14 лет назад 14 июня 2004 в 21:10 2269

Основное предназначение прокси-сервера – кэширование интернет-страниц, к которым его пользователи обращаются неоднократно. Однако существуют и другие возможности применения прокси. Помимо кэширования веб-страниц прокси-сервер позволяет скрывать IP-адрес пользователя от интернет-сервера, к которому идет обращение.

При этом пользователь оказывается дополнительно защищен от хакерских атак, и уровень его приватности при веб-серфинге повышается. Кроме того, использование прокси-сервера нередко ускоряет загрузку файлов, если изначально содержащий их удаленный сервер является слишком медленным.

Если к прокси подключена локальная сеть, это дает возможность каждому ее пользователю существенно экономить деньги. Администратор же локального сегмента получает инструмент для гибкого регулирования и полного контроля действий пользователей – начиная с подсчета и ограничения трафика и заканчивая блокированием баннеров и файлов определенного типа. Нередко современный ПК с прокси – это еще и файерволл, и почтовый сервер, и сервер динамической раздачи IP-адресов в локальной сети (DHCP-сервер), и передатчик запросов разрешения имен интернета (DNS-ретранслятор).

СПОСОБЫ ИСПОЛЬЗОВАНИЯ ПРОКСИ
Существует несколько способов использования прокси. Самый простой – прибегнуть к услугам уже готового сервера своего провайдера. Другой вариант – общедоступный удаленный прокси-сервер. Но здесь необходимо помнить о том, что чем дальше будет этот сервер, тем меньше будет смысла в его кэширующей функции (может сложиться ситуация, когда сервер, с которым идет обмен, находится географически ближе, чем прокси – это ощутимо замедлит работу с Сетью).

Третий способ – установка собственного локального прокси-сервера. Запоминать страницы он будет неплохо, однако о подмене своего IP-адреса вам придется забыть (по крайней мере, при работе в интернете). Наконец, возможна схема, при которой через один физический кэширующий сервер выходят в интернет все пользователи какой-либо локальной сети. Здесь работает все – и запоминание страниц, и подмена IP-адресов локальной сети (LAN) в один IP-адрес сети глобальной (WAN), и функции безопасности, которые подразумевают дополнительную защиту пользователя от непосредственных атак из Сети (в этом случае атакующий будет “ломать” прокси).

ПОИСК И ПРОВЕРКА ОБЩЕДОСТУПНЫХ ПРОКСИ
Проблема поиска общедоступного прокси с российским IP сегодня стала очень актуальной. Так, многие российские сайты с фильмами позволяют закачку только клиентам из России. При этом в силу ряда причин автоматически отсекается не только зарубежный трафик, но и часть пользователей российских же локальных сетей и интернет-провайдеров. Как же найти такой прокси, который бы отвечал всем нашим требованиям и при этом был бы бесплатным? Метод грубого подбора заключается в том, что для начала необходимо вычислить IP-адрес какого-либо провайдера. Любой уважающий себя ISP (Internet Service Provider) обычно содержит хотя бы один прокси-сервер.

В строке поиска www.yandex.ru вводим, например, “провайдеры России”. Получаем имя веб-сервера, по которому нужно узнать его IP-адрес. Для этого воспользуемся старой доброй утилитой ping и введем в командной строке ping www.provider.ru. Получив нужный IP-адрес, устанавливаем сканер безопасности (скажем, Xspider или ShadowSecurity) и сканируем диапазон адресов по портам 3128 и 8080 (80, 1080, 3129, 8081) следующим образом: если полученный адрес 212.120.160.133, то берем диапазон 212.120.160.0 – 212.120.160.255 (если 175.20.4.14, то 175.20.4.0 – 175.20.4.255 и т. д.).

