Изоляция терминального сервера

superpalych · Jun 12, 2007

Имеется сеть. В сети:
40 рабочих станций: WinXP SP2, KAVclient, StatWinclient, DeviceLockclient (находятся под полным контролем).
2 ноутбука: WinXP SP2 и Vista (контроль не возможен).
1 шлюз: WinXP SP2, KWF, KMS.
1 главный сервер: Win2k3 SP2, AD, GP, DNS, KAVserver, StatWinserver, DeviceLockserver.
1 терминальный сервер: Win2k3 SP2, 1С, Office2k3.
1 управляемый коммутатор 2-го уровня D-Link 3550.
Необходимо
1. Все пользователи имели выход в интернет.
2. Ничего нельзя было вынести из терминального сервера за пределы офиса.
Путь решения, который Я вижу:
1. Создать два VLAN'a, добавив в один из них два ноутбука и шлюз, а в другой все рабочии станции, оба сервера и шлюз.
2. Запретить выход в Интернет с терминального сервера.
3. Запретить расшаривание ресурсов на рабочих станциях.
4. Запретить терминальным пользователям доступ к общим сетевым папкам.
Вопрос:
Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?

axlwor · Jun 13, 2007

1. Запрети http/mail/etc или вообще инет с терминального сервера по ip. (под рукой нет керио.... - не подскажу)
2. Дурацкий способ - отключи основной шлюз на терминальном серваке

okun · Jun 13, 2007

+1 за конфигурацию

Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?

Как быть с клиентскими принтерами?

superpalych · Jun 13, 2007

axlwor said:
1. Запрети http/mail/etc или вообще инет с терминального сервера по ip. (под рукой нет керио.... - не подскажу)
2. Дурацкий способ - отключи основной шлюз на терминальном серваке

Это то понятно. Для чего, по твоему, стоит KWF?

okun said:
+1 за конфигурацию Как быть с клиентскими принтерами?

В этом главная проблема: нужно пустить к принтерам, но не пускать к общим папкам, которые они могут создать на ноутбуках.

okun · Jun 13, 2007

Можно запретить создание общих папок всем, в том числе и локальным админам, оставив это право админу домена. Единственное, тогда становится невозможным создание новых принтеров (хотя возможно, это у меня так).

Уже созданные папки ограничить в правах либо удалить, оставив их на файловом сервере.

Если контроль ноутбуков невозможен, тогда VLAN наверное будет верным решением.

Ещё вариант поставить на терминальном сервере пакетный файрвол, либо настроить встроенный.

superpalych · Jun 13, 2007

okun said:
Можно запретить создание общих папок всем, в том числе и локальным админам, оставив это право админу домена. Единственное, тогда становится невозможным создание новых принтеров (хотя возможно, это у меня так).

Не являюсь я админом ноутбуков.

okun said:
Уже созданные папки ограничить в правах либо удалить, оставив их на файловом сервере.

Сделано уже давно.

okun said:
Если контроль ноутбуков невозможен, тогда VLAN наверное будет верным решением.

Я его рассматриваю, как резервный

okun said:
Ещё вариант поставить на терминальном сервере пакетный файрвол, либо настроить встроенный.

Какой посоветуешь? Чтобы попроще и побыстрее.

okun · Jun 13, 2007

Какой посоветуешь? Чтобы попроще и побыстрее

Как правило, советую VisNetic Firewall

Немного о нем на русском

SoftIce · Jul 12, 2007

А нельзя просто на терминальном сервере убрать шлюз по умолчанию или прописать на любой другой компьютер, но не шлюз.
Тогда выхода в инет с него не будет.

Krankensteins · Sep 29, 2015

PROXY server

Изоляция терминального сервера

superpalych

Member

axlwor

Member

okun

superpalych

Member

okun

superpalych

Member

okun

SoftIce

Member

Krankensteins

New member