Разрешить только определенным программам Интернет

[Антоха]

Доброго времени суток.

Есть ли возможность средствами шлюза FreeBSD разрешить доступ в Интернет только определенным программам у клиентов Windows?
Конкретно, тольок браузеры, только через порты 80 и 443.
Винда, например, обноляется через порты 80.. мне вот нужно, чтобы ничего, кроме бразуеров в инет не ломилось.
Есть сквид.. Может по заголовкам как-то?..

Есть идеи?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[trubb]

нихрена не выйдет - умельцы в днс-трафик умудрялись ип-пакеты запихивать, stun тоже падла любую дырочку наружу ищет
имха на клиенте это все делать надо...

както баловался на касперском бизнес - тот мог рубить сетевую активность по процессам винды,
tmeter вроде тоже может фильтры делать по имени процесса

Отправлено спустя 16 минут 48 секунд:
layer7 вроде как не доделан еще

[Антоха]

умельцы в днс-трафик умудрялись ип-пакеты запихивать

Ну скажем, клиенты (то есть юзеры), не будут чудить. Если Вы об этом, конечно:) Задумка исключительно в целях экономии траффика. Канал всего 150 килобайт в секу на 16 пользователей.

[kharkov_max]

можно по заголовкам в сквид, но придется всем юзать один браузер, точнее желательно... и как минимум skype пойдет лесом.

[Антоха]

Даа уже прочитал интересную тему на форуме про тимвьювер, здесь, на лиссяре.
Если точнее указывать заголовки, с версией и тд, а не просто "mozilla", то скайп тоже пойдет нахер. Да и его нету на машинах юзеров. Буду разбираться.

А вот такой вопрос - допустим, заработает. А есть проги, банк-клиенты там, они тоже ломятся в Интернет. Можно ли в логах прокси посмотреть, какая прога с каким заголовком с какого айпи локалки просится в инет. То есть им надо тоже будет дать инета. Определить заголовок http_user_agent заденаеных программ.

Цель вообще - заблочить всякие автоапдейты.. а то тут типы умудряются на таком канале доту обновлять..

[Alex Keda]

А домена, и, соответственно, групповых политик, нету чтоле?

[Антоха]

А домена, и, соответственно, групповых политик, нету чтоле?

Раз уж Вы затронули эту тему, любезный господин, пооффтоплю немного, поясните пожалуйста..
ВинСервер 2008 R2. Но домена нет. И вот хочу всех в домен, само собой, как только шлюз на полную запущу.
Вопрос - у меня в сети 16 машин. Есть XP, Vista, Win7, Win 8.1, Win10; где-то 32, где-то 64 бит; где-то Хоум, где-то Про. Все лицензии. Хоум не может стать участником домена. Есть вариант ручками в реестре разрешить Домашке стать клиентом домена, но вроде как теряется лицензия. Теряется, нет? Знаете?:))
Вообще хочу обновить все до десятки.. так как это будет последняя операционка. Все юзеры на десятке на многие-многие года..

[Electronik]

Есть вариант ручками в реестре разрешить Домашке стать клиентом домена, но вроде как теряется лицензия. Теряется, нет? Знаете?:))

Это запрещено лицензионным соглашением, т.е вы его нарушаете, следовательно винда становится нелицензионной.

Вообще хочу обновить все до десятки.. так как это будет последняя операционка.

ой не спишите, намучаетесь, да под ВинСервер 2008 R2 толку от десятки будет никакого. ставьте везде вин7, вам проще жить будет.

Отправлено спустя 10 минут 59 секунд:

Есть ли возможность средствами шлюза FreeBSD разрешить доступ в Интернет только определенным программам у клиентов Windows?

не стоит изобретать велосипед, используйте встроенный в вин7 брандмауэр, что бы везде ручками не настраивать, его можно настроить через групповые политики.
http://wikiwin.info/windows-7-seven/win ... ows-7.html
http://habrahabr.ru/company/microsoft/blog/115538/

[Антоха]

Блин.. вот сейчас буквально 10 минут почитал про Home в контроллере домена.. Да.. могут начаться проблемы с сетью, с апдейтами и т.д... а обновлять до про - это около семи тысяч деревянных за машину. На десяток машин - я бы не стал покупать.
Короче - придется отказаться от контроллера домена.
Вообще Windows Server 2008 R2 используется как машина для 1С, все по удаленке RDP с локали цепляются на него и запускают там одинэску.

[guest]

Блин.. вот сейчас буквально 10 минут почитал про Home в контроллере домена.. Да.. могут начаться проблемы с сетью, с апдейтами и т.д... а обновлять до про - это около семи тысяч деревянных за машину. На десяток машин - я бы не стал покупать.
Короче - придется отказаться от контроллера домена.
Вообще Windows Server 2008 R2 используется как машина для 1С, все по удаленке RDP с локали цепляются на него и запускают там одинэску.

