Страница 1 из 1
фильтрация
Добавлено:
04 сен 2003, 17:51 stas
есть некая сеть
часть хостов этой сети должна ходить через прокси1
а другая часть через прокси2
причем не допускается чужому хосту пользоваться чужим прокси
пишу фильтры о разрешении протоколов tcp и udp для каждого адреса в этой сети на тот или иной прокси
но ввиду того что адресов очень-очень много а связи между никакой (то есть к примеру хх.хх.хх.2, хх.хх.хх.4 и хх.хх.хх.8 - должен ходить через прокси1, а хх.хх.хх.3, хх.хх.хх.5 , 6 и 7 через прокси 2 и т.п) то прописывать фильтры ручками на каждый адрес очень тяжко
Теперь вопрос: можно ли это как это упростить?
Например в линуксе есть возможность объеденять хосты в группы и потом оперировать именами групп а не с отдельными адресами
Добавлено:
05 сен 2003, 09:54 Yuriy Levin
А что, нужно отсечь именно фильтрами? Может проще прописать на прокси, каким хостам можно с ними работать?
Добавлено:
05 сен 2003, 10:34 stas
я бы с удовольствием и на одном из прокси так и сделанно
но второй прокси не мой и изменения там вносить я не могу
Добавлено:
05 сен 2003, 12:14 al
А может заобно еще как сделать, чтоб весь поток перенаправить на проксик, дабы не прописывая использование его определенная группа все равно работала через него ?
Если машины 2000 то тупо городим групповые политики
Добавлено:
05 сен 2003, 12:53 Кашуро Константин
А вот если не все то тогда ЗЕН поможет настроить политики для Интернет эксплорера на каждом рабочем месте.
Добавлено:
05 сен 2003, 15:36 stas
во первых никакой ZEN не сможет запретить юзеру ходит через любой прокси (если конечно юзер это умеет делать, а у нас студенты умеют многое)
а во вторых не всюду стоит netware по сему и zen отсутсвует ...
ВСЕ ТАКИ можно как-то группировать или совсем-совсем никак?
Еще раз объясните задачу
Добавлено:
06 сен 2003, 09:30 Кашуро Константин
Что требуется - ограничить пользователей
Или ограничить машины?
Если машины то дело труба - ВМ , вернее пакетные фильтры не умеют работать с группами хостов
Добавлено:
06 сен 2003, 09:34 stas
машины.....
это мне каждый хост ручками пробивать - а их не просто много - их ОЧЕНЬ много .... вот действительно труба
спасибо за ответы
Попробуйте так
Добавлено:
06 сен 2003, 10:39 skoltogyan
Установить у себя Linux
Поднять на нем pptpd с использованием pppd или radius. На клиентах установить MS VPN.
Настроить на LINUX в pap-secrets(или chap-secrets) или в radiuse, что-бы конкретный ЮЗЕР получал конкретный IP , при подъеме VPN между станцией и LINUX.
Это позволит Вам раздать нужные IP, нужным людям, группируя по подсети. Далее на этом Линуксе настроить маршрутизацию на базе IP, что-бы заворачивал на нужные прокси с нужных адресов.
Сделав так, вы
1. не будите зависеть от IP адресов, что у Вас в сети есть на сейчас
2. Используя статистику pptpd на Линукс будите ЧЕТКО ЗНАТЬ ОБЬЕМ ВСЕГО траффика, относящегося к интернет для ПОЛЬЗОВАТЕЛЯ...
3. Пользователь сможет гулять от машины к машине, а его права (к каой проксе лезть) будут двигаться вместе с ним.