8.4  Proxy server

WinRoute obsahuje klasický HTTP proxy server, přestože umožňuje díky technologii NAT přímý přístup do Internetu ze všech počítačů v lokální síti. V některých případech totiž není použití přímého přístupu vhodné nebo jej nelze použít vůbec. Jedná se zejména o tyto situace:

  1. Z počítače s WinRoute není možné přímé připojení, je třeba použít proxy server poskytovatele Internetu.

    Proxy server ve WinRoute umí využívat tzv. nadřazený proxy server (parent proxy server), kterému předává veškeré požadavky.

  2. Připojení do Internetu je realizováno vytáčenou linkou a přístup na určité WWW stránky je blokován (viz kapitola 12.2  Pravidla pro URL). Při použití přímého přístupu dojde k vytočení linky dříve, než může být zachycen vlastní HTTP požadavek (linka je vytáčena na DNS dotaz nebo při požadavku klienta na navázání spojení s WWW serverem). Při přístupu na zakázanou WWW stránku WinRoute vytočí linku a poté zablokuje přístup na požadovanou stránku — linka je vytočena zbytečně.

    Proxy server dokáže přijmout a zpracovat požadavek klienta lokálně. Jedná-li se o zakázanou stránku, k vytočení linky nedojde.

  3. WinRoute je nasazen do sítě s velkým počtem počítačů, kde byl dříve používán proxy server. Změna konfigurace všech počítačů by byla časově i technicky náročná.

    Při použití proxy serveru zůstává přístup do Internetu funkční — konfigurace jednotlivých počítačů může zůstat nezměněna (případně lze změnit nastavení pouze na některých počítačích).

Proxy server ve WinRoute lze použít pro protokoly HTTP, HTTPS a FTP. Proxy server nepodporuje protokol SOCKS (speciální protokol pro komunikaci mezi klientem a proxy serverem).

Poznámka: Podrobné informace o použití FTP přes proxy server ve WinRoute naleznete v kapitole 25.3  FTP přes proxy server ve WinRoute.

Konfigurace proxy serveru

Parametry proxy serveru se nastavují v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Proxy server.

Nastavení parametrů HTTP proxy serveru

Obrázek 8.15. Nastavení parametrů HTTP proxy serveru


Povolit netransparentní proxy server

Tato volba zapíná HTTP proxy server ve WinRoute na portu uvedeném v položce Port (výchozí port je 3128).

Upozornění

Zadáme-li do položky Port číslo portu, který již používá jiná služba či aplikace, pak po stisknutí tlačítka Použít WinRoute tento port sice akceptuje, ale proxy server na něm nespustí a do záznamu Error (viz kapitola 22.8  Záznam Error) se vypíše chybové hlášení v tomto tvaru:

failed to bind to port 3128: another application is using this port

Pokud nemáte jistotu, že zadaný port je skutečně volný, pak bezprostředně po stisknutí tlačítka Použít zkontrolujte záznam Error, zda se v něm takovéto hlášení neobjevilo.

Povolit spojení na libovolný TCP port

Tato bezpečnostní volba umožňuje povolit nebo blokovat tzv. tunelování jiných aplikačních protokolů (než HTTP, HTTPS a FTP) přes proxy server.

Je-li tato volba vypnuta, pak proxy server povoluje navázání spojení pouze na standardní port služby HTTPS (443) — předpokládá se, že v tomto případě se jedná o přístup na zabezpečené WWW stránky. Je-li volba zapnuta, pak proxy server může navázat spojení na libovolný port. Může se jednat o protokol HTTPS na nestandardním portu, ale také o tunelování jiného aplikačního protokolu.

Poznámka: Na nezabezpečenou komunikaci protokoly HTTP a FTP nemá tato volba žádný vliv. HTTP a FTP komunikace je ve WinRoute obsluhována inspekčními moduly, které propustí pouze platné HTTP a FTP požadavky.

Předávat požadavky nadřazenému...

Zapnutím této volby bude proxy server ve WinRoute předávat veškeré požadavky nadřazenému proxy serveru specifikovanému v následujících položkách:

  • Server — DNS jméno nebo IP adresa nadřazeného proxy serveru a port, na kterém běží (výchozí port je 3128).

  • Nadřazený proxy server vyžaduje ověření — tuto volbu zapněte, pokud nadřazený proxy server vyžaduje ověření uživatele jménem a heslem. Do položek Uživatelské jméno a Heslo vyplňte příslušné přihlašovací údaje.

    Poznámka: Jméno a heslo pro ověření na nadřazeném proxy serveru se posílá s každým HTTP požadavkem. Je podporováno pouze ověřování typu Basic.

Volba Předávat požadavky nadřazenému proxy serveru zároveň automaticky nastavuje způsob přístupu WinRoute do Internetu (pro kontrolu a stahování nových verzí, aktualizaci antiviru McAfee a přístup do online databází modulu ISS OrangeWeb Filter).

Nastavit skript pro automatickou konfiguraci ...

Pro použití proxy serveru je nutné správně nastavit parametry WWW prohlížečů na klientských počítačích. Většina současných prohlížečů (např. Internet Explorer, Firefox/SeaMonkey, Opera apod.) umožňuje automatickou konfiguraci skriptem staženým ze zadaného URL.

V případě proxy serveru ve WinRoute je konfigurační skript uložen na adrese:

http://192.168.1.1:3128/pac/proxy.pac

kde 192.168.1.1 je IP adresa počítače s WinRoute a 3128 je port proxy serveru (viz výše).

Volba Nastavit skript pro automatickou konfiguraci prohlížečů umožňuje přizpůsobit konfigurační skript tak, aby nastavoval prohlížeče správně podle aktuální konfigurace WinRoute a lokální sítě:

  • Přímý přístup — v prohlížeči nebude nastaven žádný proxy server.

  • Proxy server ve WinRoute — v prohlížeči bude nastavena IP adresa počítače s WinRoute a port, na kterém je proxy server spuštěn (viz výše).

Poznámka: Pro použití konfiguračního skriptu musí být proxy server vždy spuštěn (i v případě, že prohlížeče budou nastavovány pro přímý přístup).

Povolit prohlížečům použít konfigurační skript automaticky ...

Prohlížeč Internet Explorer se může být konfigurován zcela automaticky použitím DHCP serveru. V nastavení prohlížeče stačí zapnout volbu Automaticky zjišťovat nastavení (Automatically detect settings).

Podmínkou použití této funkce je spuštěný DHCP server ve WinRoute (viz kapitola 8.2  DHCP server). Parametry TCP/IP na příslušné stanici však mohou být nastaveny staticky — Internet Explorer vyšle při svém spuštění speciální DHCP požadavek.

Tip

Tato volba umožňuje jediným kliknutím nastavit všechny prohlížeče Internet Explorer na počítačích v lokální síti.