Простой api gateway на базе php и lumen

Что там внутри?

Начнем с технических моментов. Ideco ICS построен на ядре Linux 2.4 (ага, сразу запоминаем — могут быть проблемы с драйверами) и содержит ряд компонентов, распространяемых под свободными лицензиями: Apache, ClamAV, Courier, Cyrus, Postfix, MySQL и т.д.

Если перечислять включенные в состав демоны, то сразу становится ясно, что перед нами что-то гораздо большее, чем просто шлюз в инет. Сам посуди: в список серверов, которые можно поднять при помощи Ideco, входят VPN, DHCP, DNS, FTP, NTPD, Jabber и SMTP/POP3 и IMAP-демоны. Даже популярные движки вроде Joomla и phpbb — и те можно автоматически развернуть на веб-сервере. С одной стороны такой пакет «all in one» — это хорошо. Но на кой черт это все, если мне нужен просто шлюз? Прописная истина: чем больше сервисов, тем мощнее должен быть сервер, а это – лишние затраты на оборудование. И тут опять вспоминаем про ядро.

C веткой 2.4 можно легко упереться в потолок по поддержке свежих девайсов. Где прикажете искать дрова, например, для SkyStar3? Там и с веткой 2.6 не все так гладко, а уж с 2.4 ядром даже и начинать ковыряться не стоит. Говорю потому, что знаю: на одном из отдаленных предприятий используется спутниковый инет, и на сервере стоит именно эта DVB-карта. «Пфф, нашел экзотику», — возможно, возразишь ты. Но вспомни про 3G или WiMax-модемы, подключаемые по USB. Так вот, с их подключениями ты также пролетаешь. У бесплатного eBox (ebox-platform.com), который предлагает тот же набор предустановленных демонов, та же проблема — но он и бесплатен. При этом его совместимость с Ubuntu позволяет допилить до любой кондиции, было бы желание. C Ideco похоже придется ограничивать себя только тем, что предоставили разработчики, или искать обходные решения, например, поднять простенький роутер для WiMax или Yota.

Дефолтный браузер

Практически каждый уважающий себя производитель телефонов разрабатывает и внедряет в прошивку свой интернет-браузер. В него может быть вшита программа-шпион или рекламные ссылки. Но даже если их нет – это не означает, что браузер хороший. Отключите его или удалите.

Лучше всего установить Google Chrome – простой и быстрый браузер. Если вы печетесь о конфиденциальности и не желаете захламлять пространство телефона накапливающимся кэшем – ваш выбор Firefox Focus, приватный браузер не оставляющий следов.

По остальным приложениям я составил небольшую таблицу. Здесь всё, что можно отключить без последствий для работы Android.

Ограничения и тарифы

Когда я искал нужного пользователя, чтобы установить определенные ограничения, обнаружил интересную деталь — в дереве пользователей есть поиск по загадочному полю «Реквизит» :). Можно ввести, например, «чайник ». Толку — ноль :). Думал — баг, ан нет. Старые грамотные пользователи подсказали, что поле досталось по наследству от ICS Manager, ныне не поддерживаемого для продукта Ideco ICS. На кой черт? Или вот еще одна любопытная деталь. В продукте существует возможность отправить сообщение потомкам, если в «Пользователях a Отправить сообщение» нажать соответствующую галочку.

Если трафик в локалке жестко лимитируется, то необходимо настроить тарифы. К счастью, в Ideco ICS применена гибкая система тарификации. Тарифные планы, пулы IP-адресов и правила для сетей и интерфейсов настраиваются во вкладке «Тарифы». После установки будет доступно два примера тарифов (обычный и с ограничением скорости). При создании нового тарифа указывается стоимость входящих и исходящих мегабайт, активируется блокировка при превышении лимита, скорость и количество трафика. Честно говоря, не особо изучал данную возможность, так как дома она мне не нужна, а типовой тариф и так подходит для большинства организаций. Наверное, кому-то это пригодится.

На вкладке «Ограничения» можно мстить пользователям. За них даже страшно становится. Пользователя можно лимитировать по типу IP-трафика (запрет на использование интернет-пейджеров, почты), запрещать ему посещение определенных IP-адресов, ограничивать время подключения. Найти особо провинившихся, непомерно сжирающих дорогой трафик, поможет вкладка «Статистика ». Здесь можно сделать выборку по времени, пользователям, подсетям. По отдельной ссылке выводятся данные логов Squid. Тут есть суммарный отчет за месяц «директору на стол», только почему-то он перебрасывает в «Монитор» — как-то это нелогично. Хотя сам отчет вполне ничего себе, с картинками, а директорам, как известно, картинки нравятся :).

