Автор Тема: Разный интернет для разных пользователей  (Прочитано 7220 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн 6wings

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 1
  • Пол: Мужской
  • Шестикрыл
    • Andy.Rodionov
    • Просмотр профиля
  • Откуда: Москва (Южное Бутово)
Разный интернет для разных пользователей
« Ответ #15 : 07 октября 2015, 13:07:59 »
не вижу никаких проблем с безопасностью при автоматическом запуске команды route с правами Администратора. Пользователь-неадминистратор всё равно к ней прямого доступа не имеет.
Авторский сайт http://rodionov.info

Оффлайн asrael

  • Начинающий
  • *
  • Сообщений: 10
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Архангельск
Разный интернет для разных пользователей
« Ответ #16 : 07 октября 2015, 13:57:34 »
А кстати, для чего это так задумано, разные интернеты для разных пользователей?
у нас образовательная организация, поэтому прокуратура денно и нощно бдит, чтоб детишки в школьных интернетах кой-чего не нашли. приходится трафик фильтровать. а фильтр режет всё, что захочет. для остальных пользователей это крайне неудобно. вот и появилась мысль - заходишь под паролем - весь интернет твой, заходишь под гостем - фильтруем. и хочется, чтоб работало централизованно и в не зависимости от машины. кучу всего уже перечитал - ничего дельного не нашел. даже не могу понять, в какую сторону хоть копать.  :dash:




Updated: 07 October 2015, 13:59:31

не вижу никаких проблем с безопасностью при автоматическом запуске команды route с правами Администратора. Пользователь-неадминистратор всё равно к ней прямого доступа не имеет.
думаю, что этот вариант имеет место быть, но если компьютеров немного

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Разный интернет для разных пользователей
« Ответ #17 : 07 октября 2015, 14:03:46 »
у нас образовательная организация, поэтому прокуратура денно и нощно бдит, чтоб детишки в школьных интернетах кой-чего не нашли. приходится трафик фильтровать. а фильтр режет всё, что захочет. для остальных пользователей это крайне неудобно. вот и появилась мысль - заходишь под паролем - весь интернет твой, заходишь под гостем - фильтруем. и хочется, чтоб работало централизованно и в не зависимости от машины. кучу всего уже перечитал - ничего дельного не нашел. даже не могу понять, в какую сторону хоть копать. 
Не понял тогда, а зачем для этого разные интернеты?  ??? Что у вас на шлюзе? Для гостей тех же, чем фильтруете?

Оффлайн risc

  • Модератор
  • Старожил
  • *****
  • Сообщений: 848
  • Рейтинг: 7
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: раша
Разный интернет для разных пользователей
« Ответ #18 : 07 октября 2015, 14:08:02 »
в роли прокси кто? на tmg можно сделать группы и фильтровать по группам, естественно интегрировал tmg с ад. второй вариант, пользователей раскинуть по разным оу, на оу накатить политики в которых прописать нужный прокси для данной группы. но для фильтрации трафика ставить два прокси, "неправильно", имхо
Кто понял жизнь, тот не торопится...

Оффлайн 6wings

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 1
  • Пол: Мужской
  • Шестикрыл
    • Andy.Rodionov
    • Просмотр профиля
  • Откуда: Москва (Южное Бутово)
Разный интернет для разных пользователей
« Ответ #19 : 07 октября 2015, 14:27:36 »
думаю, что этот вариант имеет место быть, но если компьютеров немного
а какие еще варианты автоматического назначения/переключения гейтов существуют? Если вы хотите работать с разными шлюзами, то извольте менять гейтвей в сетевых настройках данного компьютера. Проще, чем одной единственной командой - не получится.
Если же вы рассчитываете, что сможете менять роутинг чем-то извне данного компьютера, то очень сильно сомневаюсь, что найдётся средство для ВНЕШНЕГО анализа того, кто залогинен на каждом конкретном компе для изменения направления трафика.
Авторский сайт http://rodionov.info

