Ограничение доступа в интернет

← →
{RASkov} © (2008-06-10 10:47) [0]

Есть локальная сеть из десятка машин(Бухгалтерия). Витая пара, хаб, стат. IP-адреса(192.168.0.ххх)...
Есть интернет ADSL. Соединение посредством логина(Имя+Пароль)...
ADSL-модем "воткнут" в хаб....
Как бы все это дело разрулить, так чтоб можно было контролировать хождение в сети интернет с любой машины.
Например, на всех компьютерах запретить "Одноклассников", на каких-то "эти сайты" запретить, на каких-то "другие сайты"....

Куда нужно смотреть? Программа-Прокси? Файервол? еще чего? И желательно чтоб все это "рулилось" с одной машины....
Перенастройка сети, если что, рассмотрится...
Конкретно расписывать не обязательно все, но в общих чертах..... Спасибо.

← →
DVM © (2008-06-10 10:53) [1]

В общих чертах для Windows либо WinRoute, либо MS ISA сервер + комп с двумя сетевыми интерфейсами, в один из которых воткнуть модем.

← →
Ega23 © (2008-06-10 10:53) [2]

ЖЖ ещё сразу закрывай.
А у Одноклассников зеркал несколько штук, их тоже надо чикать...

← →
DVM © (2008-06-10 10:54) [3]

Второй интерфейс компа воткнуть в хаб-свитч. Настройка Winroute делается мастером по шагам довольно легко, затем можно подстроить доступ и т.д.

← →
Anatoly Podgoretsky © (2008-06-10 10:55) [4]

> {RASkov} (10.06.2008 10:47:00) [0]

Многие прокси обладают функциями файрвола и многие файрволы обладают функциями прокси.
Действие по фильтрации относится к функциям файрвола, фильтр приложений.

> ADSL-модем "воткнут" в хаб....

Вот это сводит на нет твои усилия, никто не обязан ходить в Сеть через твою программу, когда вот она прямая дырка в наличии.
Мало вероятно, что файрвол ADSL-модема имеет такую возможность как фильтр приложений и фильтр пользователей.

← →
ЮЮ © (2008-06-10 10:58) [5]

Тебе, значит, на DM можно, а бухгалтерам на Одноклассников  нет?

← →
{RASkov} © (2008-06-10 11:22) [6]

> [5] ЮЮ © (10.06.08 10:58)

:) Я на DM только дома.... ну рееедко если не из дома.
DM - польза, Одноклассники - ВРЕД!
:)

> [4] Anatoly Podgoretsky © (10.06.08 10:55)
> > ADSL-модем "воткнут" в хаб....
> Вот это сводит на нет твои усилия

Я догадывался об этом...

> Мало вероятно, что файрвол ADSL-модема имеет такую возможность
> как фильтр приложений и фильтр пользователей.

Он может и имеет, но что-то настраивать модем не охото...) лучше "комп"...

Спасибо всем. DVM персонально) Попробую такой вариант.

← →
{RASkov} © (2008-06-10 11:23) [7]

> [2] Ega23 © (10.06.08 10:53)
> ЖЖ ещё сразу закрывай.

А это что? :)

← →
DVM © (2008-06-10 11:28) [8]

> Попробую такой вариант.

Очевидно, твой модем является по совместительству NAT маршрутизатором. При настройке программного маршрутизатора на компе надо чтобы адреса на разных его интерфейсах были из разных сетей, иначе маршрутизация работать не будет. Можно примерно так сделать:

Локальная сеть: адреса 192.168.0.1 - 192.168.0.254, маска 255.255.255.0
Интерфейс компьютера-маршрутизатора, воткнутый в хаб: 192.168.0.1/255.255.255.0
Интерфейс компьютера-маршрутизатора, воткнутый в модем: 192.168.1.2/255.255.255.0
Интерфейс модема: 192.168.1.1/255.255.255.0

← →
DVM © (2008-06-10 11:32) [9]

Ну и на машинах сети шлюзом указать 192.168.0.1. И не забыть про DNS forwarding на компе-шлюзе (в настройках программы маршрутизатора), тогда и DNS на машинах сети тоже будет 192.168.0.1

← →
{RASkov} © (2008-06-10 11:34) [10]

продукт назначение стоимость
Kerio WinRoute Firewall 6/10 users базовая лицензия 14805

Хм... а что нибудь подешевле нет? Для данной бухгалтерии - это не по корману :)
Или это не тот ВинРоут?
Можно Free, только чтоб с задачей моей справилось....

> [8, 9] DVM © (10.06.08 11:28)

Спасибо. Это сделаем.... осталось ПО найти нормальное...

