Вообщем пришло время быть "плохим" - есть сетка на SBS 2003 и требуется 1.закрыть весь интернет, 2. разрешить только "белый" список сайтов. С помощью GP вроде это можно сделать если на компах стоит только ИЕ (покажите мне человека, который этим себя ограничил), так что требуется другое халявное решение (не комп с линухом). Ах да, раутера тоже нет, есть древний switch Netgear...

UserGate ?

NetLimiter?

А физика какая?

Вторая карточка в сервер и то, что смотрит в Ынторнет - в эту карточку. Ну а дальше уже можна рулить чем угодно.

Hosts file?

1. если роутера нет, то не ясно как оно в инет ходит
2. другие браузеры тоже можно запретить через ГП

Раутера нет, есть модем и свитч.
Запретить устанавливать софт не требуется.

UserGate и NetLimiter - платные.

Hosts может соадать "черный" список, а мне нужно закрыть все и создать "белый" список.

Вряд ли. Простой "белый" список на основе статических URL требует постоянного внимания, в плане пополнения/исправления. Даже дорогие коммерческие продукты этим грешат, а уж если самому делать... :(

Жалобы на закрытые (действительно или им так кажется) сайты, нужные для работы, указания начальства открыть то/это, трата своего времени на отслеживание и внесение в белый лист скрытых внешних линков, жалобы на непривычно выглядящие сайты и пр. - оборотная сторона подхода "фиг вам всем". Ты придумал, тебе и му%%ёЁ(хаться. Оно тебе надо? :)

В плане техники, в SBS 2003 кажется входит ISA2000- у%%&*-ще еще то, но статический URL List держать может (точнее, он ни на что более сложное и не пригоден).

heineken man
ИСА 2000 если б туда входил - никакой бы проблемы не было, я на ней это уже реализовал в другой конторе. Все она отлично держит и тянет, но в СБС 2003 стандарт ее нет, только ИСА 2004 в премиум.
А на счет целесообразности, это не мне решать, хозяин сказал как он хочет и точка - "никакого интернета, только десяток "рабочих" сайтов. Жалобы работников его вообще не волнуют - им не за то платят деньги чтобы весь день они сидели в соц.сетях, мыле и новостных сайтах, а последняя проверка показала, что больше половины времени они там.
Создавать "черные" списки смысла нет, так новостных сайтов на разных языках тысячи, да еще анонимайхеров хватает и гугльского кеша.
Поэтому решение закрыть все мне представляется верным, вопрос как это лучше реализовать самой малой "кровью" (деньгами), желательно не покупая ни софт, ни хард.
Кстати по софту можно было купить КИС 2012 и сделать там все с помощью родительского контроля или по харду - старый комп-раутер на линухе, но это опять расходы :(.

Может есть какие-то еще варианты ?

Сейчас в Израиле новая фишка - на многих фирмах Фейсбук обьявлен business tool (туда кладут всякую хрень, вместо корпоративного сайта). :punk:

Так что теперь наши расп%ЁёЁ%-и сидят в соц. сетях по закону.
У нас на фирме все от начальства до охранников живут в фейсбуке (последние еще и в одноклассниках вследствие происхождения). Я последнюю неделю дорабатываю, сил уже нет этих козлов видеть.

Имеющиеся средства позволяют контролировать почти все, и не только закрывать - можно например закрыть фейсбуковский чат или видео, оставив основной сервис, т.е напакостить на высоком уровне.
Но тут теперь все решения принимаются с одобрение legal department, а эти не одобряют (боятся исков от работников по ущемлению прав). Тфу. :diablo:

Ну да...статусы типа :"вышел сделать пи-пи" я уже имел счастье видеть :crazy:

Да простит меня топикстартер, но я вот никак не придумаю как решить более творческую задачу - как закрыть одной ман%де фейсбук так, чтобы пару месяцев не нашли как это сделано.

Имеющийся в наличии контингент админов более чем средний, но тривиальное переписывание хост-файла, рул в файерволе или какую-нибудь добавку в груп-полиси через пару дней найдут.

А хотелось бы чего-нибудь позаковырестие, чтоб запомнили. :music:

может ей просто руку сломать? на пару месяцев не хватит, но запомнит точно. И таки какое-то время не сможет зайти никуда.

QUOTE (FiL @ 05-08-2012, 17:18)

может ей просто руку сломать? на пару месяцев не хватит, но запомнит точно. И таки какое-то время не сможет зайти никуда.

