การบังคับผู้ใช้เข้าเน็ตผ่าน Proxy Server
ถึงแม้ว่า WinRoute จะทำให้เครื่องลูกข่ายสามารถเข้าเว็บไซต์ต่างๆ ได้โดยตรง ไม่ต้องผ่าน Proxy Server ก็ตาม แต่ในบางกรณีคุณอาจจะเห็นสมควรที่จะต้องบังคับเครื่องลูกข่ายให้เข้าเว็บไซต์โดยผ่าน Proxy Server หากเครื่องลูกข่ายเข้าเว็บไซต์โดยไม่ผ่าน Proxy Server จะทำให้เข้าเว็บไซต์ไม่ได้ เช่น
- คอยตรวจสอบการเข้าเว็บไซต์ของผู้ใช้ เช่น ต้องการทราบว่า เครื่องลูกข่ายใดกำลังเข้าเว็บไซต์ใดบ้าง เข้าเว็บไซต์อื่นเกินขอบเขตที่กำหนดหรือไม่ ( เช่น คุณอาจจะให้พนักงานเข้าเว็บไซต์เฉพาะที่เกี่ยวข้องกับงานเท่านั้น และตรวจสอบการทำงานของพนักงาน)
- การป้องกันไม่ให้ผู้ใช้เข้าเว็บไซต์ต้องห้ามที่คุณกำหนด (เช่น เว็บไซต์ลามกอนาจาร เป็นต้น)
- การกำหนดให้ผู้ใช้เข้าได้เฉพาะเว็บไซต์ที่คุณกำหนดเท่านั้น
- การป้องกันการดาวน์โหลดไฟล์ .zip, .exe หรือไฟล์ประเภทอื่นๆ ที่อาจจะทำให้เครือข่ายของคุณต้องใช้แบนด์วิธด์มาก
- เพื่อใช้ประโยชน์จาก cache ของ Proxy Server เพื่อลดแบนด์วิธด์ในการเชื่อมต่ออินเทอร์เน็ตภายในเครือข่ายของคุณ
การที่จะบังคับให้ผู้ใช้เข้าเน็ตผ่าน Proxy Server นี้ จะต้องมีการตั้งค่าตัวกรอง packet (packet filter) หลักการในการทำงาน จะเป็นการตรวจสอบ packet ต่างๆ ที่เข้าและออกจาก WinRoute โดย packet ขาเข้า คือ packet ที่เข้ามายัง WinRoute ไม่ว่าจะมาจากอินเทอร์เน็ตหรือจากเครื่องลูกข่าย packet ขาออก คือ packet ที่ออกจาก WinRoute ไปยังอินเทอร์เน็ตหรือเครื่องลูกข่าย
การบังคับผู้ใช้ให้เข้าเน็ตผ่าน Proxy Server นี้ จะต้องมีการตั้งกฏอยู่ 2 อย่างคือ
- อนุญาต packet ขาออก ที่มีปลายทางเป็น port 80 และออกไปจาก IP ของเครื่องที่รัน WinRoute
- ปฏิเสธ packet ขาออก ที่มีปลายทางเป็น port 80
การตั้งกฏนี้ จะมีการทำงานในลักษณะ ด้านบนลงไปยังด้านล่าง เมื่อพบเงื่อนไขจากด้านบนก็จะทำตามเงื่อนไขด้านบนก่อน แล้วจึงทำตามเงื่อนไขตามลำดับถัดไป จากตัวอย่าง เมื่อมี packet ที่มีปลายทางเป็น port 80 ออกจากเครื่อง WinRoute ไปยังอินเตอร์เน็ตหรือไปยังเครื่องลูกข่าย ก็จะอนุญาตให้ออกไปได้ แต่เมื่อมี packet ที่มีปลายทางเป็น port 80 ออกไปจากเครื่องลูกข่าย (ติดต่อไปยังเว็บไซต์ต่างๆ : การติดต่อไปยัง Web Server จะติดต่อทาง