Курс молодого сисадмина. Часть 2.

Беда состоит в том, что обычно менеджер не уважает труд сисадмина, поскольку не видит его. Наихудший вариант - когда менеджеру удается заработать на очередной поставке несколько сотен у.е. для организации. После похвалы руководства у него появляется ощущение приоритета, порой граничащее с манией величия: "почему у меня эта программа тормозит?", "почему я не могу влезть на такой-то сайт?", "я не хочу делать так, я привык иначе!" и т.д.

Вступать в конфликт в подобной ситуации не разумно: менеджер, пользуясь временным геройским ореолом, тут же доложит руководству о том, что вы мешаете рабочему процессу и не желаете выполнять свои прямые обязанности.

Что ж, не будем доводить ситуацию до конфликта. Рассмотрим типичные "случаи на производстве" и то, как с ними бороться посредством элементарных мероприятий.

Разумеется, мы не будем пересказывать руководства по настройке перечисленных ниже программных продуктов. Отметим только основные, необходимые элементы.

E-mail

Наличие почты в торговой организации обязательно. И, так как менеджеров много, а компьютер с доступом в интернет (роутер) один, предполагается наличие почтового сервера для одновременного доступа к почте со всех имеющихся рабочих станций. Программ-серверов огромное множество, но я рекомендую остановить выбор на одной из самых популярных - MDaemon фирмы Alt-N (http://www.mdaemon.com). Благодаря своей функциональности и конфигурируемости, этот продукт стал стандартом де-факто для почтовых серверов предприятий и организаций.

Обычно в организациях, специализирующихся на торговле, менеджеры ведут своеобразные спам-рассылки: как минимум раз в неделю рассылают клиентам коммерческие предложения с вложением прайса. Размер таких писем составляет в среднем 50-100 Кбайт. Если их не больше 1-2 десятков - это не страшно. Но когда в порыве энтузиазма манагеры пускают в очередь 300-600 писем - самое время бить тревогу. Даже при мощном канале интернет будет часа два мирно "отдыхать". Что уж говорить о слабом канале? Хуже всего то, что минут через десять на вашу голову польется дождь жалоб и претензий на тему "почему не работает интернет?".

Что делать?

С менеджером ругаться бесполезно - для него почта "ушла" (в Outlook'e же ее нет!), а на все ваши технические доводы он только пожмет плечами: "Мне же надо как-то работать!"

Конечно, такая ситуация - неплохой повод для "раскрутки" руководства на более быстрый канал. Но и это не решит проблему в корне: через месяц-другой менеджеры и новый канал поставят на колени. Что же делать? Не обрезать же почту вообще?

А выход есть! В Mdaemon'е, как и во многих других почтовых серверах, есть функция создания листов рассылки. Заключается она в следующем: на специальный адрес провайдера, именуемый как "smart host", отсылается один вариант письма и список адресов, по которым его нужно разослать. Удобно? Безусловно! Трафик не загружен и письма разосланы: и овцы целы, и волки сыты. Необходимо лишь выяснить, предоставляет ли ваш провайдер такую услугу. Обычно провайдеры ограничивают количество писем в одной рассылке до 40-50.

Листы рассылки в Mdaemon'e создаются элементарно. В верхнем меню List выбираем New list. Появится окно настройки. А дальше - по сценарию. В закладке Options вводим имя рассылки, в закладке Members перечисляем все адреса, которые будут удостоены чести получить ваш спам, в закладке Routing ставим переключатель на Route a single copy:, а в открывшемся поле Host Name вводим адрес сервера, который нужно узнать у провайдера. Все.

Теперь на адрес, который мы ввели в закладке "Options", менеджер отсылает скрытую копию письма, предназначенного для рассылки. Вот и все, остальное сделает сервер провайдера.

