W2K3 SBS - filtrare accesso ad internet: come?

[antoniox]

Ciao!

In ufficio è installato un server Windows 2003 SBS; la macchina ha 2 schede di rete.
Una è connessa ad un router AliceGate.
L'altra ad uno switch; a quest'ultimo sono connessi 15 pc (tutti con XP pro).

Ho creato un dominio sul server e le relative credenziali di accesso per gli utenti.

Ho configurato le due schede di rete in modo da condividere la connessione ad internet attraverso il server (indico l'IP della scheda di rete "LAN" del server come gateway)

A questo punto vorrei filtrare il traffico verso internet attraverso una white-list e la definizione di diverse "politiche" in base all'indirizzo IP (o al nome) del client (ovvero dell'utente).

Vi chiedo qual è la soluzione più semplice (e gratuita o quasi) da utilizzare (freeproxy?)

Grazie

[bgpop]

Di ufficiale c'è ISA server,
altrimenti freeproxy pare faccia al caso tuo. Ma da una veloce occhiata alla documentazione non mi pare supporti il proxy trasparente, il che vuol dire che per un utente sgamato è semplicissimo aggirare eventuale blocchi (basta che disattivi il proxy in iexplorer), a meno che ovviamente non hai configurato qualche policy di dominio che vieti la modifica di quel parametro.

[bio82]

Quote:

Originariamente inviato da antoniox

Grazie

se hai sbs hai la licenza per ISA server...ti conviene usarlo visto che l'hai pagato ed è molto potente e versatile..

Quote:

Originariamente inviato da bgpop

Di ufficiale c'è ISA server,
altrimenti freeproxy pare faccia al caso tuo. Ma da una veloce occhiata alla documentazione non mi pare supporti il proxy trasparente, il che vuol dire che per un utente sgamato è semplicissimo aggirare eventuale blocchi (basta che disattivi il proxy in iexplorer), a meno che ovviamente non hai configurato qualche policy di dominio che vieti la modifica di quel parametro.

va beh, se installi un proxy su una macchina per filtrare l'accesso ad internet, è normale che togli il routing sul server..tolto il routing esci solo col proxy..

cmq isa è transparente se configurato e puoi cmq creare regole in uscita..per la configurazione però un minimo devi saperlo usare..

bio

Quote:

Originariamente inviato da bio82

va beh, se installi un proxy su una macchina per filtrare l'accesso ad internet, è normale che togli il routing sul server..tolto il routing esci solo col proxy..

[antoniox]

Innanzitutto grazie per le risposte.

/bgpop: mi sa che NON c'è ISA server :-\ ho una SBS standard e non premium
Per quel che riguarda freeproxy, con una piccola modifica al registro, dovrei impedire a chiunque di aprire le impostazioni di explorer... (se capissi come fare la stessa cosa utilizzando una policy sarebbe molto più elegante :-) )
Ma... e se l'utente sgamato disattiva il proxy... che succede? (non potendo modificare le impostazioni di rete, essendo un semplice user)

/bio82: ok :-)

Posterò una nuyova domanda nella sezione "software" e dal titolo "chi sa usare freeproxy?" :-D

Grazie ancora

[bio82]

Quote:

Originariamente inviato da antoniox

Innanzitutto grazie per le risposte.

/bgpop: mi sa che NON c'è ISA server :-\ ho una SBS standard e non premium
Per quel che riguarda freeproxy, con una piccola modifica al registro, dovrei impedire a chiunque di aprire le impostazioni di explorer... (se capissi come fare la stessa cosa utilizzando una policy sarebbe molto più elegante :-) )
Ma... e se l'utente sgamato disattiva il proxy... che succede? (non potendo modificare le impostazioni di rete, essendo un semplice user)

/bio82: ok :-)

Posterò una nuyova domanda nella sezione "software" e dal titolo "chi sa usare freeproxy?" :-D

Grazie ancora

se togli il routing che ora hai abilitato sulle schede di rete di windows2003, o si esce da freeproxy o non si esce..

bio

[dennyv]

Quote:

Originariamente inviato da bio82

se togli il routing che ora hai abilitato sulle schede di rete di windows2003, o si esce da freeproxy o non si esce..

bio

Quoto! Togli il routing!!! Oppure fai trasparent proxy... se il router supporta iptables lo fai in un attimo... per gli altri dipende dal loro firmware e software di configurazione.

[antoniox]

Buondì!

Per ora ho implementato la soluzione meno elegante :-)
Ho configurato "a manina" gli indirizzi di rete (IP fisso) per ciascun pc, con una GPO ho imposto il server proxy ad un gruppo di utenti, ho quindi bloccato l'accesso al pannello di configurazione di explorer; tutti gli utenti sono user sulle macchine (quindi non accedono alle impostazioni di rete e -anche installando un altro browser o utilizzandone uno "portable"- non possono "uscire" su internet). Infine ho installato freeproxy, l'ho configurato imponendo un "* forbiden" per tutti gli utenti e un "*granted" per gli admin ;-) ed infine un "xzy granted" per gli user del dominio (sostituendo di volta in volta "xzy" con i siti approvati.

La soluzione più elegante prevede l'utilizzo del server DHCP per distribuire ai client dinamicamente l'indirizzo di rete e quindi il "non" gateway e il DNS corretto :-)

Grazie!

[samu76]

valuta IPCOP, se hai un vecchio pc 500Mhz, 256MB di ram HD da 10GB 2 schede di rete, usa questo sistema....

inoltre, lo puoi collegare direttamente all'active directory in modo tale che accede ad internet solo che ha un account sul server, puoi bloccare internet per utente, filtrare per contenuti

una cosa che non puoi fare, purtroppo (o meglio, non ho mai verificato se fosse possibile farlo modificando manualmente squid), è quello di filtrare il contenuto internet direttamente per nome utente, ma solo su IP macchina sorgente (questo risulta scomodo se hai gli utenti che cambiano spesso il computer)

ipcop è gratuito

[antoniox]

/Samu76: grazie :-) ho considerato sia IPCOP che ZEROSHELL. Il secondo (per un neofita doppiocliccatore come me) è abbastanza intuitivo ma per ora la soluzione freeproxy sembra funzionare.
Sto per postare un nuovo thread su come creare una VPN :-) vi aspetto...!