Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Zablokovanie internetu v niektorych firemnych halach?

Ahojte, zaujimalo by ma ako vyriesit nasledovnu vec: vo firme mame ako primarny pristup do internetu zriadene adsl, este je v celej firme dostupna wifina. Ide o to, ze wifina je tvorena z 3 sieti, myslim ssid..napr. hlavna ma nazov A a pod nou su dve virtualne B a C nazvy sieti. B sa pouziva vo vyrobnej hale a C v hale, odkial sa vyvaza a dovaza material. V tychto 2 halach je dostupna len wifi, avsak v kancloch tejto haly su kompy pripojene klasicky cez kabel..len kompy v prevadzke idu cez wifi, lebo tam sa kable tahat nedali. A na tychto kompoch, v tychto dvoch halach je potreba zablokovat internet, este neviem, ci aj v tych kancloch, ale uvazujme, ze aj tam...Jednoducho treba zablokovat akekolvek odchadzajuce spojenie von z firmy z tychto kompov, ale lanka na nich samozrejme fungovat musi...No a teraz ako to spravit? vo firme je vyuzivana len Ceckova siet 192.168.1.xxx, ziadne podsiete este nie su vytvorene...IPcky su pridelovane cez DHCP, kompy nie su v domene, len v skupine...No ako to teda zabezpecit? treba pre tie pocitace vytvorit dalsiu podsiet?, alebo ich staci priradit do inej skupiny? alebo len na nich vo vlastnotiach exploreru nastavim proxy, myslim ako 192.168.1.254 na porte 3128?, neviem sa z toho vysomarit...Siet ma este nasledovnu strukturu...ISP-router-switch-firewall-switch-serv ery-users PC...

Předmět Autor Datum
btw, to pouzitie proxy som myslel tak, ze userom sa nenacita ziadna stranka z netu, lebo proxy serve…
Marek 22.10.2006 12:27
Marek
Zrusil bych DHCP, nastavil pevne IP a to omezil na firewallu
MKc 22.10.2006 12:30
MKc
DHCP zrusit nemozem, ide o dost vela pocitacov...
Marek 22.10.2006 12:35
Marek
Pridelenim proxy toho moc neziskas, lidi jsou sikovni, zjisti si nastaveni proxy v kancelari a nasta…
Jan Fiala 22.10.2006 12:38
Jan Fiala
no, jasne, ti sikovnejsi to obidu vzdy, potom jedine este nainstalovat vsade avant, firefox aj operu…
Marek 22.10.2006 12:46
Marek
Tohle se právě pomocí proxy řeší. Jsou dva scénáře: 1) Transparentní proxy - v tomto případě se pro…
touchwood 22.10.2006 13:23
touchwood
JJ, viem, ze pomocou proxy by to bola malina, ale v robote ziadne proxy rozbehane nie je, samozrejme…
Marek 22.10.2006 13:37
Marek
já bych mezi ničím jiným než squidem a ISA nevybíral. Všechny tyhle x-route jsou nedotažené záležito…
Vladimir 22.10.2006 13:47
Vladimir
Postav se k tomu jinak. Nekdo (zrejme vedeni) chce zajistit, aby v hale neyl pristup na internet. K…
Jan Fiala 22.10.2006 20:01
Jan Fiala
ad 2, tady je výhoda že každá aplikace musí být nastavena pro připojení skrz proxy a ještě navíc pro…
Vladimir 22.10.2006 13:43
Vladimir
to ano, ale i v situaci 50:50 (oprávnění:neoprávnění uživatelé) bych si to setsakra rozmyslel. Přece…
touchwood 22.10.2006 19:53
touchwood
Záleží samozřejmě i na tom co za aplikace se používají. Co se týče IE, tak ten je možné přednastavi… poslední
Vladimir 22.10.2006 20:09
Vladimir

Pridelenim proxy toho moc neziskas, lidi jsou sikovni, zjisti si nastaveni proxy v kancelari a nastavi si to v hale. Pokud jim politikou zakazes pristup do nastaveni IE, pouziji jiny prohlizec - treba portable FireFox nebo si nakopiruji Operu.

IP mas sice dynamickou, ale MAC dynamicka neni. A muzes zakazat/nastavit pristup pres MAC adresy.

Jinak nechapu proc je v te strukture site pred firewallem witch...

no, jasne, ti sikovnejsi to obidu vzdy, potom jedine este nainstalovat vsade avant, firefox aj operu, nastavit tam proxy a zakazat v politike pristup do nastaveni tychto browserov, len neviem ci to pre vsetky ide, este som to neskusal...btw, ten switch je tam preto, ze je tam pripojena este VoIP brana....Cez tie MAC adresy to vyzera ako velmi inteligentne riesenie...

Tohle se právě pomocí proxy řeší. Jsou dva scénáře:

1) Transparentní proxy - v tomto případě se proxy u klientů nikde nenastavuje a řízení přístupu se děje pomocí ACL postavených podle IP adres (nebo jejicj rozsahu). Podle mě ideální řešení (pokud tedy nemáte v práci uživatele, kteří mají právo změnit IP adresu a umí to - já to mám vyřešeno tak, že uživatelé IP adresy měnit nemohou - jednak mají "natvrdo" DHCP a jednak mají jen User privilegia).

2) "klasická" proxy s NTLM autentikací - v tomto případě myslím není možno používat trasparentní proxy (nejsem si jist, už jsem to dlouho nestudoval), a uživatel musí mít nastaveno používání proxy v prohlížeči a autentizuje se svým doménovým jménem. Podle této autentizace se pak buď povolí nebo nepovolí přístup k webu.

Jednoduše řečeno: řešení je ve vynuceném použití proxy a filtrování přímo na ní, bez ní to fungovat nesmí.

JJ, viem, ze pomocou proxy by to bola malina, ale v robote ziadne proxy rozbehane nie je, samozrejme super soft je proxy squid, ale nebezi nam tam ziadny linux...na unixovy server to dat nemozem, to si spravuje niekdo iny a donho sa nesmie vobec zasahovat..a free soft pod win nepoznam, asi ani nie je...winproxy, winroute, potom proxy od MS su vsetko platene baliky...

já bych mezi ničím jiným než squidem a ISA nevybíral. Všechny tyhle x-route jsou nedotažené záležitosti.

Dřív nebo později tam nějakou proxy budeš muset zavést, stejně jako doménu. Centrální správa je centrální správa.

Postav se k tomu jinak. Nekdo (zrejme vedeni) chce zajistit, aby v hale neyl pristup na internet. K tomu potrebujes proxy, kterou nemas.
Vedeni bych oznamil, ze aby to bylo mozne provest, je nutny proxy server.
Takze bud internet pro vsechny nebo poridit proxy.

Jinak staci jeden delnik z haly, ktery ma sikovnejsiho syna a do tydne jsou na internetu zase vsichni.

ad 2, tady je výhoda že každá aplikace musí být nastavena pro připojení skrz proxy a ještě navíc pro autentikaci vůči proxy, což ne všechny aplikace a/ nebo uživatelé zvládnou.

V dnešní době, kdy to běhá i se squidem je to celkem dostupné řešení, ne jako dříve.

to ano, ale i v situaci 50:50 (oprávnění:neoprávnění uživatelé) bych si to setsakra rozmyslel. Přece jen je to na administraci docela problém (i když uznávám, AD GPO to celkem řeší alespoň s ohledem na IE).

Zpět do poradny Odpovědět na původní otázku Nahoru