Новое в 1.1.3

ВНИМАНИЕ! Внимательно прочтите про особенности фильтров. Старые фильтры контента,  также правила кеширования могут не работать. Новый набор предустановленных фильтров можно скачать отсюда.

Активация программы.

Активация программы теперь производится только в онлайн через сервер активации компании SMART-SOFT. Т.е. для этой процедуры требуется обязательное подключение к Интернет. Протокол - HTTP, порт 80. Если подключение производится через другой прокси сервер, то предусмотрена возможность произвести активацию через него. Запрос на активацию отправляется непосредственно с сервера, а не с консоли администратора, что позволяет без проблем провести эту процедуру с консоли удаленно.

Привязка теперь производится только к конфигурации оборудования. Для постоянной активации это процессор, материнская плата и BIOS. Для временной активации дополнительно используются данные жестких дисков.

Все процедуры активации автоматизированы. Обращение к продавцу может потребоваться только при выработки лимита смены замены оборудования или для продления временной активации.

При постоянной активации требуется ввод ID продукта и PIN. Эти данные надо получить у продавца. Повторная активация будет требоваться -

1. При обновлении на другую версию. Количество повторных активаций не ограничено.
2. Замена оборудования.

Имеется лимит количества повторных активаций при замене оборудования, если он исчерпан, то можно будет связаться с продавцом и увеличить это лимит. При замене оборудования возможность повторной активации на старом блокируется, поэтому эта операция требует специального подтверждения в мастере активации.

Все старые ключи активации работать не будут, поэтому все без исключения могут выписать временые ключи.

Если возникают какие-то проблемы при активации, следует отправить support report в техподдержку (Диагностика, Отчет).

Advanced Routing (156 сборка).

АР - это новая функция, позволяющая полноценно задействовать несколько подключений с Интернет одновременно. Это также называется Source Routing или Policy Routing.

Роутер Windows при выборе внешнего интерфейса использует только один, выбирая его по наличии маршрута по умолчанию. Если имеется несколько маршрутов по умолчанию, то роутер все равно будет отправлять пакеты только по одному, выбирая маршрут с наивысшим приоритетом. Единственный способ в Windows задействовать несколько подключений - это назначение статических маршрутов по адресам назначения.

На рынке имеются решения для Windows, где задача роутинга по различным критериям частично решается.  Но это делается реализацией практически параллельного роутера. Наше решение использует роутер Windows, что позволяет полностью задействовать все службы Windows, а также обеспечить корректную работу через прокси и SOCKS.

Настройка АР сводится к следующему -

1. На все внешние интерфейсы, с которыми будет работать эта функция, надо назначить маршруты (шлюзы) по умолчанию. Используйте статические маршруты в RRAS, IP настройки интерфейсов, или утилиту route.exe.
2. Подключите все интерфейсы, с которыми будет работать АР - программа при конфигурировании позволяет делать привязки только к активным интерфейсам.
3. Запустите конфигуратор Traffic Inspector, выберите все необходимые внешние интерфейсы и на закладке "Внешние сети - дополнительно" включите эту функцию.
4. В списке интерфейсов внешний интерфейс, для которого эта функция будет разрешена, будет отмечен иконкой со стрелкой. Если стрелки нет, то у интерфейса нет маршрута по умолчанию.
5. Примените опцию к клиентам, группам, а также настройте правила в фильтрах - см. ниже. Новые настройки находятся на закладках "Роутинг".

АР решает задачу выбора внешнего интефейса по различным критериям - клиент, группа, тип трафика и т.д.

По настройкам фильтров см. ниже. Логика применения правил для роутинга аналогична другим. Но имеется еще одна настройка у фильтра на закладке "Роутинг" - факт перенаправления пакета на другой интерфейс может использоваться еще как условие для фильтра. Так как фильтры обрабатываются строго по списку, то размещая такие фильтры после фильтра, который сделал перенаправление, можно собрать логику применения условий в зависимости от используемого внешнего интерфейса. Например, применить скидки (наценки). Тут также следует учесть, что настройки клиентов (групп) применяются позже просмотра списка.

В случае использования спутникового подключения, когда трафик принимается с одного интерфейса (DVB карта), а передается через другой, эти оба интерфейса надо обазательно указать в процессе конфигурирования интерфейсов (мастер настройки).

Для анализа работы этой функции в сетевой статистике пользователя сделана запись соотв. атрибута - имя внешнего интерфейса, куда был перенаправлен трафик.

Ограничения функции АР -

1. Функция не применяется для трафика, генерируемого с самого сервера, за исключением служб прокси сервера программы и SOCKS.
2. Для трафика, генерируемого с самого сервера через дополнительные внешние интерфейсы (кроме интерфейса по умолчанию) могут быть коллизии, если на эти-же IP адреса идет трафик, перенаправленный АР. Для исключения этих коллизий программа производит анализ таблицы маршрутов и не применяет АР, если трафик маршрутизируется в правильном направлении штатным роутером. Поэтому в первую очередь очень важно тщательно настроить роутер Windows.
3. Имеется ограничение на количество внешних интерфейсов с задействованной функцией АР - не более 7 LAN и не более 7 WAN интерфейсов.
4. Функция не работает через прокси сервер, если используется форвардинг (каскад).

Ввиду ограничений п.1 и 2 не следует использовать АР, если задача маршрутизации может быть решена средствами роутера Windows.

Усовершенствования логики фильтров(154 сборка).

Изменения касаются настройки приоритетов в логики фильтрации, работы внутреннего firewall, правил тарификации и шейпера. Новая внутренняя архитектура обеспечит очень большой выигрыш в производительности сервера особенно при применении больших списочных фильтров.

По умолчанию для "не клиентов" трафик разрешен -

• На сам сервер, если не включен внутренний firewall.
• Если включен внутренний firewall, то на сам сервер может быть разрешен трафик для DNS, DHCP и VPN PPTP сервер в соответствии с включенными галками. Также имеется возможность разрешить отдельно IPSec. Для облегчения задачи администрирования внутренней сети с самого сервера можно отдельно разрешить исходящие ICMP, UDP и TCP запросы. Все эти настройки распростаняются только на трафик между самим сервером и хостами внутренней сети.
• Имеются также 2 настройки, позволяющие для всех разрешить трафик между локальными и публичными внутренними сетями. Данные от сетях берутся на основании таблицы маршрутизации.

Для упрощения настроек в фильтрах тип применения "для всех" у запрещающих фильтров заменен на тип "не клиенты". Они имеют приоритет над разрешениями "для всех".

В консоли разрешающие фильтры "для всех" и запрещающие "для не клиентов" вынесены в два отдельных списка в разделе "фильтры".

Если включен внутренний firewall, то разрешающие фильтры "для всех" на любой адрес назначения на сам сервер трафик не разрешают. Для разрешения доступа на сам сервер надо прописать разрешающий фильтр "на сам сервер", причем в списке такие фильтры надо обязательно поместить выше других разрешающих фильтров. В других случаях порядок фильтров в этих двух списках на логику работы не влияет, но может влиять на производительность - менее ресурсоемкие фильтры следует помещать в начало списка.

Для клиентов при фильтрации и применении параметров теперь применена логика единого списка - разрешающие,  запрещающие и другие типы фильтров при анализе пакета обрабатываются последовательно строго в зависимости от их порядка, заданного в списке консоли, причем порядок разных типов фильтров может быть произвольным. Это теперь позволяет реализовать практически любую логику фильтрации и произвольно переопределять параметры.

Логика просмотра списка следующая. Просмотр идет с начала списка и до первого разрешающего или запрещающего фильтра. Если фильтр содержит параметр, то он применяется только если ранее при просмотре списка он не был применен. Под параметрами здесь понимаются дополнительные действия, задаваемые в фильтре -

• Изменение стоимости трафика, в %. Можно задать отдельно для входящего и исходящего, но они выступают как единый параметр. Т.е. если входящий был применен, далее в списке отдельно исходящий переопределить уже нельзя.
• "Не использовать этот трафик для определения скорости" - имеет приоритет перед другими параметрами шейпера. Будет сразу применен, если трафик был разрешен "для всех".
• Переопределение скорости. Скорость переопределяется только для статического регулятора, для динамического (суммарное ограничение скорости для группы) возможности переопределить скорость нет.
• Поднятие приоритета трафика. Ограничение скорости и приоритет - два отдельных параметра шейпера. Применяются отдельно, т.е. их можно задавать отдельными фильтрами.
• Роутинг - выбор внешнего интерфейса.

