Как ограничить доступ в интернет на терминальном сервере

[ramires]

Как ограничить доступ в интернет на терминальном сервере для пользователей терминала

то есть сервер напряую подключен к интернет по томуже интерфейсу по которому пользователи входят в терминал

установил фаервол но там нет такого чтобы ограничивать внутренних пользователей - можно ограничить доступ только пользователям с отличным ip а так как ip у них тот же что и у сервера то ничего не получается

фактически они ведь сидят за сервером
нужно ограничить доступ к интернету по имени пользователя вошедшего в терминал

Подскажите пожалуйста никак немогу сообразить как это сделать

[aka]

Самый правильный путь - Microsoft ISA. Но я лучше не буду говорить, сколько стоят на него лицензии Если достаточно только ограничивать и считать веб-траффик, то можно поставить squid, или любой другой виндовый поксик. Если надо считать весь траффик - ммм... Все выбирают что-то свое, и никто потом не признается

[Sanek]

Через squid ходим. Правда там проблемы с почтой. Сервер отдельно стоит на Линуксе.

[Ejean]

Если нет претензий к лицензионности ставь Microsoft ISA, но я бы посоветовал старый системник за 3 т.р сделать выделеным прокси сервером. Если опыта или времени много ставь Fre BSD или Debian + всё что душе угодно вплоть до проекта типа SAMS. Если мало того или другого Win + UserGate или вроде того. И не забудь настроить пересылку DNS.

[Гость]

А че вы скажете по поводу трафик-инспектора, у них вроде есть версия персонал, которая учитывает пользователя сидящего именно за тем же компом, который в инет смотрит?

[k_quiet]

у нас аналогичная ситуация.
используем WinGate 6, у него есть поддержка multi-user machins,
трафик-инспектор не подайдет, он не понимает терминальные серверы, а в версии персонал больше одного пользователя не подключается, поищи на их форуме там есть такие темы.

[Ejean]

WinGate 6 может ограничить выход в интернет? так чтоб только через него! Чтобы напрямую без прокси нельзя было...

[k_quiet]

Ejean
не совсем понятна точка зрения

[Ejean]

Это не точка зрения, это вопрос . Я уже попробывал. Ответ - может. Но у меня не получилось его корректно настроить на терминальном сервере... Стоит одному пользователю выйти в интернет и всё, все остальные выходят через его канал... Я понимаю, что это руки кривые, но не знаю где искать Использовал WinGate6.1.1.1077-USE, насколько знаю последний. Если знаешь где описание кинь ссылку, плиз...

[k_quiet]

Использую WinGate 6 + InternetAccessMonitor 3.1(анализатор логов WinGate) - работает как ограничитель доступа и считалка траффика
Инет у меня заведён на сервер напрямую - ADSL, поэтому канал есть у всех и всегда, а пускает или не пускает их уже WinGate.
ссылки:
www.mgate.ru - тут есть всё по шагам как их настроить в паре
www.internetaccessmonitor.ru/rus/support/ - и здесь кое-что
www.internetaccessmonitor.ru/rus/support/docs/wingate/ - и здесь особенно
главное: пропиши IP сервера как multi-user machins в WinGate,
используй NTLM-аутентификацию http://www.mgate.ru/wg_ntlm.html
если ходят через IE то зайди в административные шаблоны, там есть шаблон запрещающий пользователям менять настройки прокси в IE.
Если что не получится - пиши.
InternetAccessMonitor будет работать бесплатно 40 дней, если что - лекарство намылю.
З.Ы. Только не надо настраивать все фичи подряд http://www.mgate.ru/index_wingate.html , все не нужное повыключай, тебе нужно: www, ftp, pop, smtp, soсks...

[Dim-soft]

хочу заступиться за TrafficInspector с версии 1.1.4 182b3 может 127.0.0.1 добавить как внутреннюю сеть а терминалы уже давно может

[k_quiet]

Dim-soft
http://www.smart-soft.ru/forum/forum_po ... 0%EB%EE%E2

[Ejean]

ВСЕМ БОЛЬШОЕ СПАСИБО!!! Занимаюсь...

