none
Как запретить пользователю выход в интернет, оставив при этом возможность устанавливать VPN-соединение на один внешний IP-адрес RRS feed

  • Вопрос

  • Пользователь сидит в филиале и должен качать почту (Outlook/Exchange) через VPN-соединение с центральным офисом.
    Он может разорвать VPN-соединение и просто выйти в Интернет в личных целях. Как это запретить?
    27 апреля 2009 г. 11:00

Все ответы

  • Пользователь сидит в филиале и должен качать почту (Outlook/Exchange) через VPN-соединение с центральным офисом.
    Он может разорвать VPN-соединение и просто выйти в Интернет в личных целях. Как это запретить?
    Настройками локального файервола, сетевого оборудования, например.
    Если настройками FW - то у пользователя не должно быть прав локального администратора...
    • Предложено в качестве ответа Artem Gusev HCG 27 апреля 2009 г. 12:19
    • Отменено предложение в качестве ответа Alexander Trofimov 29 апреля 2009 г. 18:28
    27 апреля 2009 г. 11:15
  • Из сетевого оборудования имеется только ADSL-модем Zyxel.
    Права админа у него есть.

    27 апреля 2009 г. 12:26
  • а что за модем? в режиме моста? или соединение иницирует он ? VPN как реализован  - pptp ? ipsec ?


    Абсолютно нормальный парень...
    27 апреля 2009 г. 12:31
  • Права админа у него есть.


    Тогда - локально - никак. Если есть права админа - в FW можно всегда внести изменения.
    Можно попробовать ограничить через провайдера - если согласятся.
    Но я бы забрал права локального админа - и ограничил доступ с помощью FW.
    27 апреля 2009 г. 12:33
  • PPTP
    в режиме роутера

    28 апреля 2009 г. 6:56
  • спасибо
    28 апреля 2009 г. 6:56
  • Если ежиме роутера, то тогда на уровне роутера можно реализовать базовыми правилами брандмауэра.


    Абсолютно нормальный парень...
    28 апреля 2009 г. 6:58
  • Модель ZyXEL OMNI P-660RU EE

    Попробую задать маршрут в модеме. Подниму документацию на модем.

    Спасибо за подсказку.

    Да, но как тогда этот удаленный пользователь будет антивирус обновлять и систему патчить с сайта MSFT? Забить и эти маршруты?

    Я к нему ездить не хочу - далеко...
    28 апреля 2009 г. 7:05
  • да....всё можно сделать просто прописав маршруты или открыв к этим сайтам доступ с роутера.


    Абсолютно нормальный парень...
    28 апреля 2009 г. 7:07
  • Попробую...
    28 апреля 2009 г. 7:09