|
FAQ Kerio Control - Proxy in Kerio: как настроить автоматическое конфигурирование браузеров клиентов для использования прокси-сервера в сети с Kerio Control (примеры скриптов РАС-файлов - здесь). |
Прежде всего: а зачем нам использовать прокси-сервер? Аргументы старых времен о кешировании файлов для повышения скорости, экономии трафика, какого-то особого контроля, который нельзя организовать для НАТ - безнадежно устарели и приниматься во внимание не могут (речь идет о винде - в линухе особый взгляд на прокси и без Squid действительно нельзя многие вещи сделать). Так зачем нам прокси?
Аргументов в пользу использования прокси всего два:
- направляя браузеры на порт прокси-сервера и закрывая НАТ на стандартные порты, мы отсекаем часть вирусов и сетевых червей от отсылки своих наворованных данных. Аргумент не особо крутой, поскольку черви стали умные, но тем не менее эта мера все еще полезна;
- в случае использования каскадного проксирования - когда нет иного выхода, как направлять весь трафик на прокси провайдера от имени своего сервера (маскарадинг).
Аргументов против проксирования намного больше и основным является уязвимость системы настройки клиентов для использования прокси для инсайдерских атак и существенный ущерб в случае успешной реализации такой атаки. Мы не будем подробно останавливаться на этих аргументах, поскольку жизнь все равно может заставить заниматься настройкой прокси для клиентов и отступать окажется некуда. Так что настроим нашу сеть правильно и безопасно.
Предположим, что мы настраиваем большую разномастную сеть с разными типами ОС, всеми возможными браузерами, в сеть входят не только члены контролируемого нами домена АД, но и самостийные админы без мозга (или с его избытком), и не все юзеры в сети лояльны к организации. Вот для них нам и надо будет сделать Инет, причем по нашим, а не по их правилам :)
В такой сложной ситуации выбрасываем подальше Кериотский Апльянс и заводим правильный АД-домен на основе Windows 2008 Server R2 с нашим любимым Kerio Control. Мы грамотные админы, поэтому про настройку АД не буду распространяться - она у нас правильная и безопасность обеспечивает. Вот только Инет всем раздать и типа все ОК.
Предположим, что организация наша не бедная - помимо локалки (к которой могут подоткнуться недобросовестные гости с нехорошими намерениями), в ней масса работников с КПК, подключаемых через корпоративный WiFI есть гостевой WiFi.
Нам надо решить такие задачи:
- всю локальную сеть отправить через прокси-сервер Kerio Control;
- весь корпоративный WiFi отправить через НАТ на скоростной канал хорошего провайдера;
- весь гостевой WiFi отправить через НАТ тоже хорошего, но медленного провайдера;
- не дать нехорошим людям испортить наши настройки и замаскироваться под своих работников (в том числе не дать работникам использовать что попало вместо служебного компа).
Для начала ознакомимся с базовыми понятиями, подробным описанием принципов автонастройки клиентов в сети, которые очень хорошо и подробно изложены здесь:
http://technet.microsoft.com/ru-ru/library/cc817419.aspx
http://en.wikipedia.org/wiki/Proxy_auto-config
http://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Из всего там перечисленного отметим важные для нас моменты:
- есть два пути распространения файлов с настройками для браузеров: технологии WPAD и PAC и два механизма распространения файлов: DNS и DHCP;
- не все браузеры одинаково реагируют на технологии WPAD и могут ее использовать;
- Kerio Control не обеспечивает поддержку технологии WPAD, но предоставляет РАС-файл;
- параметр 252 DHCP-сервера в Kerio Control ошибочно отнесен к настройкам только Интернет Эксплорер, этот параметр универсален для всех видов ОС и браузеров;
- в сети Microsoft есть возможность настроить Branding через политики АД. Для этой цели также используются файлы конфигурации прокси.
Таким образом, для решения наших задач мы должны:
1.сформировать РАС-файл с соответствующими настройками для наших подсетей и сделать его доступным для клиентов DHCP;
2. сделать доступным сформированный РАС-файл для использования его клиентами со статическими адресами по WPAD-протоколу;
3. сформировать INS-файл для реализации Branding в нашей сети;
4. создать правила маршрутизации трафика для всех подсетей.
Эта страница расположена в закрытой зоне сайта, доступ к которой ограничен.
Подробности смотреть здесь.
Удачи !
