требуется совет по настройке доступа в инет и фильтрования
Внимание! Тема закрыта. Добавлять сообщения в закрытую тему запрещено.
Сисадмины нужен совет по выбору ПО для раздачи инета и фильтрации ( типо трафик инспектор). Есть сеть со зверями, некоторым нужно оставить только обновление антивируса, некоторым полный доступ. Самое важное: в этой сетке есть терминал банка для оплаты с карт и есть RDP сервак с подключение из внешки. Какой прогой лучше всего это осуществить, трафик инспектор 2 пускать pos-терминал не стал (ошибка подключения), скорее всего нужно делать проброс портов. Есть программы по проще, а то изучать 250 страниц инструкцию ТИ не очень хочется учитывая то что возможно терминал не будет с инспектором работать. Короче выручайте ребята советами.
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
Если вам нужен список интерент-шлюзов то можно здесь посмотреть , практически любой шлюз умеет решать ваши задачи, качайте демо, выбирайте что проще. Не зная ваш уровень подготовки вряд ли кто то сможет определить что для вас просто а что "нудно".
В реальности эти задачи решает даже любой домашний роутер и прямые руки:
- делаем сервер обновлений антивируса на любом наиболее доступном компе в ЛВС
- в тех компах что не имеют выхода в инет ставим статический IP и очищаем шлюз
- прописываем проброс порта из внешки на RDP сервера в роутере
В реальности эти задачи решает даже любой домашний роутер и прямые руки:
- делаем сервер обновлений антивируса на любом наиболее доступном компе в ЛВС
- в тех компах что не имеют выхода в инет ставим статический IP и очищаем шлюз
- прописываем проброс порта из внешки на RDP сервера в роутере
Да изначально тоже хотели средствами роутера, но начальству видней что нужна программа. И + программы что можно удаленно зайти и кого-то отключить или включить, в таком роде. Из-за этих премудростей проблемы у меня. Вот выбираю что по проще в настройке ну и описанные выше проблемы с pos-терминалом и еще есть RDP из внешки.
Из всего перепробованного самое лучшее, использовать аппаратный роутер с встроенным soho-сервером. (MIKROTIK)
В нем встроенная RoterOS. И изголяться над трафиком и портами можно как угодно.
Единственный минус (для новичков) - профессиональный интерфейс на английском языке.
(Но функционал подобен cisco оборудованию).
Можно даже сделать чтобы формировал отчеты в html формате о затратах трафика и высылал на нужные адреса (для руководства).
В нем встроенная RoterOS. И изголяться над трафиком и портами можно как угодно.
Единственный минус (для новичков) - профессиональный интерфейс на английском языке.
(Но функционал подобен cisco оборудованию).
Можно даже сделать чтобы формировал отчеты в html формате о затратах трафика и высылал на нужные адреса (для руководства).
Че ты умничаешь, человек просит помощи а ты понты колотишь, в нашей деревне нет спецов спасает только интернет и добрые люди, с трафик инспектором разбираюсь просто в инструкции ни хрена толком не описано, тупое описание кнопок, на сетевого админа извини я институт не заканчивал. Приходится изучать все самому, путней инструкции пока не нашел, вот и спрашиваю совет, а тут как обычно хамство и ничего более.
bzmax изначально так и хотели но не я решаю что нужно ставить, мне вот сказали нужен трафик инспектор, если с ним не выйдет то что-нибудь подобное.
bzmax изначально так и хотели но не я решаю что нужно ставить, мне вот сказали нужен трафик инспектор, если с ним не выйдет то что-нибудь подобное.
(10) good_deman, ну если ты видишь только хамство, то уж извини. Я наоборот помочь хотел - указать что тот же микротик настроить во много много раз сложнее чем трафик инспектор. Так то можно и cisco посоветовать, легче тебе от этого станет? Просто ты реально сам не понимаешь чего хочешь, с одной стороны тебе надо чтоб все максимально просто, я тебе написал как просто решить твои задачи. Потом ты говоришь что некое начальство тебе сказало что нужно использовать "программу", тут у меня вообще слов нет - по сути задача начальства озвучить список проблем которые нужно решить и бюджет, если они сказали что должен быть именно трафик инспектор, то к чему вообще этот пост? Создай тему "помогите настроить трафик инспектор", выложи скрины что уже настроил, какие правила создал, что не получается. Кто нибудь поможет, я сам тут когда было время, помогал человеку первый раз увидевшему керио и вообще ничего не понимающему в сетях и ничего настроили.
Приходится изучать все самому
вот удивил! В институте не обучают как трафик инспектор настроить, там обучают общим принципам работы сетей, и зная их любая программа хоть керио, хоть траффик, хоть айдеко тебе покажется легкой и прозрачной. Я сам многое изучал самостоятельно, так что не надо жаловаться - задавай правильные вопросы, получишь правильные ответы.
Начальство заставляет ставить ТИ, подскажите специалисты:
1 как можно оставить только обновление касперского не давая юзерам интернет (не делая зеркала в локалке если возможно),
2 есть РДП, кроме проброса портов в службе маршрутизации 2008 и добавления правила в сетевом экране ТИ нужно что-то еще,
3 как пустить банковский терминал (оплата картами) через ТИ что бы тот заработал, по схеме настройки RDP или я ошибаюсь?
1 как можно оставить только обновление касперского не давая юзерам интернет (не делая зеркала в локалке если возможно),
2 есть РДП, кроме проброса портов в службе маршрутизации 2008 и добавления правила в сетевом экране ТИ нужно что-то еще,
3 как пустить банковский терминал (оплата картами) через ТИ что бы тот заработал, по схеме настройки RDP или я ошибаюсь?
