Как ограничить доступ в интернет на терминальном сервере

Темы, которые не попадают в остальные категории.
Ответить
ramires

Как ограничить доступ в интернет на терминальном сервере

Сообщение ramires »

Как ограничить доступ в интернет на терминальном сервере для пользователей терминала

то есть сервер напряую подключен к интернет по томуже интерфейсу по которому пользователи входят в терминал

установил фаервол но там нет такого чтобы ограничивать внутренних пользователей - можно ограничить доступ только пользователям с отличным ip а так как ip у них тот же что и у сервера то ничего не получается

фактически они ведь сидят за сервером
нужно ограничить доступ к интернету по имени пользователя вошедшего в терминал

Подскажите пожалуйста никак немогу сообразить как это сделать
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Сообщение aka »

Самый правильный путь - Microsoft ISA. Но я лучше не буду говорить, сколько стоят на него лицензии ;) Если достаточно только ограничивать и считать веб-траффик, то можно поставить squid, или любой другой виндовый поксик. Если надо считать весь траффик - ммм... Все выбирают что-то свое, и никто потом не признается :(
Sanek
Сообщения: 32
Зарегистрирован: Ср май 04, 2005 7:13 am

Сообщение Sanek »

Через squid ходим. Правда там проблемы с почтой. Сервер отдельно стоит на Линуксе.
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

Если нет претензий к лицензионности ставь Microsoft ISA, но я бы посоветовал старый системник за 3 т.р сделать выделеным прокси сервером. Если опыта или времени много ставь Fre BSD или Debian + всё что душе угодно вплоть до проекта типа SAMS. Если мало того или другого Win + UserGate или вроде того. И не забудь настроить пересылку DNS.
Гость

Сообщение Гость »

А че вы скажете по поводу трафик-инспектора, у них вроде есть версия персонал, которая учитывает пользователя сидящего именно за тем же компом, который в инет смотрит?
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Сообщение k_quiet »

у нас аналогичная ситуация.
используем WinGate 6, у него есть поддержка multi-user machins,
трафик-инспектор не подайдет, он не понимает терминальные серверы, а в версии персонал больше одного пользователя не подключается, поищи на их форуме там есть такие темы.
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

WinGate 6 может ограничить выход в интернет? так чтоб только через него! Чтобы напрямую без прокси нельзя было...
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Сообщение k_quiet »

Ejean
не совсем понятна точка зрения
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

Это не точка зрения, это вопрос :). Я уже попробывал. Ответ - может. Но у меня не получилось его корректно настроить на терминальном сервере... Стоит одному пользователю выйти в интернет и всё, все остальные выходят через его канал... Я понимаю, что это руки кривые, но не знаю где искать :( Использовал WinGate6.1.1.1077-USE, насколько знаю последний. Если знаешь где описание кинь ссылку, плиз...
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Сообщение k_quiet »

Использую WinGate 6 + InternetAccessMonitor 3.1(анализатор логов WinGate) - работает как ограничитель доступа и считалка траффика
Инет у меня заведён на сервер напрямую - ADSL, поэтому канал есть у всех и всегда, а пускает или не пускает их уже WinGate.
ссылки:
www.mgate.ru - тут есть всё по шагам как их настроить в паре
www.internetaccessmonitor.ru/rus/support/ - и здесь кое-что
www.internetaccessmonitor.ru/rus/support/docs/wingate/ - и здесь особенно
главное: пропиши IP сервера как multi-user machins в WinGate,
используй NTLM-аутентификацию http://www.mgate.ru/wg_ntlm.html
если ходят через IE то зайди в административные шаблоны, там есть шаблон запрещающий пользователям менять настройки прокси в IE.
Если что не получится - пиши.
InternetAccessMonitor будет работать бесплатно 40 дней, если что - лекарство намылю.
З.Ы. Только не надо настраивать все фичи подряд http://www.mgate.ru/index_wingate.html , все не нужное повыключай, тебе нужно: www, ftp, pop, smtp, soсks...
Dim-soft
Сообщения: 503
Зарегистрирован: Пт янв 13, 2006 9:57 am

Сообщение Dim-soft »

хочу заступиться за TrafficInspector с версии 1.1.4 182b3 может 127.0.0.1 добавить как внутреннюю сеть а терминалы уже давно может
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Сообщение k_quiet »

Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

ВСЕМ БОЛЬШОЕ СПАСИБО!!! Занимаюсь...
Soft_warrior
Сообщения: 278
Зарегистрирован: Вс ноя 13, 2005 7:39 pm
Откуда: Москва
Контактная информация:

Сообщение Soft_warrior »

Dim-soft писал(а):хочу заступиться за TrafficInspector с версии 1.1.4 182b3 может 127.0.0.1 добавить как внутреннюю сеть а терминалы уже давно может
не может - сам проверял - НАТ либо не работает - если указать что терминальный сервер либо считает - но тогда по терминальным юзерам не работает :) смысл геморроя? половина программ загибается без ната.

usergate2 ната нет, все через прокси - считает нормально, настроек много - для юзера плохо, с терминалом туго вообще.
usergate3 нат не считает

для терминального сервера необходима прозрачная авторизация.
чем прозрачнее тем лучше :) - сейчас просто линукс шлюз с NAT и ничего больше.
а вингейт попробую - его не пользовал.
Странный

Linux Mandrake 10.1

Сообщение Странный »

