Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» как запретить обход прокси?

Автор: tolyn77
Дата сообщения: 26.10.2005 13:14
Привет,Алл
стоит windows nt 4.0 + winproxy 4.2 как запретить ходить в инет пользователям в обход прокси-сервера?

заранее благодарен
Автор: Alan Mon
Дата сообщения: 26.10.2005 13:30
tolyn77
Удалить у них Default Gateway в настройках сетевого интерфейса.
Автор: tolyn77
Дата сообщения: 26.10.2005 13:37
а закрыть какие нибудь порты нельзя?
Автор: Alan Mon
Дата сообщения: 26.10.2005 13:45
tolyn77
Закроешь одни порты, они найдут способ выйти по другим. И начнется вечное "кто кого". Если тебе нужно гарантированно пустить весь траффик через прокси, отрубай default gateway.
Автор: tolyn77
Дата сообщения: 26.10.2005 14:12
а как сделать,что пользователи могли заберать почту, допустим с mail.ru, почтовым клиетом?
Автор: Alan Mon
Дата сообщения: 26.10.2005 14:25
tolyn77
Твой прокси должен предоставлять услуги POP и SMTP proxy. Не знаю, умеет ли это winproxy. WinGate, например, умеет. Или еще каким-то образом пробрасывать почтовый траффик через себя. Смотри доки к WinProxy.
То же со всякими Аськами, Чатами, ФТП-клиентами и т.д. Во всех программах придется тем или иным способом настраивать выход в Инет через прокси и настраивать сам прокси, чтобы он их пропускал. Отдельная нецензурная песня - это программы типа Клиент-Банк, ТаксНет и т.п. Они как правило вообще не знают, что такое прокси.
Автор: AlexeiKozlov
Дата сообщения: 26.10.2005 14:39
но не стоит забывать , что проксирование протоколов pop& smtp не делаеться. тут port mapping применяеться. лучше почтовый сервак поставить.

а вообще, можно ли юзеру применть политику безопасности в вашей сети?(если да то ipsec политику настроить, которая закроет порты и откроет нужные)
или там одноранговая? шлюзом являяеться комп или роутер?()
Автор: DreyX
Дата сообщения: 26.10.2005 14:59
tolyn77
Выход в инет как сделан?
Автор: tolyn77
Дата сообщения: 26.10.2005 15:00
домен на w2k3, шлюз на windows nt 4.0
Автор: DreyX
Дата сообщения: 26.10.2005 15:06
tolyn77
бррр.
Прокся стоит на каком компе? На том который инет дает? Как вообще к вам инет приходит?
Автор: G14
Дата сообщения: 26.10.2005 17:54
Alan Mon

Цитата:
Если тебе нужно гарантированно пустить весь траффик через прокси, отрубай default gateway.

Не согласен. Если я не ламер, что мне помешает завернуть маршруты у себя на компе самому (если я локальный админ)? Здесь, имо, только одно решение: инет приходит как правило по одному каналу. Если ставят прокси, то на компе-шлюзе (вариант с тем, что инет приходит на простенький роутер или свитч не рассматриваем как некошерный ). То есть на этом же шлюзе ставится файрвол, и уже на нем закрываются все запросы мимо прокси....И все остальное, что не нужно давать клиентам.
Автор: Alan Mon
Дата сообщения: 27.10.2005 08:43
G14

Цитата:
Не согласен. Если я не ламер, что мне помешает завернуть маршруты у себя на компе самому (если я локальный админ)?

Вариант с локальным админом я тоже не рассматривал как некошерный . Потому как с ними борьба бесполезна, о чем на этом форуме уже не раз говорилось. Если стоит задача хоть какого-то ограничения пользователей, сначала их выкидывают из админов, а уж потом начинают думать дальше. Уж ты то об этом знаешь
Локальный админ и DGW себе враз вернет.
Автор: tolyn77
Дата сообщения: 27.10.2005 09:10
DreyX
"Прокся стоит на каком компе? На том который инет дает? Как вообще к вам инет приходит?"
прокся на шлюзе, да который инет дает, инет по сетевой карточке приходит
Автор: DreyX
Дата сообщения: 27.10.2005 09:46
tolyn77
Вооо. Это уже что то. А зачем вы этот комп указываете как шлюз? НЕ НАДО.
Поменяйте у него адрес внутренией сети. И в настройках клинетов указывайте его как прокси. А на самом этом компе закройте шлюз.
Автор: G14
Дата сообщения: 27.10.2005 11:33

