1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Bloquear portas numa LAN

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por Cabalo, 22 de Março de 2004. (Respostas: 47; Visualizações: 2968)

  1. Cabalo

    Cabalo Power Member

    hello gurus!!

    Precisava de recorrer à vossa sabedoria aqui num assuntozito!

    Tenho uma rede com router. hub e um servidor de dominio. Não tenho qualquer software para controlar o router, pois é velho e relho!!
    No servidor de dominio corro windows 2000 server ENG e nos terminais todos correm winxp pro.

    O que eu precisava de saber é como é que eu posso fazer para bloquear portas e/ou acessos de programas à net, EM TODOS os terminais.
    Posso fazê-lo a partir do domain server?

    Eu tinha pensado em fazer isto, mas duvido que funcionasse!
    Era instalar uma firewall no domain server, correr os programas no server que queria, e bloqueáva-los lá. e assim analogamente o resto dos pcs da rede também nao acederiam. Mas duvido que funcione.

    Alguém me pode dar uma solução para isto?

    Desde já o meu obrigado e fico-vos a dever umas cervejolas!!
     
  2. Flyer

    Flyer Power Member

    penso q esse metodo q pensas te resulta...mas...n será talvez o mais adequado..

    pq n limitas o acesso com firewalls nos proprios clientes?
     
  3. Cabalo

    Cabalo Power Member

    porq se eu puser firewalls nos clientes, o pessoal vai lá e desactiva-as... ;)
     
  4. Nemesis11

    Nemesis11 Power Member

    firewall + proxy server no 2000 server (penso eu de que.......)
     
  5. Seavoices

    Seavoices Power Member

    Tal como o Nemesis11 disse, é muito mais simples tu bloqueares esses acessos a portas (bloquer acesso a Mirc, Messenger e P2P) e acesso a Internet com um proxy server.

    Ainda por cima, com Active Directory em 2000, mais fácil se torna com Group Policies.

    Faz aí uns search pela net e encontras muita informação

    um abraço
     
  6. Cabalo

    Cabalo Power Member

    deixem ver se percebi bem:

    ponho o domain server a funcionar como proxy? para 20 pcs? e depois como faço com as partilhas? continuam acessiveis? ou seja, os outros pcs acedem à net a partir do server, no qual meto firewall e aí já bloco o que keira?
     
  7. Seavoices

    Seavoices Power Member

    Ora, baseando no que conheço e que é comum na minha empresa...

    O Proxy, basicamente é um... proxy (kidding!), ou seja, é uma gateway que filtra e cria cache de todas as ligações de internet da tua empresa.

    Ora, o server devidamente configurado (defino server como o PC Domain controller + proxy) permite que toda a internet seja 'filtrada' pelo servidor. Depois poderás criar um grupo de utilizadores (por ex: Utilizadores Itnernet) onde irás incluir os usernames dos utilizadores que queres que acedam à internet. Depois se quiseres e com um proxy client (vêm com o proxy server) poderás dar acesso a toda a internet aos utilizadores que desejares.

    O mesmo se aplica às portas. Se não tiverem proxy client apenas acedem às portas normais que configuraste no proxy. Se tiverem, poderão aceder a todas as portas

    Aqui tens um mundo à tua porta...

    Um abraço

    PS - O Kazuza é especialista nesta matéria. Aguarda um pouco mais pela opinião dele que é mais 'valiosa' que a minha
     
  8. Chip

    Chip Zwame Advisor

    basicamente a soluçõ proposta deve funcionar, proxy server :)


    por outro lado se configurares firewalls nos pc's e não deres acesso como admins aos users não devem conseguir mudar as settings da firewall, a maioria das firewalls dão para configurar com passwords para que ninguém vá desconfigurar o que tu configuras ;)
     
  9. Triston

    Triston Aku Soku Zan SM

    @Cabalo

    Bom como "vamos por partes" como dizia o nosso querido jack o estripador.

    Pelo que percebi queres controlar o acesso dos teus utilizadores a alguns recursos da internet nomeadamente messangers e afins e não o podes fazer so atraves do router pq ele nao tem uma firewall

    A solução para isso e' simples (dependendo daquilo que tu estiveres a pensar realmente fazer) e passa precisamente pela criação de uma proxy.

    Sinceramente (e isto se tiveres uma maquina extra para o fazer) a melhor opção sera teres uma maquina apenas para fazer de proxy/firewall isto mesmo antes de a "net" entrar para a LAN, se quiseres podes usar o proprio servidor de dominio para o fazer mas com 20 maquinas isso e' capaz de sobrecarregar um bocado de trafego no servidor principalmente se ele tb estiver a fazer de fileserver.

