Запрет сайтов по локальной сети
 

Здравствуйте. Помогите пожалуйста разобраться, описываю ситуацию. Имею сервер Windows Server 2003 и 29 компьютеров под управлением Windows 2000 и частично Windows 98. Необходимо сделать интернет на остальных машинах. У меня на сервере 2 сетевые, одну я использую под локальную сеть, другую под интернет. По локальной сети присвоен адрес 192.168.0.1 и на интернет автоматически. Мне необходимо предоставить доступ пользователям только к одному сайту. Пробовал на iE6, создавал родительский контроль. В принципе система меня устраивает, но отображение страницы - нет. В мозилле можно поставить только плагин, но его легко отключить. Вопрос - как по другому запретить доступ на все сайты кроме одного? Спасибо. Надеюсь на помощь.

Как варианты:

• редактировать таблицу маршрутизации;
• установка фаерволла.
• How to configure TCP/IP Filtering in Windows Server 2003

Хорошо, спасибо. Использовал 3 пункт, допустим, какие порты тогда открывать? Ведь мне нужно только один сайт открыть для доступа.

Самое простое и гибкое решение - установить на шлюзовой компьютер, например, TMeter (вам будет достаточно бесплатной версии) и настроить соответствующие фильтры и правила.

Посмотрел программу TMeter, но не понял как создать белый список на один сайт, а остальные заблокировать. Помогите пожалуйста разобраться.

Иногда полезно читать Руководство.
Логика не подсказывает вам создать разрешающее правило на один адрес, за которым идёт правило, запрещающее всё?

SergeyVyacheslavovic,
Under TCP/IP Filtering, there are three columns with the following labels:

1. TCP Ports
2. UDP Ports
3. IP Protocols

In each column, you must select one of the following options:
Permit All. Select this option if you want to permit all packets for TCP or UDP traffic.
Permit Only. Select this option if you want to permit only selected TCP or UDP traffic, click Add, and then type the appropriate port or protocol number in the

Всем спасибо за помощь, в меню URL фильтрация ввел (к примеру):
+google.ru
*

Но программа блокирует теперь трафик как клиентов, так и мой, мне осталось поставить исключение на свой компьютер. Пока ищу, как это сделать. Спасибо за помощь.

Да. И вот еще возникла проблема. Фильтрация не работает для протокола https, а вконтакте использует его, то есть пользователи смогут зайти. Проверял.

Вы не с того начали.
Совет почитать Руководство, примеры решений и действовать фильтрами и правилами решили проигнорировать? Ну-ну...

URL-фильтрация не трогает https. Об этом сказано в Руководстве. Но вы, ведь его не читали.

Я руководство читал, но все равно не понимаю, как мне разрешить свой ip и запретить доступ у других компьютеров, у остальных я поставил галочку "присвоить ip автоматически"

Пробовал еще, ничего не выходит. Ну хорошо, как примеру мне сделать тогда вот, что:
У меня локальный адрес - 192.168.0.1 и есть компьютер с адресом 192.168.0.22, вот этот адрес мне нужно заблокировать, но не получается. Создавал правила, фильтры, без толку. Все равно блокируется и мой компьютер, а как добавить его в исключение, не знаю.

Не нужно постить несколько раз подряд, нарушая ОПК 3.14. Это не чат, а форум. Пользуйтесь функцией "Редактировать", если хотите что-то добавить.

Очень сомнительно, ибо программа проста как табуретка.

Это здесь каким боком?

Это по условию задачи адрес вашего шлюза. Давайте без отвлечённых "к примеру". ОК?

Ну, раз ждёте блюдечка с каёмочкой - ладно.


Это очень сложно, не правда ли? ;)

AngryDemon,
Выполнил все 3 правила, но по прежнему можно выйти на любой сайт на ПК-клиенте. Вот, скриншоты, все сделал как надо. У меня на клиенте ПК прописан динамический адрес, может сделать статический, или это роли не играет?

Играет. Тут можно решить проблему идентификации несколькими путями.
1. Сделать правило по MAC-адресу.
2. Использовать авторизатор (Монитор службы TMeter).
3. Использовать статику.

А вы заполнили таблицу локальных адресов (LAT)?

Да, таблицу заполнил, указал диапазон от 192.168.0.22 до 192.168.0.29, к примеру. Тестирую на 22, но бес толку. Адрес статический.

SergeyVyacheslavovic, внешний и внутренний адаптеры правильно выбрали?
Криво сделали второе правило: написано "Имя хоста", а стоИт IP-адрес.
NAT-ом кто заведует, Windows или TMeter?
И не вымарывайте вы ваши локальносетевые адреса, чего боитесь? :)

Angry Demon, внешний адаптер - локальная сеть, внутренний - интернет. 2-е правило поправил, вписал в поле сайт. Насчет NAT не знаю. URL фильтрацию нужно настраивать?

Ну, здрассте... Внутренний обслуживает вашу внутреннюю сеть, а внешний смотрит в Интернет, а не наоборот.

Что значит "не знаю"? Вы устанавливали программу или А.С. Пушкин?

Куда вам ещё и URL, вы сначала самое простое научитесь настраивать.

Angry Demon, Итак, я выполнил 3 правила, приведенные вами выше. В итоге:
1. На своем компьютере могу выйти на любой сайт
2. На клиентском не могу выйти на сайт, указанный мною в имени хоста (указываю к примеру www.google.ru).
3. Но все остальные сайты блокируются.

То есть, сдвиг есть, единственное, теперь осталось добиться того, чтобы можно было выйти на указанный сайт. Что я делаю не так?

SergeyVyacheslavovic, вы опять за своё "к примеру" в сферическом вакууме. Какой сайт нужно разрешить?

Angfry Demon, test.smcae.com

Ну, вот, это имя и вводите в поле "Имя хоста". Другой вариант (если знаете, что сайт не переедет) - сделать правило по IP-адресу, указав 89.184.66.47.

Angry Demon, спасибо за помощь. Теперь мне осталось создать еще одно правило. Я на компьютерах запретил доступ ко всем сайтам кроме одного, но вместе с этим стоит также запрет к файлам в локальной сети. Что еще нужно прописать, учитывая вышеприведенные правила? Я так понимаю,
Источник - Любой IP адрес
Назначение - по идее локальный адрес
Действие - не обрабатывать вообще
Через внутренний сетевой адаптер

Редактировано:
Создал еще одно правило с такими параметрами:
Источник - Любой IP адрес
Назначение - мой компьютер
Действие - не обрабатывать вообще
Через внутренний сетевой адаптер.

Теперь и сайты блокируются и локальная сеть работает.

Единственное, что меня смущает так это скорость передачи. У меня на машинах стоят карты по 100 Мбит/с и на 10 Мбит/с. Через сайт измерял скорость интернета, так у меня 10 Мб/с, а на машинах 1,5-2. Отсюда вопрос. Можно ли как-то повысить эту скорость, а то страницы медленно подгружаются.

Локальная сеть не трогается, шлюз управлять не может, ибо чтоб управлять краном, нужно на нём сидеть.

Это вы разрешили полный доступ к шлюзу, на котором установлен TMeter.

Если шлюз - машинка слабая, вполне возможно, что скорость будет резаться.
Но у меня шлюз на AMD Athlon II X2 245 спокойно обслуживает 100 с лишним рабочих станций.