Цитата:
Потому как с ними борьба бесполезна, о чем на этом форуме уже не раз

В рамках данной задачи - борьба с ними очень даже возможна. Если инет в контору приходит по одному каналу, который контролируется шлюзом с прокси и файрволом, то будь ты хоть трижды локальный админ, в инет ты не попадешь, если не имеешь прав на самом шлюзе, конечно. Я так делал. У меня были подразделения, где пользователям нужно было быть лок. админами, но инет нужно было ограничить, чтобы не ходили на ресурсы, не связанные с работой. Шлюз и адм. права на него только у меня. На своих машинах юзеры могли творить, что вздумается, но в инет только как я скажу или никак.
Автор: tolyn77
Дата сообщения: 27.10.2005 12:08
DreyX
пока так и сделал, но меня этот вариант не устраивает,потому что есть программа, как говорил Alan Mon, Клиент-Банк нужно что бы она могла работать на прямую.
G14
а как ты реализовал данную задачу?

Добавлено:
а что прокся может стоят и не на шлюзе?
Автор: G14
Дата сообщения: 27.10.2005 12:52
tolyn77

Цитата:
а как ты реализовал данную задачу?

Да просто. Инет приходит по Ethernet, DSL или модему. Шнурки от них втыкаются в шлюз (в свитчи - никогда). Из шлюза идет шнур в свитч. То есть мимо шлюза в инет попасть физически невозможно. (свои GPRS-устройства или модемы не рассматриваем, бо это клиника). На шлюзе прокси и файрвол. Прокси (WWW) как правило сидит во внутренней сети только на одном порту (например 8080). Разрешаем коннектиться всем ТОЛЬКО на него. Тот же WinGate, WinRoute могут пропускать через себя какой угодно трафик, контролируя его своими правилами. Соответственно, мимо прокси попасть в инет просто никак. Для "особо хитрых" типа клиент-банков - либо маппинг, либо на файрволе разрешаем именно этой машине ходить напрямую по конкретным адресам и портам. В общем я думаю идея ясна. Смысл в том, что что бы ни творилось внутри сети, выход в инет я контролирую.

Цитата:
а что прокся может стоят и не на шлюзе?

конечно.

Добавлено:
Кстати. Многие клиент-банки требуют чтобы на этой же машине был модем (они настроены звонить на определенный телефон в самом банке и там им выдаются "серые" IP). Для таких ставится модем и файрвол на их машине, фаер запрещает ходить по модему куда либо кроме банка. К тому же некоторые банки (пальцем не будем показывать) по своему модемному соединению дарят вирусы, типа бонуса бесплатного Фаер от них тоже более-менее спасает (меньше возни).
Автор: tolyn77
Дата сообщения: 27.10.2005 13:37
WinRoute может быть файрволом?
Автор: G14
Дата сообщения: 27.10.2005 14:15
tolyn77

Цитата:
WinRoute может быть файрволом?

Да. Вообще очень неплохой продукт, мне нравится. Правда я последнее время больше использую AgnitumOutpost+WinGate (дешевле).
Автор: Alan Mon
Дата сообщения: 27.10.2005 14:36
G14
Только сейчас до меня дошло, почему ты со мной "не согласен". Просто я забыл сказать, что я обычно на проксе еще и NAT выключаю. Тогда хоть какие маршруты пиши, в Интернет не выйдешь .
tolyn77
Мне WinGate больше нравится. Именно по причине отключения NAT. WinGate в этом случае побогаче настройками. Например, можно почтового клиента прокинуть на всякие mail.ru, а в winroute мне это так и не удалось. Хотя, может я его хуже знаю. Только firewall у wingate туповат, но мне хватало. В конце концов можно и внешний навесить.
Автор: tolyn77
Дата сообщения: 27.10.2005 16:37
Alan Mon
а какая версия WinGate стабильнее?
Автор: Alan Mon
Дата сообщения: 27.10.2005 16:48
tolyn77
Я давно с ним не работаю. Поэтому не в курсе. Об этом лучше здесь спросить: Wingate
Автор: G14
Дата сообщения: 27.10.2005 16:57
tolyn77

Цитата:
а какая версия WinGate стабильнее?

Я работаю с последней версией. Нареканий нет вообще. НО только в случае чесно купленного продукта. Иначе постоянно кряки слетают, и получается просто мучение. А последняя версия работает месяцами вообще без вмешательства.
Автор: tolyn77
Дата сообщения: 27.10.2005 17:05
G14
6.0.4?
Автор: G14
Дата сообщения: 27.10.2005 17:11
tolyn77
Не помню точно Глянь на Wingate.ru , какая там последняя, ту я и ставлю

Страницы: 1

Предыдущая тема: Опять route...


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.