Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Zablokovanie internetu v niektorych firemnych halach?

Ahojte, zaujimalo by ma ako vyriesit nasledovnu vec: vo firme mame ako primarny pristup do internetu zriadene adsl, este je v celej firme dostupna wifina. Ide o to, ze wifina je tvorena z 3 sieti, myslim ssid..napr. hlavna ma nazov A a pod nou su dve virtualne B a C nazvy sieti. B sa pouziva vo vyrobnej hale a C v hale, odkial sa vyvaza a dovaza material. V tychto 2 halach je dostupna len wifi, avsak v kancloch tejto haly su kompy pripojene klasicky cez kabel..len kompy v prevadzke idu cez wifi, lebo tam sa kable tahat nedali. A na tychto kompoch, v tychto dvoch halach je potreba zablokovat internet, este neviem, ci aj v tych kancloch, ale uvazujme, ze aj tam...Jednoducho treba zablokovat akekolvek odchadzajuce spojenie von z firmy z tychto kompov, ale lanka na nich samozrejme fungovat musi...No a teraz ako to spravit? vo firme je vyuzivana len Ceckova siet 192.168.1.xxx, ziadne podsiete este nie su vytvorene...IPcky su pridelovane cez DHCP, kompy nie su v domene, len v skupine...No ako to teda zabezpecit? treba pre tie pocitace vytvorit dalsiu podsiet?, alebo ich staci priradit do inej skupiny? alebo len na nich vo vlastnotiach exploreru nastavim proxy, myslim ako 192.168.1.254 na porte 3128?, neviem sa z toho vysomarit...Siet ma este nasledovnu strukturu...ISP-router-switch-firewall-switch-serv ery-users PC...

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
Předmět Autor Datum
Pridelenim proxy toho moc neziskas, lidi jsou sikovni, zjisti si nastaveni proxy v kancelari a nasta…
Jan Fiala 22.10.2006 12:38
Jan Fiala
Tohle se právě pomocí proxy řeší. Jsou dva scénáře: 1) Transparentní proxy - v tomto případě se pro…
touchwood 22.10.2006 13:23
touchwood
ad 2, tady je výhoda že každá aplikace musí být nastavena pro připojení skrz proxy a ještě navíc pro…
Vladimir 22.10.2006 13:43
Vladimir
to ano, ale i v situaci 50:50 (oprávnění:neoprávnění uživatelé) bych si to setsakra rozmyslel. Přece…
touchwood 22.10.2006 19:53
touchwood
Záleží samozřejmě i na tom co za aplikace se používají. Co se týče IE, tak ten je možné přednastavi… poslední
Vladimir 22.10.2006 20:09
Vladimir

Pridelenim proxy toho moc neziskas, lidi jsou sikovni, zjisti si nastaveni proxy v kancelari a nastavi si to v hale. Pokud jim politikou zakazes pristup do nastaveni IE, pouziji jiny prohlizec - treba portable FireFox nebo si nakopiruji Operu.

IP mas sice dynamickou, ale MAC dynamicka neni. A muzes zakazat/nastavit pristup pres MAC adresy.

Jinak nechapu proc je v te strukture site pred firewallem witch...

Tohle se právě pomocí proxy řeší. Jsou dva scénáře:

1) Transparentní proxy - v tomto případě se proxy u klientů nikde nenastavuje a řízení přístupu se děje pomocí ACL postavených podle IP adres (nebo jejicj rozsahu). Podle mě ideální řešení (pokud tedy nemáte v práci uživatele, kteří mají právo změnit IP adresu a umí to - já to mám vyřešeno tak, že uživatelé IP adresy měnit nemohou - jednak mají "natvrdo" DHCP a jednak mají jen User privilegia).

2) "klasická" proxy s NTLM autentikací - v tomto případě myslím není možno používat trasparentní proxy (nejsem si jist, už jsem to dlouho nestudoval), a uživatel musí mít nastaveno používání proxy v prohlížeči a autentizuje se svým doménovým jménem. Podle této autentizace se pak buď povolí nebo nepovolí přístup k webu.

Jednoduše řečeno: řešení je ve vynuceném použití proxy a filtrování přímo na ní, bez ní to fungovat nesmí.

Zpět do poradny Odpovědět na původní otázku Nahoru