Bloquear portas numa LAN

Cabalo

Power Member
hello gurus!!

Precisava de recorrer à vossa sabedoria aqui num assuntozito!

Tenho uma rede com router. hub e um servidor de dominio. Não tenho qualquer software para controlar o router, pois é velho e relho!!
No servidor de dominio corro windows 2000 server ENG e nos terminais todos correm winxp pro.

O que eu precisava de saber é como é que eu posso fazer para bloquear portas e/ou acessos de programas à net, EM TODOS os terminais.
Posso fazê-lo a partir do domain server?

Eu tinha pensado em fazer isto, mas duvido que funcionasse!
Era instalar uma firewall no domain server, correr os programas no server que queria, e bloqueáva-los lá. e assim analogamente o resto dos pcs da rede também nao acederiam. Mas duvido que funcione.

Alguém me pode dar uma solução para isto?

Desde já o meu obrigado e fico-vos a dever umas cervejolas!!
 
penso q esse metodo q pensas te resulta...mas...n será talvez o mais adequado..

pq n limitas o acesso com firewalls nos proprios clientes?
 
Tal como o Nemesis11 disse, é muito mais simples tu bloqueares esses acessos a portas (bloquer acesso a Mirc, Messenger e P2P) e acesso a Internet com um proxy server.

Ainda por cima, com Active Directory em 2000, mais fácil se torna com Group Policies.

Faz aí uns search pela net e encontras muita informação

um abraço
 
deixem ver se percebi bem:

ponho o domain server a funcionar como proxy? para 20 pcs? e depois como faço com as partilhas? continuam acessiveis? ou seja, os outros pcs acedem à net a partir do server, no qual meto firewall e aí já bloco o que keira?
 
Ora, baseando no que conheço e que é comum na minha empresa...

O Proxy, basicamente é um... proxy (kidding!), ou seja, é uma gateway que filtra e cria cache de todas as ligações de internet da tua empresa.

Ora, o server devidamente configurado (defino server como o PC Domain controller + proxy) permite que toda a internet seja 'filtrada' pelo servidor. Depois poderás criar um grupo de utilizadores (por ex: Utilizadores Itnernet) onde irás incluir os usernames dos utilizadores que queres que acedam à internet. Depois se quiseres e com um proxy client (vêm com o proxy server) poderás dar acesso a toda a internet aos utilizadores que desejares.

O mesmo se aplica às portas. Se não tiverem proxy client apenas acedem às portas normais que configuraste no proxy. Se tiverem, poderão aceder a todas as portas

Aqui tens um mundo à tua porta...

Um abraço

PS - O Kazuza é especialista nesta matéria. Aguarda um pouco mais pela opinião dele que é mais 'valiosa' que a minha
 
basicamente a soluçõ proposta deve funcionar, proxy server :)


por outro lado se configurares firewalls nos pc's e não deres acesso como admins aos users não devem conseguir mudar as settings da firewall, a maioria das firewalls dão para configurar com passwords para que ninguém vá desconfigurar o que tu configuras ;)
 
@Cabalo

Bom como "vamos por partes" como dizia o nosso querido jack o estripador.

Pelo que percebi queres controlar o acesso dos teus utilizadores a alguns recursos da internet nomeadamente messangers e afins e não o podes fazer so atraves do router pq ele nao tem uma firewall

A solução para isso e' simples (dependendo daquilo que tu estiveres a pensar realmente fazer) e passa precisamente pela criação de uma proxy.

Sinceramente (e isto se tiveres uma maquina extra para o fazer) a melhor opção sera teres uma maquina apenas para fazer de proxy/firewall isto mesmo antes de a "net" entrar para a LAN, se quiseres podes usar o proprio servidor de dominio para o fazer mas com 20 maquinas isso e' capaz de sobrecarregar um bocado de trafego no servidor principalmente se ele tb estiver a fazer de fileserver.