FiL , это не поможет .Израильтянка зависимая от фейсбука будет зубами по клавишам стучать .Так что вмешательство должно быть более радикальное :diablo:

QUOTE (Trex @ 04-08-2012, 22:49)

UserGate и NetLimiter - платные.

Я 4 года назад отдал 150 баксов и пользуюсь на работе до сих пор. Невеликие деньги :hi:

старый комп на линухе решит все. копейки.

QUOTE (FiL @ 05-08-2012, 15:18)

может ей просто руку сломать? на пару месяцев не хватит, но запомнит точно. И таки какое-то время не сможет зайти никуда.

Я бы ей не только руку сломал, но это проблему только усугубит - уж больно черноротая.
И ксати, тоже не решит - они голосом айфонам-андроидам команды отдавать пытаются, (те через корпоративный wifi в инет ходят). :bad1:

Trex: если начальству не парит вопрос откуда взялось, то может стоит пойти знакомым путем - взгромоздить на сервер ISA-2004.

QUOTE (heineken man)

Trex: если начальству не парит вопрос откуда взялось, то может стоит пойти знакомым путем - взгромоздить на сервер ISA-2004

А тут уж я не хочу быть крайним и решать проблемы тех, кто первым меня и сдаст БСА.
Тобишь надо сугубо бесплатное решение.
Старых компов у них нет, а новый покупать не будут.
Требуется сугубо беспалтное решение, пусть даже не очень надежное, ибо сидят там простые служащие...

Ну если необходим виндовс, есть очень хитровы№;%"№;"№;ое решение:
1). Установить cygwin (линукс под виндовс)
2). Под линуксом поставить shorewall
3). Настроить сеть использовать IP cygwin-а как DNS.

Дальше дело техники - конфигурация shorewall-а, настройка автозапуска cygwin-а итд. Загружаться, конечно, будет медленьнее. Но поскольку cygwin это не виртуальная машина, то тормозить при работе не будет. Память будет кушать - это да. За-то бесплатно и хитрошо%;№о.

Пы.Сы. Если shorewall/netfilter сложно, есть более простое визуально-графическое решение - firestarter. Но тогда к cygwin-у прийдёться припаять Х.

Поставь TMeter. Это типа NetLimiter, только понавороченнее и бесплатно.

Самый бесплатный вариант это на уровне Босса принять решение о блоке сайтов.У меня на работе через интернет можно зайти только на ресурсы с профессиональной информацией.И никто не вякает.
Правда и этот вариант сегодня при неограниченном доступе в мобильный интернет уже не очень помогает . Ну разве запретить пользоваться мобилами :)

QUOTE (taurus66 @ 06-08-2012, 12:40)

Ну разве запретить пользоваться мобилами :)

У нас запрещено, но разве это остановит нас? :diablo:

Я что-то не понял, как решение для сервера ограничит доступ в Интернет для клиентов, если роутера нет и все ходят в Инет напрямую?

Или таки роутер есть (им является этот самый SBS)? Но тогда опять-же, проблем нет, фаервол на серваке решает вопрос за 5 минут. Никакого дополнительного софта вообще не надо.

Panda уже спрашивал насчет физической реализации этого дела. Вопрос остался без ответа. :)
Но логично предположить, что сервак с двумя сетевухами, одна из которых смотрит во внутреннюю сеть, а другая, через модем, в инет. Ибо только в этом случае можно как-то рулить трафиком, в отличии от варианта, когда вся внутренняя сеть через свич, подсоединенный к модему, лезет в инет.

Древний модем втыкается по ЮСБ в сервак, а из сетевухи сервака кабель втыкается в свитч, куда втыкаются и другие компы. К сожалению больше инфы пока нет :(.

Ну, один фиг, сервак выступает в роли прокси. Кстати, прокся там каким образом реализована? С помощью сторонней проги или родными средствами винды?
В первом случае, у всех проксей, которые я юзал, есть возможность создания черных/белых списков. Во втором случае, как сказал FiL, это можно сделать средствами встроенного фаервола или прог типа TMeter, которые позволяют еще и отследить попытки юзеров нарушить запрет и урезать им за это зряплату. :diablo: :laugh:

Не рябяты, мы все нихрена не поняли. При конфигурации ЮСБи модем + СБС2003 + СВИЧЬ (спасибо, что не хаб) - люди явно хотят танцев с бубном!
Без линукса под виндовс тут не обойтись. Кстати, TMeter прекрасно запускается через wine под cygwin...