Единый список фильтров клиента в консоли разбит на 3 списка в порядке их просмотра при анализе пакета -

1. Клиенты, Фильтры, До группы. Не применяется, если в группе у клиента не стоит "Использовать общие фильтры".
2. Группы, Клиенты, Фильтры, если есть.
3. Клиенты, Фильтры, После группы. Не применяется, если в группе у клиента не стоит "Использовать общие фильтры".

Помещение общих фильтров в первый или третий список меняет их приоритет относительно списка группы.

Параметры ограничения скорости, заданные н настройках клиента или группы имеют самый низкий приоритет, т.е. фильтры их всегда переопределяют.

Если включен внутренний firewall, то разрешающие фильтры клиентов на любой адрес назначения на на сам сервер трафик не разрешают. Для разрешения доступа на сам сервер для клиентов надо прописать разрешающий фильтр "на сам сервер".

Для клиента, у которого включено "является администратором", внутренний firewall не применяется, а также к нему не применяются фильтры на запрет. Это сделано для исключения ситуации недоступности сервера при удаленном администрировании при ошибках в процессе настройки фильтров. Это распространяется только на IP фильтры, для фильтров приложений запрещающие правила действуют обычным образом.

Если трафик подпадает под условие разрешения его "для всех" (см. выше), то он всегда считается бесплатным и направляется мимо шейпера. Это также относится к любому трафику в пределах внутренних сетей. Данные от сетях тут берутся на основании таблицы маршрутизации.

С целью диагностики работы фильтров и авторизации в сетевую статистику пользователей добавлен отдельный коллектор для для неавторизированного трафика. Эта статистика в логи не пишется, доступна только как текущая. Писаться она будет, если в общих настройках сетевой статистики включена опция учета всего трафика.

В консоли фильтры из одних списков могут перемещаются в другие при изменении их соотв. свойств при редактировании.

Доработки логики фильтров прокси сервера  и SOCKS.

Логика фильтров приложений (прокси и SOCKS) теперь полностью повторяет логику IP фильтров (см. выше), но имеются особенности -

• Появились фильтры "для всех" и соответственно добавлена возможность работы через службы прокси сервера без авторизации.
• Если клиент авторизован, но его трафик подпал под разрешения "для всех", то фильтры приложений на запрещение "для клиентов" действовать по-прежнему будут. Это сделано для того, что-бы нормально работали фильтры F1-F4, баннерные списки и т.д.
• Фильтры действий (тарификация, шейпер и др) теперь также доступны и для фильтров приложений. Это теперь дает возможнсть, например, ограничить скорости для определенных типов данных или назначать скидки (наценки).
• Фильтр приложений теперь никаких действий для прямого трафика (через NAT) не производит. IP фильтр также применятся и для трафика через прокси. Т.е. IP фильтр распространяется на любой трафик, а фильтр приложений только через прокси (SOCKS).

Фильтры приложений теперь обрабатывают выражения типа regular expressions (т.н. Регулярные выражения), описание смотрите тут.

В связи с этим параметр типа поиска (но началу, ключевое слово и т.д.) убран. Если задан список, то в нем анализируется URL с полным путем - хост + относительный путь + параметры. Другие параметры запроса (протокол, порт, пароли) отбрасываются. Если не список, но анализируется относительный путь + параметры запроса. В этом случае выражение вводится в поле URL.

Прокси сервер при анализе запроса теперь нормально перекодирует русские русские буквы, которые могут встретиться в параметрах запроса. Это полезно при обработке запросов поисковых систем. Т.е в выражении фильтра можно явно писать русскими буквами, а не использовать специальную кодировку. Также такие декодированные запросы пишутся и в логи прокси сервера.

Доработки в правилах кеширования.

В правилах кеширования теперь также используются регулярные выражения.

Firewall.

Для внешнего и внутреннего сетевого экрана реализованы динамические фильтры для FTP-DATA. Работают как для активного, так и пассивного режима. Это позволяет решить проблему настройки firewall для случая, когда для FTP-DATA используется нестандартный порт (не 20-й).