← →
{RASkov} © (2008-06-10 11:38) [11]

> DVM ©

И вот еще вопрос какой:
При такой схеме компьютера-маршрутизатора постоянно "в интернете" должен быть?
Т.е. если с машины-клиента попытаться выйти в интернет, а на компьютере-маршрутизаторе инет не подключен, то соединение автоматом будет?

← →
DVM © (2008-06-10 11:39) [12]

> Хм... а что нибудь подешевле нет? Для данной бухгалтерии
> - это не по корману :)
> Или это не тот ВинРоут?
> Можно Free, только чтоб с задачей моей справилось....

Бесплатных и достаточно гибких в настройке под Windows практически нет. Тем более надежных.

Под Linux есть довольно хорошие прокси. Squid

← →
DVM © (2008-06-10 11:42) [13]

> При такой схеме компьютера-маршрутизатора постоянно "в интернете"
> должен быть?
> Т.е. если с машины-клиента попытаться выйти в интернет,
> а на компьютере-маршрутизаторе инет не подключен, то соединение
> автоматом будет?

WinRoute умеет устанавливать автоматом соединение, в том числе VPN. Но имхо, лучше пусть модем всегда сидит в инете и сам устанавливает соединение.

← →
{RASkov} © (2008-06-10 11:43) [14]

> Под Linux есть довольно хорошие прокси. Squid

Не, нужно под Виндовс...

> Бесплатных и достаточно гибких в настройке под Windows практически
> нет. Тем более надежных.

Надежды рухнули с большой высоты ....и разбились :(
Ладно.... будем тогда что-нибудь другое придумывать....
:)

← →
{RASkov} © (2008-06-10 11:47) [15]

> Но имхо, лучше пусть модем всегда сидит в инете и сам устанавливает соединение.

Ну оно вроде так и есть. Т.е. модем при включении коннектится с модемом провайдера, они(модемы) там "о чем-то" договариваются, и загорается лампа на модеме DSL - все модем в инете. А на компе соединение с провайдером. Соеденились-полазели-разъеденились.... Или я не верно себе представляю все это?

← →
DVM © (2008-06-10 11:50) [16]

> {RASkov} © (10.06.08 11:47) [15]

Мне трудно судить, не видя картины, но еще возможен вариант, когда модем сам соединяется по ADSL., потом сам устанавливает VPN соединение, и сам же является NAT маршрутизатором, т.е. все машины в сети шлюзом указывают сам модем.

Второй вариант, когда модем выступает в качестве моста локальная сеть <> телефонная линия <> сеть провайдера, тогда VPN соединение устанавливать надо на компьютере.

← →
Ega23 © (2008-06-10 11:55) [17]

> {RASkov} © (10.06.08 11:23) [7]
>
> > [2] Ega23 © (10.06.08 10:53)
> > ЖЖ ещё сразу закрывай.
>
> А это что? :)
>

жЫвой журнал.

← →
Anatoly Podgoretsky © (2008-06-10 11:58) [18]

> Я догадывался об этом...

Схема должна быть такая

Swich --> Файрвол+Прокси --> DSL

Файрволов бесплатных много, только они не дают должной тебе функциональности. Без работы на уровне приложений и с аутентификацией на домене помочь может только Socks4/5

А без этого только ИП файрвол с возможной фильтрацией адресов/страниц на прокси.

← →
{RASkov} © (2008-06-10 12:17) [19]

> [16] DVM © (10.06.08 11:50)

> [18] Anatoly Podgoretsky © (10.06.08 11:58)

Спасибо вам большое.... Я тут понял, что я вообще ничего не понял.... Оказывается, что я в этом деле еще больше профан, чем себе представлял... к сожалению :(
В итоге простенький вопрос оброс частоколом моего незнания... жаль.
Но ветка для меня все равно полезная, еще раз спасибо всем ответившим... Думаю дальше спрашивать смысла уже нет... а изучать все эти сетевые технологии я уже наверное не осилю(...

> жЫвой журнал.

Ну у нас об нем вроде еще не знают..... хоть одно, к счастью :)

← →
Ega23 © (2008-06-10 12:33) [20]

> Ну у нас об нем вроде еще не знают..... хоть одно, к счастью :)

Это ты так думаешь. У меня товарищ сисадмином работает, говорит, что на ЖЖ треть трафика конторы уходит.

← →
MsGuns © (2008-06-10 12:36) [21]

В свое время жизнь заставила решать подобные проблемы. Добрые люди посоветовали прокси+линух (см. [12]). На инсталляцию, освоение и менджмент прокси у меня ушло не более месяуа, причем свою основную работу я также делал..
Под прокси плюс почта плюс файл-сервер плюс много еще чего пошел старенький пень 166 с 128 метрами и двумя витами по 2 гб. Все фурычит до сих пор.

