Библиотека Интернет Индустрии I2R.ru

Как хорошо, когда в рабочем кабинете есть бесплатный (да еще и быстрый) выход в Интернет! Сразу снимаются извечные проблемы домашнего подключения: дозвон до провайдера, борьба с доисторической АТС, оплата за «лишние» мегабайты и прочие радости сетевой жизни. Настоящая идиллия — и ноги с утра сами несут на работу. Все бы хорошо, но… Почему-то не загружаются музыкальные файлы. Не запускаются игры. Не получается скачать красивую картинку для обоев Рабочего стола. В чем дело? В установках вашего корпоративного прокси-сервера.

Вообще-то, HTTP-прокси ставится в Сеть для блага пользователей. Он позволяет хранить локальные копии наиболее востребованных web-страниц в своей кэш-памяти, намного сокращая время доступа к ним. При этом нет опасности натолкнуться на вредительский скрипт или иную попытку воспользоваться известными дырами браузера (если, конечно, на сервере, где «крутится» прокси, предприняты меры предосторожности). Однако вместе с тем прокси-серверы умеют фильтровать запросы пользователей, создавать черные списки «нежелательных» сайтов, в общем, всячески мешать свободному плаванию по необъятным просторам Интернета. Самое страшное — когда перекрыт всякий доступ в Сеть кроме web-браузинга, контролируемого прокси. Тут уже ни поиграть, ни файлы покачать…

При этом нельзя утверждать, что администраторы предпринимают подобные меры исключительно из желания насолить своим подопечным. Просто оплата доступа в Интернет в большинстве случаев осуществляется из расчета «съеденного» организацией трафика, вот и приходится минимизировать его любой ценой. А в качестве оплаты в подавляющем большинстве случаев выступают права рядового пользователя.

Но не все потеряно! Вовсе не нужно быть хакером, чтобы успешно обходить ограничения, накладываемые прокси-сервером. Достаточно загрузить небольшую программку, настроить ее должным образом, и вы сможете наслаждаться ничем не стесненной свободой перемещения по Всемирной паутине. Пожалуй, лучше других себя зарекомендовала Bouncer, распространяемая бесплатно.

Нанимаем вышибалу

Сразу оговоримся: в настоящее время Bouncer (что в переводе означает вышибала) еще находится на стадии RC (Release Candidate), т. е. где-то между последней бета-версией и окончательным вариантом. Теоретически в программе может находиться еще какое-то количество необнаруженных багов, однако долгая и кропотливая работа программистов позволила вычистить по крайней мере те из них, которые касались вопросов безопасности.

Итак, как же действует Bouncer? Для того чтобы обойти налагаемые ограничения, программа использует давно известный метод так называемого SSL-туннелирования. Ключевым элементом в подобной схеме служит обычный web-прокси, установленный внутри сети; через него и происходит соединение с удаленным компьютером. Дело в том, что SSL изначально задумывался как способ подключения к web-узлам с соблюдением максимальной секретности, а также анонимности передаваемых данных для всех участников связи, напрямую не задействованных в транзакции. Например, когда оплачивается товар в Интернет-магазине по кредитной карте, ее номер известен только вам и платежной системе. Никакие другие программы, включая web-прокси и файервол вашей сети, не должны даже пытаться расшифровать содержимое пакетов, пересылаемых во время сеанса.

Вот и замечательно! Если передаваемые нами данные не анализируются, то никто и не сможет применить к ним политику запрета. Единственная проблема, с которой сталкиваются подчас пользователи Bouncer,— жесткая привязка SSL-соединений к определенным портам, как правило 443 и 563. В этом случае не обойтись без внешнего редиректора запросов, который принимает исходящие пакеты по одному из этих портов и ретранслирует их дальше по указанному адресу.

Основные команды

Bouncer — утилита с интерфейсом командной строки, поэтому работать с ней довольно неудобно. Некоторые из команд обязательны для каждого сеанса работы, в то время как опциональные параметры вводятся только по мере надобности. К числу первых относится адрес удаленного Интернет-ресурса и номер порта. При вводе этих величин используется следующий синтаксис: --destination <адрес хоста>, например, --destination doom3.allgames.ru:667.

Как видно, придется указывать не только адрес удаленного сервера, но и его порт. Опытные геймеры наизусть помнят десятки номеров, а для работы через браузер указывается 80-й порт, используемый по умолчанию.

--port <номер порта>, например --port 3120

Здесь имеется в виду порт на локальной машине, по которому соединяется Bouncer в рамках текущего подключения. Если никакие настройки сетевого окружения не ограничивают выбор, смело выбирайте любой порт (главное, чтобы он не был занят каким-то другим приложением), а если используется режим SOCKS (см. врезку на следующей странице), его номер может быть фиксированным. Кроме того, параметр --destination заменяется на --socks5.

Далее указываются опциональные параметры запуска.

--timeout <секунды>, как следует из названия, задает период отсутствия активности, после которого соединение прерывается. Параметр одинаково относится как к внезапно замолчавшему удаленному серверу, так и к собственному SOCKS-прокси, не желающему открывать для вас линию связи.

--daemon — UNIX-аналог системных сервисов. Задав этот параметр, вы отправляете программу в фоновый режим. Рекомендуется указывать --daemon во всех случаях, если управление Bouncer в ближайшее время не предвидится или когда мимо проходят сисадмины.

Параметры --logfile <путь> и --full-time задают характер протоколирования работы. Первый указывает путь к лог-файлу, а второй включает расширенный формат даты и времени. Впрочем, чтение собственных логов представляет невеликий интерес, так что оба ключа можно смело опустить. Другое дело, если вы устанавливаете Bouncer для своих «подопечных», будучи добрым администратором локальной сети. Тут, конечно, будет совсем не лишним проследить за их активностью.

Если установленный в вашей сети прокси-сервер требует идентификации пользователей, имя и пароль можно передать прямо в командной строке:

--t_user <имя пользователя>

--t_password <пароль>

Оба ключа применяются в том случае, если прокси-сервер использует методы базовой идентификации (Basic Authentication).

Наконец, набор параметров для настройки доступа к самому Bouncer пригодится в том случае, если помимо вас на компьютере работает еще несколько человек или, как уже говорилось выше, вы инсталлируете программу на пользовательские машины и хотите проконтролировать, кто, когда и куда будет через нее подключаться.

Ключи --allow и --deny определяют списки тех адресов, обращение к которым разрешено или соответственно запрещено. В командной строке указывается до восьми адресов в той или иной категории. При этом если вы задали ключ --allow, все адреса, за исключением приведенных в списке, будут считаться запрещенными; с точностью до наоборот работает ключ --deny. В качестве параметров задаются как полные IP-адреса, так и их шаблоны, например:

--allow 194.35.*.*

Защита на уровне пользователя определяется ключами --s_user <имя пользователя> и --s_password <пароль>.

Bouncer воспринимает параметры из командной строки. Не самый удобный метод, но функциональность программы искупает этот недочет

Заметаем следы

В Bouncer реализован интересный механизм — обращение к программе через web-интерфейс. Включается эта функция при помощи ключей --a_port <номер порта>, --a_bind , --a_user <имя пользователя> и --a_password <пароль>. Так, следующий набор команд:

--a_port 82
--a_bind 194.84.133.2
--a_user mega_boss
--a_password bouncingbeeble

разрешает пользователю с именем mega_boss подключаться через web-браузер по 82-му порту к Bouncer, установленному на машине с IP-адресом 194.84.133.2. Таким образом, вы работаете с программой, которая физически загружена на совершенно другом компьютере.

Вот, собственно, и все, что касается настроек Bouncer. Тысячи людей во всем мире с успехом пользуются этой компактной и, что немаловажно, бесплатной утилитой. Однако может статься, что управление программой через командную строку покажется вам чересчур сложным или неудобным? Что же, в таком случае обратите свое внимание на другие средства обхождения запретов прокси-серверов, в чем-то уступающие Bouncer по функциональности, но зато обладающие графическим интерфейсом.

Работа с комфортом

Один из лучших пакетов этого класса для операционных систем Windows — HTTPort (http://www.htthost.com/). Он также использует туннелирование через установленные HTTP-прокси и SOCKS-серверы и позволяет работать с большинством популярных программ, включая программы электронной почты, ICQ- и AIM-пейджеры. С точки зрения внутренней архитектуры HTTPort является всего лишь клиентом и требует для своей работы специального удаленного сервера HTTHost. Вам, однако, не обязательно устанавливать его собственноручно, так как в Сети существует определенное количество публично доступных HTTHost.

Пожалуй, основное достоинство HTTPort — высокий уровень автоматизации всех настроек. Непосредственно после инсталляции программа самостоятельно определяет все необходимые параметры вашей машины и, возможно, блокирующего выход во внешнюю сеть прокси-сервера. Конфигурация редактируется в визуальном режиме через три окна: System, Proxy и Port Mapping.

Благодаря графическому интерфейсу настраивать HTTPort гораздо удобнее

В первом задаются параметры запуска программы: «Start and minimize automatically» добавляет HTTPort в список автоматически грузящихся при старте операционной системы программ, «Hide on minimize» прячет ее иконку от посторонних глаз, а «Accept only connections from this computer» не выдает запущенную утилиту сетевым сканерам портов.

Окно Proxy, как следует из названия, содержит информацию о прокси-сервере. В подавляющем большинстве случаев вам не потребуется здесь ничего исправлять — программа выполнит поиск за вас.

Наконец, на закладке Port mapping вручную выставляются привязки между портами и использующими их программами. Схема действия проста: указываете адрес интересующего приложения и его порт, а также локальный порт, необходимый для соединения на вашей стороне. И все! От начала и до конца настройка занимает меньше пяти минут. Правда, за это приходится расплачиваться: например HTTPort вообще не поддерживает UDP-протокол. Что же, простота требует жертв…

Как Bouncer, так и HTTPort не гарантируют 100%-го результата, и вы должны отдавать себе в этом отчет. Кроме того, администраторы локальных сетей при желании могут обнаружить и прикрыть найденные лазейки. Однако если число компьютеров в вашей организации велико, а сисадмины необычайно добры или нерадивы, остается немалый шанс получить вожделенную свободу.