Доступ в интернет

← →
Manulo © (2004-05-13 17:48) [0]

Знаю, тупой и частозвучайщий вопрос... Но не смог найти нигде. Срочно стала задача закрыть доступ в инет с машины, находящейся в локалке, причём сервак, который инет раздаёт, находится с ней в одной подсети. Так что игра с таблицей маршрутизации не проходят :( Пока просто закрываю ИнетЕксплорер, но это не выход, остаеётся ещё аська, фар, опера и много другого. всех не перебъешь :( Может у кого появилась новая идёя?

← →
panov © (2004-05-13 18:47) [1]

То, что сервер в одной подсети - это совершенно нормальное явление.

Подробнее опиши задачу:
Как осуществляется подключение к интернету (Dial-Up, сетевая карта, прочее...).

← →
Manulo © (2004-05-13 20:06) [2]

Подключение сервака осуществляется через выделенку. Все остальные тачки подключены через сервак посредством сетки. Задача: произвольную машину (не сервер), нужно отключить от интернета, не отключив при этом из сети

← →
panov © (2004-05-13 20:28) [3]

>Manulo © (13.05.04 20:06) [2]

При любом способе подключения необходим файрволл и прокси.

← →
Rouse_ © (2004-05-13 20:32) [4]

> [2] Manulo © (13.05.04 20:06)
Как минимум прокси или ICS там же стоит? Так?
Тогда в чем проблема?

← →
Manulo © (2004-05-13 20:47) [5]

не-а :)
Кроме того много умников, которые могут вручнут перестотить експлорер.

Маленькая идея. А можно ли перехватывать исходящие сообщения на 80 и 21 порты с самой машины? Ну типа, если обращение с машины идёт на 21 или 80 порт, то небольшая програмулина просто не пропустит их дальше...

← →
Rouse_ © (2004-05-13 21:55) [6]

Ну и как же ты пускаешь машины из локалки в сеть, мы что версии придумывать должны?
Ты сначала расскажи ситуацию - как там у тебя все устроено...

PS: > Все остальные тачки подключены через сервак посредством сетки. - знаешь сколько я вариантов подключения посредством локалки могу тебе накидать?

← →
SergP © (2004-05-13 23:11) [7]

А зачем нужно так делать? Что это даст?
Допустим удастся перекрыть доступ в инет для одной машины... Но изобретательный юзер все равно пролезет в инет, например незаметно установит на другой машине (у которой есть доступ) что-то типа прокси, и будет юзать инет через него... Тогда придется перекрывать доступ в инет для всех....

← →
Manulo © (2004-05-15 15:43) [8]

2 Rouse_

Ситуация такая. Это интренет-кафе. Сеть -- Витая пара. 8 машин для юзеров и одна админская. Все подключены в один хаб. К админской ещё присобачен модем на выделенку. На админе его выход в инет открыт для всех. Так вот ситуация, что иногда на клиенте нужно на время "отключать" интернет (ну когда заказ был поработать без интернета).

2 SergP Не установит. Под НТ системати права ещё иметь нужно, да и сложно в таких заведениях незамено поюзать чужую машину

← →
Rouse_ © (2004-05-16 16:57) [9]

> [8] Manulo © (15.05.04 15:43)
для твоих целей подойдет любая билинговая система, к примеру: http://www.smart-soft.ru

← →
Manulo © (2004-05-26 19:55) [10]

Нашёл такое решение, может ещё кому-нить пригодится

uses wininet; ----- //// ---- procedure SetGlobalOffline(goOffline: boolean); var connect_info: TInternetConnectedInfo; begin if goOffline then begin connect_info.dwConnectedState := INTERNET_STATE_DISCONNECTED_BY_USER; connect_info.dwFlags := ISO_FORCE_DISCONNECTED; end else begin connect_info.dwConnectedState := INTERNET_STATE_CONNECTED; connect_info.dwFlags := 0; end; InternetSetOption(nil,INTERNET_OPTION_CONNECTED_STATE, @connect_info,sizeof(connect_info)); end;

← →
Manulo © (2004-05-30 20:51) [11]

2 Rouse_ © (16.05.04 16:57) [9]
не подойдёт, нужна именно своя. Загвоздка только в "перекрытии" интернета юзеру

Manulo © (26.05.04 19:55) [10]

Трабл! При попытке из под FAR-а залезть на какой либо FTP-сервер был установлен коннект и даже получилось скачать файл :(
Может есть жругие решения?