← →
Red_imp © (2008-06-10 13:52) [22]

> MsGuns © (10.06.08 12:36) [21]

А поподробнее можно?
Ставлю FreeBSD, чтото постоянно летит.

← →
Админ (2008-06-10 14:05) [23]

> {RASkov} © (10.06.08 10:47)
> ADSL-модем

Какая марка модема?

← →
brother © (2008-06-10 14:08) [24]

> Под Linux есть довольно хорошие прокси. Squid

поддерживаю... сам на етом и вроде ниче... живет)

← →
{RASkov} © (2008-06-10 14:58) [25]

> [23] Админ (10.06.08 14:05)

Zуксель... модель не помню.... завтра буду на работе, могу точно посмотреть название модема...

← →
Anatoly Podgoretsky © (2008-06-10 15:24) [26]

> {RASkov} (10.06.2008 14:58:25) [25]

Вряд ли хоть один модем поддерживает АД или даже хотя бы Radius
Но для твоей задачи и этого недостаточно, тут требуется поддержка на клиентской стороне - firewall client
Указаным требованиям соответствует ISA - смотри в эту сторону и в сторону подобных файрволов, если такие вообще есть.

← →
MsGuns © (2008-06-10 23:57) [27]

>Red_imp © (10.06.08 13:52) [22]
>А поподробнее можно?
>Ставлю FreeBSD, чтото постоянно летит.

У меня стоял RedHat безо всяких там KDE, гномов и т.д. Т.е. суровый черный экран. Все сервера были скачаны из инета, часть была в самой "шапке". Подробности не помню ибр было это 3 года назад.
Но одно поистине классно - помощников в инете пруд пруди - пропасть не дадут ;) Сквид (собственно прокси) учился администрировать по аське ;)

← →
KSergey © (2008-06-11 07:50) [28]

Не парвильно это запрещать сайты.
Это показывает полной импотенцию руководства, не более.

>KSergey © (11.06.08 07:50) [28]
>Не парвильно это запрещать сайты.
>Это показывает полной импотенцию руководства, не более.

Ты, очевидно, плохо себе представляешь нормальный бюрократический аппарат ;)

> Не парвильно это запрещать сайты.
> Это показывает полной импотенцию руководства, не более.

Надо просто, что бы это оплачивал не работодатель. По ценам компьютерных клубов, минус зарплата за это время.

> Anatoly Podgoretsky © (11.06.08 09:36) [30]
> Надо просто, что бы

Надо чтобы работодателя интересовали результаты работы и предсказуемость этих результатов. И все.
Слежение за трафиком/камеры наблюдения/подсчет времени, проведенного в туалете - это идиотизм.

> MsGuns © (11.06.08 09:17) [29]
> Ты, очевидно, плохо себе представляешь нормальный бюрократический аппарат ;)

Это вполне позможно

> KSergey © (11.06.08 10:11) [31]
> > Anatoly Podgoretsky © (11.06.08 09:36) [30]
> > Надо просто, что бы

А, да, еще немоловажный момнет.
В этом случае ен получается выстроить отношения достаточно "душевно". Это минус. Для халявщиков всех мастей.

> KSergey (11.06.2008 10:14:33) [33]

Вполне душевно, никто никого не заставляет.
За результат отдельный спрос.

> [31] KSergey © (11.06.08 10:11)
> Слежение за трафиком/камеры наблюдения/подсчет времени,
> проведенного в туалете - это идиотизм.

Дело в том, что на все это глаза закрыты, но кто оплатит трафик?
А "одноклассники" со своими фото..... вообщем не мало получается...
Можно конечно вопрос поставить по другому, и попытаться найти способ, чтоб "левый" трафик оплачивали "виновники", но тут тоже не меньше проблем...
Найди их еще... виновников-то.... :)

> > [31] KSergey © (11.06.08 10:11)
> > Слежение за трафиком/камеры наблюдения/подсчет времени,
>
> > проведенного в туалете - это идиотизм.
>
> Дело в том, что на все это глаза закрыты

За исключением Слежение за трафиком/.....
Не заметил

> Бесплатных и достаточно гибких в настройке под Windows практически
> нет. Тем более надежных.

Я не в теме, но вроде squid и под windows есть. Правда, не знаю, насколько хорош/надежен.

> Я не в теме, но вроде squid и под windows есть.

SQUID под nix и под Windows - это две большие разницы.

А в чем разница?

> Bless © (12.06.08 10:05) [39]
>
> А в чем разница?

Хреново он работает, как и многие другие отличнейшие приложения портированные из nix в Windows. Да и функционал его уже чем в nix.

Ограничение доступа в интернет Найти похожие ветки