    Vai ser nessa proxy que tu vais decidir que portas e' q tens abertas e fechadas, e se o programa for bom ate podes decidir que utilizadores e' que podem aceder a que recursos da internet, por exemplo podes decidir cortar o acesso dos teus utilizadores todos a webmails mas manteres o teu servidor de e-mail a aceder a uma caixa de volume externa, ou toda a gente a nao conseguir aceder ao messanger menos tu (pq precisas da info q os tes colegas sysadmins te conseguem passar atraves de la) ;)

    Tens por ai montes de programas de proxy 'a vontade do fregues, sinceramente recomendo o ISA Server 2000 por causa das opções extra q tens em combinação com o w2k advanced server, mas e' a pagantes, acredito q devem haver prai programas que façam a mesma coisa e sejam free ;)

    Mas se calhar e' melhor mesmo e' esperares pela opinião do Kazuza ;) Eu sou so um BOFH e ele e' the man ;)
     
  10. Cabalo

    Cabalo Power Member

    @Triston : era exactamente isso que queria fazer, e é até agora a solução consensual entre o pessoal daqui. O meu medo é que o servidor, não sendo nada de especial, não aguente com a carga de 20 pcs e vá tornar uma rede já de si pouco rápida ainda mais lenta.

    Vou então esperar pelo guru Kazuza, e ver o que ele tem para dizer.

    Obrigado a todos pela ajuda que estão a dar!
     
  11. gonx_me

    gonx_me Power Member

    tenho esta solução a funcionar em 2 empreas:

    usa o freeproxy (google um pouco). É de borla, para windows. COnfiguras p usar as contas do NT. E ai seleccionas os utilizadores que iram ter acesso à net, qto tempo por dia tem para fazer, os protocolos que irão ter acesso (POP, SMTP,HTTP; FTP; SOCK'S;)etc etc. É simples de usar. Não aconselho a por 1 server ligado directamente à net sem um router/firewall fisica á frente. Funciona bem para pequenas redes (<25 pc's).

    A licença do ISA2000 é carote..
     
  12. Mr.Eko

    Mr.Eko Power Member

    Uma questão: tendo o dominio criado e criando um proxy no mesmo computador, se instalar uma firewall não vai verificar todo o tráfego efectuado através do proxy? Tenho de instalar firewall nos restantes computadores? Estou confuso! :confused:
     
  13. gonx_me

    gonx_me Power Member

    É assim, os clientes apenas vão aceder à internet que o proxy deixar. Não é necessário cada cliente ter firewall. Interessa é que o servidor tenha firewall pois é ele que se liga lá fora. depois filtra os conteudos para cada cliente. Além disso regista o que foi pedido por cada cliente, a que horas, qual a pagina, qual o protocolo, etc etc.

    Apenas disse que é aconselhável ter uma firewall fisica antes do servidor para garantir um pouco mais de segurança.
     
  14. Seavoices

    Seavoices Power Member

    Ideal, Ideal seria mesmo era uma combinação Router + PIX + Router...

    Isso permite que o PIX fique numa DMZ sem qualquer acesso quer à rede interna quer a Internet Publica. Filtra toda a internet, portas, protocolos e ameaças direccionando-os para o Proxy que gere apenas as portas autorizadas e os utilizadores que devem ter acesso

    Esta configuração também permite que a WAN externa não interfira com o resto do sistema, através de várias portas LAN no Router

    Mas também é carote... bem carote!

    Um abraço

    Ps - A solução com o freeproxy é o ideal
     
  15. Flyer

    Flyer Power Member

    mas tirem me la uma duvida...

    o q é o proxy....é o mm q router? mas em software?
     
  16. kazuza

    kazuza Power Member

    Tudo depende de como tens a rede configurada.

    Se tens todos os computadores ligados ao hub (incluindo o DC), não te adianta instalares proxies, porque nos PCs podes sempre apontar o IP do router como gateway :D

    Agora se entre o router e o hub estiver lá o DC, proxy resolve-te os teus probs...

    Se tiveres mais alguma dúvida, não hesites em post! ;)
     
  17. Flyer

    Flyer Power Member

    DC?

    mm assim n percebi MUITO bem kal a utilidade do proxy.....relativamente a um router...

    noobice ;)
     
  18. Nemesis11

    Nemesis11 Power Member

    Domain Controler

    Quanto ao proxy server, fica aqui a explicação.
     
  19. Flyer

    Flyer Power Member

    Excelente

    obrigado aos 2 ;)
     
  20. gonx_me

    gonx_me Power Member

    Já agora:
    http://www.alphalink.com.au/~gregr/freeproxy.htm


    FreeProxy and FreeWeb are built into the software and offer the following:
    HTTP proxy, including FTP over HTTP
    HTTP 1.1 persistent connections, RFC2616 and RFC2518 compliant. See Compliancy below.
    FTP Proxy
    Demand Dialing, auto connect/disconnect
    URL filtering
    Built-in web server
    Run as a service under 98/Me/NT/2000/XP/2003
    Message logging and dumping
    TCP tunnel (tunnel any TCP protocol)
    Proxy SMTP & POP email
    Proxy NNTP
    SOCKS 5 proxy
    SOCKS 4/4a proxy
    Basic, Digest and NTLM (Windows) authentication (proxy and www authentication)
    Resource security
    Connect to another Proxy server or connect directly to the internet
    Bind to a specific network interface for added security ("local binding")
    Control access using a calendar
    Outlook Express / Hotmail compatible
    Works with Dial-up Networking and Cable/Broadband
     

Partilhar esta Página