none
proxy per windows server 2008 RRS feed

  • Domanda

  • salve vorrei avere un consiglio da voi esperti,

    in una rete aziendale devo bloccare l'uscita su internet di alcuni pc che poi in pratica sono quelli fuori dal dominio, come server DC ho un windows server 2008 a 64bit. Attualmente i pc da bloccare quando navigano mandano la richiesta al DC che la inoltra poi al gateway (router dlink). Quale programma mi consigliate di utilizzare per effettuare questa operazione? possibilmente free.

    giovedì 5 maggio 2011 11:59

Risposte

  • l'uscita su internet avviene in questo modo:

    internet <-> router telecom (10.0.0.1) <-> router dlink
    (192.168.1.254) <-> rete aziendale

    di un programma proxy come squid che ne dite?
    o nel mio caso mi serve per forza un firewall?

    Prima di tutto sarebbe utile capire a cosa ti servono
    DUE routers (quello telecom ed il d-link); detto ciò,
    il s/w di cui parli, ossia Squid è un "web proxy" il che
    significa che potrà gestire/autenticare SOLO quel
    tipo di traffico lasciando "non autenticato" tutto il
    resto del traffico... il che a sua volta significa che la
    banda verrà fagocitata da vari programmi P2P, IM,
    videochat ed altro ancora che... NON usano http o
    https; quindi... prima di decidere di utilizzare un
    programma come squid (che, per carità, è anche
    un buon proxy) dovresti renderti conto che "l'accesso
    ad internet" non è solo "web" e che, il programma
    che ti ho proposto è un NAT/router/firewall/proxy/...
    che dovrebbe poter coprire le tue esigenze... ovvio
    che esistono soluzioni Microsoft che si integrano in
    modo PERFETTO con una struttura AD, ma visto
    che ... vuoi qualcosa di "gratuito" (i costi "nascosti"
    chi li vede :P) ti ho suggerito una soluzione che, a
    mio avviso è MOLTO valida

    • Contrassegnato come risposta fabio84 giovedì 5 maggio 2011 14:44
    giovedì 5 maggio 2011 13:38

Tutte le risposte

  • in una rete aziendale devo bloccare l'uscita su internet di alcuni pc
    che poi in pratica sono quelli fuori dal dominio, come server DC ho un
    windows server 2008 a 64bit. Attualmente i pc da bloccare quando
    navigano mandano la richiesta al DC che la inoltra poi al gateway
    (router dlink). Quale programma mi consigliate di utilizzare per
    effettuare questa operazione? possibilmente free.

    Che tipo di connessione internet hai e cosa c'è tra "internet"
    e la rete aziendale ?

    Per quanto riguarda il "free", potresti valutare l'idea di installare
    questo http://www.pfsense.org/ tra la rete aziendale ed internet
    ossia, qualcosa del tipo

    internet <-> router <-> proxy/firewall <-> switch <-> rete

    configurando poi il programma in modo da richiedere autenticazione
    prima di permettere l'accesso ad internet

    giovedì 5 maggio 2011 13:02
  • Per quanto riguarda il "free", potresti valutare l'idea di installare
    questo http://www.pfsense.org/ tra la rete aziendale ed internet
    ossia, qualcosa del tipo

    Sapevo che questo era pane per i tuoi denti :-)

    P.S.

    Immagino l'unica sia utilizzare Radius e poi creare i gruppi di utenti nel proxy oppure si integra con Active Directory ?


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 5 maggio 2011 13:09
  • l'uscita su internet avviene in questo modo:

    internet <-> router telecom (10.0.0.1) <-> router dlink (192.168.1.254) <-> rete aziendale

    di un programma proxy come squid che ne dite? o nel mio caso mi serve per forza un firewall?


    giovedì 5 maggio 2011 13:21
  • In uno qualsiasi dei passaggi PRIMA di quello router Telecom / Internet dovresti interporre il proxy con due schede di rete (ad esempio una su 192.168.1.x e l'altra su 10.0.0.X).