Вы хотите бесплатного или дешевого универсального решения - его нет:
- ни дешевого
- ни тем более бесплатного

У Вас есть, дано:
- роутер FreeBSD, NAT, Squid
- сеть из двух десятков разнокалиберных OS Windows

Вы выпускаете всех клиентов через Squid - и более не заморачиваетесь, только:

- смотрите отчеты по каждой станции и административные меры за превышение трафика.
- free firewall с возможностью фильтрации на уровне L7- Вы не найдете, а платные, Вам не
купить никогда с Вашим бюджетом
- Squid не является фильтром L7
- найдется несколько клиентов, которые не только через Squid не смогут работать
по технологии клиент <-> сервер, но и через NAT
- для простоты управления и настройки, как Вам правильно заметили, наиболее удобный
подход использовать домен с политиками и все одну операционку, Windows 7 на текущий
момент - самый правильный десктоп

Ну а далее - советоваться с провайдером как расширить канал.

ИТ - это комплекс не только технических, но и административных мер, про последнее обычно
не думают или забывают, начинающие, но быстро к этому приходят.

Вот Вам короткое резюме, от которого можно отталкиваться для дальнейшей работы.

[Антоха]

Спасибо, уважаемый Guest.
Вот только что это за несколько клиентов с Натом не смогут работать... ладно.. на днях планирую запускать шлюз, посмотрим, что получится.

[guest]

Спасибо, уважаемый Guest.
Вот только что это за несколько клиентов с Натом не смогут работать... ладно.. на днях планирую запускать шлюз, посмотрим, что получится.

недо-софт под Windoze - бухгалтерский или еще какой, с использованием ActiveX или еще что,
который пишут без учета возможности работать через NAT.
Не факт что у Вас такое будет, но такое возможно, обычно для работы такого софта - требуются
реальные адреса и выпуск этих станций в Internet.

Удачи

[Electronik]

Вообще Windows Server 2008 R2 используется как машина для 1С, все по удаленке RDP с локали цепляются на него и запускают там одинэску.

вы не сможете на нём равзернуть КД. Либо сервер удалённых рабочих столов либо КД.

Посмотрите в сторону OPNSense, для новичка самое то.

ИТ - это комплекс не только технических, но и административных мер, про последнее обычно
не думают или забывают, начинающие, но быстро к этому приходят

Я б сказал что чаще всего забИвают))

[Alex Keda]

А домена, и, соответственно, групповых политик, нету чтоле?

Раз уж Вы затронули эту тему, любезный господин, пооффтоплю немного, поясните пожалуйста..

не надо на меня словами ругательными. товарищщ я, а не господин.

[Антоха]

товарищщ.. да хоть камрадище епта:))

[snorlov]

Можно самбу 4.1 заюзать вместо 2008 ...

[gumeniuc]

вы не сможете на нём равзернуть КД. Либо сервер удалённых рабочих столов либо КД.

Не вижу никаких проблем. Сервер в состоянии поддерживать несколько ролей одновременно.

[Electronik]

Не рекомендуется устанавливать службу роли Узел сеансов удаленных рабочих столов на контроллере домена Active Directory. Предоставление пользователям разрешения запускать программы на контроллере домена может привести к падению производительности и создать угрозу безопасности.

https://technet.microsoft.com/ru-ru/lib ... 42817.aspx

[Антоха]

На серваке 8 ядер по 3.4 ГГц Core i7 и 16 гигов RAM
До 12 юзеров 1С - напрягают раму на 60-80%. Думаю, держать еще и контролер - не проблема. Сервак 24/7 онлайн.

[snorlov]

https://technet.microsoft.com/ru-ru/lib ... 42817.aspx

Ну этот вопрос довольно спорный, на мой взгляд он имеет место быть при необходимости пользователей лезть в инет, а если этого нет, то и возникающие проблемы в виде ограничения запуска определенного списка софта можно решить ужесточением политик, в любом случае в последнее время мы ставим винду в виртуальную машину...

[gumeniuc]

Electronik,

Пожалуй понятия "вы не сможете на нём равзернуть" и "Не рекомендуется устанавливать" несколько отличаются. Да, очень правильно не мешать роли до кучи, но если нет желания покупать доп. лицензии или ресурсы не позволяют, то приходится выкручиваться. Не вижу ничего криминального в этом. Если правильно продумать GPO и членство в группах, ничего плохого не случится.

P.S. Microsoft рекомендует не мешать роли Exchange. Как по мне, так держать 4 сервера исключительно для почты - откровенное барство и далеко не всем по карману.

[trubb]

ну есть же редакция сервера essential - там же все в одном флаконе и задешево )))
так что мешать можно...
возвращаясь к теме - повторю - на клиентах это все давить надо...

[snorlov]

P.S. Microsoft рекомендует не мешать роли Exchange. Как по мне, так держать 4 сервера исключительно для почты - откровенное барство и далеко не всем по карману.

Ну Exchange это отдельная песня....

[Electronik]

Пожалуй понятия "вы не сможете на нём равзернуть" и "Не рекомендуется устанавливать" несколько отличаются.

Согласен)) Извиняюсь))

Да, очень правильно не мешать роли до кучи, но если нет желания покупать доп. лицензии или ресурсы не позволяют, то приходится выкручиваться. Не вижу ничего криминального в этом. Если правильно продумать GPO и членство в группах, ничего плохого не случится.

Тоже вариант, если уж в средствах совсем ограничены, то да.
Лицензии stnadard позволяет запускать одну физическую ОС и одну виртуальную. Так что лучше развернуть КД, а в VM сервер удалённых рабочих столов.
http://download.microsoft.com/documents ... ricing.pdf
страница 9

[Антоха]

Попробую прямо на одном серваке поднять актив-директори. Если будет тормозить - откажусь от этого варианта.