2003 server e freeproxy

[epigrottero]

Salve a tutti, ho un piccolo problemino. Sto configurando un 2003 server standard R2 con 2 sk di rete la prima (192.168.1.2) è connessa al router (192.168.1.1) la seconda (192.168.0.1) è collegata allo switch e gestisce la rete interna (192.168.0.xx). Per far navigare gli utenti lan ho attivato la condivisione connessione internet e funge. Ora il problema è che il cliente vuole bloccare la connessione ad alcuni client e monitorare il traffico di altri inibendo alcune connessioni. H messo su un proxy sul server e il tutto va. Il problema è che i client devono impostare sul browser il proxy server e la porta 8080 ma se decidono di non usare un proxy e di lavorare con la 80 viaggiano tranquilli senza limiti. Ho provato ad inibire il traffico in entrata da 192.168.0.0 sulla porta 80 x obbligare i client alla 8080 con il seguente comando
ipseccmd -f 192.168.0.0/255.255.255.0=0:80:TCP BLOCK

(per ora in modo dinamico) e il server dice ok. I client però navigano uguale. Funge solo se scrivo:

ipseccmd -f 0=*:80:TCP -n BLOCK.Ma così non naviga + nessuno.
C'è qualcuno che può aiutarmi?
Ho visto che antoniox ha gia risolto il problema, ma non ho capito come.
Dove sbaglio? 1/2 litro di super? GRAZIE anche solo per avere letto delle mie angoscie.

[antoniox]

Ciao!
Non ho assolutamente familiarità con il comando ipseccmd mi dispiace.

Il mio approccio è stato molto più elementare (quindi compatibile con le mie incapacità).

Ho utilizzato una sola scheda di rete; ho utilizzato il server DHCP per distribuire ai client sia gli indirizzi IP che -cosa più importante- il gateway (inutile ai fini della navigazione) e l'indirizzo del proxy.

Quest'ultimo coincide con l'indirizzo del server sul quale gira freeproxy.

Gli user del dominio sono user delle macchine locali quindi non possono modificare la configurazione di rete. Non ho attivato la condivisione di internet.

[Perdona\perdonate le bestialità che ho eventualmente scritto]

[epigrottero]

Come hai fatto a:
"ho quindi bloccato l'accesso al pannello di configurazione di explorer"
Gia questo sarebbe qualcosa... anche senza ipseccmd (che continua a non funzionare), a questo punto credo che sia proprio per il routing abilitato.
Ho anche letto che si può disabilitare, ma in questo caso, come si condivide la connessione?

[epigrottero]

Ho provato, su 2003 si usa ipseccmd e anche se imposto una regola x 1 ip specifico la ignora. Comincio a pensare che avendo attivato il servizio routing per condividere la connessione internet il sistema abbia impostato degli script che non fanno funzionare + le regole tipo:
ipseccmd -f 192.168.0.0/255.255.255.0=0:80:TCP -n BLOCK
l'unica regola che recepisce è:
ipseccmd -f 0=*:80:TCP -n BLOCK
ma così non naviga + nessuno e non c'è ipseccmd che può riabilitare iil traffico. Boh!
Ma c'è un modo per abilitare il traffico ointernet sulla sottorete 192.168.0.xxx senza abilitare il routing?

[antoniox]

Quote:

Originariamente inviato da epigrottero

Come hai fatto a:
"ho quindi bloccato l'accesso al pannello di configurazione di explorer"
Gia questo sarebbe qualcosa...

Questo l'ho fatto utilizzando una GPO.
START -> Tutti i programmi -> Strumenti di Amministrazione -> Group >Policy Management.
All'interno dello snap-in ho creato una policy relativamente agli users del dominio (o, meglio, degli users dell'unità organizzativa standard denominata "SBS").

In questa GPO puoi -ad esempio- utilizzare la proprietà: configurazione computer-> Modelli amministrativi -> componenti di windoes -> internet explorer -> pannello di controllo internet e disattivare la scheda "connessioni".

Dove sorge il problema di questo approccio? Se un utente installa un altro browser (anche "portable") naviga tranquillamente inserendo come gateway l'indirizzo del router! :-)

Allora la cosa + semplice, dal mio umile e poco raffinato punto di vista, è che gli utenti del dominio siano tutti USER delle singole macchine e come tali non possano modificare le impostazioni di rete!

Poi, attraverso freeproxy, che supporta i gruppi del dominio, puoi decidere che gli "amministratori del dominio" navighino liberamente mentre che agli "user del dominio" sia concesso il solo accesso ad una serie di siti.

Ripeto, il tutto in maniera poco raffinata ma efficace.

Ciao!

[bgpop]

In ogni caso se usi freeproxy non ti serve la condivisione connessione internet, disattivala in modo che l'unico modo di uscire in internet sia tramite proxy...

[epigrottero]

Ho provato ad eliminare la condivisione internet, ma non riesco a usare il proxy x navigare dai client. Levando la condivisione resta a navigare la scheda collegata al router nel mio caso 192.168.1.2. Tutti i client collegati a 192.168.0.1 (l'altra scheda) non navigano +. Come faccio ad impostare la navigazione tramite proxy?

[epigrottero]

Grazie a tutti quelli che mi hanno aiutato! Ora funziona, ho seguito il consiglio di antoniox e ho aliminato la seconda skd di rete. Utenti dichiarati sui client con permessi ridotti e uscita solo dal proxy.
E' rimasto solo 1 problema dovuto alla mia scarsa conoscenza di freeproxy. Non riconosce gli utenti! Non li importa da windows e quindi non risco ad inserire criteri se non sugli ip. Dove sbaglio?

[antoniox]

Quote:

Originariamente inviato da epigrottero

ho seguito il consiglio di antoniox?

speriamo bene!!!

Quote:

Originariamente inviato da epigrottero

Non riconosce gli utenti!

Nella guida di freeproxy c'è la procedura per importare i gruppi dal dominio.
Il paragrafo si intitola "Import Windows Groups"

Cliccando sul pulsante "USER" , in basso leggi "import Windows groups".

Altrimenti, credo che tu possa inserire gli utenti uno per uno assegnando una password.

Ciao!