port 80) ก็จะถูกปฏิเสธ ทำให้เครื่องลูกข่ายไม่สามารถเข้าเว็บต่างๆ และนี่จึงเป็นการบังคับให้ผู้ใช้เข้าเน็ตผ่าน Proxy Server โดยทางอ้อม และเมื่อเข้าเน็ตผ่าน Proxy Server จึงอยู่ภายใต้เงื่อนไขต่างๆ ที่คุณกำหนดขึ้นไว้ใน Proxy Server เช่น เข้าเว็บไซต์ได้เฉพาะเว็บไซต์ที่คุณกำหนดไว้เท่านั้น เป็นต้น
การตั้งกฏเพื่อบังคับให้ผู้ใช้เข้าเน็ตผ่าน Proxy Server มีดังนี้
เลือกเมนู Settings->Advanced->Packet Filter
คลิกแท็บ Outgoing
ดับเบิ้ลคลิกที่ ส่วนติดต่อไปยังอินเทอร์เน็ต แล้วกดปุ่ม Add
ปรับแต่งกฏข้อที่ 1(อนุญาตให้ติดต่อ port 80 จากเครื่องที่รัน WinRoute)
- Protocol เลือก TCP
- Source Type เลือก Host
- IP Address ป้อนหมายเลข IP ของเครื่องที่รัน WinRoute ที่ได้รับมาจาก ISP (หาได้จากรันคำสั่ง winipcfg หรือ ที่ WinRoute เลือกเมนู Settings->Interface Table แล้วดูหมายเลข IP จากรายการ RAS)
- Destination Port เลือก Equal to (=) 80
- Action เลือก Permit
กดปุ่ม OK เพื่อบันทึกกฏข้อที่ 1 แล้วกดปุ่ม Add เพื่อตั้งกฏข้อที่ 2
ปรับแต่งกฏข้อที่ 2 (ปฏิเสธการติดต่อ port 80 จากเครื่องทุกเครื่อง)
- Protocol เลือก TCP
- Source Type เลือก Any address
- Destination Port เลือก Equal to (=) 80
- Action เลือก Deny
กดปุ่ม OK เพื่อบันทึกกฏข้อที่ 2
หมายเหตุ : ในส่วนของการป้อนหมายเลข IP Address ของเครื่องที่รัน WinRoute ตามกฏข้อที่ 1 จะต้องป้อนใหม่ทุกครั้งที่มีการเชื่อมต่ออินเทอร์เน็ต หรือทุกครั้งที่มีการเปลี่ยนแปลงหมายเลข IP หากไม่ป้อนให้ตรงกับความเป็นจริงในขณะนั้น ทั้งเครื่องที่รัน WinRoute และเครื่องลูกข่ายก็จะไม่สามารถเข้าเว็บต่างๆ ได้เลย
สำหรับการใช้ตัวกรอง packet (packet filter) นี้ สามารถประยุกต์ใช้งานได้อีกหลายอย่าง ขึ้นอยู่กับความต้องการของคุณเช่น
- ป้องกันไม่ให้ผู้ใช้ ๆ โปรแกรม ICQ
- กำหนดให้เครื่องลูกข่ายบางเครื่องเข้าเน็ตโดยตรงได้ โดยไม่ต้องผ่าน Proxy Server
- การป้องกันเครื่องลูกข่ายบางเครื่องไม่ให้เข้าเน็ตได้ เป็นต้น
การระบุเว็บไซต์ที่ต้องการให้ผู้ใช้สามารถเข้าได้หรือไม่ได้นั้น ให้ตั้งที่ Proxy Server เข้าไปที่แท็บ Access แล้วกำหนดเว็บไซต์ที่ต้องการ แล้วกำหนดว่าผู้ใช้คนใด สามารถเข้าเว็บไซต์ใดได้บ้าง