Vai ser nessa proxy que tu vais decidir que portas e' q tens abertas e fechadas, e se o programa for bom ate podes decidir que utilizadores e' que podem aceder a que recursos da internet, por exemplo podes decidir cortar o acesso dos teus utilizadores todos a webmails mas manteres o teu servidor de e-mail a aceder a uma caixa de volume externa, ou toda a gente a nao conseguir aceder ao messanger menos tu (pq precisas da info q os tes colegas sysadmins te conseguem passar atraves de la) ;)

Tens por ai montes de programas de proxy 'a vontade do fregues, sinceramente recomendo o ISA Server 2000 por causa das opções extra q tens em combinação com o w2k advanced server, mas e' a pagantes, acredito q devem haver prai programas que façam a mesma coisa e sejam free ;)

Mas se calhar e' melhor mesmo e' esperares pela opinião do Kazuza ;) Eu sou so um BOFH e ele e' the man ;)
 
@Triston : era exactamente isso que queria fazer, e é até agora a solução consensual entre o pessoal daqui. O meu medo é que o servidor, não sendo nada de especial, não aguente com a carga de 20 pcs e vá tornar uma rede já de si pouco rápida ainda mais lenta.

Vou então esperar pelo guru Kazuza, e ver o que ele tem para dizer.

Obrigado a todos pela ajuda que estão a dar!
 
tenho esta solução a funcionar em 2 empreas:

usa o freeproxy (google um pouco). É de borla, para windows. COnfiguras p usar as contas do NT. E ai seleccionas os utilizadores que iram ter acesso à net, qto tempo por dia tem para fazer, os protocolos que irão ter acesso (POP, SMTP,HTTP; FTP; SOCK'S;)etc etc. É simples de usar. Não aconselho a por 1 server ligado directamente à net sem um router/firewall fisica á frente. Funciona bem para pequenas redes (<25 pc's).

A licença do ISA2000 é carote..
 
Originally posted by gonx_me
(...) Não aconselho a por 1 server ligado directamente à net sem um router/firewall fisica á frente. (...)

Uma questão: tendo o dominio criado e criando um proxy no mesmo computador, se instalar uma firewall não vai verificar todo o tráfego efectuado através do proxy? Tenho de instalar firewall nos restantes computadores? Estou confuso! :confused:
 
É assim, os clientes apenas vão aceder à internet que o proxy deixar. Não é necessário cada cliente ter firewall. Interessa é que o servidor tenha firewall pois é ele que se liga lá fora. depois filtra os conteudos para cada cliente. Além disso regista o que foi pedido por cada cliente, a que horas, qual a pagina, qual o protocolo, etc etc.

Apenas disse que é aconselhável ter uma firewall fisica antes do servidor para garantir um pouco mais de segurança.
 
Ideal, Ideal seria mesmo era uma combinação Router + PIX + Router...

Isso permite que o PIX fique numa DMZ sem qualquer acesso quer à rede interna quer a Internet Publica. Filtra toda a internet, portas, protocolos e ameaças direccionando-os para o Proxy que gere apenas as portas autorizadas e os utilizadores que devem ter acesso

Esta configuração também permite que a WAN externa não interfira com o resto do sistema, através de várias portas LAN no Router

Mas também é carote... bem carote!

Um abraço

Ps - A solução com o freeproxy é o ideal
 
Tudo depende de como tens a rede configurada.

Se tens todos os computadores ligados ao hub (incluindo o DC), não te adianta instalares proxies, porque nos PCs podes sempre apontar o IP do router como gateway :D

Agora se entre o router e o hub estiver lá o DC, proxy resolve-te os teus probs...

Se tiveres mais alguma dúvida, não hesites em post! ;)
 
Já agora:
http://www.alphalink.com.au/~gregr/freeproxy.htm


FreeProxy and FreeWeb are built into the software and offer the following:
HTTP proxy, including FTP over HTTP
HTTP 1.1 persistent connections, RFC2616 and RFC2518 compliant. See Compliancy below.
FTP Proxy
Demand Dialing, auto connect/disconnect
URL filtering
Built-in web server
Run as a service under 98/Me/NT/2000/XP/2003
Message logging and dumping
TCP tunnel (tunnel any TCP protocol)
Proxy SMTP & POP email
Proxy NNTP
SOCKS 5 proxy
SOCKS 4/4a proxy
Basic, Digest and NTLM (Windows) authentication (proxy and www authentication)
Resource security
Connect to another Proxy server or connect directly to the internet
Bind to a specific network interface for added security ("local binding")
Control access using a calendar
Outlook Express / Hotmail compatible
Works with Dial-up Networking and Cable/Broadband
 
Back
Topo