Есть домен контроллер, он же рутер в инет (не ругаться!).
Как сделать, что бы в инет могли "ходить" только вошедшие в домен?
Как сделать, что бы в инет могли "ходить" только вошедшие в домен?
17.03.2006 15:30:47
Есть домен контроллер, он же рутер в инет (не ругаться!).
Как сделать, что бы в инет могли "ходить" только вошедшие в домен? |
|
|
|
17.03.2006 16:05:09
Как же я так?! Забыл.
Windows 2003 EE. |
|
|
|
17.03.2006 16:26:18
Решения такие существуют, мне о них известно.
Мне бы хотелось решить эту задачу встроенными средствами Windows. |
|
|
|
18.03.2006 14:02:46
Sabfear,
Читай внимательно вопрос. Не горячись. Ему надо прикрутить доступ в инет для тех, кто в домене. С авторизацией по доменным аккаунтам. Если найдешь, как такое сделать не прибегая к стороннему софту и ISA, то тебе народ памятник поставит. |
|
|
|
18.03.2006 15:43:07
Да... забыл наверное сказать.. Если ты не залогинешся в домене, то ты никуда доступ не получишь, в том числе и в инет.
|
|
|
|
18.03.2006 18:28:26
Я тебе еще раз повторяю: забудь про ИСУ. Напиши, как реализовать задачу встроенными средствами. "Из коробки" которые идут. Если знаешь. Мини-how-to. |
|||
|
|
20.03.2006 18:10:38
Также "нарулен" прокси, но его настройки через GPO можно "спустить" только при входе в домен. Люди просто подключенные к сети и не прописавшие прокси сервер имеют полный доступ к инету. |
|||
|
|
20.03.2006 18:41:24
Прокся в поставку Windows не входит. Но если не слушаешь умных людей и хочешь по№"?:?"№ться, вот тебе два варианта: Аутентификация компьютеров: На роутере поднимаешь туннельный правила IPSec требующие аутентификации по Kerberos. По два правила на каждого клиента (одно для исходящего трафа - на клиента, второе - для входящего трафа - с клиента). Средствами RRAS запрещаешь прохождение пакетов из локалки в Internet и настраиваешь трансляцию адресов. Через групповую политику спускаешь на клиентов туннельные правила IPSec (весь траф в Internet пускать в туннель на роутер, аутентификация Kerberos). Вуаля - прямой трафик не пройдет, заблокировано RRAS. Если кому надо - пожалуйста, проходи аутентификацию на контроллере домена, строй IPSec до сервера. Сервер вытащит трафик из туннеля и передаст в Inet. Таким образом выход в сеть будет возможен только с компьютеров того же леса, что и роутер. Аутентификация пользователей: Заводишь на роутере ещё один интерфейс (можно Microsoft Loopback Adapter) и присваеваешь ему адрес RFC 1918, но другой чем в локалке (например 10.1.1.0/24 если в локалке 192.168.1.0/24). Поднимаешь RRAS в режиме VPN, блокируешь прямой траф из локальки в интернет , настраиваешь трасляцию из 10.1.1.0/24 в Internet. Настраиваешь на клиентах VPN-соединение. Вуаля - когда клиенту надо в Inet, он коннектится к серверу VPN используя доменное имя пользователя\пароль, получает адрес из 10.1.1.0/24, которой можно в Internet и браузит в своё удовольствие. |
|||
|
|
20.03.2006 18:48:45
Гы. Сначала ответил, потом прочитал. На роутере ЗАКРОЙ доступ к интернет всем, кроме proxy. Как использовать RRAS в качестве пакетного фильтра, читай |
|||
|
|
23.03.2006 22:01:08
offtopic,
Браво ! Вот это изврат :funny: Респект. |
|
|
|
25.03.2006 13:48:41
|
||||
|
|
|||