Allora speriamo di aver beccato la sezione giusta.
Ci sono due pc in un dominio che non devono più uscire su internet,la rete è stata configurata con il dhcp(quindi niente ip fisso)in più sembra che ci sia un nome utente generale(cioè valido per ogni pc del dominio),ho necessità di bloccare due particolari pc in modo che non possano più uscire su internet senza fare troppi stravolgimenti,soprattutto senza cambiare nomi utenti.Per l'uscita su internet c'è un router zyxel adsl in più il nome utente con cui si accede ai pc è un utente generico,anche se posso accedere come amministratore in locale su questi due pc.
Pensavo di abilitare il firewall di winxp(service pack2),ma nonostante entri come amministratore,non riesco ad attivarlo,mi dà tutte le opzioni in grigio :confused:

Ciao,

la maggior parte dei routers "decenti" permette di bloccare le porte (in ingresso e in uscita) verso determinati indirizzi IP della LAN, quindi basterebbe bloccare tutte le porte agli indirizzi dei PC che non vuoi che vadano in Internet.

L'unica cosa ce mi lascia un po' perplesso è il fatto che le macchine della tua rete non abbiano ip fisso ma lo prendano da DHCP. Sarebbe opportuno assegnare ad ogni computer un suo indirizzo statico...

Ciao,

la maggior parte dei routers "decenti" permette di bloccare le porte (in ingresso e in uscita) verso determinati indirizzi IP della LAN, quindi basterebbe bloccare tutte le porte agli indirizzi dei PC che non vuoi che vadano in Internet.

L'unica cosa ce mi lascia un po' perplesso è il fatto che le macchine della tua rete non abbiano ip fisso ma lo prendano da DHCP. Sarebbe opportuno assegnare ad ogni computer un suo indirizzo statico...
quoto devi assegnarli 1 indirizzo ip fisso...... ;)

Ciao,

che server usano questi client? E il loro sistema operativo?

ciao

Marco

Se utilizzi windows server 2003, o windows 2000 server come server, puoi inserire i mac address dei due pc nelle tabelle del dhcp per i reserved lease e disabilitare quindi il default gateway per quei due pc.

La soluzione comunque più semplice e sicura è quella di disabilitare dhcp e assegnare indirizzi statici.
Questo però se la tipologia della tua rete te lo permette.

La soluzione comunque più semplice e sicura è quella di disabilitare dhcp e assegnare indirizzi statici.
Questo però se la tipologia della tua rete te lo permette.

Perchè dovrebbe essere più sicura e semplice? :confused:

Perchè dovrebbe essere più sicura e semplice? :confused:
Il dhcp è un servizio da usare con cautela, sono già capitati delle intrusioni su reti gestite con dhcp.
Per il resto, se la rete non è troppo complessa, è meglio usare un pool di indirizzi statici di facile gestione. Ovviamente IMHO

Il dhcp è un servizio da usare con cautela, sono già capitati delle intrusioni su reti gestite con dhcp
e anche attacchi ddos che bombardavano router di pacchetti dhcp particolari e impallavano i router :fagiano:

Il dhcp è un servizio da usare con cautela, sono già capitati delle intrusioni su reti gestite con dhcp.
Per il resto, se la rete non è troppo complessa, è meglio usare un pool di indirizzi statici di facile gestione. Ovviamente IMHO


Se il dhcp si trova su una rete lan privata ed è adeguatamente protetto non dovrebbe dare problemi. Inoltre in certi casi risulta più semplice la gestione di una rete con dhcp che con indirizzi ip statici. Chiaramente dipende dalla quantità di client installati nella rete. Ma visto che lui chiedeva una soluzione avendo il dhcp abilitato, non mi pareva il caso fargli cambiare configurazione ma semplicemente risolvere la questione mantenendo l'attuale configurazione di rete.

ciao

Marco

Se il dhcp si trova su una rete lan privata ed è adeguatamente protetto non dovrebbe dare problemi. Inoltre in certi casi risulta più semplice la gestione di una rete con dhcp che con indirizzi ip statici. Chiaramente dipende dalla quantità di client installati nella rete. Ma visto che lui chiedeva una soluzione avendo il dhcp abilitato, non mi pareva il caso fargli cambiare configurazione ma semplicemente risolvere la questione mantenendo l'attuale configurazione di rete.

ciao

Marco
Ok, dipende sempre dalla rete che bisogna gestire.
Io però continuo ad essere dell'idea di lavorare un po' di tempo in più e fare tutto statico: più sbattimento all'inizio ma facilità di gestione e più sicurezza.
Se però nella rete serve avere ip dinamici allora è un'altra storia.

