|
Printable Version of Topic
Click here to view this topic in its original format |
| Forums > Флейм > Закрыть весь интернет !, чтобы знали ! |
| Posted by: Trex on 03-08-2012, 10:51 |
| Вообщем пришло время быть "плохим" - есть сетка на SBS 2003 и требуется 1.закрыть весь интернет, 2. разрешить только "белый" список сайтов. С помощью GP вроде это можно сделать если на компах стоит только ИЕ (покажите мне человека, который этим себя ограничил), так что требуется другое халявное решение (не комп с линухом). Ах да, раутера тоже нет, есть древний switch Netgear... |
| Posted by: Lexus on 03-08-2012, 10:53 |
| UserGate ? |
| Posted by: Гордый on 03-08-2012, 11:12 |
| NetLimiter? |
| Posted by: Panda on 03-08-2012, 14:48 |
|
А физика какая? Вторая карточка в сервер и то, что смотрит в Ынторнет - в эту карточку. Ну а дальше уже можна рулить чем угодно. |
| Posted by: anatolyArts on 03-08-2012, 14:48 |
| Hosts file? |
| Posted by: FiL on 03-08-2012, 14:52 |
|
1. если роутера нет, то не ясно как оно в инет ходит 2. другие браузеры тоже можно запретить через ГП |
| Posted by: Trex on 04-08-2012, 21:49 |
|
Раутера нет, есть модем и свитч. Запретить устанавливать софт не требуется. UserGate и NetLimiter - платные. Hosts может соадать "черный" список, а мне нужно закрыть все и создать "белый" список. |
| Posted by: heineken man on 05-08-2012, 13:42 |
Вряд ли. Простой "белый" список на основе статических URL требует постоянного внимания, в плане пополнения/исправления. Даже дорогие коммерческие продукты этим грешат, а уж если самому делать...  Жалобы на закрытые (действительно или им так кажется) сайты, нужные для работы, указания начальства открыть то/это, трата своего времени на отслеживание и внесение в белый лист скрытых внешних линков, жалобы на непривычно выглядящие сайты и пр. - оборотная сторона подхода "фиг вам всем". Ты придумал, тебе и му%%ёЁ(хаться. Оно тебе надо?  В плане техники, в SBS 2003 кажется входит ISA2000- у%%&*-ще еще то, но статический URL List держать может (точнее, он ни на что более сложное и не пригоден). |
| Posted by: Trex on 05-08-2012, 14:05 |
|
heineken man ИСА 2000 если б туда входил - никакой бы проблемы не было, я на ней это уже реализовал в другой конторе. Все она отлично держит и тянет, но в СБС 2003 стандарт ее нет, только ИСА 2004 в премиум. А на счет целесообразности, это не мне решать, хозяин сказал как он хочет и точка - "никакого интернета, только десяток "рабочих" сайтов. Жалобы работников его вообще не волнуют - им не за то платят деньги чтобы весь день они сидели в соц.сетях, мыле и новостных сайтах, а последняя проверка показала, что больше половины времени они там. Создавать "черные" списки смысла нет, так новостных сайтов на разных языках тысячи, да еще анонимайхеров хватает и гугльского кеша. Поэтому решение закрыть все мне представляется верным, вопрос как это лучше реализовать самой малой "кровью" (деньгами), желательно не покупая ни софт, ни хард. Кстати по софту можно было купить КИС 2012 и сделать там все с помощью родительского контроля или по харду - старый комп-раутер на линухе, но это опять расходы .Может есть какие-то еще варианты ? |
| Posted by: heineken man on 05-08-2012, 14:20 |
Сейчас в Израиле новая фишка - на многих фирмах Фейсбук обьявлен business tool (туда кладут всякую хрень, вместо корпоративного сайта).  Так что теперь наши расп%ЁёЁ%-и сидят в соц. сетях по закону. У нас на фирме все от начальства до охранников живут в фейсбуке (последние еще и в одноклассниках вследствие происхождения). Я последнюю неделю дорабатываю, сил уже нет этих козлов видеть. Имеющиеся средства позволяют контролировать почти все, и не только закрывать - можно например закрыть фейсбуковский чат или видео, оставив основной сервис, т.е напакостить на высоком уровне. Но тут теперь все решения принимаются с одобрение legal department, а эти не одобряют (боятся исков от работников по ущемлению прав). Тфу. 
