2008 - Запрет на доступ в интернет недоменным компам

Slovyanin · Отправлено: **16:51, 12-07-2012** | #2

Ты хоть напиши как у тебя логическая структура устроена. Как народ в internet выходит, через NAT или через проксю? Если нужно что бы все ходили через прокси, то на роутере разреши доступ в интернет только прокси серверу а остальным зарежь, на прокси серевере настрой авторизацию в AD и будет тебе счастье. Вот тебе для примера
Настройка squidNT c авторизацей в AD

art.andr · Отправлено: **17:27, 12-07-2012** | #3

на роутере пусти весь http трафик через прокси, в squid настрой авторизацию юзеров АД и наслаждайся

Slovyanin · Отправлено: **18:06, 12-07-2012** | #4

Цитата art.andr:

на роутере пусти весь http трафик через прокси »

Мне кажется это не совсем приемлемо, во первых у него это две разные железки, роутер является файрволом перед ним стоит прокси сервер, получается что нужно перенаправить http трафик на прокси а уж от него он опять трафик вернется на файрвол. Если была бы одна железка, и там был линух, то можно было бы красиво завернуть все.

Добрый Фей · Отправлено: **10:31, 13-07-2012** | #5

Slovyanin, собственно устроенно все так:
Весь трафик проходит через DFL. SquidNT стоит на Win2008.. И получается так, что весь трафик идет в обход Squid'a, тк основным шлюзом является DFL. Сама авторизация по AD у Squid уже настроена.
art.andr , мы так и хотим сделать. Только теперь вопрос как все это сделать, и каковы могут быть последствия?
Весь трафик на один порт то пустить..

_____

Update. Перенаправили весь трафик с DFL на машину где Squid (с указанием порта 3128). Не работает, зараза. В логах Squid тоже нет никакой активности. Т.е. что к нему кто то ломится он не видит.

Добрый Фей · Отправлено: **16:31, 16-07-2012** | #6

Up! Хелп!!

IT Shepherd · Конфигурация компьютера

А сколько ПК в домене (количество)?

exo · Конфигурация компьютера

Цитата Добрый Фей:

И получается так, что весь трафик идет в обход Squid'a, тк основным шлюзом является DFL. »

что мешает политикой принудительно выставить в браузере настройки для прокси?
а на шлюзе запретить http всем, кроме прокси сервера, почтового сервера и других серверов??

Добрый Фей · Отправлено: **10:53, 17-07-2012** | #9

exo, нам нужен прозрачный прокси. В этом вся и проблема...

IT Shepherd, под сотню

exo · Конфигурация компьютера

Цитата Добрый Фей:

нам нужен прозрачный прокси. В этом вся и проблема »

Цитата Добрый Фей:

Сама авторизация по AD у Squid уже настроена »

ого... прозрачный прокси с авторизацией...
для чего авторизация в прозрачном прокси?
или... в чём прозрачность у прокси с авторизацией?

придумал один вариант.
Создаём политику, которая назначает классы на сетевые интерфейсы. Как сделать политику я не знаю, а вот вручную делается так.
Что нам это даёт: только доменные компьютеры получат эту политику. Далее, настраиваем DHCP сервер.
Создаём в пуле DHCP ещё один шлюз по умолчанию - ваш прокси сервер. И его назначаем только тем компьютерам, у которых соответствующий Класс ИД. А предыдущий шлюз удаляем.
Что это нам даёт:
- доменные компьютеры получат в качестве шлюза ваш прокси сервер - это и будет прозрачным прокси сервером, а авторизация там работать не будет. Выборка только по IP компьюетра, который получает адрес д и н а м и ч е с к и
- не доменные получат обычную настройку без шлюза, а следовательно и интернета.