2017. március 28., kedd

Gyorskeresés

NAT "megakadályozása" a nem engedélyezett IP-k számára (Windows 2012R2)

Írta: | Kulcsszavak: windows . windows server . nat

[ ÚJ BEJEGYZÉS ]

A helyzet a következő: van 3 szerverem, mely közül az első (az ábrán a nullás) két NIC-cel rendelkezik, és ami végzi a NAT-ot. Egy másik szerver Proxy-szerverként üzemel, a felhasználók ezen keresztül érik el az Internetet (a harmadik szerver szerepköre mindegy).

Az szeretném elérni, hogy a NAT-szerver segítségével az Internetet közvetlenül (tehát nem proxy-n) csak pár gép tudja elérni, a többi gépnek muszáj legyen a Proxy-t használnia. Ugyanis jelenleg ha valaki beírja a NAT-szerver IP-címét alapért. átjáróként, akkor ki tudja kerülni a proxyt. Hogyan tudnám megoldani ezt a problémát?

Hozzászólások

(#1) Robert07


Robert07
(fanatikus tag)
LOGOUT blog

Talan egy whitelist a NAT szerverbe, amibe beleirnad a proxy IP-jet meg meg azoket a gepeket, amiket at akarsz engedni. Azt nem tudom, hogy ezt hogy lehetne megvalositani Server 2012R2 alatt, de valahogy biztos lehetseges.

(#2) anjani182


anjani182
(őstag)

Kollegám Linuxon transzparens proxy használatával oldja meg ezeket a cégeknél, én túl sokat nem tudok róla, csak ha igény van szólunk neki, annyit tudok hogy rákényszeríti a böngésző beállításoktól függetlenül a proxy használatára a hálózaton lévő gépeket, így tehát nem kijátszható!

Kis olvasnivaló:

[link]

Most én azt nem értem, hogy mi a francért nem -feltehetően- a Linuxos proxy szerver van a SW után? Én azt raknám a 2 NIC-el a net után közvetlen...ahol mi hálózatot építünk és Linuxos proxyt rakunk, ott az az 1., minden más csak utána!!!

Ha ez nem akkor vannak jó hardveres tűzfalak...

[ Szerkesztve ]

Forever and ever, let's make this last forever.

(#3) mbalint987 válasza Robert07 (#1) üzenetére


mbalint987
(tag)
LOGOUT blog

Erre gondoltam én is, de sehol nem találok rá opciót. :(

(#2) anjani182: Nálam a proxy AD segítségével hitelesít is (Squid-et használok), itt nem tudom mennyire játszik a transzparens proxy.

"Most én azt nem értem, hogy mi a francért nem -feltehetően- a Linuxos proxy szerver van a SW után?"
Azért mert így egyszerűbb volt megoldani. :D Egyébként ez az egész virtuális környezetben van (ESXi alatt), nem kerülne sok időbe átvariálni a virtuális gépeket.

Szerk.: Ezt találtam: Linux: Setup a transparent proxy with Squid in three easy steps

[ Szerkesztve ]

"Az igazság kibírja a kételyt – sőt fölfedezése igényli is. Vakhit csak olyasmihez kell – de ahhoz nagyon-, ami nem igaz." /Müller Péter/

(#4) mbalint987 válasza mbalint987 (#3) üzenetére


mbalint987
(tag)
LOGOUT blog

Lejárt a szerk. idő!

"Transparent means the browser is redirected to the proxy without knowing it. This implies the browser hasn't got configured any proxy, thus hasn't got configured any proxy authentication." (Forrás: ServerFault)

Sajnos a transzparent proxy nem megoldás! :(

[ Szerkesztve ]

"Az igazság kibírja a kételyt – sőt fölfedezése igényli is. Vakhit csak olyasmihez kell – de ahhoz nagyon-, ami nem igaz." /Müller Péter/

(#5) mbalint987


mbalint987
(tag)
LOGOUT blog

Sikerült megoldani a problémát, NAT szervernek a Linux-os (Proxy szerver) szervert állítottam, ott pedig az iptables segítségével finomhangolni tudtam, hogy kik tudjanak hozzáférni közvetlenül az Internethez.

"Az igazság kibírja a kételyt – sőt fölfedezése igényli is. Vakhit csak olyasmihez kell – de ahhoz nagyon-, ami nem igaz." /Müller Péter/

További hozzászólások megtekintése...
Copyright © 2000-2017 PROHARDVER Informatikai Kft.