|
| Posted by: taurus66 on 05-08-2012, 14:23 |
Ну да...статусы типа :"вышел сделать пи-пи" я уже имел счастье видеть 
|
| Posted by: heineken man on 05-08-2012, 14:32 |
|
Да простит меня топикстартер, но я вот никак не придумаю как решить более творческую задачу - как закрыть одной ман%де фейсбук так, чтобы пару месяцев не нашли как это сделано. Имеющийся в наличии контингент админов более чем средний, но тривиальное переписывание хост-файла, рул в файерволе или какую-нибудь добавку в груп-полиси через пару дней найдут. А хотелось бы чего-нибудь позаковырестие, чтоб запомнили. 
|
| Posted by: FiL on 05-08-2012, 16:18 |
| может ей просто руку сломать? на пару месяцев не хватит, но запомнит точно. И таки какое-то время не сможет зайти никуда. |
| Posted by: taurus66 on 05-08-2012, 16:30 | ||
|
| Posted by: ArCanon on 05-08-2012, 20:44 | ||
|
| Posted by: ns38 on 05-08-2012, 21:01 |
| старый комп на линухе решит все. копейки. |
| Posted by: heineken man on 05-08-2012, 22:43 | ||
И ксати, тоже не решит - они голосом айфонам-андроидам команды отдавать пытаются, (те через корпоративный wifi в инет ходят).  Trex: если начальству не парит вопрос откуда взялось, то может стоит пойти знакомым путем - взгромоздить на сервер ISA-2004. |
| Posted by: Trex on 05-08-2012, 22:59 | ||
Тобишь надо сугубо бесплатное решение. Старых компов у них нет, а новый покупать не будут. Требуется сугубо беспалтное решение, пусть даже не очень надежное, ибо сидят там простые служащие... |
| Posted by: anatolyArts on 06-08-2012, 12:36 |
|
Ну если необходим виндовс, есть очень хитровы№;%"№;"№;ое решение: 1). Установить cygwin (http://cygwin.com/ (линукс под виндовс) 2). Под линуксом поставить shorewall (http://www.shorewall.net/ 3). Настроить сеть использовать IP cygwin-а как DNS. Дальше дело техники - конфигурация shorewall-а, настройка автозапуска cygwin-а итд. Загружаться, конечно, будет медленьнее. Но поскольку cygwin это не виртуальная машина, то тормозить при работе не будет. Память будет кушать - это да. За-то бесплатно и хитрошо%;№о. Пы.Сы. Если shorewall/netfilter сложно, есть более простое визуально-графическое решение - firestarter (http://fs-security.com. Но тогда к cygwin-у прийдёться припаять Х. |
| Posted by: Damballah on 06-08-2012, 13:34 |
| Поставь TMeter (http://www.tmeter.ru/tmeter/. Это типа NetLimiter, только понавороченнее и бесплатно. |
| Posted by: taurus66 on 06-08-2012, 13:40 |
|
Самый бесплатный вариант это на уровне Босса принять решение о блоке сайтов.У меня на работе через интернет можно зайти только на ресурсы с профессиональной информацией.И никто не вякает. Правда и этот вариант сегодня при неограниченном доступе в мобильный интернет уже не очень помогает . Ну разве запретить пользоваться мобилами
|
| Posted by: Гордый on 06-08-2012, 13:56 | ||
|
| Posted by: FiL on 06-08-2012, 17:57 |
|
Я что-то не понял, как решение для сервера ограничит доступ в Интернет для клиентов, если роутера нет и все ходят в Инет напрямую? Или таки роутер есть (им является этот самый SBS)? Но тогда опять-же, проблем нет, фаервол на серваке решает вопрос за 5 минут. Никакого дополнительного софта вообще не надо. |
| Posted by: Damballah on 06-08-2012, 18:24 |
|
Panda уже спрашивал насчет физической реализации этого дела. Вопрос остался без ответа. Но логично предположить, что сервак с двумя сетевухами, одна из которых смотрит во внутреннюю сеть, а другая, через модем, в инет. Ибо только в этом случае можно как-то рулить трафиком, в отличии от варианта, когда вся внутренняя сеть через свич, подсоединенный к модему, лезет в инет. |
| Posted by: Trex on 06-08-2012, 19:28 |
|
Древний модем втыкается по ЮСБ в сервак, а из сетевухи сервака кабель втыкается в свитч, куда втыкаются и другие компы. К сожалению больше инфы пока нет .
