none
Windows Srv 2003 blokovanie internetu

    Dotaz

  • Aka je najjednoduchsia cesta k zablokovaniu internetu urcitej skupine uzivatelov v domene vo Win2003? Pripadne moze ist aj policies blokujucu porty 80 a 443. Nasiel som par navodov na IPsec ale su natolko komplikovane ze sa v nich nemozem vyznat.
    freeman
    čtvrtek 2. září 2010 20:29

Odpovědi

  • V konfiguraci tak, jak ji popisujete, pujde omezovat internet jen velmi tezko, ne-li vubec.

    Do komunikace DSL routeru (internet) a vasih klientu v LAN musite vlozit neco, co bude tuto komunikaci monitorovat/hlidat.

    Takze:

    1. bud nejaky FW s podporou LDAP, ktery bude spolupracovat  s vasi AD - napr. oblibene SW reseni Kerio Firewall, MS ISA, nebo nejaky HW FW - vyrobcu je cela rada.

    2. na server nainstalovat nejaky Proxy server a primou komunikaci na Internet povolite v DSL routeru jen pro IP adresu tohoto Proxy serveru. Klienti budou muset na Internet pomoci tohoto Proxy

    3. vyhodite laciny DSL routrik a koupite si opravdovy router s DSL portem a internim FW - coz je v podstate varianta 1, ale all-in-one.

     

    pátek 3. září 2010 10:43
  • siet samozrejme do internetu pripojena je a to beznym DSL routrom.

    I samozrejme veci je treba napsat.

    Osobne bych nainstaloval SQUID a pres DNS a/nebo DHCP rozdistribuoval WPAD + pres GPo zakazal zmenu konfigurace pripojeni prohlizece.

    Squid umi NTLM/Kerberos autentikaci takze vytvorit access list nebude slozite.

    MP

    P.S. samozrejme se da udelat ASPX stranka ktera vrati "blokovanemu" uzivateli WPAD s nesmyslnym proxy serverem a povolenemu uzivateli "direct", to by asi bylo nejjednodussi reseni

    P.P.S: k vete "kazdopadne blokovanie cez router neprichadza do uvahy" - blokovani na routeru je samozrejme podminak nutna, bohuzel malokdy postacujici

    pátek 3. září 2010 11:03
    Vlastník

Všechny reakce

  • Mozna bys mel zacit tim ze popises konfiguraci site.

    Potrebujes zakaz per user nebo ti staci per computer (IP)?

    MP

    pátek 3. září 2010 7:10
    Vlastník
  • potrebujem zakazat per user. Konfiguracia siete je uplne jednoducha 1 server ako DNS a DC + klientske PC s IE a Firefoxom

    freeman
    pátek 3. září 2010 7:21
  • Aha, takze sit neni pripojena do Internetu - alespon tuto naprosto pro tvuj dotaz nejdulezitejsi vec nepopisujes - proc tedy resis blokovani internetu?!

    MP

    pátek 3. září 2010 9:55
    Vlastník
  • siet samozrejme do internetu pripojena je a to beznym DSL routrom. Podrobnosti o tomto routri neviem, kazdopadne blokovanie cez router neprichadza do uvahy, cielom je vytvorit v AD skupinu uzivatelov, ktora bude mat internet nepristupny.
    freeman
    pátek 3. září 2010 10:37
  • V konfiguraci tak, jak ji popisujete, pujde omezovat internet jen velmi tezko, ne-li vubec.

    Do komunikace DSL routeru (internet) a vasih klientu v LAN musite vlozit neco, co bude tuto komunikaci monitorovat/hlidat.

    Takze:

    1. bud nejaky FW s podporou LDAP, ktery bude spolupracovat  s vasi AD - napr. oblibene SW reseni Kerio Firewall, MS ISA, nebo nejaky HW FW - vyrobcu je cela rada.

    2. na server nainstalovat nejaky Proxy server a primou komunikaci na Internet povolite v DSL routeru jen pro IP adresu tohoto Proxy serveru. Klienti budou muset na Internet pomoci tohoto Proxy

    3. vyhodite laciny DSL routrik a koupite si opravdovy router s DSL portem a internim FW - coz je v podstate varianta 1, ale all-in-one.

     

    pátek 3. září 2010 10:43
  • siet samozrejme do internetu pripojena je a to beznym DSL routrom.

    I samozrejme veci je treba napsat.

    Osobne bych nainstaloval SQUID a pres DNS a/nebo DHCP rozdistribuoval WPAD + pres GPo zakazal zmenu konfigurace pripojeni prohlizece.

    Squid umi NTLM/Kerberos autentikaci takze vytvorit access list nebude slozite.

    MP

    P.S. samozrejme se da udelat ASPX stranka ktera vrati "blokovanemu" uzivateli WPAD s nesmyslnym proxy serverem a povolenemu uzivateli "direct", to by asi bylo nejjednodussi reseni

    P.P.S: k vete "kazdopadne blokovanie cez router neprichadza do uvahy" - blokovani na routeru je samozrejme podminak nutna, bohuzel malokdy postacujici

    pátek 3. září 2010 11:03
    Vlastník