← →
Piter © (2004-05-30 22:08) [12]

Manulo (30.05.04 20:51) [11]

ты что, глупый? Ты понимаешь, что сервер имеет два интерфейса - в итернет и в локалку?
Так вот, а другие тачки не имеют доступа в интернет. Они могут воспользоваться услушами сервера. Для этого на сервере КАКИМ-НИБУДЬ образом для них должен быть открыт прокси, гейт, шлюз или что-то типа того. ДОЛЖЕН БЫТЬ ОТКРЫТ. Так вот:
тебя спрашивают - каким образом предоставляется инетрнет другим машинам?! И какое программное обеспечение для этого используется?!

В зависимости от этого и будет зависеть ответ.

Практически каждое нормальное ПО обладает внутренними средставми для управления раздачей интернета.

А сторонние программы тут вообще не при чем. Даже файерволы... например, Outpost не годится для серверов, так как работает на таком уровне, что не перехватывает пакеты, которые проходят через сервер, как через шлюз (например, гейтование в другую одсеть).

← →
Senti (2004-05-31 11:58) [13]

Ответ прост... Поставь на админской машине прокси сервер с NAT возможностями... WinProxy, WinRoute. Все уже придумано до тебя... Зачем что-то изобретать. Эти программы имеют встроенный DCHP и DNS сервер. К томуже ты можешь легко обрубить для пользователя не только весь интернет, но и определенные протоколы...
Если у тебя стоит на админской машине Advanced Server и там уже есть DCHP и DNS. Тогда стоит попробовать поставить просто прокси сервер. (Eserv, UserGate, MyproxY). Везде есть функции распределения доступа к их ресурсам....

Мой совет если маленькое кафе. Ставь на серверную машину WinProxy или Winroute у них хорошие NAT функции... Будет очень просто управлять доступом в инет и сеткой....

2 Piter © (30.05.04 22:08) [12]

Слегка :)
Вопрос не в том, что мы имеем на сервере, вопрос в том, как запретить КЛИЕНТУ пользоваться услугами сервера, НЕ ПРИБЕГАЯ к изменеию параметров прокси на сервере. То есть, имеем то, что реально оператор, сидящий на серваке может попросту "забыть" обрубить инет такой-то тачке (остро стоит вопрос о доверии к операторам, но их менять нельзя, на то не моя воля).

2 Senti (31.05.04 11:58) [13]
спасибки, конечно, но см. выше

Manulo (31.05.04 19:58) [14]
вопрос в том, как запретить КЛИЕНТУ пользоваться услугами сервера, НЕ ПРИБЕГАЯ к изменеию параметров прокси

это бред. Почему нельзя изменить параметры прокси на сервере? Какая разница изменить параметры прокси НА СЕРВЕРЕ или запустить программу НА СЕРВЕРЕ, которая должна работать чуть ли не в режиме ядра, чтобы блокировать такие пакеты...

Если нет доверия к операторам, то не о чем говорить.

Anatoly Podgoretsky (31.05.04 21:45) [16]
Если нет доверия к операторам, то не о чем говорить

ну у меня у знакомого игровой клуб. Доверия к админам тоже естественно нету.
Поэтому используется специальная программа Locker. Она позволяет разграничивать доступ, при этом ведет логи всех действий, совершаемых оператором. Дал кому-нибудь поиграть на халяву - сразу выговор...

>2 Piter © (31.05.04 21:51) [17]

Дать поиграть нахаляву никто ни кому не сможет, а воз посидеть в инете по цене тарифа работы на компе без инета (а это в 3 раза дешевле), свободно!

> Anatoly Podgoretsky © (31.05.04 21:45) [16]
> Если нет доверия к операторам, то не о чем говорить.

Согласен! На все 100! Но начальству виднее :(

> Piter © (31.05.04 21:42) [15]
это бред. Почему нельзя изменить параметры прокси на сервере?

См. выше

Развернуть, как полагается, домен на w2k server и управлять через ADS службами на любом компьютере с w2k prof.

Доступ в интернет Найти похожие ветки