(14) good_deman,
1. Озвучь название антвируса(ов)
2. По хорошему нужно еще создать VPN туннель для защиты RDP открытого во внешку, это с точки зрения безопаности. Для работы достаточно указанного.
3. Ошибаешься, твой файрвол после чистой установки работает по принципу "никого не впускать, никого не выпускать", ну или по крайней мере выпускать всех но только по строго определенным портам, соответственно для банковского терминала нужно правило обратное тому что для RDP - разрешить ему доступ по любым портам во внешку
4. Скинь скриншоты что уже сам настроил
1. Озвучь название антвируса(ов)
2. По хорошему нужно еще создать VPN туннель для защиты RDP открытого во внешку, это с точки зрения безопаности. Для работы достаточно указанного.
3. Ошибаешься, твой файрвол после чистой установки работает по принципу "никого не впускать, никого не выпускать", ну или по крайней мере выпускать всех но только по строго определенным портам, соответственно для банковского терминала нужно правило обратное тому что для RDP - разрешить ему доступ по любым портам во внешку
4. Скинь скриншоты что уже сам настроил
На юзерских машинах стоит каспер, ключи уже куплены на все машины и еврейское начальство естественно хочет эти ключи израсходовать, на машине 2008 пока ни чего не ставил из защиты дабы избежать дополнительных проблем с подключением пос-терминала, RDP настроен на другом сервере и защита подключения там не моя проблема.
Моя задача ввести юзверей с правами можно в инет и нельзя (возможно с фильтрацией по сайтам), сделать чтобы обновлялся каспер со всех машин, не зависимо разрешен инет или нет (если такое не реально то буду делать зеркало в локалке), сделать подключение RDP на 2-й сервер где он настроен, ну и наконец долбаный пос-терминал подключить (просто вечно не везет с подключением торгового оборудования).
Скрин выложить не могу т.к. для работы пос-терминала пришлось пока вернуть все назад и по некоторым тех.проблемам удалить трафик инспектор. Да и как бы пока ни чего не настраивал, ибо если не подключу терминал то нужно будет искать другое решение и растолковать начальству что ТИ не подходит.
P.S. А нужна ли "служба политики сети и доступа", важно ее устанавливать или можно обойтись без неё? Т.к. эта машина просто шлюз для инета с настройками по юзерам.
Моя задача ввести юзверей с правами можно в инет и нельзя (возможно с фильтрацией по сайтам), сделать чтобы обновлялся каспер со всех машин, не зависимо разрешен инет или нет (если такое не реально то буду делать зеркало в локалке), сделать подключение RDP на 2-й сервер где он настроен, ну и наконец долбаный пос-терминал подключить (просто вечно не везет с подключением торгового оборудования).
Скрин выложить не могу т.к. для работы пос-терминала пришлось пока вернуть все назад и по некоторым тех.проблемам удалить трафик инспектор. Да и как бы пока ни чего не настраивал, ибо если не подключу терминал то нужно будет искать другое решение и растолковать начальству что ТИ не подходит.
P.S. А нужна ли "служба политики сети и доступа", важно ее устанавливать или можно обойтись без неё? Т.к. эта машина просто шлюз для инета с настройками по юзерам.
Полностью согласен с (19), если ты сам не начнешь настраивать и выкладывать скрины, то помочь - значит написать инструкцию с нуля под универсальный случай, а это уже сделали.
установка настройка NAT
Настройка правил
Создавай пользователей, определяй для них авторизацию (по статическим IP или по диапазонам, по MAC или логин/пароль).
Я не помню какие правила создает ТИ по умолчанию, нужно смотреть, а устанавливать ради это естественно не буду. Чтобы антивирь обновлялся создай для всех разрешающее исходящее правило на *kaspersky.com, хотя локальное зеркало на мой взгляд более оптимальный вариант, но это уж твое дело. Для RDP создавай входящее правило с некого порта внешнего интерфейса с маппингом на внутренний адрес RDP сервера 192.168.х.х:3389. Для терминала создавай исходящее правило разрешить все по любым портам.
установка настройка NAT
Настройка правил
Создавай пользователей, определяй для них авторизацию (по статическим IP или по диапазонам, по MAC или логин/пароль).
Я не помню какие правила создает ТИ по умолчанию, нужно смотреть, а устанавливать ради это естественно не буду. Чтобы антивирь обновлялся создай для всех разрешающее исходящее правило на *kaspersky.com, хотя локальное зеркало на мой взгляд более оптимальный вариант, но это уж твое дело. Для RDP создавай входящее правило с некого порта внешнего интерфейса с маппингом на внутренний адрес RDP сервера 192.168.х.х:3389. Для терминала создавай исходящее правило разрешить все по любым портам.
Ну что люди на этом ваша помощь закончилась?
учитывай что люди здесь помогают так сказать на чистом энтузиазме, чтобы занять время, отвлечься. Время и настроение у них сегодня может быть, а может и не быть, мы за это деньги не получаем, так что ответа бывает долго можно ждать. А после твоих фраз типа Че ты умничаешь
и я круче вареных яиц
если честно не знаю зачем вообще пытаюсь тебе помочь.
Спасибо AlexInqMetal, вот есть же адекватные люди, про скрины: ну что тут выкладывать, мне же не нужна помощь в настройке прав для пользователей и т.д., есть 2 конкретные проблемы РДП и терминал (антивирус не так важен можно и зеркалом обойтись), про РДП и в инете куча ответов, поэтому не сильно то и важно ПОКА, а вот про терминал найти толкового ответа не мог, правда все же нашел (буквально несколько часов назад) краткий ответ вроде на форуме smart-soft как написал AlexInqMetal с открытием исходящего по telnet.
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот