Blocco porta 80 o cmq non uscire su internet

[Masai]

Allora speriamo di aver beccato la sezione giusta.
Ci sono due pc in un dominio che non devono più uscire su internet,la rete è stata configurata con il dhcp(quindi niente ip fisso)in più sembra che ci sia un nome utente generale(cioè valido per ogni pc del dominio),ho necessità di bloccare due particolari pc in modo che non possano più uscire su internet senza fare troppi stravolgimenti,soprattutto senza cambiare nomi utenti.Per l'uscita su internet c'è un router zyxel adsl in più il nome utente con cui si accede ai pc è un utente generico,anche se posso accedere come amministratore in locale su questi due pc.
Pensavo di abilitare il firewall di winxp(service pack2),ma nonostante entri come amministratore,non riesco ad attivarlo,mi dà tutte le opzioni in grigio

[wgator]

Ciao,

la maggior parte dei routers "decenti" permette di bloccare le porte (in ingresso e in uscita) verso determinati indirizzi IP della LAN, quindi basterebbe bloccare tutte le porte agli indirizzi dei PC che non vuoi che vadano in Internet.

L'unica cosa ce mi lascia un po' perplesso è il fatto che le macchine della tua rete non abbiano ip fisso ma lo prendano da DHCP. Sarebbe opportuno assegnare ad ogni computer un suo indirizzo statico...

[jonnybest]

Quote:

Originariamente inviato da wgator

Ciao,

la maggior parte dei routers "decenti" permette di bloccare le porte (in ingresso e in uscita) verso determinati indirizzi IP della LAN, quindi basterebbe bloccare tutte le porte agli indirizzi dei PC che non vuoi che vadano in Internet.

L'unica cosa ce mi lascia un po' perplesso è il fatto che le macchine della tua rete non abbiano ip fisso ma lo prendano da DHCP. Sarebbe opportuno assegnare ad ogni computer un suo indirizzo statico...

quoto devi assegnarli 1 indirizzo ip fisso......

[Arcom17]

Ciao,

che server usano questi client? E il loro sistema operativo?

ciao

Marco

[Arcom17]

Se utilizzi windows server 2003, o windows 2000 server come server, puoi inserire i mac address dei due pc nelle tabelle del dhcp per i reserved lease e disabilitare quindi il default gateway per quei due pc.

[ingpeo]

La soluzione comunque più semplice e sicura è quella di disabilitare dhcp e assegnare indirizzi statici.
Questo però se la tipologia della tua rete te lo permette.

[Arcom17]

Quote:

Originariamente inviato da ingpeo

La soluzione comunque più semplice e sicura è quella di disabilitare dhcp e assegnare indirizzi statici.
Questo però se la tipologia della tua rete te lo permette.

Perchè dovrebbe essere più sicura e semplice?

[ingpeo]

Quote:

Originariamente inviato da Arcom17

Perchè dovrebbe essere più sicura e semplice?

Il dhcp è un servizio da usare con cautela, sono già capitati delle intrusioni su reti gestite con dhcp.
Per il resto, se la rete non è troppo complessa, è meglio usare un pool di indirizzi statici di facile gestione. Ovviamente IMHO

[|osvi]

Quote:

Originariamente inviato da ingpeo

Il dhcp è un servizio da usare con cautela, sono già capitati delle intrusioni su reti gestite con dhcp

e anche attacchi ddos che bombardavano router di pacchetti dhcp particolari e impallavano i router

[Arcom17]

Quote:

Originariamente inviato da ingpeo

Il dhcp è un servizio da usare con cautela, sono già capitati delle intrusioni su reti gestite con dhcp.
Per il resto, se la rete non è troppo complessa, è meglio usare un pool di indirizzi statici di facile gestione. Ovviamente IMHO

Se il dhcp si trova su una rete lan privata ed è adeguatamente protetto non dovrebbe dare problemi. Inoltre in certi casi risulta più semplice la gestione di una rete con dhcp che con indirizzi ip statici. Chiaramente dipende dalla quantità di client installati nella rete. Ma visto che lui chiedeva una soluzione avendo il dhcp abilitato, non mi pareva il caso fargli cambiare configurazione ma semplicemente risolvere la questione mantenendo l'attuale configurazione di rete.

ciao

Marco

[ingpeo]

Quote:

Originariamente inviato da Arcom17

Se il dhcp si trova su una rete lan privata ed è adeguatamente protetto non dovrebbe dare problemi. Inoltre in certi casi risulta più semplice la gestione di una rete con dhcp che con indirizzi ip statici. Chiaramente dipende dalla quantità di client installati nella rete. Ma visto che lui chiedeva una soluzione avendo il dhcp abilitato, non mi pareva il caso fargli cambiare configurazione ma semplicemente risolvere la questione mantenendo l'attuale configurazione di rete.

ciao

Marco

Ok, dipende sempre dalla rete che bisogna gestire.
Io però continuo ad essere dell'idea di lavorare un po' di tempo in più e fare tutto statico: più sbattimento all'inizio ma facilità di gestione e più sicurezza.
Se però nella rete serve avere ip dinamici allora è un'altra storia.

[Arcom17]

Quote:

Originariamente inviato da ingpeo

Ok, dipende sempre dalla rete che bisogna gestire.
Io però continuo ad essere dell'idea di lavorare un po' di tempo in più e fare tutto statico: più sbattimento all'inizio ma facilità di gestione e più sicurezza.
Se però nella rete serve avere ip dinamici allora è un'altra storia.

La facilità di gestione è relativa.. se utilizzi una rete di 5 massimo 10 pc allora è abbastanza gestibile.. ma incomincia a pensare reti con molti più client e vedi che la facilità di gestione va a farsi benedire...

p.s.

anche perchè in ogni caso puoi impostare dei lease reservati per determinati client tramite dhcp..

ciao

Marco

[ingpeo]

Quote:

Originariamente inviato da Arcom17

La facilità di gestione è relativa.. se utilizzi una rete di 5 massimo 10 pc allora è abbastanza gestibile.. ma incomincia a pensare reti con molti più client e vedi che la facilità di gestione va a farsi benedire...

p.s.

anche perchè in ogni caso puoi impostare dei lease reservati per determinati client tramite dhcp..

ciao

Marco

Insomma, la questione non è statica...
Ci sono molti modi per risolverla, dipende da chi poi dovrà gestirla, ogni soluzione ha pro e contro... bisogna trovare il giusto compromesso.

[Masai]

Ok ragazzi grazie molte per le risposte,i client sono tutti con winxp,mentre sul server c'è windows 2003 server,il problema è che il router è a parte,cioè non bisogna passare dal servere per uscire su internet.
Altrimrnti la soluzione di agire sul server mi starebbe benissimo,solo che sono abbastanza ignorante quindi mi dovreste spiegare il tutto come se fossi un bambino di 4 anni
Grazie ancora per l' aiuto

[Masai]

Quote:

Originariamente inviato da Arcom17

Se utilizzi windows server 2003, o windows 2000 server come server, puoi inserire i mac address dei due pc nelle tabelle del dhcp per i reserved lease e disabilitare quindi il default gateway per quei due pc.

Questa mi sembra la soluzione più abbordabile,solo che me la dovete spiegare meglio!

[Arcom17]

Vai sul server, e nel dhcp.

Poi c'è una cartella che si chiama "Lease riservati" (te lo traduco in italiano) o "Reservations" o cmq qualcosa di simile. Vai lì, e crei un nuovo lease riservato mettendo come nome il nome del client, come ip l'ip che vuoi e il mac address del client.

Poi se ben ricordo clicchi con il destro sul lease e dovresti poter modificare altri parametri (non ho sottomano ora un server dhcp) se ci sono problemi dimmelo.

ciao

Marco

[Masai]

Quote:

Originariamente inviato da Arcom17

Vai sul server, e nel dhcp.

Poi c'è una cartella che si chiama "Lease riservati" (te lo traduco in italiano) o "Reservations" o cmq qualcosa di simile. Vai lì, e crei un nuovo lease riservato mettendo come nome il nome del client, come ip l'ip che vuoi e il mac address del client.

Poi se ben ricordo clicchi con il destro sul lease e dovresti poter modificare altri parametri (non ho sottomano ora un server dhcp) se ci sono problemi dimmelo.

ciao

Marco

Mettiamola in questo modo,non sò neanche dove sia questa cartella,cmq ci proverò e vediamo che ne esce fuori.
Scusa ma se metto l'ip che voglio,poi non mi blocca quel particolare ip???
cos'è il mac address????

[Arcom17]

Quote:

Originariamente inviato da Masai

Mettiamola in questo modo,non sò neanche dove sia questa cartella,cmq ci proverò e vediamo che ne esce fuori.
Scusa ma se metto l'ip che voglio,poi non mi blocca quel particolare ip???
cos'è il mac address????

Dove lavori te non c'è un sistemista?

[Masai]

No nessun sistemista

[|osvi]

ma se in proprietà tcp/ip della connessione lan metti ip dinamico e dns fissi (con valori falsi come 1.2.3.4) ?