Дело в том, что не все провайдеры могут себе позволить покупку достаточного количества IP-адресов, но хотя бы 254 адреса имеется у каждого. А поскольку прокси обычно располагается в той же подсети, что и веб-сервер, промашки быть не должно. Если мы находим адрес узла, у которого открыт порт 3128 (или 8080), то это, скорее всего, и есть прокси-сервер. Обнаружив прокси-сервер, следует убедиться в его анонимных характеристиках.

Для этого снова воспользуемся сканером безопасности. В XSpider уже есть встроенная функция проверки возможностей прокси. Еще один параметр, на который следует обратить внимание при выборе прокси-сервера, – время отклика. Для этого можно вновь воспользоваться утилитой ping и выбрать среди найденных прокси тот, у которого время отклика минимально, ведь от этого будет зависеть скорость вашей работы в интернете.

Это, впрочем, далеко не самый надежный, быстрый и гарантированный способ поиска прокси-серверов. Мы бы посоветовали читателю доверить эту работу профессионалам. Примером может служить веб-портал www.void.ru (другие варианты – www.madalf.ru или www.proxychecker.ru). На скриншоте виден результат проверки сканером безопасности XSpider прокси-сервера, который содержит void – proxy.void.ru по порту 8080. Заметно, что основное предназначение данного прокси – сокрытие собственного IP-адреса.

Он меняется динамически один раз в сутки и помимо этого поддерживает технологию шифрования SSL. Таким образом, данные, проходящие через этот прокси и обращенные к серверу с поддержкой протокола HTTPS (о нем упоминалось выше), будут шифроваться на клиентском компьютере, и “понимать” их будет только сервер, к которому идет обращение. Для самого же прокси (а также интернет-провайдера и соседей по сети) ваши сетевые запросы станут невидимы.

Другими словами, для того чтобы проверить, работает ли прокси-сервер с протоколом SSL, необходимо зайти через него на какой-либо ресурс с поддержкой https (например, https://online.com.ua). Если веб-содержимое сайта будет отображаться корректно, а в статусной строке Internet Explorer появится значок в виде замка, это будет означать, что прокси работает с SSL.

НАСТРОЙКА ПРОКСИ В БРАУЗЕРЕ
Для того чтобы воспользоваться найденным внешним прокси-сервером или сервером провайдера, нужно сделать соответствующие настройки в Свойствах обозревателя. В меню браузера выбираем Сервис > Свойства обозревателя > Подключения > Настройка и там прописываем доменный или IP-адрес прокси и порт, по которому он работает. Для работы с FTP-прокси-сервером рекомендуется использовать все-таки не браузер, а специальные оболочки.

Неплохим клиентом для этих целей может служить Total Commander v6. Он поддерживает практически все виды прокси, показывает скорость и работает в Windows без всяких эмуляций DOS-приложений. Когда окно Total Commander активно, вы просто нажимаете Ctrl+F. При добавлении нового FTP-соединения можно выставить флаг “через брандмауэр или прокси-сервер” и затем выбрать вид используемого прокси. (Заметьте: несмотря на то что свойства работы через прокси называются “Настройка брандмауэра”, здесь имеется в виду именно прокси.)

Настройка прокси в Netscape Communicator, Mozilla и Opera проходит по одному сценарию. Выбираем в меню Edit или File пункт Preferences и переходим к свойствам браузера (в Opera это находится в меню Tool). Далее находим слова “Прокси” (или Proxies) и видим меню настроек прокси. Кроме того, в нашем распоряжении есть строка ввода, где можно прописать те узлы, обращение к которым пойдет в обход прокси. Это достаточно актуально для часто посещаемых страниц с динамично меняющимся содержимым при использовании прокси с кэширующей функцией.

Учтите только, что использовать внешний прокси в целях личной безопасности необходимо, но не достаточно. Ведь вам нередко придется пользоваться прокси, которые находятся неизвестно где и администрируются неизвестно кем. Поэтому без хорошего персонального брандмауэра (Outpost, NIS) и антивирусной программы (AVP, DrWeb) вы не обойдетесь.

ИСПОЛЬЗОВАНИЕ СОБСТВЕННОГО ПРОКСИ В ДОМОВОЙ СЕТИ
Для организации совместного доступа в интернет пользователей небольшой локальной сети обычно используется прокси-сервер. Однако понятия прокси, брандмауэра, биллинговой системы (система для подсчета трафика) сегодня тесно переплетаются, и все это выливается в достаточно сложный программный комплекс, наделенный функциями каждого из перечисленных средств. Наиболее популярными инструментами, которые успешно используют домовые сетестроители, являются WinRoute, Usergate и Winproxy. Эти небольшие приложения по своим возможностям могут соперничать с передовыми и гораздо более дорогими аппаратными комплексами.

WinRoute (www.kerio.com) обладает большим набором функций. Начинающему администратору домовой сети, скорее всего, пригодятся не все из них, поэтому мы остановимся лишь на тех, без которых работа в интернете будет затруднительна. Минимальные системные требования – установленная ОС Windows и ОЗУ 32-64 Мб (впрочем, знающие люди утверждают, что достаточно и 16 Мб). На жестком диске надо иметь 2-3 Мб для самой программы, но следует предусмотреть функцию кэширования страниц, которая будет “кушать” немало места (хотя по умолчанию файл кэша занимает всего 20 Мб).

Эти требования весьма условны: с ростом числа пользователей нужно проводить непрерывный апгрейд. Из установленного системного программного обеспечения должен работать стек протоколов TCP/IP и должно быть настроено соединение по телефону (RAS) при использовании модема, ISDN-адаптер или сетевая карта для доступа в интернет. Кроме того, компьютер с WinRoute должен обладать двумя сетевыми интерфейсами, один из которых “смотрит” в локальную сеть, а второй – в глобальную.

NAT (Network Address Translation, преобразование сетевых адресов) является основной технологией, с помощью которой происходит подключение локальной сети через один шлюз в интернет. Суть ее состоит в следующем. На ПК локальной сети шлюзом по умолчанию является машина с WinRoute. Когда в браузере клиента набирается сетевой адрес (например, www.computery.ru), этот запрос направляется в программный маршрутизатор WinRoute. Последний преобразует адрес получаемых от клиента пакетов в собственный IP-адрес интерфейса, “смотрящего” в интернет. Ответы серверов приходят на тот же интерфейс ПК WinRoute. Далее идет обратное преобразование адресов, и пакеты направляются на машины, с которых инициализировались запросы.

Топология сети при установленном WinRoute будет выглядеть так, как показано на рисунке. Подключение к интернету устанавливается отдельно. Желательно сконфигурировать его до инсталляции WinRoute, чтобы последний уже “знал” все сетевые интерфейсы и соединения, присутствующие на ПК. Кроме того, нужно правильно настроить параметры протокола TCP/IP и перед запуском службы WinRoute подключиться к интернету. После успешной инсталляции программного комплекса в меню Настройки > Таблица интерфейсов появляются все модемы и сетевые адаптеры, установленные в компьютер (как минимум RAS и Ethernet).

Когда WinRoute запускается впервые, пароль администратора оказывается пустым. Поменять его можно в меню Настройки > Учетные записи. В свойствах интерфейса RAS параметр “Преобразовывать IP-адреса этого интерфейса во всех случаях установки связи” должен быть включен, а в канале Ethernet – выключен. Чтобы настроить кэширование посещаемых станиц, а также права доступа для пользователей (групп пользователей), переходим в меню Настройки > Прокси-сервер…

Находим вкладку Кэширование и выставляем нужные размеры кэша, объем выделяемой памяти, размеры объектов для разных протоколов. Особенность кэша состоит в том, что он умещается в одном-единственном файле на диске. Это важно для файловых систем с большим размером кластера: если в таких системах создается много файлов небольшого размера (несколько килобайт), дисковое пространство сокращается с неимоверной скоростью.