Оффлайн asrael

  • Начинающий
  • *
  • Сообщений: 10
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Архангельск
Разный интернет для разных пользователей
« Ответ #20 : 08 октября 2015, 10:37:25 »
Не понял тогда, а зачем для этого разные интернеты?   Что у вас на шлюзе? Для гостей тех же, чем фильтруете?
в роли фильтра стоит на отдельной машине с двумя сетевыми картами ИнтернетЦензор, программа так себе, но рекомендована высшими начальниками, поэтому никуда не деться. Интернет-то по факту один, только для гостей (читай, для учеников) он должен фильтроваться.
в роли прокси кто? на tmg можно сделать группы и фильтровать по группам, естественно интегрировал tmg с ад. второй вариант, пользователей раскинуть по разным оу, на оу накатить политики в которых прописать нужный прокси для данной группы. но для фильтрации трафика ставить два прокси, "неправильно", имхо
я себе тоже это через политики представлял. два прокси и не нужно. нужно только разные адреса шлюзов. для учителей и администрации нужен нормальный интернет.

Если же вы рассчитываете, что сможете менять роутинг чем-то извне данного компьютера, то очень сильно сомневаюсь, что найдётся средство для ВНЕШНЕГО анализа того, кто залогинен на каждом конкретном компе для изменения направления трафика.
ну блин, хрен знает. я помню, был я в какой-то организации, где что-то подобное организовали. зашел под простым пользователем - доступ только к внутренней сети, к почте на яндексе и поисковику. зашел под админом - полный доступ. к сожалению, тогда меня этот вопрос не интересовал и как это у них сделано было я не спрашивал. но, думаю, что через прокси.

Оффлайн 6wings

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 1
  • Пол: Мужской
  • Шестикрыл
    • Andy.Rodionov
    • Просмотр профиля
  • Откуда: Москва (Южное Бутово)
Разный интернет для разных пользователей
« Ответ #21 : 08 октября 2015, 10:53:55 »
был я в какой-то организации, где что-то подобное организовали. зашел под простым пользователем - доступ только к внутренней сети, к почте на яндексе и поисковику. зашел под админом - полный доступ
Почему Вы решили, что это рулится ИЗВНЕ, а не на каждом компьютере по отдельности?
К тому же, на отдельных компьютерах такой доступ можно организовать не только с разными гейтами, но и при помощи Родительского Контроля, который, собственно, под это и заточен.
Авторский сайт http://rodionov.info

Оффлайн asrael

  • Начинающий
  • *
  • Сообщений: 10
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Архангельск
Разный интернет для разных пользователей
« Ответ #22 : 08 октября 2015, 11:08:04 »
был я в какой-то организации, где что-то подобное организовали. зашел под простым пользователем - доступ только к внутренней сети, к почте на яндексе и поисковику. зашел под админом - полный доступ
Почему Вы решили, что это рулится ИЗВНЕ, а не на каждом компьютере по отдельности?
К тому же, на отдельных компьютерах такой доступ можно организовать не только с разными гейтами, но и при помощи Родительского Контроля, который, собственно, под это и заточен.
не, это было централизованно, я уверен. там был сервер, только не на винде, а на линухе и прокси был - это точно. короче, нет смысла про это спорить. почему-то, я думаю, что в такой хрени, как Windows Server должен быть какой-то вариант. или тот же tmg, тоже где-то видел, что его используют, но пока не разбирался. вон и risc, про него упоминает. пойду изучать.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Разный интернет для разных пользователей
« Ответ #23 : 08 октября 2015, 11:12:33 »
asrael, ну TMG-то без проблем, только во-первых, он уже не продается, к сожалению, во-вторых, если у вас именно ИнтернетЦензор рекомендован, нужно их как-то скрестить, а тут мне уже сомнительно, что это получится. Хотя смотреть конечно надо.

