Jump to content
Sign in to follow this  
CroDiver

SIF (Statefull-Inspection-Firewall) blockt Internetzugang nicht

Recommended Posts

Hallo Kollegen,

 

ich habe mir vor kurzem einen Bintec Router (R1200) gekauft, um mal eine richtige Firewall zu haben. Damit kann ich ja anhand von IP-Adr., die ich in Gruppen zusammenfasse, steuern ob die user z.B. ins Internet können.

Mein Problem ist aber vollgendes:

Wir arbeiten hier mit einem Terminalserver, auf dem ein Teil der user NICHT ins Internet darf. Wie krieg ich das denn hin, nicht gleich alle user per Firewall zu blocken (geht ja alles über diese eine Terminalserver-IP)???

Auf dem Desktop sind zwar alle Internetexplorer-(und Explorer, outlook Express,...)-Symbole per Gruppenrichtlnien deaktiviert, aber wir haben hier eine Software mit der man eben durch Umwege auch ins netz kommt!

Kann ich vielleicht eine Art Passwort-Abfrage dazwischenschalten, d.h. wenn ein User (egal wie) ins Netz will, muss er vorher einen Benutzernamen und ein Passwort eintippen???

Habt ihr vielleicht eine Idee??? Ich krieg hier nehmlich langsam eine Kriese!

Grüße, CroDiver

Share this post


Link to post

Also ich kenne das Thema nur von Juniper Networks, da kann ich verschiedene Authentifizierungsmethoden auf User Basis dazwischenschalten.

Aber ob es die bei Bintec gibt kann ich dir nicht sagen.

Ich würde es vielleicht mit einem Proxy mit einer Userverwaltung versuchen bzw

ich glaube man kann über die Gruppnrichtlinien auf Proxyeinstellungen setzten. Dann weist du einfach den Usern, die nicht surfen dürfen eine beliebige (nicht vorhandene) Proxy IP zu.

Share this post


Link to post

Ja, Junipa kenn ich (vom hören sagen). Und die haben ha auch ne SIF, also dachte ich das eine SIF so ist wie die andere. Aber falsch gedacht!!!

Hm, hört sich richtig gut an. Sorry, aber magst Du mir kurz umreisen wie ich das mit dem Prosy einrichten soll? Hab das ehrlich gesagt noch nie gemacht. *schande über mich*

Wir haben hier 2 TS-Server2003 (Domänencontroller) und einen W2K-File-Server.

Läuft das dann über den IIS?

Ich werd dann wohl irgendwo im DHCP, die RouterIP auf die ProxyIP umstellen müssen nehm ich an. Also muss ich allgemein wohl eine "Instanz" vor den Router schalten, damit erst alle user diese als Proxy verwenden, und dann nur noch dem Proxy die IP des Routers bekannt geben, oder?? Brauch ich dafür nen ISA-Server, oder tut's z.B. schon der W2KServer???

DANKE für dein schnelles feedback, bei mir ist nehmlich langsam land unter. :mad:

Share this post


Link to post

Kauf dir ne Astaro und wirf den Bintec weg. Dann hast Du ne richtige Firewall ;)

 

Das schöne an der Astaro ist, dass die auch User verwalten kann und sich z.B. auch in dei Domäne integrieren kann.

 

Juniper-Geräte kenne ich auch aus eigener Erfahrung. Die sind spitze, haben aber auch einen spitzen Preis.

 

Ansonsten schau Dir noch den ISA 2004 an.

 

Damit hättest Du 3 Lösungen, die alle das erfüllen, was erfüllt werden muss.

 

Welche Lösung Dir am besten schmeckt .... Deine Wahl.

 

grüße

 

dippas

Share this post


Link to post

Hab das jetzt mal so gelöst:

 

Die user die nicht ins Netz dürfen kommen in eine extra OU mit GPO.

Dann verweise ich in der GPO auf einen Proxy der nicht existiert, und fertig. :)

Aber danke für die schnellen Echos.

 

Grüße, CroDiver

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...