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 5 maggio 2011 13:32
  • l'uscita su internet avviene in questo modo:

    internet <-> router telecom (10.0.0.1) <-> router dlink
    (192.168.1.254) <-> rete aziendale

    di un programma proxy come squid che ne dite?
    o nel mio caso mi serve per forza un firewall?

    Prima di tutto sarebbe utile capire a cosa ti servono
    DUE routers (quello telecom ed il d-link); detto ciò,
    il s/w di cui parli, ossia Squid è un "web proxy" il che
    significa che potrà gestire/autenticare SOLO quel
    tipo di traffico lasciando "non autenticato" tutto il
    resto del traffico... il che a sua volta significa che la
    banda verrà fagocitata da vari programmi P2P, IM,
    videochat ed altro ancora che... NON usano http o
    https; quindi... prima di decidere di utilizzare un
    programma come squid (che, per carità, è anche
    un buon proxy) dovresti renderti conto che "l'accesso
    ad internet" non è solo "web" e che, il programma
    che ti ho proposto è un NAT/router/firewall/proxy/...
    che dovrebbe poter coprire le tue esigenze... ovvio
    che esistono soluzioni Microsoft che si integrano in
    modo PERFETTO con una struttura AD, ma visto
    che ... vuoi qualcosa di "gratuito" (i costi "nascosti"
    chi li vede :P) ti ho suggerito una soluzione che, a
    mio avviso è MOLTO valida

    • Contrassegnato come risposta fabio84 giovedì 5 maggio 2011 14:44
    giovedì 5 maggio 2011 13:38
  • Sapevo che questo era pane per i tuoi denti :-)

    Beh... diciamo che ci "sguazzo" abbastanza :)

    Immagino l'unica sia utilizzare Radius e poi creare
    i gruppi di utenti nel proxy oppure si integra con
    Active Directory ?

    Prima di tutto... perchè non lo provi :) ?

    Detto questo, si, è necessario usare RADIUS, ma
    non c'è bisogno di "copiare" nulla :)

    http://www.pfsense.org/index.php?option=com_content&task=view&id=40&Itemid

    dai un'occhiata alla sezione "captive portal" al link
    di cui sopra e... capirai

    giovedì 5 maggio 2011 13:46
  • Giusto, puoi applicare le policy e fare "enforcing" tramite radius.

    Per quanto riguarda il provarlo.... ho appena finito un luuuungo tour nei meandri di Forefront TMG e sono a posto con firewall e proxy almeno per qualche settimana :-)


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 5 maggio 2011 14:03
  • Giusto, puoi applicare le policy e fare "enforcing" tramite radius.

    :)

    Per quanto riguarda il provarlo.... ho appena finito un luuuungo tour
    nei meandri di Forefront TMG e sono a posto con firewall e proxy
    almeno per qualche settimana :-)

    Beh... anche quello serve; se vuoi ti posso passare la documentazione
    completa (incluse le parti "undisclosed" ed gli "hacks") relativa al
    "proxy
    2.0" di microsoft :) - seriamente, pfSense secondo me merita un'occhiata
    dato che, in determinati casi, potrebbe essere utile, detto questo, è
    certo
    che, in ambito windows/ad, prodotti come ForeFront non hanno rivali dal
    punto di vista dell'integrazione con l'infrastuttura

    giovedì 5 maggio 2011 14:28

  • Proxy 2.0 di Microsoft

    Been there, done that, got the T-Shirt

    Del resto, 10 anni fa, quello passava il convento :-P

    Comunque anche ForeFront UAG è realmente interessante.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 5 maggio 2011 15:01
  • Proxy 2.0 di Microsoft

    Been there, done that, got the T-Shirt

    Eh... allora siamo almeno in due :)

    Del resto, 10 anni fa, quello passava il convento :-P

    Beh no dai, non c'era solo quello !

    Comunque anche ForeFront UAG è realmente interessante.

    Non ho mica detto il contrario eh :), anzi !!

    giovedì 5 maggio 2011 15:57