Раздача инета в локалке..

[Mayzer]

Есть локальная сеть из 10 компутеров, они все подключены к серверу, который раздает всем интернет. На серваке стоит виндовс 2000. Как можно средствами самого виндовса 2000 запретить доступ к инету всем кроме нескольких компов?

[maxx™]

Попробуй поставь firewall. Например этот: http://wipfw.sourceforge.net/index.html простой, бесплатный. И запрещай что хочешь и как хочешь.

[fin]

А прокси-сервер, не?

[boo]

WinProxy
Но ведь это не сам 2000

[Mayzer]

Попробуй поставь firewall. Например этот: http://wipfw.sourceforge.net/index.html простой, бесплатный. И запрещай что хочешь и как хочешь.

Спасибо! то что надо, все работает 8)

[Mayzer]

хм.. вот только почему этот фаервол не пускает на мэил ру? все остальное оке работает...

[maxx™]

хм.. вот только почему этот фаервол не пускает на мэил ру? все остальное оке работает...

1. Ты на маилру по вебу ходишь?
2. Покажи правила

[Lord of rings]

WinProxy

А мне сквид больше нравится

[mancurt]

Как можно средствами самого виндовса 2000 запретить доступ к инету всем кроме нескольких компов?

использование стороннего файрволла - это уже отхождение от решения поставленой задачи.

[Mayzer]

хм.. вот только почему этот фаервол не пускает на мэил ру? все остальное оке работает...

1. Ты на маилру по вебу ходишь?
2. Покажи правила

По вебу. Через клиент, зе бат, тоже не пускает..
вот правила:

Код:

cmd="./ipfw add" 

# First flush the firewall rules
./ipfw -q -f flush

#Localhost rules
$cmd 100 pass all from any to any via lo*

# Prevent any traffic to 127.0.0.1, common in localhost spoofing
$cmd 110 deny log all from any to 127.0.0.0/8 in
$cmd 120 deny log all from 127.0.0.0/8 to any in

$cmd check-state
$cmd pass all from me to any out keep-state
$cmd count log ip from any to any
#
$cmd allow all from any to 10.10.0.49
$cmd allow all from 10.10.0.49 to any
#
$cmd allow all from 10.10.0.3 to any
$cmd allow all from 10.10.0.15 to any
$cmd allow all from any to 10.10.0.3
$cmd allow all from any to 10.10.0.15
#
$cmd allow all from me to 10.128.4.1
$cmd allow all from 10.128.4.1 to me
$cmd allow all from 10.10.0.43 to any
$cmd allow all from any to 10.10.0.43
$cmd allow all from 10.10.0.57 to any
$cmd allow all from any to 10.10.0.57
#
$cmd allow all from me to 10.129.1.4
$cmd allow all from 10.129.1.4 to me
#$cmd allow all from 10.10.0.1 to 10.128.4.1
#$cmd allow all from 10.128.4.1 to 10.10.0.1

Причем с сервера все заходит....

[maxx™]

С командной строки добавь правило:
ipfw add allow all from any to any и проверь работает или нет. Результаты сюда.

[Mayzer]

С командной строки добавь правило:
ipfw add allow all from any to any и проверь работает или нет. Результаты сюда.

проверю после выходных...
но, имхо, такая строчка пропустит все остальные нежелательные ИП в инет..
и я запускаю фаервол файлом install_deny.exe, который в конце прописывает
чтото типа ipfw deny all from any to any
а правила, что в файлике rc просто указывают кому можно...

[Mayzer]

С командной строки добавь правило:
ipfw add allow all from any to any и проверь работает или нет. Результаты сюда.

проверю после выходных...
но, имхо, такая строчка пропустит все остальные нежелательные ИП в инет..
и я запускаю фаервол файлом install_deny.exe, который в конце прописывает
чтото типа ipfw deny all from any to any
а правила, что в файлике rc просто указывают кому можно давать инет...

[maxx™]

С командной строки добавь правило:
ipfw add allow all from any to any и проверь работает или нет. Результаты сюда.

проверю после выходных...
но, имхо, такая строчка пропустит все остальные нежелательные ИП в инет..
и я запускаю фаервол файлом install_deny.exe, который в конце прописывает
чтото типа ipfw deny all from any to any
а правила, что в файлике rc просто указывают кому можно...

Не имхо, а действтельно пропустит. Но ты для проверки добавь это правило и проверь. Проверишь, уберешь строчку. Кстати, что ты будешь делать если юзера будут себе IP менять?

[Mayzer]

С командной строки добавь правило:
ipfw add allow all from any to any и проверь работает или нет. Результаты сюда.

проверю после выходных...
но, имхо, такая строчка пропустит все остальные нежелательные ИП в инет..
и я запускаю фаервол файлом install_deny.exe, который в конце прописывает
чтото типа ipfw deny all from any to any
а правила, что в файлике rc просто указывают кому можно...

Не имхо, а действтельно пропустит. Но ты для проверки добавь это правило и проверь. Проверишь, уберешь строчку. Кстати, что ты будешь делать если юзера будут себе IP менять?

по умолчанию никого не пускает, для того и запускается фаил инсталл_денай, а в правилах уже прописываю уже тех кому можно... так что пускай до посинения меняют..

[maxx™]

Моему соседу можно, мне нельзя. Сосед ушел, я беру себе его IP. Я это имею ввиду.

[Mayzer]

Моему соседу можно, мне нельзя. Сосед ушел, я беру себе его IP. Я это имею ввиду.

во-первых, там не настолько продвинутый народ, чтобы менять ип адреса,
во-вторых, это сразу будет заметно, стоит дополнительно оутпост(в режиме бездействия 8) ), там видно кто куда ходит... да и на компах, чьи ип допущены в инет(выключаются редко), вылазит предупреждения типа чтото ктото меняет ип..
ну дело не в этом... :roll:

[Lord of rings]

на худой конец, привяжи IP к МАС-адресам, но это для "честных людей"

[Mayzer]

С командной строки добавь правило:
ipfw add allow all from any to any и проверь работает или нет. Результаты сюда.

с такой строчкой на мэил.ру все заходит...
и пускает всех кого не нада...
шо ж делать :roll:

[maxx™]

Отключаешь всех нафиг.
Убераешь все строчки в которых есть log. Потом перед той строчкой которая всех пускает добавляешь $cmd count log ip from any to any. Пытаешься зайти на маил ру. Когда зайдешь, идешь в логи и смотришь какие пакеты и куда бегают. Потом это открываешь.
P.S. Хоть этот ipfw в синтаксисе полностью повторяет FreeBSD ipfw, но я не знаю сколько раз и как в винде пакеты через него проходят.