none
Bloquear acesso à internet RRS feed

  • Pergunta

  •  

    Bom dia Fórum, eu vi em uma empresa o seguinte:

     

     - Se a máquina está sem autenticação de domínio ou seja logada como administrador da máquina, por exemplo, a máquina não tem acesso à internet, e se logarmos como um usuário de domínio a internet funciona normalmente.

    Obs.: A rede é constituída de um Servidor Windows 2003 R2 e um gateway/proxy Linux

     

    - Esse tipo de configuração é feita no Controlador de domínio?

    - É da integração com o gateway?

    - Como fazer isso funcionar?

     

    Alguém poderia me indicar material sobre isso, ou, talvez tenha aqui mesmo no fórum um artigo?
    Procurei no google, msdn, etc.. e não encontrei material algum sobre isso.

     

     

    segunda-feira, 10 de março de 2008 14:22

Respostas

  • As regras são IPTABLES mesmo.

    A liberação de regras é somente em caráter de testes, ou seja, eu limpos as regras que redirecionam as portas 80,25, 110, etc... para a porta 3128 do proxy. E faço um teste de navegação, cada porta por si própria.

     

    E pelo que você esclareceu, a melhor solução continua sendo SQUID + AD + MSAUTH?

     

    Não sei se fui claro quanto às suas questões.

     

    Muito obrigado pela ajuda.

     

    segunda-feira, 10 de março de 2008 16:38

Todas as Respostas

  •  

    Acredito que seja melhor você descrever a sua infra-estrutura para sabermos o que fazer.

     

    No caso que você falou, provavelmente o domínio é active directory, no linux há um proxy squid, e este squid autentica os usuários no domínio, mais ou menos como a autenticação do ISA.

     

    No link abaixo você verá como encontrar as informações necessarias para configurar o ambiente que descrevi acima:

     

    http://forums.microsoft.com/technet-br/ShowPost.aspx?PostID=2249785&SiteID=29

     

    segunda-feira, 10 de março de 2008 14:38
  •  

    Cristiano,

     

    Isso pode ser facilmente implementado com o ISA SERVER da Microsoft.

     

    No ISA tem uma opçao de liberar internet somente para usuarios autenticados, ou seja se o mesmo nao estiver logado nao funciona, ao menos que seja fornecida uma credencial valida do AD.

     

    Respondendo suas perguntas:

     

    - Pode ser implementada na mesma maquina sim, nao é o adequado. A config necessaria nao é feita no AD.

    - nao entendi sua pergunta???

    - Instale um firewall/proxy na sua estrutura.

     

    Veja o site da ferramenta:

     

    http://www.microsoft.com/brasil/servidores/isaserver/default.mspx

     

    Espero ter ajudado

     

    Se foi util classifique

     

    Abrax

    segunda-feira, 10 de março de 2008 15:04
    Moderador
  • Olá DeividFoggi, obrigado pela contribuição, mas é quase isso, a autenticação do squid hoje já acontece, porém, se eu liberar as regras do meu firewall, usando qualquer máquina, sem logar ao domínio, um usuário qualquer, tenho navegação. E eu queria liberar acesso à internet somente prá usuários autenticados no domínio.

     

    Na rede em questão, temos, 1 Windows 2000 Server, 1 proxy/firewall Ubuntu, 1 MX Isp Ubuntu.

     

    Existe alguma solução parecida pro que eu quero fazer, ou estou viajando demais?

     

     

    PS.: Obrigado pela dia Luiz Fernando, esta foi a minha primeira sugestão a rede em questão, e obviamente foi considerada inviável pela mesma razão de sempre, custo. E convenhamos, é muito difícil convencer os diretores de média/pequenas empresas investirem em software. Mas aos poucos isso vai mudar.
    segunda-feira, 10 de março de 2008 15:18
  • Entendi, pelo que me disse o ambiente esta ideal, só não ficou claro a liberação das regras no firewall (que deve ser IPTables). Porque você liberaria as regras?

     

    Outra coisa, se você diz que a empresa é Pequena/Média não pense que a melhor solução seria um ISA, o ISA é a melhor solução para empresas de Média a Grande porte. A melhor solução para uma empresa de pequena à média continuará sendo as do tipo que você utiliza, já que a melhor solução não deve ser para a área de TI e sim para o negócio como um todo.

    segunda-feira, 10 de março de 2008 15:43
  • As regras são IPTABLES mesmo.

    A liberação de regras é somente em caráter de testes, ou seja, eu limpos as regras que redirecionam as portas 80,25, 110, etc... para a porta 3128 do proxy. E faço um teste de navegação, cada porta por si própria.

     

    E pelo que você esclareceu, a melhor solução continua sendo SQUID + AD + MSAUTH?

     

    Não sei se fui claro quanto às suas questões.

     

    Muito obrigado pela ajuda.

     

    segunda-feira, 10 de março de 2008 16:38
  • Se está atendendo às necessidades do negócio (custo+adminstração e gerência+segurança) não vejo por que mudar. Com relaçao ao que disse, se quando as regras estão aplicadas no IPTables o resultado é o esperado (só acessa que é autenticado) então a solução está atendendo.

     

    Valeu.

    segunda-feira, 10 de março de 2008 17:10