» Traffic Inspector и сервер терминалов

Есть сервер 2003, юзергейт 4ый раздает инет без ната
все компы с операционками, появилось задача поставить 3 бездисковые машишки, использовал для этого wtware, и народ с них спокойно ходит в интернет напрямую, минуя ЮГ, думаю использовать ТИ для учета траффика, помогите настроить .. )

для учета трафика пользователей сервера терминалов с помощью ТИ надо настроить авторизацию пользователей в ТИ по имени и паролю, т.к. остальные варианты не подходят (авторизация по ip,mac)

пробывал, они все равно напрямую ходят, прописывай в эксплорере прокси, или нет ..

так у тебя, наверное самомму серверу "напрямую" выход в инет разрешен?
пароль-то запрашивает?

omnicron
TI данная задача не решается.
У них даже в справке написано, что работающих на данном компьютере пользователей полностью отследить нельзя.
И вообще я не представляю, как этого можно добиться. Только принудительно установив настройки прокси и запретив через политику их менять, наверное. Но кто мешает пользоваться альтернативными браузерами?!

levkadub

Цитата:

для учета трафика пользователей сервера терминалов с помощью ТИ надо настроить авторизацию пользователей в ТИ по имени и паролю

И получить ошибку "другой пользователь уже авторизовался с этого IP"

в смысле разрешен ? с сервера устанавливается соединение по ППоЕ
2Duke Shadow
в таком случае чем решается данная задача ?)

omnicron
ISA2004(6) и то не для твоего случая (wtware)

т.е. совсем болты ?
с исой точно не буду связываться )

Duke Shadow

Цитата:

И получить ошибку "другой пользователь уже авторизовался с этого IP"

Незнаю какой версией ТИ ты пользуешься - у меня 1.1.4.197 - там есть возможность указать IP адерса серверов терминалов и соответственно есть возможность РАЗДЕЛЬНО учитывать трафик пользователей, но только через прокси.


Цитата:

Но кто мешает пользоваться альтернативными браузерами?!

Каким бы браузером юзер не воспользовался, обойти запрет со стороны сервера на использование NAT он не сможет.
Соответственно работать сможет только через прокси........

omnicron

Цитата:

все равно напрямую ходят

Цитата:

в смысле разрешен ? с сервера устанавливается соединение по ППоЕ

Если серверу разрешен выход в инет через NAT, минуя прокси и IP сервера не прописан
в список серверов терминалов, тогда ты что бы ты не устанавливал в авторизации пользователей - они все будут ходить в инет от имени сервера, используя его авторизацию в ТИ.

levkadub

Цитата:

у меня 1.1.4.197

159-ый. На тот момент был последним ломающимся. Т.к. работает достаточно стабильно - смысла менять не вижу.

Цитата:

Каким бы браузером юзер не воспользовался, обойти запрет со стороны сервера на использование NAT он не сможет.
Соответственно работать сможет только через прокси........

Да, да. Читаем вопрос внимательно и понимаем, что пользователь работает на том же самом компе, где крутится ТИ.
Отследить такое ТИ не в состоянии (да и вообще - это ещё поискать firewall не прикладного уровня, который на это способен).

Цитата:

Если серверу разрешен выход в инет через NAT, минуя прокси и IP сервера не прописан
в список серверов терминалов, тогда ты что бы ты не устанавливал в авторизации пользователей - они все будут ходить в инет от имени сервера, используя его авторизацию в ТИ

можно подробнее на этом моменте )
как запретить серверу ходить в инет, если на нем есть подключение ?

Duke Shadow

последним ломающимся был 160 релиз........ у меня лицензионный стоит


omnicron

к вопросу - если ТИ стоит на сервере терминалов и при этом имеет выход в инет, то отделить его трафик от трафика пользователей сервера терминалов невозможно.

levkadub

Цитата:

последним ломающимся был 160 релиз........

Который общепризнан кривым и косым и нерекомендован к установке.
Впрочем, не об этом тема...

в итоге я выделил отдельный комп с югейтом под проксю и все довольны )

ТИ может считать пользователей сервера терминалов только когда они работают через прокси.
Для настройки нужно указать у ТИ IP сервера терминало чтоби запретить сквозную авторизацию. У юзеров нужно указать авторизацию по имени NTLM.
Если сервер терминалов установлен на том сервере где установлен ТИ тогда нужно у настройках фаервола установить галочку "Для етих правил - только контролируемий трафик" или использовать программу PortsLock.

А подскажите как в ТИ настроить Порт Форвардинг для терминального сервера?
Т.е. надо чтобы снаружни через трафик инспектор по портам RDP я попадал на сервер терминалов из локалки

Все достаточно просто.
1. Заходим в "маршурутизацию и удаленный доступ", в свойствах интрефеса смотрящего наружу прописываем на какой внутренний адрес прокидываем порт.
2. Заходим в ТИ, вкладка "внешние сети", затем в "сетевой экран", создаем фильтр для разрешения со следующими параметрами:
направление - любое
тип трафика - любой
протокол - TCP
в "Локальный адрес" в пункте "порт" 3389. Внутренний адрес не указываем!!!(он указан в "маршрутизации и удаленном доступе").
Естественно что треминал должен ходить в инете без прокси, напрямую через NAT.