Добрый день.
Пробую Трафик Инспектор с целью возможной покупки и не могу понять логики работы по разграничению доступа к серверу.
Мне нужно применить политику "все что явно не разрешено - запрещено" для локалки.
Включил внутренний сетевой экран.
Пробую пинговать - все закрыто , пинги не проходят , вроде все работает.
Но достаточно мне в ТИ добавить пользователя из AD , как у него тут же начинает работать доступ в Интернет через прокси сервер.
Но пинги с него не работают.
Добавляю разрешающее правило на PING в "Правила пользователей" для этого пользователя. Шлюз начинает пинговаться.
Убираю правило - пинги прекращаются.
Но почему работает доступ через прокси? По идее у меня же включен внутренний сетевой экран который должен блокировать вообще все.
ОК , добавляю запрещающее правило на любой трафик со стороны локалки на шлюз, что по идее должно заблокировать доступ к порту прокси - сервера со стороны клиента.
Итог - доступ через прокси все равно работает.
Например , в Керио firewall всегда есть правило по умолчанию "блокировать весь прочий трафик", т.е. все что я явно не разрешил - блокируется. Оно всегда расположено самым последним в списке правил.
А в ТИ вроде и внутренний сетевой экран включен и даже руками правило добавил, которое блокирует любой трафик на сервер - а все равно такое ощущение что для прокси сервера это не работает и клиент с авторизацией по AD тут же получает доступ в обход всех этих экранов и блокировок трафика.
Что мне сделать чтобы работало так:
по умолчанию со стороны локалки все закрыто
если мне нужно открыть доступ к прокси серверу я добавляю разрешающее правило на доступ к шлюзу на порт 8080 для пользователя из AD
пользователь на своем компе прозрачно авторизуясь через AD получает доступ в Интернет через прокси но при этом не имеет более никакого доступа по другим портам и службам
Спасибо.
Пробую Трафик Инспектор с целью возможной покупки и не могу понять логики работы по разграничению доступа к серверу.
Мне нужно применить политику "все что явно не разрешено - запрещено" для локалки.
Включил внутренний сетевой экран.
Пробую пинговать - все закрыто , пинги не проходят , вроде все работает.
Но достаточно мне в ТИ добавить пользователя из AD , как у него тут же начинает работать доступ в Интернет через прокси сервер.
Но пинги с него не работают.
Добавляю разрешающее правило на PING в "Правила пользователей" для этого пользователя. Шлюз начинает пинговаться.
Убираю правило - пинги прекращаются.
Но почему работает доступ через прокси? По идее у меня же включен внутренний сетевой экран который должен блокировать вообще все.
ОК , добавляю запрещающее правило на любой трафик со стороны локалки на шлюз, что по идее должно заблокировать доступ к порту прокси - сервера со стороны клиента.
Итог - доступ через прокси все равно работает.
Например , в Керио firewall всегда есть правило по умолчанию "блокировать весь прочий трафик", т.е. все что я явно не разрешил - блокируется. Оно всегда расположено самым последним в списке правил.
А в ТИ вроде и внутренний сетевой экран включен и даже руками правило добавил, которое блокирует любой трафик на сервер - а все равно такое ощущение что для прокси сервера это не работает и клиент с авторизацией по AD тут же получает доступ в обход всех этих экранов и блокировок трафика.
Что мне сделать чтобы работало так:
по умолчанию со стороны локалки все закрыто
если мне нужно открыть доступ к прокси серверу я добавляю разрешающее правило на доступ к шлюзу на порт 8080 для пользователя из AD
пользователь на своем компе прозрачно авторизуясь через AD получает доступ в Интернет через прокси но при этом не имеет более никакого доступа по другим портам и службам
Спасибо.