QUOTE (anatolyArts @ 06-08-2012, 19:03)

Не рябяты, мы все нихрена не поняли.

т. е. ты считаешь нормальные ребята такое понимают с ходу? :fear2:

QUOTE

Ну если необходим виндовс, есть очень хитровы№;%"№;"№;ое решение: 1). Установить cygwin (линукс под виндовс) 2). Под линуксом поставить shorewall 3). Настроить сеть использовать IP cygwin-а как DNS. Дальше дело техники - конфигурация shorewall-а, настройка автозапуска cygwin-а итд. Загружаться, конечно, будет медленьнее. Но поскольку cygwin это не виртуальная машина, то тормозить при работе не будет. Память будет кушать - это да. За-то бесплатно и хитрошо%;№о. Пы.Сы. Если shorewall/netfilter сложно, есть более простое визуально-графическое решение - firestarter. Но тогда к cygwin-у прийдёться припаять Х.

:dunno:

Судя по этому документу, с помощью встроенного фаервола это сделать не удасться : http://technet.microsoft.com/en-us/library/cc875816.aspx

А, блин, у тебя же 2003 сервер. Это в 2008-м фаервол более продвинутый.

Added:

QUOTE (anatolyArts @ 06-08-2012, 21:03)

Не рябяты, мы все нихрена не поняли. При конфигурации ЮСБи модем + СБС2003 + СВИЧЬ (спасибо, что не хаб) - люди явно хотят танцев с бубном! Без линукса под виндовс тут не обойтись. Кстати, TMeter прекрасно запускается через wine под cygwin...

Дейтвительно, на кой устанавливать TMeter под Виндой, ежели можно установить в Винде Линукс, на нем установить эмулятор Винды и уже в нем запускать TMeter... :crazy:

Да закройте же наконец Trexу весь инет. :drag:

QUOTE (Trex @ 07-08-2012, 02:31)

Судя по этому документу, с помощью встроенного фаервола это сделать не удасться : http://technet.microsoft.com/en-us/library/cc875816.aspx

ты не прав. там рассказывается как настраивать фаервол на клиентах с сервера через GP. А в твоем случае надо просто настроить фаервол на сервере. Никаких политик. Просто обрубаешь инет на сервере и клиенты никуда не идут.

update: A, собственно, с чего ты взял, что судя по этой статье что-то там не удастся? Закрыть трафик можно, исключения добавить можно. А больше тебе ничего и не нужно. Так что вполне можешь рулить и через политики. А то, что геморойно, так тебя уже предупреждали, что белые списки настраивать - это сильный гемор и тебе оно не надо. Но это уже совсем другой вопрос.

QUOTE (Trex @ 06-08-2012, 18:28)

Древний модем втыкается по ЮСБ в сервак, а из сетевухи сервака кабель втыкается в свитч, куда втыкаются и другие компы. К сожалению больше инфы пока нет :(.

ну так или иначе - 2 ноги - и что-то на серваке прокидывает трафик с ондной на другую...
вот это что то - можно заменить на что-то что быдет фильтровать....

Госссссспади, да установите-ж вы SQUID под Windows, и всё!
Бело-черные списки, ограничения по типам файлов, лимиты скорости... А для крохотного белого списка даже SquidGuard не нужен будет.

QUOTE (Brait @ 08-08-2012, 12:09)

Госссссспади, да установите-ж вы SQUID под Windows, и всё! Бело-черные списки, ограничения по типам файлов, лимиты скорости... А для крохотного белого списка даже SquidGuard не нужен будет.

и как это помогает с non-http протоколами? всякие там SSH через сквид вроде не пускаются.

QUOTE (FiL @ 08-08-2012, 16:40)

и как это помогает с non-http протоколами? всякие там SSH через сквид вроде не пускаются.

А их, вроди, и не просили.

Пы.Сы. Но я всё равно за линукс! Хочу увидить море крови и танцы с бубном.

QUOTE (anatolyArts @ 09-08-2012, 14:42)

QUOTE (FiL @ 08-08-2012, 16:40) и как это помогает с non-http протоколами? всякие там SSH через сквид вроде не пускаются. А их, вроди, и не просили. Пы.Сы. Но я всё равно за линукс! Хочу увидить море крови и танцы с бубном.

Неее, тогда лучше какой-нибудь старый дитриб Linux, да под виртуальной машиной, а в нем - firewall на основе iptables.
Ой, что это я советую, я же еще такой молодой, мне еще жить и жить!? :laugh: