Hlavní navigace

Železný proxy server pod lupou

Petr Tesařík 13. 4. 1999

Proxy server? Nihil novum sub sole, chtělo by se říci. Ale tentokrát se jedná o unikátní hardwarové řešení se spoustou zajímavých vlastností. Po důkladném otestování v provozu vám přinášíme recenzi na Argus CelerAccess-300 Internet Access Server.

Věcí, která zarazí už na první pohled, je velikost zařízení. Však mne také hned s jistou dávkou despektu napadlo: „Co se asi tak může vejít do krabičky jen o něco málo větší než můj hardwarový klíč ke Cubase?“ Ale jak se ukázalo, první dojmy často klamou. Tedy k věci.

Stručně řečeno, Argus CelerAccess-300 IAS je „taková malá věcička, co se zastrčí do modemu, kabelem připojí k hubu a pak se stará o připojení té lokální sítě k Internetu“. Skutečná instalace není o mnoho složitější. Instalační program si zařízení na síti sám najde, zeptá se na několik základních faktů jako telefonní číslo ISP, jméno a heslo, IP adresu DNS serveru, typ modemu a rychlost, kterou s ním má komunikovat. To je nejjednodušší a pravděpodobně i nejčastější způsob instalace. Jinak, pokud nemáte (nebo nechcete používat) Windows, dá se IAS nakonfigurovat i přes null-modemový kabel a terminálové rozhraní.

Potom je třeba na všech počítačích v síti nastavit IP adresu IAS jako default router, resp. ještě nastavit MSIE, aby se nepokoušel připojovat vytáčeným spojením. Windows je v tuhle chvíli navíc nutné restartovat – Unixáci si asi jenom nechápavě poklepou na čelo, napíšou route add default gw ... a pokračují v práci, ale o tom to vlastně není. Naštěstí ten restart tentokrát stačil jeden. :-) Tož, a to je vše přátelé, račte si spusťit svůj oblíbený brousič a IAS už začne vytáčet…

Ve skutečnosti předtím ještě doporučuji spustit Net-Device Manager a nastavit dobu, po níž se IAS při neaktivitě automaticky odpojí. V tomhle ohledu bych měl přece jen několik výtek. Za prvé, telefonní společnosti zpravidla tarifují v pevných intervalech, např. SPT při standardním tarifu každé dvě minuty, resp. každé čtyři minuty v období slabého provozu. Z hlediska ceny je tedy jedno, jestli spojení trvá 2:01s nebo 3:59s. Nicméně IAS natolik inteligentní není a zavěsí prostě po určité době neaktivity. Druhá výtka je závažnější a týká se toho, co u Argusu chápou jako neaktiviu. Pokud totiž např. na IAS někdo zvenčí pingá (jak je tomu u jednoho nejmenovaného ISP, který tak patrně zjišťuje, jestli je linka funkční), IAS se neodpojí nikdy. Navíc provoz zvenčí, narozdíl od provozu, pocházejícího z lokální sítě, nejde nijak odfiltrovat. :(

Jinak má ale IAS spoustu sympatických funkcí, které by člověk od takového kousku hardwaru (a samozřejmě i softwaru) ani nečekal. Jednou z nich je DHCP (Dynamic Host Configuration Protocol, RFC1533), tedy protokol pro dynamické konfigurování počítačů v síti. Pokud netušíte, k čemu by to mohlo být dobré, pak vězte, že od chvíle, kdy jednou nakonfigurujete IAS, se už nikdy nemusíte starat o to, jaké IP přidělit kterému počítači, jak nastavit DNS apod. Stačí zvolit IP adresu IAS jako DHCP server a vše se již nakonfiguruje samo.

Další skvělou vlastností je filtr paketů, který umožňuje určit, které služby smí ten který počítač v síti používat. Lze tedy např. zakázat FTP, a to buď úplně, nebo jej povolit jen pro privilegované uživatele. Flexibilita konfigurace v tomto ohledu není příliš velká, zato je jednoduchá, přehledná a pro většinu tzv. „kancelářových“ aplikací bohatě stačí. IAS také umožňuje přístupy z Internetu k serverům v lokální síti a to prostřednictvím reverzní NAT (Network Address Translation), tj. přesměrování paketů, přicházejících na určitém portu na jinou IP adresu a port v lokální síti. IAS není omezený na jeden segment sítě, v kterém je připojen. Pokud správně vyplníte routovací tabulku, mohou se k Internetu připojovat i klienti z jiných segmentů, což funguje moc pěkně, zvlášť když tím druhým segmentem je virtuální síť DOSemu pod Linuxem… Ale to jen na okraj.

Činnost IAS je možné sledovat (a do určité míry řídit) programem Net-Device Monitor. Z těch zajímavějších údajů zmíním možnost prohlédnout si záznamy o uskutečněných spojeních, celkové době, kterou byl IAS on-line, době právě běžícího spojení, seznam uskutečněných TCP/IP spojení, apod. Také lze manuálně přinutit IAS k navázání nebo ukončení spojení. Tady mě trochu zamrzelo, že Monitor existuje jenom pro Windows (a pod Wine správně nefunguje), ale vzhledem k cílové skupině uživatelů je to pochopitelné – náklady na vývoj Linuxové verze by se pravděpodobně nevyplatily.

Po stránce zabezpečení (tím rozuměj firewall) je IAS naprosto neprůstřelný. Kromě paketů ICMP ECHO_REQUEST (ping) jsem nezjistil, že by na něco reagoval. Přestože Monitor nějakým způsobem s IAS komunikovat musí, TCP to rozhodně není. Neodpovídá ani ICMP DEST_UNREACH na přijetí UDP paketu na neznámý port, což znemožňuje TRACEROUTE směrem z okolního Internetu, ale co je nepříjemnější, zdá se, že ani správně nerozumí poli TTL (Time To Live) a i takové pakety pouští ven. Z připojené lokální sítě také není možný TRACEROUTE na počítače v okolním Internetu, nejspíš proto, že IAS neumí přiřadit příchozí ICMP pakety k odpovídající lokální adrese, Nutno ovšem uznat, že všechny tyhle nedostatky obyčejný uživatel ani nepocítí.

Člověk, který do Unixu alespoň trochu vidí, si při čtení tohoto článku asi říká, že totéž a v některých ohledech mnohem lépe zvládne úplně obyčejná 386ka se síťovou kartou, Linuxem, diald a bootpd. Má v podstatě pravdu, ale správa takového počítače přece jenom vyžaduje kvalifikovaného člověka, zatímco nastavení IAS by měl zvládnout i naprostý laik. Proto si myslím, že hlavní cílovou skupinou jsou kanceláře a malé firmy, které s Internetem příliš nesouvisí. V neposlední řadě má IAS mnohem menší spotřebu energie. A po stránce technické – klobouk dolů před návrhářemi Argusu. Nacpat do pouhých 256KB systém, protokoly PPP, TCP/IP, DHCP, překlad adres a router je obstojný výkon.

Petr Tesařík


Argus CelerAccess-300 Internet Access Server nám k recenzi zapůjčila firma Mokrý Systems.


Související články a odkazy:

Našli jste v článku chybu?
Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky