Как ограничить доступ в интернет на терминальном сервере

Темы, которые не попадают в остальные категории.
Ответить
ramires

Как ограничить доступ в интернет на терминальном сервере

Сообщение ramires » Сб янв 21, 2006 4:08 pm

Как ограничить доступ в интернет на терминальном сервере для пользователей терминала

то есть сервер напряую подключен к интернет по томуже интерфейсу по которому пользователи входят в терминал

установил фаервол но там нет такого чтобы ограничивать внутренних пользователей - можно ограничить доступ только пользователям с отличным ip а так как ip у них тот же что и у сервера то ничего не получается

фактически они ведь сидят за сервером
нужно ограничить доступ к интернету по имени пользователя вошедшего в терминал

Подскажите пожалуйста никак немогу сообразить как это сделать

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Сообщение aka » Пн янв 23, 2006 5:14 pm

Самый правильный путь - Microsoft ISA. Но я лучше не буду говорить, сколько стоят на него лицензии ;) Если достаточно только ограничивать и считать веб-траффик, то можно поставить squid, или любой другой виндовый поксик. Если надо считать весь траффик - ммм... Все выбирают что-то свое, и никто потом не признается :(

Sanek
Сообщения: 32
Зарегистрирован: Ср май 04, 2005 7:13 am

Сообщение Sanek » Пн янв 23, 2006 6:32 pm

Через squid ходим. Правда там проблемы с почтой. Сервер отдельно стоит на Линуксе.

Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean » Пн янв 23, 2006 9:06 pm

Если нет претензий к лицензионности ставь Microsoft ISA, но я бы посоветовал старый системник за 3 т.р сделать выделеным прокси сервером. Если опыта или времени много ставь Fre BSD или Debian + всё что душе угодно вплоть до проекта типа SAMS. Если мало того или другого Win + UserGate или вроде того. И не забудь настроить пересылку DNS.

Гость

Сообщение Гость » Чт фев 09, 2006 2:00 am

А че вы скажете по поводу трафик-инспектора, у них вроде есть версия персонал, которая учитывает пользователя сидящего именно за тем же компом, который в инет смотрит?

k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Сообщение k_quiet » Ср фев 15, 2006 11:30 am

у нас аналогичная ситуация.
используем WinGate 6, у него есть поддержка multi-user machins,
трафик-инспектор не подайдет, он не понимает терминальные серверы, а в версии персонал больше одного пользователя не подключается, поищи на их форуме там есть такие темы.

Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean » Сб фев 18, 2006 6:22 pm

WinGate 6 может ограничить выход в интернет? так чтоб только через него! Чтобы напрямую без прокси нельзя было...

k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Сообщение k_quiet » Сб фев 18, 2006 11:13 pm

Ejean
не совсем понятна точка зрения

Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean » Вс фев 19, 2006 9:43 pm

Это не точка зрения, это вопрос :). Я уже попробывал. Ответ - может. Но у меня не получилось его корректно настроить на терминальном сервере... Стоит одному пользователю выйти в интернет и всё, все остальные выходят через его канал... Я понимаю, что это руки кривые, но не знаю где искать :( Использовал WinGate6.1.1.1077-USE, насколько знаю последний. Если знаешь где описание кинь ссылку, плиз...

k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Сообщение k_quiet » Вс фев 19, 2006 11:19 pm

Использую WinGate 6 + InternetAccessMonitor 3.1(анализатор логов WinGate) - работает как ограничитель доступа и считалка траффика
Инет у меня заведён на сервер напрямую - ADSL, поэтому канал есть у всех и всегда, а пускает или не пускает их уже WinGate.
ссылки:
www.mgate.ru - тут есть всё по шагам как их настроить в паре
www.internetaccessmonitor.ru/rus/support/ - и здесь кое-что
www.internetaccessmonitor.ru/rus/support/docs/wingate/ - и здесь особенно
главное: пропиши IP сервера как multi-user machins в WinGate,
используй NTLM-аутентификацию http://www.mgate.ru/wg_ntlm.html
если ходят через IE то зайди в административные шаблоны, там есть шаблон запрещающий пользователям менять настройки прокси в IE.
Если что не получится - пиши.
InternetAccessMonitor будет работать бесплатно 40 дней, если что - лекарство намылю.
З.Ы. Только не надо настраивать все фичи подряд http://www.mgate.ru/index_wingate.html , все не нужное повыключай, тебе нужно: www, ftp, pop, smtp, soсks...