Динамическая фильтрация firewall с пассивным режимом позволяет публиковать любые FTP сервера, причем несколько на разных портах.

156 сборка - добавлена возможность в правилах firewall указать внешний интерфейс.

FTP прокси.

Убран классический FTP прокси сервер, так как с появлением динамической фильтрации FTP-DATA актуальность его пропала.

Новое в версии 1.1.3.

Начат перевод настроек программы в xml формат, в частности настройки сетевой конфигурации и активации. Перевод настроек из старого формата в новый производится автоматически, т.е. никакого повторного конфигурирования программы не требуется.

• Снято ограничение на количество конфигурируемых интерфейсов. Ранее это было 5-6 в зависимости от длины имен.
• Интерфейсы теперь идентифицируются как по именам так и по системным идентификаторам (GUID).
  В Windows для RRAS DialDemand интерфейсов выявилась неприятная особенность - система могла сама произвольно сменить идентификатор интерфейса, что приводило к их отключению в программе. Теперь это устранено.
• Также, как и раньше, интерфейсы и соединения в системе можно безболезненно переименовывать, программа их не потеряет. Но при этом Windows не посылает сигнал программе об изменении сетевых настроек, для немедленного обновления имен интерфейсов в программе можно вручную произмести сброс интерфейсов с консоли.
• Аналогично реализована привязка к интерфейсу в настройках внешних счетчиков.
• В внешнем firewall появилась возможность его выборочного отключения джля различных интерфейсов.
• Добавлена опция автоматического назначения всех RAS и DialDemand соединений как внешних. По умолчанию включена. Следует отметить, что программа не поддерживает назначение таких интерфейсов как внутренних.
• Интерфейс Dial-In RAS сервера теперь, если имеется, назначен как внутренний всегда.

Все эти новые настройки доступны через мастер конфигурирования программы.

Доработки мастера активации.

Теперь при активации программы, если привязка производится к железу или текущему внешнему IP адресу, привязку можно не вводить.

Отчет support report.

Реализован новый мастер отправки отчета для техподдержки о конфигурации программы и системы. Он формируется ввиде xml данных. Также может быть автоматически сформирован на сервере и отправлен системный отчет в формате system information. Для отпрвки отчета наличия почтовой программы не требуется, достаточно только, что-бы сервер был подключен к Интернет.

Новый протокол авторизации (148 сборка).

С целью реализации большей безопасности, гибкости и быстродействия реализован новый протокол обмена сервера авторизации (версия 2). Его особенности -

• NTLM аутентификация для сквозной Windows авторизации при работе сервера и клиента в домене. Это устранило выявленную уязвимость старой версии протокола  и позволило теперь использовать этот способ авторизации для клиентов с Windows 9x (150 сборка).
• В PE режиме теперь используется только NTLM аутентификация.
• При использовании Windows аутентификации и PE режиме реализована возможность авторизации под любым пользователем, не только под текущим (150 сборка).
• Меньшая длина пакета, в некоторых случаях почти в 2 раза. Это должно улучшить работу в проблемных сетях.
• Появилась расширяемость и возможность передачи дополнительных данных.

Переписан заново агент. Главное новшество - многопоточная реализация и, как следствие, отсутствие блокировок на время запроса. Также переделан сервер авторизации, он теперь почти не подвержен блокировкам со стороны других задач программы и, как следствие, должен обеспечить более устойчивую работу.

Для обеспечения обратной совместимости сервер авторизации в полном обьеме поддерживает работу агентов со старой версией протокола. Учитывая наличие уязвимости в старом протоколе, добавлена возможность запрета работы со старой версией протокола (Окно общих настроек клиентов, закладка Авторизация).

ВНИМАНИЕ! Новый агент работу с сервером со старой версией протокола НЕ ПОДДЕРЖИВАЕТ.

Рассылка сообщений пользователям (149 сборка).

Реализована служба рассылки POPUP сообщений пользователям. Основное предназначение - оповещение пользователей администратором сети.

Сообщения отправляются через соотв. меню и кнопку в мониторе работы консоли. Есть возможность отправки сообщения индивидуально одному пользователю или всем. Также предусмотрена возможность отмены отправки сообщений также индивидуально или для всех.

