Не редки такие ситуации, когда в какой-либо компании доступ в интернет предоставляется не напрямую (через NAT-маршрутизатор), а посредством прокси-сервера. Конечно, это не очень удобный способ доступа в интернет для сотрудников компании. Главные админы, подбитые начальством на ограничение доступа на некоторые интернет-ресурсы для сотрудников, делаю все, чтобы никто не смог пользоваться «контактом», «одноклассниками», «фейсбуком» и т.д. и т.п. Ну здесь на «помощь» могут придти самые различные анонимайзеры, которыми интернет просто кишит, но это не очень удобный способ — вы все равно находитесь за прокси, который «мешает вам жить».
Я хочу рассказать про очень простой, но очень действенный способ «как обхитрить» начальство и использовать интернет по «максимуму». Правда это потребует некоторых затрат (а может и нет).
Для начала рассмотрим следующую ситуацию: Вы админ небольшого офиса (который удален от главного офиса, в котором стоит главный сервер, главный маршрутизатор, прокси сервер и, возможно, еще что-нибудь). И в Вашем офисе есть маршрутизатор, который соединяет подсеть Вашего офиса с остальной сетью компании, и на всю подсеть офиса «прокинут прокси» от главного прокси Вашей компании. На главном прокси-сервере есть парольная авторизация по какому-нибудь «атрибуту» сотрудника офиса (например по фамилии и должности). То есть действия всех сотрудников отслеживаются (посредством логов например) главными админами (что и когда он посещал в интернете). Вы, также как и другие сотрудники, имеете такую же авторизацию. Так вот, Вы хотите, чтобы Вас никто не смог проконтролировать, чтобы у Вас был доступ на абсолютно все ресурсы интернета, то есть другими словами хотите, чтобы у Вас был полностью «прозрачный интернет».
Ну самый простой и самый эффективный способ получения сего «удовольствия» — это использование VPN-туннеля между «Вами» и каким-нибудь сервером (арендованным Вами VDS-сервером, например) с белым ip-адресом.
Что для этого нужно. Ну во-первых, для удобства, лучше сделать так, чтобы Вам не нужно было авторизовываться на главном прокси-сервере каждый раз, когда Вам нужен интернет. Как это сделать? А очень просто, Вам нужно всего лишь «поднять» свой собственный прокси-сервер (лучше конечно на отдельном компьютере, который я буду называть «минисервером») с авторизацией на главном корпоративном прокси-сервере по Вашему «атрибуту». То есть другими словами «построить» так называемый каскад из прокси-серверов. Ну вот и тогда у Вас будет доступ к интернету через Ваш минисервер без авторизации на Вашем компьютере. Во-вторых Вам необходимо обзавестись сервером с белым ip-адресом. Тут есть несколько вариантов: вы арендуете VDS-сервер, на одном из хостингов, и используете его. А можно еще проще, если у Вас есть домашний сервер на который «приходит» интернет от Вашего провайдера, и который затем «расшаривает» это интернет на все Ваши домашние устройства. В этом случае Вам всего лишь необходимо купить у провайдера белый ip-адрес, и у Вас будет уже полноценный сервер, доступный из интернета, который я буду называть «мегасервер». Ну вот это и все, что Вам нужно.
Очень хорошо, если Вы линуксоид, и Ваш минисервер и мегасервер управляются ОС Линукс.
Далее я опишу алгоритм решения данной задачи, а в одном из следующих топиков (когда будет время), я опишу этот алгоритм подробно и уже на примере Debian или Ubuntu (в данном случае принципиальной разницы между ними нет).
1. Вы «поднимаете» на минисервере свой прокси-сервер с авторизацией по Вашему «атрибуту». Ставите его на высокий «левый» порт, фаерволом делаете так, чтобы доступ к этому прокси серверу имел только Ваш минисервер, чтобы главные админы не смогли сканированием понять, что у Вас «поднят» и работает прокси-сервер. Делается это, очевидно, с помощью фаервола.
2. Далее Вы «поднимаете» VPN-туннель между минисервером и мегасервером, который работает через прокси на Вашем минисервере, то есть уже авторизовываться VPN соединению не нужно. Здесь я имею ввиду технологию OpenVPN, которая прекрасно работает через прокси.
3. На только что «поднятом» VPN-туннеле настраиваете маршрутизацию с мегасервера на минисервер и наоборот. То есть на мегасервере делаете «маскарадинг» например, а на минисервере правильно вписываете роуты.
4. После серии данных процедур ясно, что у Вас уже имеется «прозрачный» интернет на Вашем минисервере.
5. Затем, делаете так, чтобы на нужных Вам компьютерах Вашего офиса был прозрачный интернет. Делается это, очевидно, с помощью SNAT.
6. Ну вот Вы и имеете прозрачный интернет на нужных Вам машинах.