Что такое IP-адрес

Как и у большинства людей, у каждого компьютера есть своего рода паспортные данные, состоящие из двух основных частей: MAC- и IP-адресов. Первый вшит в микросхему сетевой карты производителем и, как правило, не меняется — он представляет собой имя компьютера, по которому его могут определить в любой сети. Второй же предоставляется провайдером интернета и является собственно адресом — по нему можно узнать местоположение узла, через который компьютер выходит в сеть.

Вообще, интернет очень похож на обычную почтовую систему. Когда пользователь заходит на какой-либо сайт, домашний компьютер и сервер начинают обмениваться пакетами данных, как люди письмами. Чтобы получилось принять данные сайта, сервер должен знать, куда их отправлять — для этого и нужен IP-адрес компьютера.

Таким образом, в большинстве ситуаций устройства обмениваются своими адресами без помощи человека. Иногда, однако, приходится узнавать IP своего компьютера и указывать его вручную:

• для соединения с другим ПК через интернет или локальную сеть в некоторых программах — например, в онлайн-играх или софте для удаленного доступа к рабочему столу;
• для открытия общего доступа к содержимому жестких дисков или различному оборудованию;
• для настройки локальной сети или подключения к интернету;
• для создания домашнего сервера.

У каждого ПК есть два айпи: внутренний и внешний. Первый используется для различения устройств, объединенных в локальную сеть, второй же является идентификатором в интернете. Оба этих адреса представляют собой серию из 4 трехзначных чисел от 0 до 255 в версии IPv4. Внешний IP может быть практически любым, локальный же практически всегда имеет вид 192.168.xxx.xxx — связано это с тем, что во всемирной сети подсеть с таким номером не используется.

У компьютера может быть и дополнительный набор адресов, созданных по протоколу IPv6. Если идентификатор версии IPv4 имеет размер 32 бита, то более современный протокол позволяет записать порядок чисел объемом 128 бит, что на несколько порядков увеличивает количество возможных адресов. На данный момент IPv6 практически не используется, поэтому разбираться в этом протоколе подробно нет смысла.

Внешние IP-адреса дополнительно делятся на два вида:

• динамические — меняются при каждом переподключении к интернету;
• статические — являются постоянными.

Как правило, провайдер выдает клиентам динамические адреса. Из-за этого, проверяя свой IP, каждый раз можно увидеть разные цифры, причем иногда меняется даже подсеть (первые две группы чисел). Это осложняет геопозиционирование — местоположение, вычисленное по адресу, может меняться в пределах целого региона страны. Узнать, где живет человек, гораздо проще по статическому IP, но такой адрес бывает необходим при организации удаленного доступа.

Совет 5: Как узнать шлюз интернета

Если вам требуется узнать адрес шлюза , посредством которого осуществляется подключение к интернету, либо разобраться в других настройках соединения, нужно следовать нижеприведенному алгорифму действий.

Вам понадобится

• – компьютер;
• – обращение в службу поддержки вашего провайдера;
• – нижеприведенная инструкция

Инструкция

1. Первым и самым верным методом узнать настройки подключения к сети является обращение в службу поддержки вашего провайдера. Эти данные могут потребоваться и при первой настройке подключения компьютера к интернету.

2. Если ваше подключение работает и получает настройки механически, узнать их дозволено дальнейшим образом: нажмите кнопку «Пуск» на рабочем столе, в открывшемся основном меню выберите пункт «Исполнить».

3. Введите в строке cmd, нажмите ОК. В открывшемся окне командной строки введите команду ipconfig /all .

4. В выведенном списке настроек разыщите строку Default gateway (переводится как «Стержневой шлюз»). Адрес, стоящий наоборот этой строки и есть адрес вашего шлюза.

5. Существуют и другие методы узнать адрес шлюза. Скажем, вы можете посмотреть его в окне свойств подключения сетевой карты вашего компьютера к интернету. Для этого раскройте основное меню компьютера кнопкой «Пуск», обнаружьте «Панель управления» и в разделе «Настройка» кликните строку «Сетевые подключения».

6. Перед вами откроется папка с ярлыками всех сделанных подключений. Обнаружьте среди них нынешнее и вызовите его контекстное меню. В нем выберите пункт «Состояние», откроется окно с информацией о данном интернет-соединении. Выберите вкладку «Помощь». Адрес основного шлюза данного соединения расположен на ней в самой нижней строке.