|
| Posted by: Damballah on 06-08-2012, 19:37 |
|
Ну, один фиг, сервак выступает в роли прокси. Кстати, прокся там каким образом реализована? С помощью сторонней проги или родными средствами винды? В первом случае, у всех проксей, которые я юзал, есть возможность создания черных/белых списков. Во втором случае, как сказал FiL, это можно сделать средствами встроенного фаервола или прог типа TMeter, которые позволяют еще и отследить попытки юзеров нарушить запрет и урезать им за это зряплату. 
|
| Posted by: anatolyArts on 06-08-2012, 20:03 |
|
Не рябяты, мы все нихрена не поняли. При конфигурации ЮСБи модем + СБС2003 + СВИЧЬ (спасибо, что не хаб) - люди явно хотят танцев с бубном! Без линукса под виндовс тут не обойтись. Кстати, TMeter прекрасно запускается через wine под cygwin... |
| Posted by: Гордый on 06-08-2012, 20:17 | ||||
|
| Posted by: Trex on 07-08-2012, 09:31 |
| Судя по этому документу, с помощью встроенного фаервола это сделать не удасться : http://technet.microsoft.com/en-us/library/cc875816.aspx (http://technet.microsoft.com/en-us/library/cc875816.aspx |
| Posted by: Damballah on 07-08-2012, 09:46 | ||
|
А, блин, у тебя же 2003 сервер. Это в 2008-м фаервол более продвинутый. Added:
|
| Posted by: Гордый on 07-08-2012, 12:36 |
Да закройте же наконец Trexу весь инет. 
|
| Posted by: FiL on 07-08-2012, 14:06 | ||
update: A, собственно, с чего ты взял, что судя по этой статье что-то там не удастся? Закрыть трафик можно, исключения добавить можно. А больше тебе ничего и не нужно. Так что вполне можешь рулить и через политики. А то, что геморойно, так тебя уже предупреждали, что белые списки настраивать - это сильный гемор и тебе оно не надо. Но это уже совсем другой вопрос. |
| Posted by: Power User on 07-08-2012, 16:38 | ||
вот это что то - можно заменить на что-то что быдет фильтровать.... |
| Posted by: Brait on 08-08-2012, 19:09 |
|
Госссссспади, да установите-ж вы SQUID под Windows (http://vasenin.org/pro-specialist/articles/76-squid-pod-windows-install.html, и всё! Бело-черные списки, ограничения по типам файлов, лимиты скорости... А для крохотного белого списка даже SquidGuard не нужен будет. |
| Posted by: FiL on 08-08-2012, 19:40 | ||
|
| Posted by: anatolyArts on 09-08-2012, 07:42 | ||
Пы.Сы. Но я всё равно за линукс! Хочу увидить море крови и танцы с бубном. |
| Posted by: Brait on 09-08-2012, 13:46 | ||||
Ой, что это я советую, я же еще такой молодой, мне еще жить и жить!?
|