none
Firewall в Windows server 2003 RRS feed

  • Общие обсуждения

  •             Здравствуйте!
    W2K3, на нем домен контроллер и web-сайт. После обновлений страница стала недоступной из внешней сети, только из локальной. С испугу я в файерволле понаставлял галочек где только можно было и вообще отключил его.
      как правильно сконфигурировать файерволл так чтобы не было проблем с сайтом и чтобы сервер был максимально защищен?

    30 июня 2009 г. 7:42

Все ответы

  • Я не рекомендую Вам размещать web-сайт, тем более - опубликованный в сети Интернет, на контроллере домена.
    В общем случае Вам необходимо разрешить весь трафик от клиентов внутренней сети к контроллеру домена, а для клиентов сети Интернет, доступающихся до web-сайта, разрешить входящие TCP-соединения на порты 80 и 443.
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    30 июня 2009 г. 8:02
    Отвечающий
  • На этом сервере стоят две сетевые карты. одна с реальным адресом,  вторая с адресом нулевой подсети. или это не имеет значения?
    30 июня 2009 г. 8:10
  • web-сайт на IIS ?
    если да, то проверь к какому ip идет привязка: к внешнему или  внутреннему ip?
    У тебя наверно идет к внутреннему по этому доступ из локальной есть, а следовательно из интернета нет.
    И еще, стандартный фаервол в большой степени предназначен для домашнего использование...
    p.s.
    web-сайт на контролере домена, это пилить сук на котором сидишь!!!
    • Изменено i.steshov 1 июля 2009 г. 6:17
  • На этом сервере стоят две сетевые карты. одна с реальным адресом,  вторая с адресом нулевой подсети. или это не имеет значения?

     Что за адрес "нулевой подсети"? Ну, да не важно. Если используется штатный брандамуэр, то проще будет отключить его на интерфейсе локальной сети, а на внешнем - включить, указав ислючение "web сервер" из стандартного набора, ну или добавить TCP-порты 80 и 443.
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • web-сайт работает с помощью программы Apache и привязян конечно же к внешнему. Сайт так все время и работал. Но проблема уже как бы и решена, сайт опять работает. Пришлось маску подсети 255,255,255,240 поменять обратно на 255.255.255.0. (хотя я все равно не понимаю почему так и с удовольствием почитал бы об этом. Может есть у кого ссылочка какая?)
      А вот уж насчет суков, то и не знаю кому доверять, потому что сделать именно так мне посоветовали ваши коллеги по форуму.
     
  • Чтобы понять, почему сайт не был доступен с прежней IP-конфигурацией, надо посмотреть на нее. Приведите IP-адрес, маску подсети и IP-адрес шлюза по умолчанию.

    Объясню про веб-сервер. Скорее всего Ваш веб-сервер Apache работает под учетной записью системы, его процессы имеют привилегии полного доступа к каталогу AD, да и много куда еше, так как олицетворены учетной записью контроллера домена. Если злоумышленнику удастся захватить управление Вашим веб-сервером, что вполне вероятно, то будет скомпрометирован контроллер домена, ресурсы сети Вашего предприятия будет под очень весомой угрозой использования их злоумышленником. Рекомендация Вам будет такая: исполняйте Apache от учетной записи с максимально ограниченными привилегиями, регулярно проверяйте веб-сервер и веб-приложение на наличие уязвимостей.

    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    1 июля 2009 г. 10:09
    Отвечающий
  • Про Web-сайт понятно, так и сделаю.
      193.219.88.3
      255.255.255.0 
      193.219.88.1
    1 июля 2009 г. 12:29
  • Здравствуйте.
    Меня интересует возможность ограничивать доступ сотрудников фирмы к некоторым интернет ресурсам полностью, а к некоторым на время. Например давать пользователю возможность заходить на какой ни будь сайт не более 10 часов в месяц.
    8 июня 2011 г. 13:57