Оффлайн 6wings

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 1
  • Пол: Мужской
  • Шестикрыл
    • Andy.Rodionov
    • Просмотр профиля
  • Откуда: Москва (Южное Бутово)
Разный интернет для разных пользователей
« Ответ #24 : 08 октября 2015, 11:36:16 »
кстати, насчёт безопасности - я бы сделал так: при загрузке Windows дефолтом на автомате прописывал "усеченный" гейт, а при доверенных "админских" логинах автоматом (или вручную - одним кликом на шорткат) переключал на нормальный.
Авторский сайт http://rodionov.info

Оффлайн asrael

  • Начинающий
  • *
  • Сообщений: 10
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Архангельск
Разный интернет для разных пользователей
« Ответ #25 : 08 октября 2015, 11:44:22 »
asrael, ну TMG-то без проблем, только во-первых, он уже не продается, к сожалению, во-вторых, если у вас именно ИнтернетЦензор рекомендован, нужно их как-то скрестить, а тут мне уже сомнительно, что это получится. Хотя смотреть конечно надо.
так он стоит на отдельной машине, так что я думаю, проблем с этим не будет, хотя, хрен его знает.
кстати, насчёт безопасности - я бы сделал так: при загрузке Windows дефолтом на автомате прописывал "усеченный" гейт, а при доверенных "админских" логинах автоматом (или вручную) переключал на нормальный.
так в этом случае, если знаешь нужный гейт, его можно и поменять. или тогда ограниченную учетку делать. но есть некоторые программы, которые без админских программ не будут работать. а вот с групповыми политиками таких проблем, как я понимаю,  не было бы. AD, вроде не даст изменить шлюз.

Оффлайн 6wings

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 1
  • Пол: Мужской
  • Шестикрыл
    • Andy.Rodionov
    • Просмотр профиля
  • Откуда: Москва (Южное Бутово)
Разный интернет для разных пользователей
« Ответ #26 : 08 октября 2015, 11:56:21 »
или тогда ограниченную учетку делать. но есть некоторые программы, которые без админских программ не будут работать
речь же изначально шла, насколько я помню, о 2-х типах логинов: админском и гостевом.
Или я что-то пропустил?
Авторский сайт http://rodionov.info

Оффлайн asrael

  • Начинающий
  • *
  • Сообщений: 10
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Архангельск
Разный интернет для разных пользователей
« Ответ #27 : 08 октября 2015, 12:47:28 »
речь же изначально шла, насколько я помню, о 2-х типах логинов: админском и гостевом.
Или я что-то пропустил?
эмм.. наверное, я не так объяснил. я имел ввиду, что для каждого конкретного пользователя сети нужно определить уровень доступа в сеть независимо от того места, где он в эту сеть входит. пообщался сейчас с одним человеком, который администрировал сеть в одном госучереждении. говорит, что можно это через AD сделать. осталось найти, как.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Разный интернет для разных пользователей
« Ответ #28 : 08 октября 2015, 12:55:11 »
я имел ввиду, что для каждого конкретного пользователя сети нужно определить уровень доступа в сеть независимо от того места, где он в эту сеть входит.
Ну для такой задачи разные шлюзы какая-то плохая идея, как я уже выше говорил. Просто нужен софт на шлюз, который умеет ставить ограничения по грппам пользователей, типа того же тмг.

Оффлайн ds0m

  • Ветеран
  • *****
  • Сообщений: 1299
  • Рейтинг: 22
  • Пол: Мужской
    • ds0m.spb@gmail.com
    • Просмотр профиля
  • Откуда: DC
Разный интернет для разных пользователей
« Ответ #29 : 08 октября 2015, 13:16:46 »
Как вариант совсем колхозного решения с одним шлюзом:
1) Один приходящий провод с двумя адресами.
2) Раскидываем адреса на разные интерфейсы.
3) Один фильтруем хоть у себя софтово, хоть на публичных сервисах типа яндекса, скайднс и отдаем шлюзу, второй отдаем напрямую.
4) На шлюзе в зависимости от принадлежности пользователя/компьютера/сегмента сети - предоставляем соответсвующий интерфейс для выхода в сеть.
<root> помимо принципа "работает - не трогай", есть ещё один важный принцип - "бритва Оккама" - "не приумножай сущность сверх необходимости"
А спонсор этого поста - прививка от бешенства. Прививка от бешенства - не твоя, вот ты и бесишься.