Как оставить программе доступ только к определенному ip?
Есть ПО с которым работает несколько пользователей, есть серверная часть этого ПО. Соответственно на сервере(windows) лежат общие файлы с которыми работают пользователи. Мне нужно настроить брандмауэр(windows) на компьютерах таким образом, чтоб ПО могло подключаться к серверу, но не могло подключиться к интернету и другим серверам в локальной сети.
На данный момент сделал это так: настроил IPsec туннель между клиентом и сервером(через GPO), на клиенте создано правило брандмауэра разрешающее безопасное исходящее соединение этой ПО только к определенном серверу, на сервере соответственно такое же правило только на входящее соединение.
Вопросы:
1. нормальное ли это решение? (на клиентах брандмауэр настроен по умолчанию, т.е. все исходящие соединения разрешены, может ли программа при таких настройках передать что-то в интернет?).
2. может есть еще какие варианты, решить эту задачу?
Обычно, если нужно максимально оградить некоторое ПО от локальной сети (или наоборот), то выделяют компы с этим ПО в отдельную IP подсеть, эту подсети загоняют в отдельный VLAN. Для того что бы эта подсеть могла все таки как-то подключаться к необходимым ресурсам на границе настраивают закрытый фаервол. В фаерволе настраивают разрешающие правила только для необходимых ресурсов, остальной трафик блокируется. Фаервол можно поднять на виртуалке, если у вас в сети уже развернута виртуальная инфраструктура.
Т.е. получается подсеть внутри локальной сети. Доступ в подсеть и обратно происходит исключительно через промежуточный внутренний фаервол.