7. Если подключение к интернету осуществляется не напрямую, а посредством роутера (маршрутизатора), основным шлюзом вашего компьютера будет выступать данный роутер. Тогда полученный вышеописанным способом адрес будет его адресом для внутренней сети. Для того дабы обойти данное препятствие, нужно либо осуществить подключение кабеля интернет-соединения к сетевой карте на вашем компьютере напрямую, либо обратиться в службу поддержки вашего провайдера и уточнить адрес основного шлюза.

Сделать самому или поставить сборку?

Готовые решения на базе Linux, заточенные для управления интернетом, разрабатываются уже давно. Такие сборки а-ля «поставил и заработало » пользуются большой популярностью у админов, причем, по моим наблюдениям, как у самых матерых администраторов, так и у начинающих. Помнится, в бородатые времена я даже пользовался каким-то урезанным дистрибутивом фряхи, который запускался с дискеты :). Конечно, есть противники таких работающих решений из коробки, которые считают, что проще взять Слаку, Дебиан и незнамо что еще, а потом методично собирать все самому. Их право, но у меня возможности долго ковыряться с одним только шлюзом нет — время дороже. Другой вопрос, что есть целый ряд альтернативных решений, позволяющих развернуть шлюз, и они… бесплатны!

Несколько таких дистрибутивов мы совсем недавно рассматривали в статье «Сетевые регулировщики» из январского номера ][ (ищи PDF-версию статьи на диске). Ideco Control Server же — сугубо коммерческий продукт. Так за что хотят деньги разработчики при таком обилии бесплатных альтернатив? Может и платить не за что? Вот с этим надо разобраться.

Где посмотреть внутренний IP

Чтобы узнать айпи компьютера в локальной сети, не нужно устанавливать дополнительные программы — достаточно открыть свойства сетевой карты. Следует учитывать, что у каждого из адаптеров свой адрес: если ПК выходит в сеть через кабель, нужно смотреть IP Ethernet-карты, а если через беспроводное подключение, то у Wi-Fi адаптера.

Параметры сети Windows

Самый простой способ определения идентификатора компьютера — использование «Центра управления сетями» в настройках Windows. Чтобы сделать это, нужно:

1. Открыть «Панель управления», выбрать категорию «Сеть и интернет» — «Центр…» будет первой ссылкой. Если выбрано отображение не категориями, а значками, то нужно сразу открывать требуемую настройку.
2. В меню слева выбрать «Изменение параметров адаптера». Откроется окно со всеми активными подключениями.
3. Нажать на используемое подключение правой кнопкой мыши, выбрать пункт «Состояние».
4. Нажать кнопку «Сведения». В открывшемся окне следует найти строку «Адрес IPv4».

В системе Windows 10 есть более удобный способ — найти сведения о подключении через новый интерфейс параметров ПК можно быстрее, чем через «Панель управления». Нужно сделать следующее:

1. Кликнуть правой кнопкой по значку подключения в трее и выбрать пункт «Открыть параметры сети». Также можно открыть «Все параметры» через шторку уведомлений и написать в строке поиска слово «сеть», после чего выбрать результат «Состояние сети».
2. В открывшемся окне выбрать первый пункт — «Состояние».
3. Нажать на ссылку «Изменить свойства подключения».
4. Проскроллить окно вниз до раздела «Свойства». Найти строку «IPv4-адрес».

Кроме того, через системные настройки сети можно узнать локальный адрес версии IPv6, MAC-адрес сетевой карты, адрес DNS-сервера, модель адаптера и многое другое.

Командная строка

Командная строка — это гораздо более удобный инструмент, чем графический интерфейс настроек, если уметь ею пользоваться. Она может предоставить более полную информацию о сетевом подключении, а также показать данные о виртуальных адаптерах, если таковые имеются.

https://youtube.com/watch?v=f6RxF3oSl3s

Чтобы узнать ИП через командную строку, нужно:

1. Открыть утилиту. Для этого можно нажать сочетание клавиш Win+R — появится окно «Выполнить», в котором нужно написать «cmd» и нажать клавишу Enter. Также приложение можно найти в меню «Пуск» — ярлык расположен в папке «Системные».
2. Активировать команду ipconfig.
3. Найти используемый адаптер среди всех установленных на компьютере.
4. В списке параметров найти строчку «IPv4-адрес».

Если локальный адрес нужен часто, можно либо запомнить его, либо где-нибудь записать. В отличие от динамического внешнего IP, этот идентификатор присваивается компьютеру единожды при создании подключения и никогда не меняется.

