Вопросы и идеи для терминального сервера

[goshanecr]

Добрый день! Хочу спросить совета.
Если в организации пользователи работают на сервере терминалов под win2003, можно ли как-то разграничить доступ в интернет для разных пользователей не используя при этом авторизацию на squid?
Например, будет ли работать такая схема:
На шлюзе поднять mpd и каждый пользователь уже будет коннектиться со своим логином паролем в интернет.. ? Имеется в виду если один подключит интернет, разве это не даст автоматически доступ остальным пользователям терминала на этом сервере?
Может есть ещё какие то решения?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

а почему вариант со сквидом не устраивает?

[goshanecr]

Ну хотя бы потому что таким образом клиент будет пользовать (или будет разграничиваться) только http,https и ftp трафик а другие соединения таким образом не разграничить.. Например вот.

[princeps]

А так принципиально разграничивать другие? Думаешь, по pop3 много скачают?
Честно говоря, мне кроме прокси-сервера ничего не приходит в голову.

[mazay]

>>разве это не даст автоматически доступ остальным пользователям терминала на этом сервере?

кто-то недавно писал про подобное. И даже пробовал делать, но не получилось кажется по причине того, что все клиенты терминала в итоге использовали первый открытый канал и требуемый результат не достигался. Возможно это и не совсем так

[goshanecr]

Да совсем не только pop3.. там и подключение по rdesktop, radmin (это конечно не столько пользователям но существуют масса прог не поддерживающих работу через прокси.) Интересует всё таки вопрос, будет ли работать схема, где у каждого пользователя в терминале своё vpn подключение к интернету и выходить в инет он может лишь при его подключении?

[goshanecr]

>>разве это не даст автоматически доступ остальным пользователям терминала на этом сервере?

кто-то недавно писал про подобное. И даже пробовал делать, но не получилось кажется по причине того, что все клиенты терминала в итоге использовали первый открытый канал и требуемый результат не достигался. Возможно это и не совсем так

Ясно, а нет ли какого-нибудь клиента для винды по типа wingate client чтобы он авторизовался для каждого пользователя на серваке и интернет бы получался через это приложение-клиента?

[princeps]

У MS ISA Server есть такой клиент. Господи, что я пишу, как бы пальцы не отсохли за пропаганду зла

[goshanecr]

У MS ISA Server есть такой клиент. Господи, что я пишу, как бы пальцы не отсохли за пропаганду зла

)))))
Про MS ISA и WinRoute и WinGate и много других я знаю, только вот проблема то именно в том что я хочу в качестве шлюза фрю... а не эти рассадники гадости Есть или может быть можно один из этих клиентов прикрутить к чему-нибудь фришному?
Блин, как вообще народ реализует разграничение интернета при работе в терминале? Неужто хватает только http,ftp,icq?

[princeps]

Мне хватает. Попробуй сам с vpn, что тебе мешает?

[mazay]

>>Неужто хватает только http,ftp,icq?

ну почту по адресам можно отфильтровать, если есть свой почтовый сервер в локалке

[ADiel]

Сделай авторизацию на сервере ната по Active Directory. И там уже разграничивай.

[Cardinal]

По поводу подключения через VPN могу сказать, что если один пользователь подключится у другого от этого инет не появится. Сам тестировал и смотрел.

[opt1k]

По поводу подключения через VPN могу сказать, что если один пользователь подключится у другого от этого инет не появится. Сам тестировал и смотрел.

естественно, иначе нахер этот терминальный сервер не нужен.

[Gloft]

ограничить пользователей на терминале можно групповыми политиками.
Например настроив политики зон интернет эксплорера.