GP ve internet kısıtlaması hakkında ?

Merhaba ;

Ortamında ISA sunucusu var ise bunu yapabilirsin ama yok sadece Dc  ile yapmak istiyorsan DHCP  scoope de GW dagıtılmamasını saglayabılırsın kı o zaman ınternete cıkan ip ler de  GW bılgılerını manual  gırmen gerekır clıent sayın fazla ise cok ugrastırır veya ortamında bır firewall var ise domaindekı clientlerın ip lerını dhcp uzerınden sabıtleyebılırsın ve firewall ında da sadece o ip lerın ınternete cıkacagı sekılde  duzenlersın ama yenı bır pc vb domain e aldıgın zaman onunda ip sini sabıtleyıp firewall ına gırmen gerekır kı aklıma gelen bu tarz vb butun yontemler clıent sayınız  fazla ıse sızı cok ugrastıracaktır ama ISA server kullanıyor ısenız cok daha kolay ve stabıl sekılde domain de o0lmaan pc lerın ınternete cıkmasını engelleyebılırsınız.

Teşekkürler.

Arkadaşlar;

Network'ümde bulunan 1 adet DC serverim var. DHCP ve DNS yüklü. Bu DC server'in etki alanında olmayan yani WorkGroup olarak çalışan clientların DHCP den IP alabilirler fakat internete çıkmasını istemiyorum. Domain etki alanına girdikten sonra nete çıkabilirler...

Bu kuralı nasıl ayarlayabilirim?

Yardımcı olacak arkadaşlara şimdiden teşekkürler...

Yada yazılanlara ek olarak dhcp üzerinde workgroup isminde bir class id tanımlar domainde olmayan makinalarda ethernet kartlarına class id verip bu kullanıcıların farklı default gateway alıp çıkamamasını sağlıyabilirsiniz sanırım.

Malesef network'ümde ISA server kullanmıyorum. Networkümde 300 civari client var. DC'min IP adresi 192.168.0.1 (Gateway : 192.168.0.1) Firewall 192.168.0.254 dir. DC'de Routing and Remote Access servisini aktif ederek userları nete çıkarıyorum. DHCP IP aralığım 192.168.1.1 - 192.168.3.254 ve subnetim 255.255.252.0 dir. Buraya kadar her şey yolunda. Networkümde domainde olmayan makine elle IP vererek 192.168.0.254 (firewall IP) adresini vererek nete çıkabiliyor.
Not: Firewall Cisco Asa 5510dur

Kısaca;
DC'nin etki alanında olmayan bilgisayarlarım DHCP oto IP dağıtsa bile nete çıkmasını önlemek istiyorum.

Öncelikle yapınızda firewall bir switch üzerinemi bağlı yoksa direk server üzerinde ikinci bir ethernet kartınamı sormamdaki sebeb şu kullanıcılar internete çıkabilmek için rras a uğramaya mecburlarsa rras üzerindeki policylerden domain users grubunu ekliyerek sadece bu grubun internete çıkmasını bu grup dışında ras a gelenlerin çıkamamasını sağlıyabilirsiniz. Eğer firewall direk bir switch e bağlıysa dediklerimin bir anlamı kalmıyor 🙂

http://cozumpark.com/forums/thread/3505.aspx

http://cozumpark.com/blogs/gvenlik/archive/2008/04/16/_3101_psec-ile-nternet-yasaklama.aspx

http://cozumpark.com/forums/thread/20802.aspx

http://cozumpark.com/forums/thread/22871.aspx

http://cozumpark.com/forums/thread/6819.aspx

v.s Portal üzerinde araştırma yaparsanız daha fazlasınada ulaşabilirsiniz. 

Malesef network'ümde ISA server kullanmıyorum. Networkümde 300 civari client var. DC'min IP adresi 192.168.0.1 (Gateway : 192.168.0.1) Firewall 192.168.0.254 dir. DC'de Routing and Remote Access servisini aktif ederek userları nete çıkarıyorum. DHCP IP aralığım 192.168.1.1 - 192.168.3.254 ve subnetim 255.255.252.0 dir. Buraya kadar her şey yolunda. Networkümde domainde olmayan makine elle IP vererek 192.168.0.254 (firewall IP) adresini vererek nete çıkabiliyor.
Not: Firewall Cisco Asa 5510dur

Kısaca;
DC'nin etki alanında olmayan bilgisayarlarım DHCP oto IP dağıtsa bile nete çıkmasını önlemek istiyorum.

merhaba;

1. seçenek : gpo ile kıstlamak
bunun için bir ou tanımlayınız ve userlarınızı bu ou altına atınız.gpo edit edip proxy e uyduruk tanımlamalar giriniz.
pclerde fw ip si gw olarak verilse bile proxy baskın çıkıp webde gezmelerini engeller.
2. seçenek : dhcp de ip mac eşleşmesi yapın ip adresine mac adresini reserve ederseniz dışındakilere 2. bir dhcp ile interneti kullandırtmazsınız.
3. seçenek : asa üzerinden internete çıkacak ip veya ip range tanımı yapınız.bunun dışında kalanlar için deny kuralı uygulayınız.
selamlar
elinizde kısıtlamak için 3 seçenek var ve üçüde sisteminizde mevcut.

Take away internet options:
Make a GPO for it by
going into user configuration, administrative templates, internet
explorer, browser menus, and enable tools menu: disable internet
options. Game over.I find it's easiest to go into windows settings,
internet explorer mainentance, connection, proxy settings, and set the
proxy to 0.0.0.0. Do that in the same GPO.Then apply it to the users or machines you want locked out, and you are good to go

2. seçenek : dhcp de ip mac eşleşmesi yapın ip adresine mac adresini reserve ederseniz dışındakilere 2. bir dhcp ile interneti kullandırtmazsınız.

burası benim aradığım özellik işte, fakat workgroup'taki bilgisayarlar için DHCP de nasıl bir konfigürasyon yapacağım hakkında bilgim yok. bunu biraz daha açarsanız minnertar olurum...

Merhaba,

http://cozumpark.com/forums/thread/8224.aspx

 

2. seçenek : dhcp de ip mac eşleşmesi yapın ip adresine mac adresini reserve ederseniz dışındakilere 2. bir dhcp ile interneti kullandırtmazsınız.

burası benim aradığım özellik işte, fakat workgroup'taki bilgisayarlar için DHCP de nasıl bir konfigürasyon yapacağım hakkında bilgim yok. bunu biraz daha açarsanız minnertar olurum...

300 client az bir rakam değil. Mesut hocamızın verdiği linkteki DHCP Callout DLL çözüm olabilir ama gatewayi manuel vereyim, ip leri reservation yapayım gibi çözümler hiç esnek olmaz.

İleride bir değişikliğe gitmek isterseniz, 300 client ile tekrar uğraşırsınız.

Beni önerim ISA Server dır. İşlemci başına lisanslanır (CAL ihtiyacı yoktur). Bir ader ISA Server 2004 Standart Editition ile tüm sorunlarınızdan kurtulurusunuz 🙂

Kullanacağınız diğer özellikleri ise cabası.

 

bu 3 secenekten bırı uygularsak maıl almada sorun olurmu 

sıstem gene aynı 2008 r2 var dchp dns servısler kurulu ayrıca dc rolunde

pc ler nete cıkmasın ama outloklarına maıl gelsın bu yapılara bılırmı