Как бюджетно заблокировать доступ к некоторым сайтам?

Question

[Руслан]

Добрый день,
В компании есть примерно 10 ПК, 1 сервер (1С бухгалтерия, Windows Server 2012).
Руководство поставило задачу ограничить доступ к интернету при входе через удаленное подключение к серверу, а также ограничить доступ к некоторым развлекательным ресурсам с локальных машин.
Вопрос: каким образом можно сделать что-то подобное? Копал в сторону Traffic Inspector, но он платный и довольно сложный вроде.

Comments

[nirvimel]

ограничить доступ к интернету при входе через удаленное подключение

Через редактирование C:\Windows\System32\drivers\etc\hosts на сервере.

[Ezhyg]

Ну закроете вы "некоторые развлекательные ресурсы" (напрямую), юзвери начнут пользоваться проксями, анонимайзерами и прочими турборежимами. Дальше-то что?

Answer 1

[Сергей]

завернуть днс записи о этих ресурсах на локалхост ) уж куда бюджетеее

Comments

[Руслан]

Имеете ввиду прописать в hosts?

[Dmitry Bay]

Руслан: можно на роутере, но убедитесь что днс на локальных машинах на роутер ссылаются.

В любом случае - это все обходится за раз два.

Answer 2

[Dmitry Tallmange]

Ставите прокси, например squid. Закрываете доступ в интернет напрямую, настраиваете браузеры всех пользователей на работу через прокси. Крутите запрещающие/ограничивающие правила как душе угодно.

Comments

[Руслан]

Можно подробнее? На сервер, где сейчас 1С-ка, мы ставим SQUID, настраиваем его, далее в браузерах пишем прокси? Если у кого-то прокси не прописан, он не сможет использовать интернет?

[Dmitry Tallmange]

Руслан: пройдя по ссылке, вы получите довольно подробный мануал по установке и настройке. Если у кого-то прокси не прописан — он НЕ может пользоваться интернетом, об этом тоже нужно позаботиться.

[Руслан]

Dmitry Tallmange: Дмитрий, мануал я посмотрел. Есть небольшое сомнение, стоит ли ставить squid на сервер с 1С.

[Dmitry Tallmange]

Руслан: в чем суть опасений? вопрос безопасности? нагрузки?

[Сергей Горностаев]

Руслан: поставьте на обычный компьютер.

[Руслан]

Сергей Горностаев: накладно.

[Руслан]

Dmitry Tallmange: да, и в безопасности и в нагрузке. Где-то читал, что совмещать не стоит такие вещи. Хотя сервер в принципе у нас достаточно мощный для 1С и лишняя небольшая нагрузка не будет снижать производительности.

[Denis Michurin]

Руслан: разносите все тогда по виртуалкам и будет вам счастье

Answer 3

[Николай Савельев]

Как уже сказали выше - ковырять ваш tp-link D-W8968 на предмет подобного функционала. Мельком глянул - днс там стандартно не заблочить, а вот в родительском контроле есть фильтрация урл. static.tp-link.com/res/down/doc/TD-W8968(RU)_V4_UG.pdf

Comments

[Руслан]

Родительский контроль не блокирует https. И к тому же это надо будет делать на каждой машине, верно? Трудоемко))

[Николай Савельев]

Руслан: причем здесь машины? Я веду речь про роутер, ссылку на документацию привел. Может попробуете почитать, хотя бы?

[Руслан]

Николай Савельев: пардон, не о том подумал.

Answer 4

[res2001]

Обычно это делается с помощью прокси сервера.
Но у вас всего 10 ПК - ставить отдельных комп для прокси нет смысла. В интернет скорее всего выходите через какой-то вариант домашнего Wi-Fi роутера/шлюза. На этих аппаратах обычно уже есть какой-то вариант прокси, его и используйте.

Comments

[Руслан]

Вы правы. У нас роутер Wi-Fi TP-Link D-W8968. Там есть вкладка Firewall -> Rules. Вы про это говорите?

[res2001]

Да, возможно это оно. С этими аппаратами никогда не сталкивался.

[CityCat4]

Очень даже есть смысл. Не с целью экономии трафика конечно, а например с целью вот такого контроля. У меня прокси дома стоит - банить ребенку порнуху :)

[Руслан]

CityCat4: жестоко, но надо))

Answer 5

[pcdesign]

Если на виндах стоит NOD 32, то достаточно внести все запреты и разрешения внутрь антивируса. Можно по маске.

www.askvg.com/fix-access-denied-website-blocked-by...

Вот что увидит пользователь при попытке зайти на запрещенный сайт


P.S.: Возможно и какие-нибудь другие антивиры это умеют.

P.S.2: Чем хорош этот метод, что с ним не помогут не опенвпн, ни прокси, ни турборежимы.

Answer 6

[sandro45rus]

есть бесплатное решение, может конечно не совсем подойдет, но блокировка сайтов имеется https://ideco.ru/obtain
Есть запись вебинара по быстрому развертыванию и настройке https://www.youtube.com/watch?v=iptK-ntzIDU&featur...

Answer 7

[Фёдор]

Совсем бюджетный (бесплатный) и простой - прописать OpenDNS. Бухгалтера обычно в настройки сети не лезут, однако лучше запретить возможность менять настройки.
https://www.opendns.com/

Comments

[Руслан]

Как вариант. Но надо тогда на каждый ПК ставить IP updater. Если кто-то хитрый его выключит, то сможет лазить по всем сайтам без проблем.

[Фёдор]

На все не надо. IP updater нужен только на одной машине или на роутере если адрес динамический. Если адрес статический то IP updater не нужен.
Хитрый пользователь должен поменять настройки сети и прописать свой DNS (гугла например или провайдера)
Запрет редактирования сетевых настроек делается легко. Более того это даже нужно и полезно.
Вот с VPN и всякими плагинами для обхода блокировок сложнее.

Из моей практики достаточно эффективно против большинства бездельников. С особо продвинутыми пользователями боремся другими способами. От объяснения, почему так не надо делать до финансовых наказаний.

Answer 8

[Алекс]

Вдобавок Предложите начальству установить мониторинг ПК staffcounter.net (есть бесплатный вариант) для Дополнительного контроля сотрудников.

Answer 9

[vitanet]

artica-proxy.com