Чтобы организовать доступ определенных (или всех – Everyone) пользователей к прописанным администратором веб-страницам, необходимо перейти на вкладку Доступ. Вносим туда URL-адреса необходимых ресурсов, а затем назначаем каждой из них пользователей, которым разрешается посещать указанные узлы. Включаем сам прокси (флажок на вкладке Общие настройки и порт по умолчанию 3128) – и теперь можно задействовать протоколирование посещаемых ресурсов интернета.

WinRoute хорошо справляется с функцией почтового сервера, но на начальном этапе включать ее не стоит. Что касается ретранслятора DNS, то нам нужно лишь убедиться в том, что он работает, поскольку установки по умолчанию вполне корректно справляются с функциями перенаправления запросов разрешения имен (DNS-запросы по порту 53) к DNS-серверу провайдера. Сервер DHCP изначально выключен.

В принципе, его можно задействовать для того, чтобы пользователям не нужно было прописывать IP в настройках своих ПК (он динамически выделяет IP-адреса из своего диапазона, который задает администратор WinRoute, с определенным временем жизни каждого адреса, по умолчанию составляющим 4 дня). Но все же для облегчения работы с сетью сервер DHCP лучше оставить выключенным.

WinRoute наделен рядом интересных дополнительных возможностей. Функция “Антиспуфинг” предотвращает атаки вроде подмены адреса источника, который имеет определенные права в данной сети. Пакетный фильтр сканирует протоколы и адреса входящих и исходящих подключений, что помогает исключать заведомо нежелательные соединения. Есть также возможности настройки средств безопасности программного комплекса, его удаленного администрирования и т. д. Вся документация к программе приведена на английском языке, поэтому советуем посетить хороший русскоязычный ресурс по WinRoute Pro: liter.narod.ru/wr/index.html.

Создание цепочки прокси

Может оказаться, что для полной анонимности и абсолютной безопасности одного прокси-сервера недостаточно. В этом случае применяются так называемые цепочки прокси-серверов. Однако HTTP-серверы не способны корректно выстраиваться в цепочки: HTTP-запросы могут в дальнейшем незаметно для пользователя перейти на работу с Сетью напрямую, минуя HTTP-прокси. Чтобы избежать этого, используются CGI-прокси – серверы интернета, которые корректно обрабатывают выстраивание прокси в цепочки с помощью скриптов, реализованных на Perl.

Эти серверы принято также называть анонимайзерами – по имени первого веб-ресурса, предоставлявшего такие услуги (www.anonymizer.ru – русская версия аналогичного сайта). Ознакомиться с наиболее популярными CGI-прокси можно, в частности, на страничке gvorn.narod.ru/zarabotok/raznoe/anonim.html. Там же описано, каким образом их следует выстраивать в цепочки. В сущности, ничего сложного в этом нет. Как правило, на главной странице сайта-анонимайзера есть строка, куда вводится адрес, по которому вы хотите обратиться через прокси. В эту строку можно ввести и адрес другого прокси. Таким образом у вас получится цепочка. Но если один из серверов выйдет из строя, она разрушится.

С цепочкой прокси можно работать и через строку браузера, в которой последовательно указываются прокси-серверы, номера портов и адрес конечного web-узла, к которому идет обращение. Типичной схемой работы с цепочкой из двух серверов через строку браузера является: proxy1:port1/proxy2:port2/www.myurl.ru/.

Для выстраивания в цепочку socks-прокси можно использовать, например, программу SocksChain v3.8.141 (www.ufasoft.com/socks/). Программа, обладающая как английским, так и русским интерфейсом, достаточно проста в использовании. У нее имеется свой список socks-серверов, которые можно протестировать встроенными средствами диагностики. Проверка цепочки проводится с помощью сайтов, показывающих IP-адрес входящего (например, www.leader.ru/secure/who.html). Если такой веб-ресурс покажет при обращении к нему IP-адрес последнего socks-сервера вашей цепочки, проверка будет успешной. В противном случае придется попробовать цепочку с другими серверами.