Также нужно не забыть про правильную настройку фаервола на Вашем мегасервере, чтобы никакие злоумышленники не смогли получить доступ к компьютерам Вашего офиса из интернета. Помните, фаервол — это очень важно, и не стоит его недооценивать!
Ну вот в принципе весь алгоритм решения данной задачи. Спасибо за внимание.
P.S. Так сделано у меня и все прекрасно работает.
Я хочу рассказать про очень простой, но очень действенный способ «как обхитрить» начальство и использовать интернет по «максимуму». Правда это потребует некоторых затрат (а может и нет).
Для начала рассмотрим следующую ситуацию: Вы админ небольшого офиса (который удален от главного офиса, в котором стоит главный сервер, главный маршрутизатор, прокси сервер и, возможно, еще что-нибудь). И в Вашем офисе есть маршрутизатор, который соединяет подсеть Вашего офиса с остальной сетью компании, и на всю подсеть офиса «прокинут прокси» от главного прокси Вашей компании. На главном прокси-сервере есть парольная авторизация по какому-нибудь «атрибуту» сотрудника офиса (например по фамилии и должности). То есть действия всех сотрудников отслеживаются (посредством логов например) главными админами (что и когда он посещал в интернете). Вы, также как и другие сотрудники, имеете такую же авторизацию. Так вот, Вы хотите, чтобы Вас никто не смог проконтролировать, чтобы у Вас был доступ на абсолютно все ресурсы интернета, то есть другими словами хотите, чтобы у Вас был полностью «прозрачный интернет».
Ну самый простой и самый эффективный способ получения сего «удовольствия» — это использование VPN-туннеля между «Вами» и каким-нибудь сервером (арендованным Вами VDS-сервером, например) с белым ip-адресом.
Что для этого нужно. Ну во-первых, для удобства, лучше сделать так, чтобы Вам не нужно было авторизовываться на главном прокси-сервере каждый раз, когда Вам нужен интернет. Как это сделать? А очень просто, Вам нужно всего лишь «поднять» свой собственный прокси-сервер (лучше конечно на отдельном компьютере, который я буду называть «минисервером») с авторизацией на главном корпоративном прокси-сервере по Вашему «атрибуту». То есть другими словами «построить» так называемый каскад из прокси-серверов. Ну вот и тогда у Вас будет доступ к интернету через Ваш минисервер без авторизации на Вашем компьютере. Во-вторых Вам необходимо обзавестись сервером с белым ip-адресом. Тут есть несколько вариантов: вы арендуете VDS-сервер, на одном из хостингов, и используете его. А можно еще проще, если у Вас есть домашний сервер на который «приходит» интернет от Вашего провайдера, и который затем «расшаривает» это интернет на все Ваши домашние устройства. В этом случае Вам всего лишь необходимо купить у провайдера белый ip-адрес, и у Вас будет уже полноценный сервер, доступный из интернета, который я буду называть «мегасервер». Ну вот это и все, что Вам нужно.
Очень хорошо, если Вы линуксоид, и Ваш минисервер и мегасервер управляются ОС Линукс.
Далее я опишу алгоритм решения данной задачи, а в одном из следующих топиков (когда будет время), я опишу этот алгоритм подробно и уже на примере Debian или Ubuntu (в данном случае принципиальной разницы между ними нет).
1. Вы «поднимаете» на минисервере свой прокси-сервер с авторизацией по Вашему «атрибуту». Ставите его на высокий «левый» порт, фаерволом делаете так, чтобы доступ к этому прокси серверу имел только Ваш минисервер, чтобы главные админы не смогли сканированием понять, что у Вас «поднят» и работает прокси-сервер. Делается это, очевидно, с помощью фаервола.
2. Далее Вы «поднимаете» VPN-туннель между минисервером и мегасервером, который работает через прокси на Вашем минисервере, то есть уже авторизовываться VPN соединению не нужно. Здесь я имею ввиду технологию OpenVPN, которая прекрасно работает через прокси.
3. На только что «поднятом» VPN-туннеле настраиваете маршрутизацию с мегасервера на минисервер и наоборот. То есть на мегасервере делаете «маскарадинг» например, а на минисервере правильно вписываете роуты.
4. После серии данных процедур ясно, что у Вас уже имеется «прозрачный» интернет на Вашем минисервере.
5. Затем, делаете так, чтобы на нужных Вам компьютерах Вашего офиса был прозрачный интернет. Делается это, очевидно, с помощью SNAT.
6. Ну вот Вы и имеете прозрачный интернет на нужных Вам машинах.
Также нужно не забыть про правильную настройку фаервола на Вашем мегасервере, чтобы никакие злоумышленники не смогли получить доступ к компьютерам Вашего офиса из интернета. Помните, фаервол — это очень важно, и не стоит его недооценивать!
Ну вот в принципе весь алгоритм решения данной задачи. Спасибо за внимание.
P.S. Так сделано у меня и все прекрасно работает.