none
Разграничение доступа ВПН-клиентов RRS feed

  • Вопрос

  • Доброго времени всем. Возник еще 1 вопрос. Можно ли ВПН-клинетов разграничить по доступу, т.е. одним ВПН-клинетам разрешить ходить только на определенные ИПы, а другим ВПН-клинетам можно ходить везде.

    Спасибо.
    19 февраля 2010 г. 13:02

Ответы

  • Можно. Например, создайте правило вида "From VPN Clients to <избранные узлы>, Users = All Users" и правило вида "From VPN Clients to <Internal, например>, Users = All Authenticated Usrers except <избранная группа пользователей>". Первое правило разместите "выше" (с меньшим Order) второго.

    19 февраля 2010 г. 14:18
    Отвечающий

Все ответы

  • Можно. Например, создайте правило вида "From VPN Clients to <избранные узлы>, Users = All Users" и правило вида "From VPN Clients to <Internal, например>, Users = All Authenticated Usrers except <избранная группа пользователей>". Первое правило разместите "выше" (с меньшим Order) второго.

    19 февраля 2010 г. 14:18
    Отвечающий
  • Оба разрешающих правила???

    19 февраля 2010 г. 14:29
  • Да, оба "Allow".
    19 февраля 2010 г. 14:31
    Отвечающий
  • не знаю почему, но разрешающее правила с разрешением доступа всего к одному хосту, без проблем дает доступ к другому хосту... проверялось пингом, а вот запрещающее правило (вроде как рекомендовано запрещающие использовать только в ркайнем случае), без проблем блокирует доступ ок всему, кроме 1 разерешенного компа... правило имеет вид...

    запретить, источник - ВПН-клиенты, назначение - интернал, исключая 1 хост, кто - группа пользователей...

    19 февраля 2010 г. 14:40
  • Skorp, то что вы говорите - фантастика.

    Запустите наблюдение на ISA, наблюдение покажет какой тарифк идет и под какое правило подпадает .
    Если срабатывает ваеше разрешающее правило, смтрите его. Возможно в разрешающем првиле в назначении указан набор компьютеров или подсеть.
    22 февраля 2010 г. 7:37
  • Я не знаю, фантактика это или нет, но так и есть. В правиле указан конкретный хост, не подсеть и не набор.

    В итоге сделал так. Пишу правила в порядке расположения:

    1. раз-ть, всё, источник - впн-клинеты+интернал, назначение - впн-клинеты+интернал, все пользователи, исключая тестовый пользователь.
    2. раз-ть, всё, источник - впн-клинеты, назначение - тестовый хост, тествый пользователь.

    В результате тестовый пользователь ходит только на тестовый хост.

    24 февраля 2010 г. 12:57