|
|
| Blocco connessione internet |
|
|
| Salve a tutti... ho un problema e cerco una mano per risolverlo.
Ho una rete composta da una decina di client (tutti XP SP3) ed un server 2003 SBS che fa da DC e DHCP (oltre ad altri ruoli che non interessano il mio problema).
Mi succede che alcuni dipendenti della mia azienda, durante le ore notturne, si divertono a navigare in internet scollegando dalla rete alcuni client che di notte non servono e collegando i loro notebook alla lan.
Nonostante i vari avvisi esposti, questo fenomeno sta diventando noioso e voglio (devo!) trovare una soluzione !
Attualmente il Gateway verso internet è un router alice business che come sappiamo non offre alcun tipo di protezione.
Vorrei evitare l'uso di un pc linux (con installazioni tipo ipcop o endian firewall) tra router e lan per evitare troppi giri di nat per alcuni servizi che devono essere fruibili dall'esterno.
Ho anche limitato l'assegnazione degli ip dal DHCP ai soli MAC noti... ma gli utenti hanno imparato i parametri di connessione e si settano i notebook a mano sulla classe ip della lan.
Non ho problemi ad installare una seconda scheda di rete sul server (anzi... già c'è) per separare la lan dal gateway internet. I dipendenti non hanno accesso ai locali dove si trova il server e l'armadio con switch, router e quant'altro... ma non so come gestire il blocco dell'accesso alla rete wan tramite 2003 server.
Gli utenti che utilizzano i client aziendali quando accedono al dominio non devono subire alcun tipo di limitazione all'accesso internet. Le varie policy per l'accesso al server sono tutte configurate e funzionano senza problemi.
Che possibilità ho ?
Grazie per qualsiasi aiuto. |
|
|
|
 | |
|
|
| Re: Blocco connessione internet |
|
|
ciao,
Anche mettendo una seconda scheda di rete, vai unicamente a separare le reti interne da quelle Guest, quindi i dipendenti continueranno a navigare di straforo.
Puoi adottare, senza utilizzare software di 3 parti con l' acquisto di un pc ulteriore, un firewall fisico, dove puoi abbinare e abilitare la navigazione unicamente a determinati pc escludendo tutti gli altri. naturalmente questo comporta la creazione di tutte le regole per le necessità dall' esterno.
Esporre un server alla rete senza un firewall prima. non è molto saggio.
Ti consiglio le marche zyxel e digicom. costano poco e fanno al caso tuo.
Francesco Rainone
Numero Zero -
www.windowserver.it |
|
|
|
| |
|
|
| Re: Blocco connessione internet |
|
|
La settimana scorsa ho sistemato un cliente che aveva il tuo stesso problema.
Ho installato un router della Mikrotik del costo di una cinquantina di euro (http://www.routerboard.com/pricelist.php?showProduct=56) tra il router ADSL e la LAN, facendolo diventare il gateway di tutta la rete, ho configurato il blocco del traffico in uscita per tutti tranne per l'SBS sul quale ho installato il proxy server SQUID e infine tramite GPO ho configurato tutti i client per usare il proxy con autenticazione NTLM quindi completamente trasparente.
Io questo modo oltre a risolvere il problema che hai risolvi anche il problema di bloccare alcuni siti tipo i vari facebook, etc. etc.
Per quanto riguarda Squid qui trovi una guida (http://bit.ly/dcizgY) a breve sarà disponibile la seconda parte.
Ciao
Andrea Sistarelli
MCP - MCTS - MCSA - MCSE - MCT - CCNA
|
|
|
|
| |
|
|
| Re: Blocco connessione internet |
|
|
ciao andrea,
e perche non utilizzare un firewall fisico invece? che scompensi porta l'installazione di un apparato che fa le stesse funzioni della tua soluzione? o è solo per un discoso di praticità?
Francesco Rainone
Numero Zero -
www.windowserver.it |
|
|
|
| |
|
|
| Re: Blocco connessione internet |
|
|
Utilizzando un proxy server invece di un firewall fisico puoi configurare tutte le regole per la navigazione a livello di utente e non di IP. Se l'utente pippo può uscire su internet liberamente può farlo da tutti i PC e non solo da alcuni. Questo è difficile farlo con un firewall hardware. Inoltre se hai un Terminal Server dove tutti gli utenti provengono dallo stesso IP è un bel problema.