Люди помогите у нас сеть примерно на 70 человек адмынь разадаёт инет спутниковый с обраткой по адсл я ради развития установил Linux Mandrake 10.1 а у всех стоит винда на серваке инета используется траффик агент где мне можно скачать клиент под него под линукс (если таковой существует) ????!!! :roll:
Sakha

Сообщение Sakha »

Я использую траффик инспектор (ТИ), он подсчитывает траффик терминальных юзеров (терминальный сервер отдельный !!!!) если терминальные юзеры сидят прямо на сервере с ТИ то траффик не подсчитывается. А так впячатления хорошие от ТИ
Dim-soft
Сообщения: 503
Зарегистрирован: Пт янв 13, 2006 9:57 am

Сообщение Dim-soft »

Sakha
в версии 1.1.4 можно указать интерфейс 127.0.0.1 как внутрений и считать
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

Мало ли что указать в Трафик инспекторе, Юзеры будут ходить прямо в ИНет без ограничений!!! Можно на одном компьютере только если ставить виртуальную машину а на ней проксю... и фильтры соответственно...
Dim-soft
Сообщения: 503
Зарегистрирован: Пт янв 13, 2006 9:57 am

Сообщение Dim-soft »

Ejean
версию 1.1.4 189 пробовали ?
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

да!
alexps70
Сообщения: 100
Зарегистрирован: Пт май 19, 2006 9:58 am
Откуда: Челябинск

Сообщение alexps70 »

Поставил ТИ 1.1.4.190 на отдельном компе, до этого было два ISA - все работало довольно прозрачно (firewall client) автоматом всех авторизовал и кого надо пускал, остальных долбал запросом пароля.
Ставить клиента от ТИ на терминал сразу всем юзерам не получилось - каждому надо сначала дать права админа, потом ставить и настраивать, поэтому пришлось без агента: в итоге - задолбал запрос пароля - вводишь - идет авторизация basiс, но больше не прикапывается, нажимаешь отмена - идет авторизация ntlm, но на каждое окно выскакивает по несколько раз.
Может чего не догоняю, но пришлось просто некоторые сайты прописать в фильтры для всех - идут без авторизации но через прокси. Автоматическая настройка ИЕ через DHCP WPAD тоже не всегда срабатывает(или долго чухает)
Степлер
Сообщения: 29
Зарегистрирован: Ср июл 05, 2006 9:17 am
Откуда: Нижний Новгород
Контактная информация:

Сообщение Степлер »

Домен
WinGate не ниже 6 NTLM авторизация.. + указание IP или MAC терминальных машин рулит!

авторизация проходит автоматом забираються значинея из ActiveDirectory и все... делай что хочешь управляй политиками...
кому то почта, кому то ася, а кому то чупа чупс сосать
FatherAnderson
Сообщения: 3
Зарегистрирован: Вт май 29, 2007 8:07 am

Сообщение FatherAnderson »

Вопросец, кто нить уже занимался с... настройкой обсуждаемой модели выпуска пользорвателей в интернет через ISA 2006? Если да, то поделитесь опытом, или на мануалы ссылку дайте. )
Arny
Сообщения: 51
Зарегистрирован: Пн июл 20, 2009 10:57 am

Re: Как ограничить доступ в интернет на терминальном сервере

Сообщение Arny »

счас буду эксперементировать с ТИ второй ревизии.......
Soft_warrior
Сообщения: 278
Зарегистрирован: Вс ноя 13, 2005 7:39 pm
Откуда: Москва
Контактная информация:

Re: Как ограничить доступ в интернет на терминальном сервере

Сообщение Soft_warrior »

если все получится - отпишитесь о неудачах и результатах
особенно по сравнению с прошлой версией.
nova
Сообщения: 47
Зарегистрирован: Пн май 25, 2009 8:59 am

Re: Как ограничить доступ в интернет на терминальном сервере

Сообщение nova »

Есть ли свежие идеи по данной теме? чтото у меня юзвери борзеть стали немного... нужно что то режущее или запрещающее, подсчет не нужен
Soft_warrior
Сообщения: 278
Зарегистрирован: Вс ноя 13, 2005 7:39 pm
Откуда: Москва
Контактная информация:

Re: Как ограничить доступ в интернет на терминальном сервере

Сообщение Soft_warrior »

на сервере стоит nod32 v4 (не ess - простой)
там есть разрешенные/запрещенные сайты, а шаблоны можно у какогонить антибаннерного ПО взять...
nod по шаблонам имени прекрасно режет сайты, причем избирательно - можно конкретно гамесы на одноклассниках :)

а то они терминальный сервер жутко гружят - процесс полностью один из процессоров сжирает и памяти немеряно, у меня бывало до 1,9 гб на iexplorer памяти жрало - а там фермя иттить.
а если таких 4-5 шт, то сервер в подкачку уходит - даж памяти не хватает
интересно, если remoteFX технологии и 2008 то быстрее будет обрабатывать флеш игры или на такомже уровне - до полной загрузки процессора будут?
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Как ограничить доступ в интернет на терминальном сервере

Сообщение aka »

RemoteFX должен сильнее грузить процессор. Та же отриовка флэш, и еще добавляется более сложное сжатие. Кстате на днях выйдет втварь с поддержкой remotefx, на матери i510mo полноэкранное видео 1280x1024 10-12 кадров дает. Можно смотреть. И сеть почти не грузится при этом.
Ответить

Вернуться в «Остальное»