Как ограничить доступ в интернет на терминальном сервере
Как ограничить доступ в интернет на терминальном сервере
Как ограничить доступ в интернет на терминальном сервере для пользователей терминала
то есть сервер напряую подключен к интернет по томуже интерфейсу по которому пользователи входят в терминал
установил фаервол но там нет такого чтобы ограничивать внутренних пользователей - можно ограничить доступ только пользователям с отличным ip а так как ip у них тот же что и у сервера то ничего не получается
фактически они ведь сидят за сервером
нужно ограничить доступ к интернету по имени пользователя вошедшего в терминал
Подскажите пожалуйста никак немогу сообразить как это сделать
то есть сервер напряую подключен к интернет по томуже интерфейсу по которому пользователи входят в терминал
установил фаервол но там нет такого чтобы ограничивать внутренних пользователей - можно ограничить доступ только пользователям с отличным ip а так как ip у них тот же что и у сервера то ничего не получается
фактически они ведь сидят за сервером
нужно ограничить доступ к интернету по имени пользователя вошедшего в терминал
Подскажите пожалуйста никак немогу сообразить как это сделать
-
- Разработчик
- Сообщения: 11852
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Самый правильный путь - Microsoft ISA. Но я лучше не буду говорить, сколько стоят на него лицензии Если достаточно только ограничивать и считать веб-траффик, то можно поставить squid, или любой другой виндовый поксик. Если надо считать весь траффик - ммм... Все выбирают что-то свое, и никто потом не признается
Если нет претензий к лицензионности ставь Microsoft ISA, но я бы посоветовал старый системник за 3 т.р сделать выделеным прокси сервером. Если опыта или времени много ставь Fre BSD или Debian + всё что душе угодно вплоть до проекта типа SAMS. Если мало того или другого Win + UserGate или вроде того. И не забудь настроить пересылку DNS.
Это не точка зрения, это вопрос . Я уже попробывал. Ответ - может. Но у меня не получилось его корректно настроить на терминальном сервере... Стоит одному пользователю выйти в интернет и всё, все остальные выходят через его канал... Я понимаю, что это руки кривые, но не знаю где искать Использовал WinGate6.1.1.1077-USE, насколько знаю последний. Если знаешь где описание кинь ссылку, плиз...
Использую WinGate 6 + InternetAccessMonitor 3.1(анализатор логов WinGate) - работает как ограничитель доступа и считалка траффика
Инет у меня заведён на сервер напрямую - ADSL, поэтому канал есть у всех и всегда, а пускает или не пускает их уже WinGate.
ссылки:
www.mgate.ru - тут есть всё по шагам как их настроить в паре
www.internetaccessmonitor.ru/rus/support/ - и здесь кое-что
www.internetaccessmonitor.ru/rus/support/docs/wingate/ - и здесь особенно
главное: пропиши IP сервера как multi-user machins в WinGate,
используй NTLM-аутентификацию http://www.mgate.ru/wg_ntlm.html
если ходят через IE то зайди в административные шаблоны, там есть шаблон запрещающий пользователям менять настройки прокси в IE.
Если что не получится - пиши.
InternetAccessMonitor будет работать бесплатно 40 дней, если что - лекарство намылю.
З.Ы. Только не надо настраивать все фичи подряд http://www.mgate.ru/index_wingate.html , все не нужное повыключай, тебе нужно: www, ftp, pop, smtp, soсks...
Инет у меня заведён на сервер напрямую - ADSL, поэтому канал есть у всех и всегда, а пускает или не пускает их уже WinGate.
ссылки:
www.mgate.ru - тут есть всё по шагам как их настроить в паре
www.internetaccessmonitor.ru/rus/support/ - и здесь кое-что
www.internetaccessmonitor.ru/rus/support/docs/wingate/ - и здесь особенно
главное: пропиши IP сервера как multi-user machins в WinGate,
используй NTLM-аутентификацию http://www.mgate.ru/wg_ntlm.html
если ходят через IE то зайди в административные шаблоны, там есть шаблон запрещающий пользователям менять настройки прокси в IE.
Если что не получится - пиши.
InternetAccessMonitor будет работать бесплатно 40 дней, если что - лекарство намылю.
З.Ы. Только не надо настраивать все фичи подряд http://www.mgate.ru/index_wingate.html , все не нужное повыключай, тебе нужно: www, ftp, pop, smtp, soсks...
-
- Сообщения: 278
- Зарегистрирован: Вс ноя 13, 2005 7:39 pm
- Откуда: Москва
- Контактная информация:
не может - сам проверял - НАТ либо не работает - если указать что терминальный сервер либо считает - но тогда по терминальным юзерам не работает смысл геморроя? половина программ загибается без ната.Dim-soft писал(а):хочу заступиться за TrafficInspector с версии 1.1.4 182b3 может 127.0.0.1 добавить как внутреннюю сеть а терминалы уже давно может
usergate2 ната нет, все через прокси - считает нормально, настроек много - для юзера плохо, с терминалом туго вообще.
usergate3 нат не считает
для терминального сервера необходима прозрачная авторизация.