[Soft_warrior]

хочу заступиться за TrafficInspector с версии 1.1.4 182b3 может 127.0.0.1 добавить как внутреннюю сеть а терминалы уже давно может

не может - сам проверял - НАТ либо не работает - если указать что терминальный сервер либо считает - но тогда по терминальным юзерам не работает смысл геморроя? половина программ загибается без ната.

usergate2 ната нет, все через прокси - считает нормально, настроек много - для юзера плохо, с терминалом туго вообще.
usergate3 нат не считает

для терминального сервера необходима прозрачная авторизация.
чем прозрачнее тем лучше - сейчас просто линукс шлюз с NAT и ничего больше.
а вингейт попробую - его не пользовал.

[Странный]

Люди помогите у нас сеть примерно на 70 человек адмынь разадаёт инет спутниковый с обраткой по адсл я ради развития установил Linux Mandrake 10.1 а у всех стоит винда на серваке инета используется траффик агент где мне можно скачать клиент под него под линукс (если таковой существует) ????!!!

[Sakha]

Я использую траффик инспектор (ТИ), он подсчитывает траффик терминальных юзеров (терминальный сервер отдельный !!!!) если терминальные юзеры сидят прямо на сервере с ТИ то траффик не подсчитывается. А так впячатления хорошие от ТИ

[Dim-soft]

Sakha
в версии 1.1.4 можно указать интерфейс 127.0.0.1 как внутрений и считать

[Ejean]

Мало ли что указать в Трафик инспекторе, Юзеры будут ходить прямо в ИНет без ограничений!!! Можно на одном компьютере только если ставить виртуальную машину а на ней проксю... и фильтры соответственно...

[Dim-soft]

Ejean
версию 1.1.4 189 пробовали ?

[Ejean]

да!

[alexps70]

Поставил ТИ 1.1.4.190 на отдельном компе, до этого было два ISA - все работало довольно прозрачно (firewall client) автоматом всех авторизовал и кого надо пускал, остальных долбал запросом пароля.
Ставить клиента от ТИ на терминал сразу всем юзерам не получилось - каждому надо сначала дать права админа, потом ставить и настраивать, поэтому пришлось без агента: в итоге - задолбал запрос пароля - вводишь - идет авторизация basiс, но больше не прикапывается, нажимаешь отмена - идет авторизация ntlm, но на каждое окно выскакивает по несколько раз.
Может чего не догоняю, но пришлось просто некоторые сайты прописать в фильтры для всех - идут без авторизации но через прокси. Автоматическая настройка ИЕ через DHCP WPAD тоже не всегда срабатывает(или долго чухает)

[Степлер]

Домен
WinGate не ниже 6 NTLM авторизация.. + указание IP или MAC терминальных машин рулит!

авторизация проходит автоматом забираються значинея из ActiveDirectory и все... делай что хочешь управляй политиками...
кому то почта, кому то ася, а кому то чупа чупс сосать

[FatherAnderson]

Вопросец, кто нить уже занимался с... настройкой обсуждаемой модели выпуска пользорвателей в интернет через ISA 2006? Если да, то поделитесь опытом, или на мануалы ссылку дайте. )

[Arny]

счас буду эксперементировать с ТИ второй ревизии.......

[Soft_warrior]

если все получится - отпишитесь о неудачах и результатах
особенно по сравнению с прошлой версией.

[nova]

Есть ли свежие идеи по данной теме? чтото у меня юзвери борзеть стали немного... нужно что то режущее или запрещающее, подсчет не нужен

[Soft_warrior]

на сервере стоит nod32 v4 (не ess - простой)
там есть разрешенные/запрещенные сайты, а шаблоны можно у какогонить антибаннерного ПО взять...
nod по шаблонам имени прекрасно режет сайты, причем избирательно - можно конкретно гамесы на одноклассниках

а то они терминальный сервер жутко гружят - процесс полностью один из процессоров сжирает и памяти немеряно, у меня бывало до 1,9 гб на iexplorer памяти жрало - а там фермя иттить.
а если таких 4-5 шт, то сервер в подкачку уходит - даж памяти не хватает
интересно, если remoteFX технологии и 2008 то быстрее будет обрабатывать флеш игры или на такомже уровне - до полной загрузки процессора будут?

[aka]

RemoteFX должен сильнее грузить процессор. Та же отриовка флэш, и еще добавляется более сложное сжатие. Кстате на днях выйдет втварь с поддержкой remotefx, на матери i510mo полноэкранное видео 1280x1024 10-12 кадров дает. Можно смотреть. И сеть почти не грузится при этом.