.

Крок 1 - Додавання користувачів.

Щоб рахувати трафік кожного з користувачів локальної мережі, потрібно завести цих користувачів у Lan2net NAT Firewall.

Інші користувачі додаються аналогічно.

Крок 2 - Правила та групи. Налаштування правил доступу та обмежень.

Після додавання всіх користувачів мережі вони знаходяться в групі Дозволено ВСЕ. Якщо вам потрібно ввести обмеження для певних користувачів, необхідно створити нову групу з відповідними правами доступу в розділіГрупи з правил доступу.

Так само задаються інші правила доступу. Правила можна вибрати зі списку вже готових типових правил, абовибрати у списку правил Інше правило та налаштувати його вручну.

Крок 3 - Встановлення квот трафіку для користувачів та груп.

Lan2net NAT Firewall дозволяє встановити денні, місячні та загальні квоти на вхідний та вихідний трафік. Квоти можуть встановлюватися як груп, так користувачів.

Квоти груп та квоти користувачів незалежні один від одного. Якщо вичерпано квоту групи, то блокуються всі користувачі групи. Якщо вичерпано квоту користувача, він блокується незалежно від квоти групи, куди він входить.

Квоти користувача встановлюються у вікніСтатистика розділуКористувачі (викликається кнопкоюСтатистика або подвійним клацанням миші користувача в списку).

Квоти групи встановлюються в закладціКвоти розділуГрупи з правил доступу. Щоб задати однакові квоти всім користувачам групи, можна скористатися кнопкоюВстановити квоти для користувачів групи, розташованої тут же.

Крок 4 – Налаштування роботи користувачів після вичерпання квот. Типи аутентифікації користувачів та їх пріоритети.

Крок 5 - Налаштування доступу до служб (сервісів) локальної мережі з Інтернету. Сервіси Lan2net

За замовчуванням після роботи "Майстра швидкого налаштування" доступ з Інтернету до локальної мережі закрито, - дозволено лише Ping. Найчастіше потрібно відкрити доступ до певного порту, ресурсу або сервісу, розташованому в LAN - на шлюзі, або всередині локальної мережі. Це можна зробити двома способами:

  • Вказати відповідне правило доступу для користувача Internet => Lan2net.
  • Більш зручний спосіб - за допомогоюСервісів - спеціальних правил для доступу до ресурсів LAN з Інтернет.

Розглянемо приклад, коли потрібно відкритидоступ з Інтернету до web-сервера, розташованого на шлюзі де встановлено Lan2net NAT Firewall. Натискаємо на кнопкуДодати сервіс. Відкриється вікно редагування сервісу. Заповнюємо форму:

Крок 6 - Налаштування мережевих інтерфейсів, налаштування NAT та DHCP.

Кожному мережному адаптеру Windows повинен відповідати інтерфейс Lan2net NAT Firewall. Налаштування інтерфейсів в Lan2net NAT Firewall включає вибір мережного адаптера для інтерфейсу, налаштування NAT і DHCP.

Моніторинг з'єднань користувачів.

Загальна кількість з'єднань відображається у статус-барі. Всі поточні з'єднання показуються у вигляді дерева, також показуються системні з'єднання, такі як:

  • System0 - заборонені з'єднання, що не потрапили під жодного користувача;
  • System1 – транзитний трафік між інтерфейсами шлюзу;
  • System2, System4 - з'єднання NAT.

За допомогою контекстного меню можна скопіювати вибране з'єднання зазвичай доступу або як текст. Якщо з'єднання скопійоване як правило доступу, то за допомогою контекстного меню його можна вставити як правило для вибраної групи у розділі "Групи за правилами доступу".

Журнал. Перегляд лог-файлів.

За промовчанням файли логів зберігаються в базі даних, шлях до якої вказується в розділіПараметри. У тому розділі можна додатково включити збереження логів у текстовому вигляді (аналогічному Winroute), що дозволяє використовувати зовнішні аналізатори логів. Щоправда, на відміну від формату Winroute, логи Lan2net можуть містити українські символи та прогалини в іменах користувачів.

Звіти робляться із застосуванням технології XML/XSL. Тому можна змінити зовнішній вигляд звітів, редагуючи шаблони XSL для кожного звіту. Шаблони розташовані в папці\ProgramFiles\LAN2NET\www\ReportTemplate.

  • sumall.xsl – сумарний звіт;
  • user.xsl – статистика користувача;
  • userip.xsl - детальний звіт користувача.

У Lan2net port mapping - цеМодифікувати. Налаштувати його можна в розділахСервіси таГрупи за правилами доступу.

Розглянемо приклад налаштування доступу в локальному web-сервері: Для цього в розділіСервіси вибираємо інтерфейсІнтернет, викликаємо кнопкоюДодати сервіс вікно редагування нового сервісу та заповнюємо форму:

Аутентифікація користувачів з логіну в Windows - NTLM автентифікація.

Коли одним комп'ютером користується кілька людей, то автентифікація IP або IP+MAC недоцільна. У такому випадку краще використовувати NTLM автентифікацію, яка дозволяє розпізнати користувача за його логіном у Windows.

Найпростіше настроїти NTLM-автентифікацію, якщо в мережі використовується Active Directory. Якщо Active Directory немає, доведеться спочатку завести всіх користувачів в ОС комп'ютера, на якому встановлений Lan2net NAT Firewall. Після цього потрібно завести користувачів у Lan2net NAT Firewall, вказавшиСпосіб аутентифікаціїNTLM (за логіном Windows)і ввести в полеЛогін ім'я користувача AD (або логін користувача Windows , якщо AD не використовується).

Встановити Lan2net Client можна двома способами:

  • Запустити установку дистрибутива Lan2net NAT Firewall і вибрати в опціях лише встановлення Lan2net Client;
  • Скопіювати на комп'ютер у локальній мережі з папки, де встановлено Lan2net NAT Firewall, 2 файли: Lan2netClient.exe і Lan2netClientrc.dll.

Запуск Lan2net NAT Firewall на машині з однією карткою.

При першому запуску у "Майстерішвидкого налаштування" для однієї мережної карти:

  • ВибираємоЗовнішній адаптер - ваша мережева карта
  • ВибираємоВнутрішній адаптер - NDISWANIP
  • Вимикаємо NAT.