Il router della mikrotik che ho indicato è un router a tutti gli effetti con 5 porte LAN totalmente configurabili e teoricamente potresti usare solo quello per bloccare o consentire l'uscita verso Internet di alcuni IP. Però non avresti la possibilità di agganciarlo agli utenti di AD.
Spero di essere stato chiaro :)
Ciao
Andrea Sistarelli
MCP - MCTS - MCSA - MCSE - MCT - CCNA
|
|
|
|
| |
|
|
| Re: Blocco connessione internet |
|
|
assolutamente.
Ora che mi ci fai pensare, anche keryo win route si aggangia a AD e puoi configurare cio che ti pare all'utente che ti pare.
evitando cosi l'installazione di altro apparato. e in piu fa anche il monitorig dei siti visitati da un utente specifico, e dato che sbs ha gia 2 schede di rete, il costo diventa del solo software.
Francesco Rainone
Numero Zero -
www.windowserver.it |
|
|
|
| |
|
|
| Re: Blocco connessione internet |
|
|
Che con Squid è zero :)
A patto di accettare le configurazioni in classico stile Linux editando file di testo :)
Ciao
Andrea Sistarelli
MCP - MCTS - MCSA - MCSE - MCT - CCNA
|
|
|
|
| |
|
|
| Re: Blocco connessione internet |
|
|
di fronte a questo allora alzo le mani.....
Francesco Rainone
Numero Zero -
www.windowserver.it |
|
|
|
| |
|
|
| Re: Blocco connessione internet |
|
|
:) :) :)
P.S.: Ma come si fanno le faccine???
Ciao
Andrea Sistarelli
MCP - MCTS - MCSA - MCSE - MCT - CCNA
|
|
|
|
| |
|
|
| Re: Blocco connessione internet |
|
|
Rispondo con ordine:
Non ho mai detto che il server è esposto e senza firewall. C'è già un router firewall su quale sono configurate alcune regole per l'accesso dall'esterno al server solo per determinati servizi, il resto è protetto. Il problema è che questo non consente (come quasi tutti i prodotti di questo genere) di configurare regole per il traffico verso l'esterno.
Conosco bene i microtik (li utilizzo tra le altre cose per gestire VPN lan-to-lan) ma vorrei evitare il doppio nat dovuto al primo router in cascata sul microtik.
L'idea di utilizzare SQUID invece non mi dispiace, l'unica cosa non so se sia possibile fare questo:
Mettere il rotuer verso internet sulla seconda scheda di rete e non mettere una route dalla rete lan alla wan così è impossibile che gli utenti possano raggiungerlo bypassando il server. In questo modo il microtik non è necessario se fosse possibile configurare SQUID e gestire i client via GPO utilizzando come gateway internet il router sulla seconda scheda di rete.
Chi sa dirmi se ciò è possibile ?
Grazie ancora. |
|
|
|
| |
|
|
| Re: Blocco connessione internet |
|
|
Si dovrebbe funzionare...
Potresti comunque creare il roting tra le 2 schede di rete e bloccare eventualmente il traffico selettivamente tramite IPSEC o tramite le regole del RRAS...
Ciao
Andrea Sistarelli
MCP - MCTS - MCSA - MCSE - MCT - CCNA
|
|
|
|
| |
|
|
| Re: Blocco connessione internet |
|
|
andrea.sistarelli scrive
Si dovrebbe funzionare...
Potresti comunque creare il roting tra le 2 schede di rete e bloccare eventualmente il traffico selettivamente tramite IPSEC o tramite le regole del RRAS...
|
Ok... ma non ne vedo il motivo.
Alla fine avrò 2 lan una delle quali composta da server SBS + client ed una dallo stesso SBS + router internet
Se il server fa da proxy, non c'è ragione per creare una route dall'una all'altra rete.... o mi sfugge qualcosa ?
Andrea |
|
|
|
| |
|
|
| Re: Blocco connessione internet |
|
|
Si teoricamente puoi non mettere in comunicazioni le due reti e usare il proxy per far uscire i client.
Però per esperienza personale c'è sempre la necessità di far uscire alcuni PC direttamente senza proxy, vuoi perchè è quello del capo che non deve stare sotto proxy, vuoi perchè ci sono programmi che non riescono a gestire il proxy con autenticazione, vuoi per qualche NAT interno che devi fare...
Ciao
Andrea Sistarelli
MCP - MCTS - MCSA - MCSE - MCT - CCNA
|
|
|
|