Запрет на доступ в интернет недоменным компам
 

Доброго времени суток! Какими средствами можно сделать так, чтобы был закрыт доступ в инет сторонним компам? Т.е. чтобы в инет могли ходить только те, кто в домене.
Имеется домен на Win2008, D-link DFL 860E, squidNT.

Ты хоть напиши как у тебя логическая структура устроена. Как народ в internet выходит, через NAT или через проксю? Если нужно что бы все ходили через прокси, то на роутере разреши доступ в интернет только прокси серверу а остальным зарежь, на прокси серевере настрой авторизацию в AD и будет тебе счастье. Вот тебе для примера
Настройка squidNT c авторизацей в AD

на роутере пусти весь http трафик через прокси, в squid настрой авторизацию юзеров АД и наслаждайся

Мне кажется это не совсем приемлемо, во первых у него это две разные железки, роутер является файрволом перед ним стоит прокси сервер, получается что нужно перенаправить http трафик на прокси а уж от него он опять трафик вернется на файрвол. Если была бы одна железка, и там был линух, то можно было бы красиво завернуть все.

Slovyanin, собственно устроенно все так:
Весь трафик проходит через DFL. SquidNT стоит на Win2008.. И получается так, что весь трафик идет в обход Squid'a, тк основным шлюзом является DFL. Сама авторизация по AD у Squid уже настроена.
art.andr , мы так и хотим сделать. Только теперь вопрос как все это сделать, и каковы могут быть последствия?
Весь трафик на один порт то пустить..

_____

Update. Перенаправили весь трафик с DFL на машину где Squid (с указанием порта 3128). Не работает, зараза. В логах Squid тоже нет никакой активности. Т.е. что к нему кто то ломится он не видит.

Up! Хелп!!

А сколько ПК в домене (количество)?

что мешает политикой принудительно выставить в браузере настройки для прокси?
а на шлюзе запретить http всем, кроме прокси сервера, почтового сервера и других серверов??

exo, нам нужен прозрачный прокси. В этом вся и проблема... :(
IT Shepherd, под сотню

ого... прозрачный прокси с авторизацией...
для чего авторизация в прозрачном прокси?
или... в чём прозрачность у прокси с авторизацией?

придумал один вариант.
Создаём политику, которая назначает классы на сетевые интерфейсы. Как сделать политику я не знаю, а вот вручную делается так.
Что нам это даёт: только доменные компьютеры получат эту политику. Далее, настраиваем DHCP сервер.
Создаём в пуле DHCP ещё один шлюз по умолчанию - ваш прокси сервер. И его назначаем только тем компьютерам, у которых соответствующий Класс ИД. А предыдущий шлюз удаляем.
Что это нам даёт:
- доменные компьютеры получат в качестве шлюза ваш прокси сервер - это и будет прозрачным прокси сервером, а авторизация там работать не будет. Выборка только по IP компьюетра, который получает адрес д и н а м и ч е с к и
- не доменные получат обычную настройку без шлюза, а следовательно и интернета.

Ололоже! Ну настройте вы уже DFL чтобы он из сети никого кроме прокси в инет не пускал.

Вам нужно просто закрыть доступ в Интернет недоменным компьютерам?

Или Вам нужно закрыть доступ в Интернет для недоменных компьютеров + чтобы доменные обязательно работали через проксю, и при этом прокся была прозрачной?

Для недоменных ПК закрыть доступ нужно только по HTTP трафику или полностью (почтовый трафик и т.д.)?

Добрый Фей, можно более ясно и полно рассказать о том, что Вы хотите добиться и для чего Вам нужен squid? А то поставленная задача в шапке темы не соответствует задачам, которые Вы озвучили дальше в теме.