Отправленное сообщение запоминается службой программы. Доставляется оно через агента пользователя, а также отображается на главной страничке сервера статистики. После доставки сообщение удаляется. Очередь сообщений в программе не реализована, т.е. запоминается для отправки только одно сообщение. Если сообщение не было доставлено, новое сообщение затирает старое.

При отправке сообщения можно ввести дополнительные параметры -

• Сообщение может храниться только до перезагрузки сервера. Т.е. при выгрузке сервиса они не запоминаются. Это может быть полезно для оповещений о планируемой перезагрузке сервера.
• Может быть введено ограничение на время отправки. Если сообщение в течение заданного времени отправлено не будет, оно удаляется.

Эти функции отправки сообщения также доступны через API. См. справку.

Аутентификация администратора в консоли (151 сборка).

Доработка связана с реализацией возможности войти на сервер под любой учетной записью Windows, не только текущей.

Статические ARP (151 сборка).

Реализована поддержка статических ARP записей в стеке TCP/IP. Записи вносятся на основании параметров авторизации для клиентов -

• У клиента указан MAC адрес.
• Тип авторизации - MAC+IP или Login+IP+MAC. IP адрес одиночный (не диапазон).
• IP адрес клиента входит в подсети внутренних интерфейсов, назначенных в программе. Т.е. клиент и сервер должны находится в одном сегменте сети. При вводе данных авторизации в консоли это теперь проверяется, но ранее введенные данные могли быть не корректны. К фатальным ошибкам это не приведет, но авторизация работать не будет.
• Тип доступа клиента - не запрещен. (Не путать с состоянием СТОП). Т.е. перевод клиента в "Запрещен" удалит и соотв. статическую ARP запись.
• Опция прописки статических ARP для клиента разрешена. Для этого в параметрах авторизации клиента введена соотв. настройка. По умолчанию включена.

Запись статических ARP позволяет -

• Обеспечисть лучшую защиту авторизации, так как стек TCP/IP системы на пакеты с другой комбинацией MAC+IP реагировать просто не будет.
• Ускоряет работу сети, так как стеку TCP/IP не требуется определение сетевых адресов путем рассылки ARP запросов.

Информация о внесении статической ARP записи для клиента отображается в мониторе работы, там где указан тип авторизации.

При обновлении статических ARP записей программа по необходимости производит удаление из ARP таблиц конкретных интерфейсов всех статических записей. Поэтому, если имеются сторонние программы, которые работают со статическими ARP записями, их данные могут быть удалены.

При определении MAC по IP в консоли статические записи не отрабатываются. Т.е. эта функция определяет реальный MAC адрес в сети. Если данный компьютер отключен, то будет возвращена ошибка.

При остановке сервиса программы все ARP записи удаляются, тем самым восстанавливается обычная работа системы.

Новое в версии 1.1.2.

Добавлено 5 новых настроек драйвера для более тонкой настройки программы. Доступны в окне общих настроек программы, закладка "Драйвер".

• Лимит буфера обмена. По умолчанию 1024 пакета. Задает внутренний буфер данных, передаваемых драйвером для обработки программой.
  Если в статистике интерфейсов появляются пропущенные пакеты, увеличение размера этого буфера может помочь это исключить. Но это рекомендуется делать, если достаточно свободных ресурсов процессора.
  Для ситуации, когда ресурсы процессора на пределе, следует этот буфер уменьшать. Это приведет к появлению потерянных пакетов, но может устранить более опасную ситуацию "затыка" обработки всей очереди данных и перегрузке всей системы.
• 4 параметра лимита очередей шейпера. Отдельно для очереди юзера и группы (динамический шейпер). Ограничение имеется ввиде количества пакетов и максимальной задержки (времени жизни). По умолчанию 128 пакета и 5000 миллисекунд, для пользователя и группы одинаковые. Эти лимиты предназначены для предотвращения неконтроллируемого увеличения размера очереди в процессе работы регулятора скорости трафика, при превышении лимита по какому-то параметру пакеты удаляются, что приводит у ухудшению работы приложений.
  Больший размер очереди требует больших ресурсов процессора и, если они есть, то эти параметры можно немного увеличить. Но до разумных пределов, так как перебор приведет к обратному результату - ухудшению работы приложений.
  Если же каналы скоростные и ресурсы процессора на пределе, то очередь можно уменьшить. В первую очередь за счет уменьшения времени жизни.
  Контроллировать процесс переполнения очереди шейпера можно, скопировав подробные данные статистики сетевых интерфейсов - "Копировать в буфер" в главном окне консоли, параметры "Shaper queue overrun" и "Recv/Send shaper queue".
  При оптимизации работы шейпера для группы размер очереди можно задать большим, чем для пользователя.

Доработки в тарификаторе.

Ранее трафик на все IP адреса самого сервера по умолчанию был бесплатным, остальной платным. К этому добавлено следующее -

• Сделан также бесплатным трафик, разрешенный фильтрами "для всех". Ранее надо было прописывать отдельные фильтры для тарификации.
• Появилась настройка, делающая бесплатным трафик сразу на все внутренние сети. Находится в общих настройках клиентов, закладка "Дополнительно". По умолчанию включена. Внутренние сети определяются на основании таблицы маршрутизации системы, эта настройка дополняет аналогичные для фильтров во внутреннем firewall. Это существенно упрощает настройки программы в случаях, когда через сервер идет внутрисетевой трафик и его считать не надо.
  ВНИМАНИЕ! Эта настройка при работе через прокси сервер или SOCKS не работает! Взамен следует использовать новую настройку в LAT (см. ниже).

Доработана логика фильтров для тарификации. В при настройке коррекции стоимости трафика появилась опция "Переопределять бесплатный по умолчанию". Ее включение обязательно нужно, если надо сделать платным трафик, который предопределен как бесплатный - случаи этого описаны выше.

Для уменьшения нагрузки на процессор логика выявления бесплатного трафика вынесена в драйвер программы. Это важно, когда на сервере работают такие службы, как файл сервер, внутренний FTP и т.д, и трафик на них очень большой. Но имеются 2 настройки, при включении которых бесплатный трафик будет передаваться на обработку сервису программы -

• Галка "Учитывать бесплатный трафик" в общих настройках сетевой статистики. Там ранее была еще галка "Учитывать локальный трафик", ее убрали. Эту галку следует временно включать только для целей отладки и диагностики сети.
• Галка "Анализировать отфильтрованный и бесплатный трафик" в настройках "Контроля нарушений политики авторизации". Отключение этой галки эту опцию контроля совсем не отключает, но контролю будет подвергаться только трафик, подложащий учету в билинге. Не следует ее включать, если ресурсов у процессора недостаточно.

Доработка в сетевой статистике.

• Добавлена запись данных о стоимости трафика - скидки или наценки в процентах, см. выше. Это позволяет в отчетах по сетевой стастике видеть действие скидок (наценок), что упрощает отладку фильтров и настройку тарификации. В отчете по сетевой статистике консоли появилась опция показа трафика с учетом его стоимости или без. В отчете по сетевой статистике через веб сервер также добавлено отображение параметра стоимости трафика, но всегда показывается трафик с учетом его стоимости.
  Следует учесть, что сетевая статистика не может использоваться для точной сверки с данными тарификации (билинга), так как в нее записываются не все данные, а только наиболее активные. Степень детализации определяется индивидуальными настройками, которые задает администратор.
• При работе прокси сервера в сетевую статистику теперь пишется имя хоста из запроса, которое участвует в группировке данных вместе с другими параметрами (IP адреса и порты). Это позволит теперь видеть в отчете сетевой стастики более детальные данные о посещаемых ресурсах. Т.е. если, например, обращение идет по разным именам веб серверов, находящихся на одном IP адресе, статистика по ним будет вестись отдельно.

Доработки в прокси сервере.

• Введена настройка для задания LAT на основе таблицы маршрутизации системы, что упрощает настройки, избавляя от необходимости вводить внутренние сети, осебенно если их много. По умолчанию отключена, так как LAT требует обязательной настройки DNS у клиента, что часто неопытными пользователями не делается.

Другие доработки в 144-й сборке.

• Доработка режима "прослушки". Выявлена ошибка, из-за которой нефиксировались в билинге входящие пакеты.
• Исправлена ошибка шейпера - на работало ограничение скорости на передачу при работе через прокси на первом запросе в сессии.