Описание

Сетевой шлюз конвертирует протоколы одного типа физической среды в протоколы другой физической среды (сети). Например, при соединении локального компьютера с сетью Интернет обычно используется сетевой шлюз.

Маршрутизатор (он же — роутер) является одним из примеров аппаратных сетевых шлюзов.

Сетевые шлюзы работают на всех известных операционных системах. Основная задача сетевого шлюза — конвертировать протокол между сетями. Роутер сам по себе принимает, проводит и отправляет пакеты только среди сетей, использующих одинаковые протоколы. Сетевой шлюз может с одной стороны принять пакет, сформатированный под один протокол (например Apple Talk) и конвертировать в пакет другого протокола (например TCP/IP) перед отправкой в другой сегмент сети. Сетевые шлюзы могут быть аппаратным решением, программным обеспечением или тем и другим вместе, но обычно это программное обеспечение, установленное на роутер или компьютер. Сетевой шлюз должен понимать все протоколы, используемые роутером. Обычно сетевые шлюзы работают медленнее, чем сетевые мосты, коммутаторы и обычные маршрутизаторы.
Сетевой шлюз — это точка сети, которая служит выходом в другую сеть. В сети Интернет узлом или конечной точкой может быть или сетевой шлюз, или хост. Интернет-пользователи и компьютеры, которые доставляют веб-страницы пользователям — это хосты, а узлы между различными сетями — это сетевые шлюзы. Например, сервер, контролирующий трафик между локальной сетью компании и сетью Интернет — это сетевой шлюз.

В крупных сетях сервер, работающий как сетевой шлюз, обычно интегрирован с прокси-сервером и межсетевым экраном. Сетевой шлюз часто объединен с роутером, который управляет распределением и конвертацией пакетов в сети.

Сетевой шлюз может быть специальным аппаратным роутером или программным обеспечением, установленным на обычный сервер или персональный компьютер.
Большинство компьютерных операционных систем использует термины, описанные выше. Компьютеры под Windows обычно используют встроенный мастер подключения к сети, который по указанным параметрам сам устанавливает соединение с локальной или глобальной сетью. Такие системы могут также использовать DHCP-протокол. Dynamic Host Configuration Protocol (DHCP) — это протокол, который обычно используется сетевым оборудованием, чтобы получить различные данные, необходимые клиенту для работы с протоколом IP. С использованием этого протокола добавление новых устройств и сетей становится простым и практически автоматическим.

Какие бывают шлюзы?

Вы наверняка пытаетесь представить себе шлюз в виде какого-нибудь конкретного объекта. Если хотите я вам дам примеры, это может быть:

• маршрутизатор;
• модем;
• компьютер;

Видите, не так все просто. А это потому, что шлюз существует в двух ипостасях.

С одной стороны это конкретный аппаратный модуль, который имеет сетевой вход и такой же выход. Наверняка многие представили себе модем. И вы абсолютно правы, ибо можете направлять через него информацию по кабелю или через Wi-Fi и в итоге она попадет в Интернет и будет зеркально считана аналогичным устройством. Но это может быть и простой коммуникатор, соединяющий элементы локальной сети.

С другой стороны это сам компьютер (обычно с ОС Windows), имеющий встроенные программы для настройки офисной или глобальной сети. Так же это может быть сервер, ретранслирующий запросы из локальной сети в Интернет. Все это, в данной ситуации, реализуется на уровне программного обеспечения.

По отдельности оно не имеет смысла. И вы, как пользователи, должны это прекрасно понимать. Вы же хотите иметь возможность передавать информацию, которая сначала проследует по вашему ноутбуку, потом будет передана по Wi-Fi, после чего по сети провайдера попадет во внешнюю оптоволоконную линию, затем с нее войдет на сервер условной телефонной компании и будет передана в виде сеанса связи конечному абоненту.

Для этого в устройстве, выполняющего роль шлюза имеется не только соответствующее ПО, но и системные платы, радиочастотные ретрансляторы и всевозможные адаптеры. Кроме того стоит уяснить, что шлюз должен уметь выполнять зеркальные функции, преобразуя исходный, например, почтовый файл, в сигнал, перегоняя его по всем видам сетей и на финальной стадии превращая его в исходный документ.

2014

Развитие системы

20 ноября 2014 года стало известно о сертификации системы «Интернет-шлюз ИКС» ФСТЭК.

