Есть сеть из 4 Win2K Prof c доменом Win NT4. Есть выделенный канал в Интернет. Настроен Default Gateway & DNS адрес.
Как ограничить доступ в Интернет Web пользователем одной группы домена, не трогая домен (т.е. локально на рабочей станции).
Нужно учесть, что выход в Интернет возможен через Internet Explorer и через Windows Explorer. Кстати, есть ли возможность запретить выход в Интернет через Windows Explorer ?

ser13
есть ли возможность запретить
что угодно, но только локальным Firewall-ом.


что подразумевается под ограничением доступа?, не спеши, подумай и напиши что должно быть, типы ограничений разные бывают.

Извините за неточность.
Я имел ввиду полностью сделать недоступным выход в Интернет определённой domain группе.
Я поставил ограничение на iexplore.exe в настройках Security, но выход возможен и через explorer.exe, а там я ничего запретить не могу.

ser13
если только такой запрет, то ставится локально всем firewall с возможностью удаленного управления, в котором разрешается соединение с прокси-сервером только для iexplore.exe и который поддерживает MD5 (чтоб не подделать IE).
Например, www.kerio.com или tpf старый (2-й версии).

Добавлено:

или прокси с авторизацией, тот же identd например

...можно поставить прозрачную прокси с авторизацией...

Но у меня не используется прокси... Или я чего-то не копенгаген ?:(

ser13
блин, въехал.
значит, так, если без прокси.
если решишь ограничивать доступ локально (файрволом), то необходимо будет запретить весь "ненормальный" трафик на гейт. Нормальный, скажем - это SMB для Windows Network + для входа/выхода/... в домен.

То есть, сделать такие правила:

прот.    напр.     порты(л.-уд.).    уд. адр.
UDP      IN-OUT   137-137                 ANY
UDP      IN-OUT   138-138                 ANY
TCP       IN           139,445-ANY         ANY
TCP       OUT        ANY-139,445         ANY
(это обеспечит работу Nethood и всех необходимых шар)

затем здесь разрешить то что требуется для NetLogon-а (не помню ща точно)

далее для избранных разрешить:
TCP       OUT   ANY-80                 ANY (это типа http-трафик)
и еще что надо типа ftp, dns, ...

и в конце запретить все неописанное правилами выше.


а вообще-то это все на самом NAT-е делаться должно, только не скажу точно что именно там надо делать.

А можно просто позвонить провайдеру и попросить его на его прокси перекрыть диапазон ip-адресов, если в этой группе домена статические ip.

vasketsov
А где вообще NAT настраивать, очень уж интересно.

Так толком никто не сказал... :-(

А вот можно ли в такой же сети (т.е. домен НТ4... и т.д.) организовать сохранение в файле всех ссылок на которые пользователь сети заходил в интернете?
Т.е. есть конкретный IP в локальной сети, выход в интернет организован через комп под W2K с двумя каратами (т.е. зашарена одна карта). Надо знать для конкретного адреса: куда ходил, сколько качалось и откуда, сколько отправлялось и куда?

Заранее всем благодарен.
Александр

Можно. Прокси генерирует файл со всей вышеуказанной информацией.

...почитайте здесь http://3dnews.ru/reviews/communication/firewall2000xp/

Можно, есть прога Give Me too.
Там все прописывается!