Не стоит также забывать, что любая рассылка - это в первую очередь спам и только во вторую - полезная информация. Иной раз, находясь в состоянии творческого подъема, менеджеры начинают рассылать письма на любые попавшиеся на глаза адреса. А, как вы сами понимаете, одно дело, когда это клиент, с нетерпением ожидающий этой информации. Но совсем другое, когда это ни в чем не повинный юзер, регулярно получающий информацию о снижении оптовых цен на крем для бритья. И бедняга начинает бороться с надоедливыми спамерами. Причем методы борьбы бывают пассивные и активные. Пассивные - это всем известные фильтры: юзер просто блокирует входящее письмо. Вам, как сисадмину, никакого вреда это не принесет, разве что вырастет трафик при возврате блокированных писем. Что, впрочем, легко предотвратить - в настройках рассылочного листа в закладке Members внизу есть флажок Automatically remove dead address: При его установке несуществующие и заблокированные адреса автоматически удаляются из списка адресов рассылки.

Но последнее время начинают входить в моду активные методы борьбы. Выглядит все следующим образом: интернет отлично работает, почта радостно приходит: но не уходит! У сисадмина начинается легкая истерика, а вместе с ней - ковыряния в настройках почтового сервера, перезагрузка роутера, переинсталляция программы и, в конце концов, переустановка "винды", сопровождаемая проклятиями в адрес Билла Гейтса. Но самое интересное, что после нескольких часов кропотливой работы по восстановлению работоспособности роутера все возвращается на круги своя. У сисадмина подкашиваются ноги, девушки из офиса начинают бегать за водой, валерьянкой, нашатырем...

На саомо деле Билл Гейтс тут совершенно ни при чем. Случай отнюдь не редкий (по крайней мере, лично я наблюдал подобное трижды). Причина нервных тиков кроется в том, что сисадмин не посчитал нужным позвонить провайдеру для получения консультации. Хотя сервисная служба провайдеров и отбивает у пользователей желание звонить при возникновении проблемы с интернетом (поскольку на 999 из 1000 вопросов отвечает фразой "это у вас что-то, у нас все нормально"), бывают и исключения. А произошло вот что. Получатель спама, устав от рассылок, отсылает вашему провайдеру письмо-жалобу по поводу того, что с такого-то адреса ему рассылают нежелательную информацию. И довольно часто провайдер, не удосужившись уведомить вас, блокирует порт исходящей почты - что поделаешь, репутация превыше всего! (тем более что деньги-то вы уже заплатили).

Лучше всего, конечно, просто не допустить возникновения подобной проблемы. А для этого:

Довольно часто пользователи в перерывах от напряженной работы начинают использовать почту не по назначению: отсылают знакомым фотографии с разрешением 600 dpi, песни в формате *.mp3, мультики про Масяню... И пока роутер послушно пересылает мегабайты, остальные пользователи вынуждены ждать окончания сессии. Тот же результат получается, когда пользователи получают по почте большие письма.

Опять же, ругаться с менеджерами бесполезно - никто ничего не отправлял и не получал: знать не знают, ведать не ведают. Но, как говорится, не хотите по-плохому - по-хорошему хуже будет. Заходим в Setup -> Miscellaneous Options -> Servers. Внизу, под заголовком Data transfer limit, можно установить ограничения на размер входящих и исходящих писем на свое усмотрение.

Всем сисадминам известна скверная привычка пользователей сходу читать вложения, не проверяя их на вирусы. Можно, конечно, установить антивирусные мониторы, типа антивируса Касперского. Но, во-первых, это довольно дорого. А во-вторых, антивирусные мониторы, не поделив с основной программой приоритет доступа, довольно часто "вешают" как рабочую станцию, так и сервер. Да и пользователи, освоив правую кнопку мышки, убирают антивирусный монитор из автозагрузки и системного трея.

Что делать?

Оказывается, при помощи почтового сервера можно довольно эффективно бороться с вирусами в почтовых вложениях, включая даже печально известный Klez. Для этого достаточно настроить фильтры (комбинация клавиш Ctrl+F5). В закладке Admins/Attachments можно ввести названия файлов и расширений, которые будут удаляться из входящего письма. У меня настроено разрешение только для *.rtf, а всякие *.doc, *.pif, *.scr, *.bat, не говоря уже об *.exe, мило "обрезаются". Таким образом я предотвратил у себя на работе вирусную эпидемию. Только не забудьте, настроив фильтр, предупредить пользователей, в каком формате можно получать вложения, иначе поднимется бунт.