Ok, dipende sempre dalla rete che bisogna gestire.
Io però continuo ad essere dell'idea di lavorare un po' di tempo in più e fare tutto statico: più sbattimento all'inizio ma facilità di gestione e più sicurezza.
Se però nella rete serve avere ip dinamici allora è un'altra storia.

La facilità di gestione è relativa.. se utilizzi una rete di 5 massimo 10 pc allora è abbastanza gestibile.. ma incomincia a pensare reti con molti più client e vedi che la facilità di gestione va a farsi benedire...

p.s.

anche perchè in ogni caso puoi impostare dei lease reservati per determinati client tramite dhcp..

ciao

Marco

La facilità di gestione è relativa.. se utilizzi una rete di 5 massimo 10 pc allora è abbastanza gestibile.. ma incomincia a pensare reti con molti più client e vedi che la facilità di gestione va a farsi benedire...

p.s.

anche perchè in ogni caso puoi impostare dei lease reservati per determinati client tramite dhcp..

ciao

Marco
Insomma, la questione non è statica... :D
Ci sono molti modi per risolverla, dipende da chi poi dovrà gestirla, ogni soluzione ha pro e contro... bisogna trovare il giusto compromesso.

Ok ragazzi grazie molte per le risposte,i client sono tutti con winxp,mentre sul server c'è windows 2003 server,il problema è che il router è a parte,cioè non bisogna passare dal servere per uscire su internet.
Altrimrnti la soluzione di agire sul server mi starebbe benissimo,solo che sono abbastanza ignorante quindi mi dovreste spiegare il tutto come se fossi un bambino di 4 anni :bimbo:
Grazie ancora per l' aiuto :)

Se utilizzi windows server 2003, o windows 2000 server come server, puoi inserire i mac address dei due pc nelle tabelle del dhcp per i reserved lease e disabilitare quindi il default gateway per quei due pc.


Questa mi sembra la soluzione più abbordabile,solo che me la dovete spiegare meglio! :bimbo:

Vai sul server, e nel dhcp.

Poi c'è una cartella che si chiama "Lease riservati" (te lo traduco in italiano) o "Reservations" o cmq qualcosa di simile. Vai lì, e crei un nuovo lease riservato mettendo come nome il nome del client, come ip l'ip che vuoi e il mac address del client.

Poi se ben ricordo clicchi con il destro sul lease e dovresti poter modificare altri parametri (non ho sottomano ora un server dhcp) se ci sono problemi dimmelo.

ciao

Marco

Vai sul server, e nel dhcp.

Poi c'è una cartella che si chiama "Lease riservati" (te lo traduco in italiano) o "Reservations" o cmq qualcosa di simile. Vai lì, e crei un nuovo lease riservato mettendo come nome il nome del client, come ip l'ip che vuoi e il mac address del client.

Poi se ben ricordo clicchi con il destro sul lease e dovresti poter modificare altri parametri (non ho sottomano ora un server dhcp) se ci sono problemi dimmelo.

ciao

Marco

Mettiamola in questo modo,non sò neanche dove sia questa cartella,cmq ci proverò e vediamo che ne esce fuori.
Scusa ma se metto l'ip che voglio,poi non mi blocca quel particolare ip???
cos'è il mac address????

Mettiamola in questo modo,non sò neanche dove sia questa cartella,cmq ci proverò e vediamo che ne esce fuori.
Scusa ma se metto l'ip che voglio,poi non mi blocca quel particolare ip???
cos'è il mac address????


Dove lavori te non c'è un sistemista?

