Настраиваем простой интернет-шлюз Tmeter

Техническое задание
В одно прекрасное утро приходит к вам директор компании, конечно же злой как собака (ну всегда блин так!), и дает вам листик, на котором напечатано:

Задание для мегаадмина!

• У нашей организации есть Интернет-канал (dial-up, aDSL, FTTB..... нужное подчеркнуть)
• Какое-то количество непослушных пользователей, которые никак не хотят слушаться запрета на Вконтакт и Одноглазники :)
• Всем пользователям нужно разрешить почту и аську, ну и еще skype
• Бухгалтерам нужно разрешить еще и доступ к сайту консультант-плюса и сделать так, чтоб через интернет работала программка банк-клиента.
• Ване, Пете и Маше нужно дать доступ еще и к сайту Никса, Яндекса, Гугла, Гуглопочты и Google-reader (ну и так уж и быть ЖЖ-блогам)
• Все остальные сайты закрыть ото всех!!! (ну кроме меня, конечно)
• Можно thinkit.ru только всем оставить – пусть читают, он полезный :), а остальное нафиг закрыть – счета за интернет по 20000 в месяц!!!
• Кстати, нужны отчеты – кто сколько потратил интернета в месяц
  

...а внизу так еще ручкой просто написано:

Но тока ж ты понимаешь, что денег нет (ну..... максимум 3000 1000руб), но и пиратку тоже не ставь – ОБЕП накажет жеж.... Короче – придумаешь чего сделать будет премия, а нет – выгоню как бесполезного сотрудника!!!

Выбираем интернет-шлюз
Для начала идем к себе в кабинет (матеря себя по дороге за то, что при устройстве на работу наплели про то что "я вообще админом работал"), недолго боимся что выгонят завтра, а после этого начинаем усиленно гуглить решение :)

После перебора описаний о непонятных ISA Server, SQUID, Kerio и прочего, натыкаемся на *бесплатный Tmeter.
Читаем описание:
Программа TMeter - это многофункциональное средство для Интернет-шлюзов или одиночных компьютеров, объединяющее в себе множество сетевых служб и возможность мощного учета трафика. Используя TMeter, Вы можете производить гибкий и точный подсчет трафика по любому признаку (IP адрес источника/назначения, протокол, порт и т.д.) в реальном масштабе времени с немедленным выводом на экран собранной статистики в графическом или цифровом виде.
TMeter имеет собственный механизм NAT, позволяющий предоставить пользователям доступ в Интернет через компьютер-шлюз, используя единственный внешний IP адрес, а встроенный файрволл решает проблему защиты Вашей сети от несанкционированного доступа. Реализация трафик-шейпера в TMeter позволяет ограничить скорость доступа (например, 256 кбит/c) для определенных пользователей и/или сервисов.

Вроде то что нужно! Тем более что во вкладке "купить TMeter" мы видим, что до 3-х фильтров (3-х пользователей) софтина вообще бесплатная, а лицензия на 15 фильтров стоит 998 рублей!!! Ну вроде – вот оно счастье (в нашей конторе всего 12 пользователей, а начальник обещал 1000 рублей выделить).
Качаем последнюю версию этого самого TMeter по ссылке: http://tmeter.ru/tmeter/TMeter10_1.exe
И приступаем к его настройке.

Настройка интернет шлюза Tmeter

Скачали, поставили, поменяли админский пароль. Теперь назначаем сетевые интерфейсы.
У нас их два:

• Внешний (к нему подключается наш интернет, например, ADSL-модем) – он в нашем примере 192.168.1.1 (модем 192.168.1.99)
  
• Внутренний – этот "смотрит в локалку" – подключается к свичу, к которому подключены все остальные пользователи сети (192.168.0.1).

*все картинке в статье кликабельные

После этого Tmeter'у нужно объяснить кто у нас относится к чему (разбить пользователей на группы). В нашем случае – всего одна группа локальной сети с диапазоном адресов от 192.168.0.1 до 192.168.0.223 (к слову, именно такой диапазон адресов выдает DHCP нашего сервера). Диапазон этот можно быть и из одного айпишника, их можно задавать и по маске.



После этого можно настроить NAT (трансляцию). Думаем над тем какие порты нам нужны (подглядывая в ТЗ):

• 80 порт – это что б вообще internet-странички в браузере показывались
• 5190 – это аська
• 21 – доступ по FTP
• 1381 – долбаный банк-клиент у бухов :)
• ..... и так далее

После этого нам нужно создать фильтры, что бы в дальнейшем мы могли разграничить пользователей (вспоминаем про Ваню, Петю, Машу и шефа с неограниченным трафом)



Фильтры создавать достаточно просто.
Нужно для начала фильтр как-нибудь понятно назвать, затем в поле "источник" выбрать к кому этот фильтр относится (в данном случае – по ip адресу).
После этого определяем набор правил и что делать.

1. Назначение – интернет (то есть IP адреса глобальной сети)
2. Действие – можно просто считать, а можно и сразу заблокировать (для шефа можно поставить "не обрабатывать")
3. Тут же можно задать время, когда действует это правило (например можно по ночам все выключать, чтоб сторож не сидел из под чьего-то аккаунта)

Это основные – нам их пока хватит.



После того как правила созданы, можно включить подсчет трафика и сидеть любоваться на график и ужасаться количеству трафа в таблице :)
Мы уже решили одну задачу – отчеты по трафику на каждого пользователя (или группу пользователей) наша программка уже умеет выдавать.
Единственный нюанс – в бесплатной версии можно создать только 3 фильтра, но мы помним что нам шеф еще 1000 рублей выделил, а этого хватит уже на 15 фильтров.



Теперь переходим к блокировке сайтов.
Для того, чтобы что-то заблокировать или что-то разрешить нужно перейти во вкладку "URL фильтрация" и создать привила.



Правила можно создавать запрещающие и разрешающие доступ к тем или иным ресурсам.
Для начала заблокируем все сайты :) Сделать это можно добавив правило "*" (совсем я забыл сказать о том что можно использовать маски)

После того как все заблокировали можно начинать что-то разрешать :)
Если нам нужно дать доступ к ресурсу, то достаточно написать его адрес и поставить перед ним знак "+"

Помимо адресов сайтов можно блокировать контент по его типу, например что бы заблокировать все фильмы в формате avi нужно создать правило "*.avi", а если мы хотим слушать и качать mp3-шки, то необходимо из разрешить правилом "+*.mp3"

Фильтры можно применять как к какому-то конкретному пользователю (группе пользователей), так и ко всем сразу.



Теперь, если наши пользователи полезут на "запрещенный сайт", то увидят они вот что:
(от щас воплей будет :))))


А вот thinkit.ru мы всем разрешили, но некоторые картинки на нем не показываются....



Начинаем разбираться – это просто аффтар статьи поленился перенести картинки на сервер thinkit.ru и лежат они на сервере, который блокируется нашим Tmeter'ом...
Но, это тоже легко поправить – нужно матернуть автора :) создать для jpg-картинок отдельный разрешающее правило и после этого все будет показывать нормально:



Ну вот собственно и все основные моменты настройки. Теперь можно спокойненько сидеть и создавать нужные правила, фильтры и ждать премии от злого шефа в конце месяца :)