none
Доступ по имени компа или MAC адресу RRS feed

  • Вопрос

  • Добрый день.

    Подскажите, пожалуйста, как мне в TMG 2010 в политиках межсетевого экрана создать правило с доступом с определенного имени компа, а еще лучше с определенного MAC адреса. Я там вижу только возможность задать компьютер по IP-адресу.

    25 июля 2012 г. 7:50

Ответы

  • TMG делает все, что нужно.

    Вы уточните: вам важен компьютер или пользователь?

    Если компьютер, то работает фильтрация по статическому ip-адресу.

    Если пользователь, то можно включить требование аутентификации.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Yuriy Lenchenkov 30 июля 2012 г. 11:10
    25 июля 2012 г. 9:20
    Модератор
  • вариантов несколько:
    1. в dhcp сделать резервации (в 2008 это делается очень быстро, выбираешь нужные лизы и правой кнопкой  всех переводишь в резервации)
    2. для исы в toolkit от redline-software был плагинчик который сканирует и создает объекты типа computer, то есть делает статическую привязку компа к ип, само собой могут появлятся несоответствия в случаях когда компы сменили ип, а утилитка еще не отсканировала. как подвариант самому написать простейший скрипт который будет периодически записи из dns вносить как объекты computers, или например это будет делаться при включении компьюетра и регистрации в dns (права придется раздать хитрые)
    3. самому написать addon к tmg который добавит такой функционал и будет резолвить ип в имя. вариант плохой так как резолв вызовет существуенные задержки и нагрузку

    • Помечено в качестве ответа Yuriy Lenchenkov 30 июля 2012 г. 11:10
    26 июля 2012 г. 7:48
    Отвечающий

Все ответы

  • MAC фильтрация может работать только на втором уровне, а TMG фильтрует только по ip адресу.

    Как вариант можно установить TMG клиент и включить в правилах требование аутентификации.


    Сазонов Илья http://isazonov.wordpress.com/

    25 июля 2012 г. 7:55
    Модератор
  • Хмм, странно. Ну ладно на MAC-адрес я особо не надеялся. Но неужели, чтобы мне разрешить выходить в инет только с определенных компов мне нужно на каждый из них установить tmg-клиент. Уж по имени компа можно разграничивать доступ практически в любых даже самых простых шлюзах\прокси. Неужели tmg на это не способен?
    25 июля 2012 г. 8:02
  • TMG делает все, что нужно.

    Вы уточните: вам важен компьютер или пользователь?

    Если компьютер, то работает фильтрация по статическому ip-адресу.

    Если пользователь, то можно включить требование аутентификации.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Yuriy Lenchenkov 30 июля 2012 г. 11:10
    25 июля 2012 г. 9:20
    Модератор
  • Хмм, странно. Ну ладно на MAC-адрес я особо не надеялся. Но неужели, чтобы мне разрешить выходить в инет только с определенных компов мне нужно на каждый из них установить tmg-клиент. Уж по имени компа можно разграничивать доступ практически в любых даже самых простых шлюзах\прокси. Неужели tmg на это не способен?

    по имени компа не умеют фильтровать даже самые мощные и продвинутые фаеры, такие как cisco asa например. а по ip запросто любой может.
    25 июля 2012 г. 15:52
    Отвечающий
  • Нужно открыть доступ в инет только с определенных компов. Но адреса раздаются по dhcp.  Перенастраивать десятки компов ваще не вариант (

    26 июля 2012 г. 6:03
  • Нужно открыть доступ в инет только с определенных компов. Но адреса раздаются по dhcp.  Перенастраивать десятки компов ваще не вариант (

    Можно как вариант зарезервировать IP-адреса на DHCP и уже после спокойно создать фильтр по IP.
    26 июля 2012 г. 7:39
  • вариантов несколько:
    1. в dhcp сделать резервации (в 2008 это делается очень быстро, выбираешь нужные лизы и правой кнопкой  всех переводишь в резервации)
    2. для исы в toolkit от redline-software был плагинчик который сканирует и создает объекты типа computer, то есть делает статическую привязку компа к ип, само собой могут появлятся несоответствия в случаях когда компы сменили ип, а утилитка еще не отсканировала. как подвариант самому написать простейший скрипт который будет периодически записи из dns вносить как объекты computers, или например это будет делаться при включении компьюетра и регистрации в dns (права придется раздать хитрые)
    3. самому написать addon к tmg который добавит такой функционал и будет резолвить ип в имя. вариант плохой так как резолв вызовет существуенные задержки и нагрузку

    • Помечено в качестве ответа Yuriy Lenchenkov 30 июля 2012 г. 11:10
    26 июля 2012 г. 7:48
    Отвечающий