Dim-soft
Сообщения: 488
Зарегистрирован: Пт янв 13, 2006 9:57 am

Сообщение Dim-soft » Вт фев 21, 2006 6:57 am

хочу заступиться за TrafficInspector с версии 1.1.4 182b3 может 127.0.0.1 добавить как внутреннюю сеть а терминалы уже давно может

k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Сообщение k_quiet » Вт фев 21, 2006 8:57 pm


Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean » Сб фев 25, 2006 10:54 am

ВСЕМ БОЛЬШОЕ СПАСИБО!!! Занимаюсь...

Soft_warrior
Сообщения: 255
Зарегистрирован: Вс ноя 13, 2005 7:39 pm
Откуда: Шадринск
Контактная информация:

Сообщение Soft_warrior » Пн май 15, 2006 1:09 pm

Dim-soft писал(а):хочу заступиться за TrafficInspector с версии 1.1.4 182b3 может 127.0.0.1 добавить как внутреннюю сеть а терминалы уже давно может
не может - сам проверял - НАТ либо не работает - если указать что терминальный сервер либо считает - но тогда по терминальным юзерам не работает :) смысл геморроя? половина программ загибается без ната.

usergate2 ната нет, все через прокси - считает нормально, настроек много - для юзера плохо, с терминалом туго вообще.
usergate3 нат не считает

для терминального сервера необходима прозрачная авторизация.
чем прозрачнее тем лучше :) - сейчас просто линукс шлюз с NAT и ничего больше.
а вингейт попробую - его не пользовал.

Странный

Linux Mandrake 10.1

Сообщение Странный » Ср май 17, 2006 8:44 am

Люди помогите у нас сеть примерно на 70 человек адмынь разадаёт инет спутниковый с обраткой по адсл я ради развития установил Linux Mandrake 10.1 а у всех стоит винда на серваке инета используется траффик агент где мне можно скачать клиент под него под линукс (если таковой существует) ????!!! :roll:

Sakha

Сообщение Sakha » Пн май 22, 2006 11:06 am

Я использую траффик инспектор (ТИ), он подсчитывает траффик терминальных юзеров (терминальный сервер отдельный !!!!) если терминальные юзеры сидят прямо на сервере с ТИ то траффик не подсчитывается. А так впячатления хорошие от ТИ

Dim-soft
Сообщения: 488
Зарегистрирован: Пт янв 13, 2006 9:57 am

Сообщение Dim-soft » Пн май 22, 2006 12:11 pm

Sakha
в версии 1.1.4 можно указать интерфейс 127.0.0.1 как внутрений и считать

Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean » Пн май 22, 2006 7:54 pm

Мало ли что указать в Трафик инспекторе, Юзеры будут ходить прямо в ИНет без ограничений!!! Можно на одном компьютере только если ставить виртуальную машину а на ней проксю... и фильтры соответственно...

Dim-soft
Сообщения: 488
Зарегистрирован: Пт янв 13, 2006 9:57 am

Сообщение Dim-soft » Ср май 24, 2006 2:49 pm

Ejean
версию 1.1.4 189 пробовали ?

Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean » Пт май 26, 2006 7:23 pm

да!

alexps70
Сообщения: 100
Зарегистрирован: Пт май 19, 2006 9:58 am
Откуда: Челябинск

Сообщение alexps70 » Сб июн 17, 2006 7:14 am

Поставил ТИ 1.1.4.190 на отдельном компе, до этого было два ISA - все работало довольно прозрачно (firewall client) автоматом всех авторизовал и кого надо пускал, остальных долбал запросом пароля.
Ставить клиента от ТИ на терминал сразу всем юзерам не получилось - каждому надо сначала дать права админа, потом ставить и настраивать, поэтому пришлось без агента: в итоге - задолбал запрос пароля - вводишь - идет авторизация basiс, но больше не прикапывается, нажимаешь отмена - идет авторизация ntlm, но на каждое окно выскакивает по несколько раз.
Может чего не догоняю, но пришлось просто некоторые сайты прописать в фильтры для всех - идут без авторизации но через прокси. Автоматическая настройка ИЕ через DHCP WPAD тоже не всегда срабатывает(или долго чухает)
В начале было слово, и слово было 2 байта
Alex

Степлер
Сообщения: 29
Зарегистрирован: Ср июл 05, 2006 9:17 am
Откуда: Нижний Новгород
Контактная информация:

Сообщение Степлер » Чт июл 06, 2006 10:25 pm

Домен
WinGate не ниже 6 NTLM авторизация.. + указание IP или MAC терминальных машин рулит!

авторизация проходит автоматом забираються значинея из ActiveDirectory и все... делай что хочешь управляй политиками...
кому то почта, кому то ася, а кому то чупа чупс сосать
Не будь первым, будь лучшим.

FatherAnderson
Сообщения: 3
Зарегистрирован: Вт май 29, 2007 8:07 am

Сообщение FatherAnderson » Пн мар 30, 2009 7:41 pm

Вопросец, кто нить уже занимался с... настройкой обсуждаемой модели выпуска пользорвателей в интернет через ISA 2006? Если да, то поделитесь опытом, или на мануалы ссылку дайте. )

Arny
Сообщения: 51
Зарегистрирован: Пн июл 20, 2009 10:57 am

Re: Как ограничить доступ в интернет на терминальном сервере

Сообщение Arny » Вт окт 27, 2009 12:51 pm

счас буду эксперементировать с ТИ второй ревизии.......

Soft_warrior
Сообщения: 255
Зарегистрирован: Вс ноя 13, 2005 7:39 pm
Откуда: Шадринск
Контактная информация:

Re: Как ограничить доступ в интернет на терминальном сервере

Сообщение Soft_warrior » Вт ноя 17, 2009 12:41 pm

если все получится - отпишитесь о неудачах и результатах
особенно по сравнению с прошлой версией.

nova
Сообщения: 38
Зарегистрирован: Пн май 25, 2009 8:59 am

Re: Как ограничить доступ в интернет на терминальном сервере

Сообщение nova » Ср ноя 16, 2011 12:05 pm

Есть ли свежие идеи по данной теме? чтото у меня юзвери борзеть стали немного... нужно что то режущее или запрещающее, подсчет не нужен

Soft_warrior
Сообщения: 255
Зарегистрирован: Вс ноя 13, 2005 7:39 pm
Откуда: Шадринск
Контактная информация:

Re: Как ограничить доступ в интернет на терминальном сервере

Сообщение Soft_warrior » Пн ноя 21, 2011 6:43 pm

на сервере стоит nod32 v4 (не ess - простой)
там есть разрешенные/запрещенные сайты, а шаблоны можно у какогонить антибаннерного ПО взять...
nod по шаблонам имени прекрасно режет сайты, причем избирательно - можно конкретно гамесы на одноклассниках :)

а то они терминальный сервер жутко гружят - процесс полностью один из процессоров сжирает и памяти немеряно, у меня бывало до 1,9 гб на iexplorer памяти жрало - а там фермя иттить.
а если таких 4-5 шт, то сервер в подкачку уходит - даж памяти не хватает
интересно, если remoteFX технологии и 2008 то быстрее будет обрабатывать флеш игры или на такомже уровне - до полной загрузки процессора будут?

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Как ограничить доступ в интернет на терминальном сервере

Сообщение aka » Пн ноя 21, 2011 9:27 pm

RemoteFX должен сильнее грузить процессор. Та же отриовка флэш, и еще добавляется более сложное сжатие. Кстате на днях выйдет втварь с поддержкой remotefx, на матери i510mo полноэкранное видео 1280x1024 10-12 кадров дает. Можно смотреть. И сеть почти не грузится при этом.

Ответить