Master of Magic |
18-10-2010 13:39 1521451 |
AD закрываем доступ к некоторым сайтам
Active Directory - Win 2003. Где и как и вообще возможно ли закрыть доступ к сайтам с помощь АД. Или такое через firewall только возможно?
|
Цитата:
Цитата Master of Magic
Или такое через firewall только возможно? »
|
через встроенный - нет.
это не функционал файервола.
Цитата:
Цитата Master of Magic
Active Directory - Win 2003. Где и как и вообще возможно ли закрыть доступ к сайтам с помощь АД »
|
АД этим тоже не занимается.
но, можно через GPO включить "родительский контроль" в IE и заблокировать какие-то сайты.
но это будет работать только в IE.
правильное решение - фильтровать на шлюзе.
|
Master of Magic |
18-10-2010 14:13 1521479 |
Встроенный - это брэндмаур? Стоит nod32 Smart security 4 у него персональный файрвол. Создал правило: вася пупкин.рф -> запрет трафика в обе стороны, но он почему то игнорирует данное правило. Запретить нужно всем кто в сети.
Подробнее: Два сетевые карты, одна смотрит в локалку, другая в инет. Мне надо на сетевую которая смотрит в инет -> запрет на сайты. Что делать?
|
Angry Demon |
18-10-2010 14:24 1521490 |
Цитата:
Цитата Master of Magic
Что делать?
|
Установить, например, TMeter. Там есть в т.ч. и URL-фильтрация.
|
Master of Magic |
18-10-2010 17:45 1521640 |
Собственно не помог TMeter. Сервер не является проксей, на нем просто крутится AD, я так понимаю, что через него идут только DNS запросы. В Tmeter что только не пробовал - указывал в профиле Любой IP на Любой IP, на IP DNS-а и т.д. ни как, не хочет, может конечно руки кривые. Вообщем вопрос открытый.
|
Могу предложить бредовый вариант:
создать файл hosts, в который прописать сайты и выставить им IP 127.0.0.1
127.0.0.1 site.ru
И через политики раскидать всем. Криво, но, учитывая вопрос, про использования только AD - можно и так :)
|
Angry Demon |
19-10-2010 08:02 1522017 |
Цитата:
Цитата Master of Magic
Собственно не помог TMeter
|
TMeter ставится на шлюз. Чтоб перекрыть кран, нужно на нём сидеть.
Цитата:
Цитата Master of Magic
В Tmeter что только не пробовал - указывал в профиле Любой IP на Любой IP, на IP DNS-а и т.д. ни как, не хочет
|
Можно, конечно и в Ленинград через Магадан, н не проще ли прочитать в документации про URL-фильтрацию?
|
Цитата:
Цитата Master of Magic
Мне надо на сетевую которая смотрит в инет -> запрет на сайты. Что делать? »
|
Отключить маршрутизацию.
|
Master of Magic |
19-10-2010 16:52 1522403 |
Цитата:
Цитата monkkey
Отключить маршрутизацию. »
|
Надо не все сайты, а только развлекуху.
Цитата:
Цитата Angry Demon
TMeter ставится на шлюз. »
|
Маршрутизация и DHCP у провайдера, его оборудвание этим занимается, у меня только ftp и AD. Через ftp не чего не настроить, а через AD я не знаю как. Насколько я понимаю, через AD идут все DNS запросы, может есть какой нибудь инструмент позволяющий определённые DNS имена блокировать. По этому здесь и спрашиваю, файл hosts легко редактируется блокнотом или тупо удаляется, все участники сети, локальные администраторы.
P.S. К тому же, можно же зайти локально, без домена.
|
Ну про hosts уже писали. Cоздавайте зоны например *.xxx.com и заворачивайте на 127.0.0.1. Вообще-то правильно использовать специализированное ПО для этих целей. Глядите логи, почему ваш брандмауэр игнорирует созданные правила. Может галочку где-нибудь не поставили? У меня стоял Трафик Инспектор. Все резал и перенаправлял как положено. Могу лицензию продать подешевле... а то валяется...
|
Angry Demon |
19-10-2010 17:09 1522416 |
Master of Magic, вы, судя по всему, не очень понимаете, о чём идёт речь.
У вас что, нет шлюза (маршрутизатора), обеспечивающего доступ в Интернет из вашей сети?
|
Master of Magic |
19-10-2010 17:44 1522444 |
Цитата:
Цитата Angry Demon
вы, судя по всему, не очень понимаете, о чём идёт речь. »
|
Я понимаю, что на маршрутизаторе, прокси-сервере и иже с ним оборудование очень легко настроить шейпинг, url фильтрацию, билинг, запретить определенный диапазон ip адресов и т.д. Но как я и писал выше: маршрутизацией занимается непосредственно сам провайдер, то есть proxy у него. А у меня только AD и FTP. То есть серые IP адреса для нашей внутренней сети предоставляет сам провайдер.
В общем я перестрою вопрос, так как не совсем понимаю для чего нужно АД: DNS (domain name system) запросы обязательно проходят через АД если рабочая станция залогинина в домене? Если да то по всей видимости должен быть какой-нибудь инструмент который будет блокировать определённые DNS запросы.
Или где?
|
Если в качестве DNS сервера для всех клиентов у вас выступает ВАШ сервер(который АД и ФТП), то, как я уже писал, создавайте там зоны и заворачивайте их на 127.0.0.1 или куда там вам нравится...
|
Цитата:
Цитата Master of Magic
не совсем понимаю для чего нужно АД: DNS »
|
для работы в локальной сети по именам. читаем больше http://ru.wikipedia.org/wiki/Active_Directory
Цитата:
Цитата Master of Magic
через АД если рабочая станция залогинина »
|
залогинина и всё, больше она к АД не обращается, ну если только где проверить доступ к ресурсам в локальной сети.
Цитата:
Цитата Master of Magic
должен быть какой-нибудь инструмент который будет блокировать определённые DNS запросы. »
|
не должен.
Цитата:
Цитата AnS
создавайте там зоны и заворачивайте их на 127.0.0.1 или куда там вам нравится... »
|
увы, к сожалению, по непонятным причинам не всегда работает. Я как-то делал - часть сайтов рубится, часть нет.
Цитата:
Цитата Master of Magic
То есть серые IP адреса для нашей внутренней сети предоставляет сам провайдер. »
|
о ужас. а не пробовали поставить между провайдером и своей локальной сетью маршрутизатор? это ж получается любой клиент провайдера к вам в сеть может ломиться...
|
Цитата:
Цитата exo
Цитата:
Цитата AnS
создавайте там зоны и заворачивайте их на 127.0.0.1 или куда там вам нравится... »
|
увы, к сожалению, по непонятным причинам не всегда работает. Я как-то делал - часть сайтов рубится, часть нет. »
|
Может стоило поиграться с рекурсией и/или с кэшированием dns-запросов? Ну это уже другая тема... Я просто пытался решить поставленную задачу в рамках ограничений наложенных автором.
|
Master of Magic |
20-10-2010 12:18 1522989 |
Ладно я понял. Короче решения кроме hosts или реестра нет.
|
Angry Demon |
20-10-2010 13:45 1523076 |
Цитата:
Цитата Master of Magic
Короче решения кроме hosts или реестра нет.
|
Есть. И самое правильное:
Цитата:
Цитата exo
а не пробовали поставить между провайдером и своей локальной сетью маршрутизатор?
|
|
Время: 23:09.
© OSzone.net 2001-