чем прозрачнее тем лучше - сейчас просто линукс шлюз с NAT и ничего больше.
а вингейт попробую - его не пользовал.
Linux Mandrake 10.1
Люди помогите у нас сеть примерно на 70 человек адмынь разадаёт инет спутниковый с обраткой по адсл я ради развития установил Linux Mandrake 10.1 а у всех стоит винда на серваке инета используется траффик агент где мне можно скачать клиент под него под линукс (если таковой существует) ????!!!
Поставил ТИ 1.1.4.190 на отдельном компе, до этого было два ISA - все работало довольно прозрачно (firewall client) автоматом всех авторизовал и кого надо пускал, остальных долбал запросом пароля.
Ставить клиента от ТИ на терминал сразу всем юзерам не получилось - каждому надо сначала дать права админа, потом ставить и настраивать, поэтому пришлось без агента: в итоге - задолбал запрос пароля - вводишь - идет авторизация basiс, но больше не прикапывается, нажимаешь отмена - идет авторизация ntlm, но на каждое окно выскакивает по несколько раз.
Может чего не догоняю, но пришлось просто некоторые сайты прописать в фильтры для всех - идут без авторизации но через прокси. Автоматическая настройка ИЕ через DHCP WPAD тоже не всегда срабатывает(или долго чухает)
Ставить клиента от ТИ на терминал сразу всем юзерам не получилось - каждому надо сначала дать права админа, потом ставить и настраивать, поэтому пришлось без агента: в итоге - задолбал запрос пароля - вводишь - идет авторизация basiс, но больше не прикапывается, нажимаешь отмена - идет авторизация ntlm, но на каждое окно выскакивает по несколько раз.
Может чего не догоняю, но пришлось просто некоторые сайты прописать в фильтры для всех - идут без авторизации но через прокси. Автоматическая настройка ИЕ через DHCP WPAD тоже не всегда срабатывает(или долго чухает)
-
- Сообщения: 3
- Зарегистрирован: Вт май 29, 2007 8:07 am
Re: Как ограничить доступ в интернет на терминальном сервере
счас буду эксперементировать с ТИ второй ревизии.......
-
- Сообщения: 278
- Зарегистрирован: Вс ноя 13, 2005 7:39 pm
- Откуда: Москва
- Контактная информация:
Re: Как ограничить доступ в интернет на терминальном сервере
если все получится - отпишитесь о неудачах и результатах
особенно по сравнению с прошлой версией.
особенно по сравнению с прошлой версией.
Re: Как ограничить доступ в интернет на терминальном сервере
Есть ли свежие идеи по данной теме? чтото у меня юзвери борзеть стали немного... нужно что то режущее или запрещающее, подсчет не нужен
-
- Сообщения: 278
- Зарегистрирован: Вс ноя 13, 2005 7:39 pm
- Откуда: Москва
- Контактная информация:
Re: Как ограничить доступ в интернет на терминальном сервере
на сервере стоит nod32 v4 (не ess - простой)
там есть разрешенные/запрещенные сайты, а шаблоны можно у какогонить антибаннерного ПО взять...
nod по шаблонам имени прекрасно режет сайты, причем избирательно - можно конкретно гамесы на одноклассниках
а то они терминальный сервер жутко гружят - процесс полностью один из процессоров сжирает и памяти немеряно, у меня бывало до 1,9 гб на iexplorer памяти жрало - а там фермя иттить.
а если таких 4-5 шт, то сервер в подкачку уходит - даж памяти не хватает
интересно, если remoteFX технологии и 2008 то быстрее будет обрабатывать флеш игры или на такомже уровне - до полной загрузки процессора будут?
там есть разрешенные/запрещенные сайты, а шаблоны можно у какогонить антибаннерного ПО взять...
nod по шаблонам имени прекрасно режет сайты, причем избирательно - можно конкретно гамесы на одноклассниках
а то они терминальный сервер жутко гружят - процесс полностью один из процессоров сжирает и памяти немеряно, у меня бывало до 1,9 гб на iexplorer памяти жрало - а там фермя иттить.
а если таких 4-5 шт, то сервер в подкачку уходит - даж памяти не хватает
интересно, если remoteFX технологии и 2008 то быстрее будет обрабатывать флеш игры или на такомже уровне - до полной загрузки процессора будут?
-
- Разработчик
- Сообщения: 11852
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Как ограничить доступ в интернет на терминальном сервере
RemoteFX должен сильнее грузить процессор. Та же отриовка флэш, и еще добавляется более сложное сжатие. Кстате на днях выйдет втварь с поддержкой remotefx, на матери i510mo полноэкранное видео 1280x1024 10-12 кадров дает. Можно смотреть. И сеть почти не грузится при этом.