Как запретить доступ ко всем сайтам кроме разрешенных БЕЗ шлюза, прокси и тд — централизованное решение?
Всем привет.
Есть несколько компов - идут в локалку через серьезный сервак на *nix, он шлюз для них. От него по dhcp получают айпи и выход в инет. В этот сервак я не полезу - поднимать там сквид и тд - это недопустимо.
Нужно ограничить компам выход на все сайты, кроме разрешенных, средствами win7 - желательно, чтобы на одном из компов были централизованные настройки. То есть - решил сегодня всем 10 юзерам разрешить выход на vk.com - добавил в серверную версию софтины - и все компы автоматом подтянули ее настройки. И т.д. Политика - "все запрещено, кроме".
то есть файл hosts не катит походу. Подскажите бесплатное простое и быстрое решение?
Спасибо.
Попробовал Интернет Цензор - но даже разрешенные сайты начали жутко тормозить. Хотя вроде гугл яндекс добавил - типа вдруг там адвордсы и метрики подгрузке мешают - но все равно. Отключаю - сайты летают. Врубаю - дико тормозит. Но вобще все просто там внем в настройке - но надо чтото разрешить помимо разрешенных сайтов... В общем - в поиске.
UPD: Чтобы не тормозили сайты через Интернет Цензор - сделал так. В Хроме в консоли разработчика на вкладку sources - и все что подгружается, все api, гугл-фонты, и тд - все добавляю в белый список. Получилось для загрузки одного сайта - разрешил где то 15 ресурсов:))
Еще надо смотреть в этой же консоли в ошибки - какие js-ы не могут подгрузится с внешних источников - их тоже в вайт лист.
Сайт стал грузиться быстро и четко.
Осталась задача - разузнать - где именно этот Цензор хранит вайт-лист. В реестре и в файлах пока что не нашел...
Чтобы обновлять этот список с помощью vbs или bat на каждой машине из сетки.
А так - всем спасибо!
Настраивайте локальный виндовый брандмауэр под ваши нужды на каждом компе.
Можно написать скрипт, который будет настраивать брандмауэр с помощью netsh или power shell. И этот скрипт удаленно запускать на каждом компе - хоть какая-то автоматизация.
В некоторых корпоративных антивирусах есть свой брандмауэр, которым можно централизовано управлять через консоль антивируса, но подозреваю, что это то же не ваш вариант.
Да нету ни домена.. и поднимать винсерв я сейчас точно не буду. Бог с ним с централизованным решением - ручками повбиваю если что на каждой машине. А батник если что напишу - раз в сутки конфиг с одной из машин будет тянуть например.
Да я и есть специалист. Просто даже ребутать сервер не вариант - на нем все кассы завязаны и вся инфраструктура сети. Я бы и сам поднял. Сквид прозрачный даж с https подниму. Но в чужой сервак все же лезть - нехорошо. Есть админ этого сервака, вызывать его и грузить его задачей заблочить контакт etc как то не хочется...
AntohaRomaha: Зачем ребутать?
Можно сквид поднять без ребута.
Можно в iptables прозрачно направлять их на прокси другого сервера, для которого в iptables будет исключение
Можно в DHCP поправить, чтобы для компов шлюзом был ваш отдельный комп, где вы развернете сквид и все такое, и он уже будет назад через юникс выходить
Но если они напрямую сразу идут туда - то никак.
А вот это мысль! iptables или dhcp на серваке можно и без ребута. А вот сквид без ребута прозрачный с https еще там libcap просит я помню и тд - лучше я не буду лезть.
Но если честно - уже по другому почти решил..
Средний
Простой
