|
Как заставить и-нет ходить через proxy
Помогите решить такую проблему:
Есть офис в нем HOST-01 (10.10.20.100) На нем вертятся: 1. Файловый сервер 2. Сервер приложений 3. Сервер Терминалов 4. Сервер удаленного доступа /VPN 5. Контроллер Домена 6. DNS 7. WINS 8. Почтовик Mdaemon 9. Прокси Usergate HOST-02 (10.10.20.101) Резервный домен контролер на нем поднято (DNS, DHCP и Политики безопасности) 1. Контроллер домена 2. DNS 3. DHCP 4. WINS APPSERVER (10.10.20.102) Сервер 1С Терминал 1. Сервер Терминалов 2. Файловый сервер 3. 1С7 4. 1С8 DBSERVER (10.10.20.103) Сервер Баз данных 1. Сервер приложений 2. SQL-Server Инет раздает .20.100. и-нет открыт полностью. Поставил Usergate и прописал в груповых политиках адрес в ie на прокси (чтобы все ходили только через usergate). С недавнего времени у нас арендовали офис над нами. Нет туда физически провайдер провести не может. Она попросились пользоваться нашем и-нетом. Сначала было все ок, мы не выходили за рамки трафика. Спустя время трафик вырос вдвое или даже втрое. По статистике в usergate по нашим пользователям все нормально. Я уверен на 100% что жрут трафик именно они. наш DHCP присваивает им ip адреса и прописывает наш шлюз 20.100. В чем собственно вопрос. Как мне теперь их можно контролировать по трафику? Они не в домене и через ГП я их заставить ходить через прокси в нет не могу никак. Помогите. Как мне решить этот вопрос! Заранее огромное спасибо |
Цитата:
Цитата:
Если трафик идет "насквозь" через сервер, закрывай всё, что можно по портам. Оставь только известные http, ftp, https и т.п. Разрешать будешь только по бумажному запросу и конкретным пользователям да с авторизацией. |
Может прикрутить другой офис на другой сервер, поставить туда прокси, я например пользуюсь CCproxy, простенько надёжно и можно установить разные ограничения.
Поставь, например, на машину 20.101 вторую сетевуху и пусть он занимается инетом для посторонних. |
уточни у тебя инет в общем доступе или нет. Потомучто если в ообщем то при прописки шлюза у тех клиентов 20.100 то они бьются именно туда проксих их не видит вернее ЮГ. у нас так клиент банки работают они через прокси не поддерживаюn соединение. убери шару с инета пусть его раздает только ЮГ и штобы у узеров в настойках небыл указан шлюз вообщем убери параметр с DHCP только в IE адресс прокси 20.100:8080
|
Вложений: 2
Смотрите. DCHP сервер раздает Ip_шники 10.10.20.1 - 10.10.20.50
В параметрах области прописано Time Server DNS Server and Router 20.100 т.е при подключении сети на комп. DHCP выдаем им айпишник и основной шлюз 20.100. и нет работает мимо прокси. Сейчас сделал зарезервировал айпишники нашего офиса и прописал там роутер. а из настройки области роутер убрал. Т.е офису выше выдаются айпишники но уже без основного шлюза 20.100. т.е чтобы воспользоваться нетом им нужно прописывать прокси. Хотя я забыл о том что они могут вручную прописать себе ийпи и основной шлюз 20.100 и работать как ни в чем не бывало дальше. Кароче нужно закрыть на машине 20.100 обший доступ к нету. Но как это сделать я ума не приложу. Потому что предыдущий админ настроил все в Сервере удаленного доступа, картинки ниже |
По моему надо просто авторизацию правильно настроить (например ip+mac) , занести все компы арендатера в определенную группу, группе дать определенное кол-во траффика, открыть соответствующие порты.
|
)) вариант один закрывай NAT и пускай всех через проксю, если у тебя будет открыта возможность ходить в инет через NAT и прокси то ты просто реально запаришся бегать к своим новым соседям и контролировать их как они подключаются к тебе.
Цитата:
Если проблема состоит только в том что бы раздавать инет, то просто выключи "маршрутизацию и удаленный доступ" тем самым ты обрубиш полную шару на инет, и просто поставь проксю, на мой взгляд лучше wingate. Ну а если прошлый админ что то мутил с маршрутизацией) типо подключение других офисов , VPN и прочая лабуда. То лучше заранее узнай у него что он делал для того чтобы нечайно кто то не остался без подключения к вашему офису. |
| Время: 03:10. |
Время: 03:10.
© OSzone.net 2001-