Скриншот ПО «ИКС»

Подробности развертывания
Система ИКС разворачивается для контроля периметра корпоративной сети, защищая ее извне и контролируя внутри. Он обеспечивает защиту корпоративной сети от вредоносного ПО и спама, учитывает трафик, помогает управлять доступом, организовать IP-телефонию на основе Asterisk, разворачивать почтовые, прокси-, файловые, веб- и jabber- серверы.

Обновленные возможности

• В основе решения открытая система FreeBSD 9.2, объединенная в интерфейс с настроенными сервисами. ИКС поддерживает достаточное количество каналов связи с внешним миром:
  • проводное,
  • беспроводное (Wi-Fi),
  • 3G-модем.

ИКС может подключаться к VPN-серверам, сам исполнять роль VPN-сервера.

В ИКС имеется ARP-таблица, DHCP, перенаправление портов, таблица маршрутизации, межсетевой экран, сетевые утилиты. Среди утилит: ping, trace, опрос DNS, WhoIs, сниффер, тест скорости канала, сканер сети.

В составе продукта действует гибкая система подготовки отчетов по использованию сети, отражающую использование сети сотрудниками, пользователями, трафик пользователей, посещение сайтов, время посещения, длительность. Всего предусмотрено 15 предустановленных отчетов, без учета возможностей созданий дополнительных при помощи конструктора.

В ИКС используется антивирусный и антиспам-модули от «Лаборатории Касперского». Они обеспечивают высокий уровень обнаружения и нейтрализации вирусов, троянов, руткитов, вредоносного ПО, нежелательной почты.

ИКС обнаруживает различные виды сетевых атак извне посредством анализа трафика при помощи набора автоматически подгружаемых правил. Если обнаруживается деструктивная деятельность, шлюз прерывает передачу данных и делает соответствующую пометку в журнале.

Для защиты конфиденциальной информации в ИКС применяется DLP-фильтр (Data Leak Prevention), анализирующий веб- и почтовый трафик. Он фильтрует текст и файлы, как текстовые, так и другие, работает в качестве защиты от инсайдеров.

Назначение и аудитория

Интернет-шлюз ИКС ориентирован на руководителей информационных отделов, ИТ-специалистов, чья работа связана с обеспечением бесперебойного функционирования корпоративной сети, защитой персональных данных и информации.

10.5.5 Комплексные Шлюзы

Комплексные Шлюзы используются для моделирования поведения Потоков операций в случае комплексной синхронизации. Для точного описания такого поведения используется выражение ExpressionactivationCondition. Данное выражение может использоваться, к примеру, для указания того, что для активации Шлюза необходимо наличие трех токенов Входящих потоков операций из пяти. Как и при разделяющем поведении Неэксклюзивного Шлюза, условиями Исходящих потоков операций определяется то, какие токены сформирует Шлюз. Токены, прибывающие позже по двум оставшимся маршрутам, вызывают сброс Шлюза, а для Исходящих потоков операций формируются новые токены. Для определения того, будет ли Шлюз ожидать оставшиеся токены для того, чтобы осуществился его сброс, используется семантика синхронизации Неэксклюзивного Шлюза.

Графический элемент Комплексный Шлюз ДОЛЖЕН содержать внутренний маркер, выполненный в виде символа «*» (см. фигуру 10.113), что позволяет отличить данный тип Шлюза от других.

Фигура 10.113 – Пример Комплексного Шлюза

В отличие от других типов Шлюзов, Комплексный Шлюз имеет различные внутренние состояния, определяемые с помощью булевского атрибута waitingForStart. Исходное значение данного атрибута равно «true», но после активации оно меняется на «false». Этот атрибут может использоваться для определения того, где при активации Шлюза для Исходящих потоков операций формируются токены, а также того, где они формируются при его сбросе. РЕКОМЕНДУЕТСЯ выбрать, будут ли токены формироваться для кажого из Исходящих потоков операций при активации Шлюза или при его сбросе, но не одновременно. По-меньшей мере один Исходящий поток операций должен получить токен при активациии, но в таком случае при сбросе Шлюза токен формироваться НЕ ДОЛЖЕН.

На фигуре 10.114 отображена диаграмма класса ComplexGateway.

Фигура 10.114 – Диаграмма классов элемента ComplexGateway

Элемент ComplexGateway наследует атрибуты и ассоциации элемента Gateway (см. таблицу 8.46). Таблица 10.125 содержит информацию о дополнительных ассоциациях элемента ComplexGateway.

Таблица 10.125 Ассоциации элемента ComplexGateway