Цитата |
---|
немного параноидальные мысли(imho), - "все имеют общий(!) холодильник, видят, трогают, - а ключики от дверочки то у меня". всё что вы запрещаете во внешнем фв , - запрещаете в первую очередь для самого сервера с ти - есть в этом смысл? он у вас шлюз для пользователей или рабочая машина? запрещать нужно правилами на пользователя\на группу - неавторизованным(т.е. НЕпользователям) и так все наружу запрещено(если нет исключений в виде правил для непользователей - которые срабатывают НЕ на внешнем фв(или интерфейсе), а на внутреннем)
[off]своими глобальными запретами рискуете поиметь некоторые грабли с разбором полетов и поиском причин. чем система проще(настроена), тем стабильнее она(любая) работает. imho. а почему решили сменить программу: политика партии или надоели разборы полётов(просто интересно)?[/off] |
Давайте тогда предложите решение проблемы с Вашей стороны.
Имеется сервер на Win 2012. Шлюз.
Пользователям которые не авторизованы в ТИ доступ запрещен по умолчанию.
Пользователям которые авторизованы (авторизация идет по MAC и в редких случаях по IP) в ТИ требуется разрешать доступ только к тем портам к которым им требуется доступ.
Например, группе пользователей нужно запретить доступ на все порты (наружу), кроме 53, 80, 443 Http и Https для интернета (с контролем фильтрации по категориям), а так же некоторым пользователям в данной группе требуется разрешить использование ПО с требуемыми портами 2226 и 2230.
Если внутренний межсетевой экран выключен (выключен он по умолчанию) во внешнем сетевом экране не создано никаких правил (по умолчанию), то исходя из документации ТИ любой запрос на любой порт из LAN в WAN разрешен и так же разрешен ответ на этот запрос из WAN в LAN.
Поэтому не запрещая все любой пользователь может воспользоваться ПО с запросом на 2223 и 2230 порты и все у него заработает, контроль будет только Http и Https трафика фильтром по категориям.
Просьба предложить решение для, например, User1 и User2 (все пользователи авторизованы в ТИ)
User1 доступ в интернет запрещен и разрешена только почта. (тут опять же по документации скорее решение будет без задействования внешнего сетевого экрана)
User2 доступ в интернет разрешен (сайты), но запрещены любые порты не используемые http и https запросами + dns.