No nessun sistemista :( :cry: :muro:

ma se in proprietà tcp/ip della connessione lan metti ip dinamico e dns fissi (con valori falsi come 1.2.3.4) ? :fagiano:

senti, hai provato con una limitazione di tipo software?
gli impedisci i servizi della navigazione e hai risolto senza stravolgere la rete

senti, hai provato con una limitazione di tipo software?
gli impedisci i servizi della navigazione e hai risolto senza stravolgere la rete
cioè?
della serie installo un'altro browser e bypasso?

oh gli togli i privilegi da amministratore, e da li come utenti gli puoi limitare molte cose.
Altrimenti cerca in internet esistono particolari software che bloccano i pc, sino a togliere persino l'accesso a cartelle come documenti

oh gli togli i privilegi da amministratore, e da li come utenti gli puoi limitare molte cose.
Altrimenti cerca in internet esistono particolari software che bloccano i pc, sino a togliere persino l'accesso a cartelle come documenti
di firefox ci sta anche la versione "zip" che decomprimi e lanci :p
per risolvere devi rendere inaccessibile il gateway e basta

ma se in proprietà tcp/ip della connessione lan metti ip dinamico e dns fissi (con valori falsi come 1.2.3.4) ? :fagiano:


Stai scherzando spero.. in una rete con dominio come risolve poi i nomi host?

No nessun sistemista :( :cry: :muro:


ma chi è che vi ha installato il server e la rete?

ma se in proprietà tcp/ip della connessione lan metti ip dinamico e dns fissi (con valori falsi come 1.2.3.4) ? :fagiano:

Possiamo provare,probabilmente la cosa dovrebbe funzionare :fagiano: :huh:


Spero :sperem:

scusate ma disabilitare IE dal registro di configurazione no??? :)

Possiamo provare,probabilmente la cosa dovrebbe funzionare :fagiano: :huh:


Spero :sperem:



FERMO! SE I COMPUTER SONO IN DOMINIO E CAMBI GLI IP DEL DNS QUESTI NON VEDONO PIU' GLI ALTRI PC DELLA RETE E NON RIESCONO AD ACCEDERE AL DOMINIO!

scusate ma disabilitare IE dal registro di configurazione no??? :)
ma internet non è solo quella maledetta E.. leggi i post sopra :fagiano:

se hai win server o cmq puoi avere una gestione avanzata di dhcp sul router, usa la soluzione di arcom.. altrimenti su un paio di pc metti ip statico senza gw con dns :fagiano:

Ci sono cmq diversi modi, dipende da quanto l'utente che nn dovrò andare su internet è skillato. Potresti ad esempio mettere un proxy falso sui clients e nei criteri di protezione locale disabilitare la modifica delle impostazioni.

Ci sono cmq diversi modi, dipende da quanto l'utente che nn dovrò andare su internet è skillato. Potresti ad esempio mettere un proxy falso sui clients e nei criteri di protezione locale disabilitare la modifica delle impostazioni.
:mbe: ma il proxy lo imposti (e blocchi) su IE... e se metto firefox vado in strumenti -> preferenze -> impostazioni di connessione "connessione senza proxy" :fagiano:

La soluzione più 'elegante' a mio parere resta il settare il server dhcp a dovere.. ma se non c'è un sistemista in grado di farlo non mi pare il caso mettere le mani su di un domain controller.

:mbe: ma il proxy lo imposti (e blocchi) su IE... e se metto firefox vado in strumenti -> preferenze -> impostazioni di connessione "connessione senza proxy" :fagiano:

beh una rete che si rispetti usa per forza un proxy...... metterglielo sbagliato o non metterlo equivale a nn navigare no??

IPCOP e Advanced Proxy è quello che serve a te... lascia stare il server dhcp che poi ti tocca riconfigurare le zone del server dns per i 2 pc esclusi(ok, sono solo 2 txt!)

Prendi nota del mac di quelle schede di rete e lo blacklisti dato che c'è il DHCP e l'ip al termine del lease potrebbe cambiare. L'installazione no è semplicissima ma ci sono ottime guide.

Prendi il computer + vecchio che hai a disposizione e lo colleghi tra il router e il resto della tua rete.

Se non ce l'hai fai una macchina virtuale con vmware: non è il massimo in fatto di sicurezza (schede di rete virtuali) ma ci si può accontentare, se hai un firewall anche nel router... Gooooogle ti darà senz'altro una mano...

Certo complichiamo la vita..

a parte il fatto che non deve riconfigurare le zone del dns perchè si aggiornano automaticamente..... poi mi spieghi secondo te qual'è il procedimento più lungo fra il cambiare due parametri nel server dhcp e installare un firewall, configurarlo a dovere e risolvere eventuali sicuri problemi che si presenteranno con il cambio della topologia della rete?

ciao

Marco