Интернет

По мере накопления опыта у сисадмина меняется мировоззрение и ассоциации: говорим "интернет" - подразумеваем прокси-сервер, и наоборот. Прокси-серверов под "винду" также огромное множество. WinGate, WinRoute, WinProxy и т. д. В Windows 98/Me также есть подобие прокси, именуемое "общий доступ в интернет".

В принципе, мои симпатии, опять же, склоняются к proxy-серверу WinGate фирмы Alt-N. Люблю его за функциональность. Но, дабы меня не обвинили в необъективности и рекламе, рассмотрим более простой чешский продукт WinProxy (http://www.winproxy.cz), который также может использоваться как простенький mail-server.

В принципе, не имеет значения, каким прокси-сервером пользоваться. Главное - что с ним делать. А задача у нас - облегчить трафик.

В окне сетевого мониторинга и через статистику определите, какие сайты "не по работе" чаще всего посещают пользователи. Это могут быть анекдоты, гороскопы и прочая ерунда. Также довольно сильно засоряют трафик полюбившиеся юзерам чаты. Запретив доступ к вышеуказанным ресурсам, вы, во-первых, основательно разгрузите трафик, а во-вторых, народ будет больше заниматься делом.

Firewall

А без "стены огня" нынче нельзя. И необходимость в ней не ограничивается защитой от хакеров, как думают многие. Хакеры, если будет необходимость, проникнут и через десяток firewall'ов.

Firewall интересует нас, в первую очередь, как фильтр: пропуск нужной информации и отсеивание ненужной. А последней сейчас море: баннеры, ссылки, скрипты, фреймы, счетчики и т. д.

Насчет программного продукта - я рекомендую известный AtGuard, (http://www.atguard.com). Большинство сисадминов уже оценило его возможности по достоинству. В принципе, эти возможности велики - можно даже некоторым пользователям разрешать, а некоторым запрещать, к примеру, печатать на принтер. Но эти опции мы пока трогать не будем.

Установив AtGuard на роутер, вверху экрана мы увидим полоску системных настроек. Далее настроим фильтры и firewall в AtGuard Settings. Интерфейс весьма интуитивен, настройка не вызовет затруднений. Кроме того, в рунете есть множество русскоязычной документации по настройке AtGuard.

Программа имеет собственную базу адресов - источников баннеров, которую можно (и нужно!) пополнять самостоятельно. В свободные минуты объявляйте охоту на баннеры: загрузите какой-либо кишащий рекламой сайт и действуйте!

Потратив день-два на войну с баннерами, вы с помощью фильтра сможете экономить 40-100 Мбайт в месяц. Это будет тем более кстати, если у вас помегабайтная оплата.

Выводы

Безусловно, это далеко не полный список необходимых мероприятий и возможностей сисадмина по администрированию сети. Давайте, господа сисадмины, делиться практическим опытом - даже незначительный, казалось бы, совет или подсказка может существенно облегчить работу начинающему и неопытному сисадмину.

Как показывает опыт, юзеров необходимо максимально ограничивать в правах на пользование рабочей станцией. Иначе можно разбудить нездоровое любопытство и интерес к экспериментам, которые для сисадмина обязательно закончатся авралом и переустановкой слетевшей "винды".

P.S.: немного возвращусь к содержанию предыдущей статьи, параграф "Парадоксы профессии". Мне стал известен еще один способ (помимо контролируемого саботажа), как выйти из незавидного положения, когда руководство считает тебя бездельником. Его мне поведала приехавшая в командировку из Москвы сестра, которая работает программистом в Центробанке. Этим способом с успехом пользуются центробанковские сисадмины. Заключается способ в том, что любое обращение к сисадмину за помощью идет через написание служебной записки: застряла бумага в принтере, залипла клавиша в клавиатуре, засорилась мышка - все через "служебку"! К концу месяца скапливается солидная пачка, которая может быть представлена руководству, как доказательство достаточной загруженности работой.