Механизм блокирования RDP пользователей на шлюзе

при чем здесь

RDP пользователей на шлюзе

и

необходимо отключить интернет

?

то есть йузер идет через интернеты на шиндошс, через шлюз и на шиндошсе надо отключить ему интернет?

и при чем здесь линукс?

ибо нефиг

Я чуть пост изменил для понятности.

А авторизация какая-нибудь на шлюзе есть? Если нет per user авторизации, машина с виндой выглядит как один юзер с точки зрения шлюза.

штатными - на винде.

есть несколько обходных космических вариантов. говорить не хочу просто так.

то есть йузер идет через интернеты на шиндошс, через шлюз и на шиндошсе надо отключить ему интернет?

Либо я криво объяснил, либо Вы не дочитали. Пользователь работает с RDP из локальной сети и хочет посмотреть выйти в интернет через шлюз. Есть ли механизм идентификации пользователя, типа меток каких либо трафика?

Это очевидно, в этом то и подоплека вопроса.

а с вас фигею, дорогие системные администраторы, зачем так извращаться, придумывать какие-то вокруг да около? на винде это, локально делается.

штатными - на винде.

Я не знаток тонкостей администрирования Windows, но разве это без ActiveDirectory можно провернуть.

а с вас фигею, дорогие системные администраторы, зачем так извращаться, придумывать какие-то вокруг да около? на винде это, локально делается.

Критикуя - предлагай!

если найдешь враппер линукс -> виндоус, то

iptables -A OUTPUT -m owner --uid user -p all -j REJECT

как то так могу ошибаться!

еще можешь покопать в сторону «закрепления» src портов под юзера в винде.

если найдешь враппер линукс -> виндоус, то

Ну как бы в этом то и вопрос?

еще можешь покопать в сторону «закрепления» src портов под юзера в винде.

Я с этим вопросом даже на technet.microsoft.com боюсь лезть. Более простые вопросы тамошних спецов вводят в тупик. Насоветуют переустановить Windows. Если есть с чего начать почитать буду благодарен.

Если я правильно понял, то 30 пользователей с компа с виндой лезут в инет, а 1-му нельзя? Если пользователи на винде разные, то заруби 1-му инет локальными политиками.

Ограничивай по IP, а для этого сходи на винфак и попытай народ про remote desktop ip virtualization.

Если я правильно понял, то 30 пользователей с компа с виндой лезут в инет, а 1-му нельзя? Если пользователи на винде разные, то заруби 1-му инет локальными политиками.

Верно, но повторюсь если ActiveDirectory нет, это возможно?

посмотри в сторону squid (proxy) + авторизация

Ограничивай по IP, а для этого сходи на винфак и попытай народ про remote desktop ip virtualization.

Настройка IP-виртуализации удаленных рабочих столов положил в карман. Может быть вариант.

Да.

Панель управления > Администрирование > Локальная политика безопасности.

Но теперь точно на винфак.

Годно, если можно будет связать сеанс и ip...

Да.

В рамках требуемого нельзя. Если докажите обратное, я поменяю мнение.

посмотри в сторону squid (proxy) + авторизация

Спасибо, Кэп!

У этого юзера админская учетка?

Если нет, то можно разрулить штатным фаерволлом винды. Создаешь исходящее правило, которое блокирует исходящие запросы на все адресса и порты, добавляешь в свойствах правила нужного пользователя в список к расстрелу, профит.

У этого юзера админская учетка?

Учетка ограниченная, но возможности указать user для исходящего правила в оснастке фаервол в режиме усиленной безопасности нет!

Ясно, у меня восьмерка на работе, тут есть.

Годно, если можно будет связать сеанс и ip...

Видимо вот что имеем Статичные виртуальные ip для сервера rdp...

подсовывай отщепенцу другую винду без интернета

подсовывай отщепенцу другую винду без интернета

Честно, такой вариант всплывал. Но лень поднимать и содержать еще одну станцию победила.

А что подразумевается под интернетом, то что в браузере? Если так то сделать сценарий входа «плохому» пользователю, и прописать ему не валидный прокси?!

А что подразумевается под интернетом, то что в браузере? Если так то сделать сценарий входа «плохому» пользователю, и прописать ему не валидный прокси?!

Нет, глобально. Любой трафик «из дома» в сторону «улицы».

Нагуглилось по «routing table per user»
Что то в этом есть...
ForceBindIP

есть nufw но он мягко говоря неживой(его форк - ufwi, вроде тоже)

ForceBindIP

Схоже с техникой «Виртуализации удаленного рабочего стола» только для home users.

есть nufw но он мягко говоря неживой(его форк - ufwi, вроде тоже)

Подтверждаю.
За кругозор спасибо!

на шлюзе под линуксом, через ип тейблс открыть доступ в инет по определенным портам. на дхцп сервере прописать две зоны (на будущее) - закрытую от инета зону и открытую. Далее на шлюзе, одной зоне доступ в инет предоставить, другой закрыть.

Это без заморочек с АД и прочим.

Не выйдет! Вам надо понять, что такое Терминальная сессия Windows.

А вам надо понять, что такое локальные политики

<бред_собачий> может, пусть интернетчики подключаются к шлюзу с интернетом по pptp, а у недопущенных пусть не будет туда пароля/сертификата?</бред_собачий>

<бред_собачий> может, пусть интернетчики подключаются к шлюзу с интернетом по pptp, а у недопущенных пусть не будет туда пароля/сертификата?</бред_собачий>

Громоздко.

Хых, если ужнастолько все лениво. Открой оснастку брандмаура, заруби пользователю все порты кроме RDP из внешних сетей, пущай радуется

предлагаю: на винфак

Раньше это делали через identd на венде + squid на не венде

Только где сейчас взять рабочий identd под венду - не знаю.

И в логах сквида видно кто куда ходит...

И в Windows, и в Linux это следовало бы делать на терминальном сервере, локально. Всё остальное (прокси с авторизацией, VPN) - костыли в данном случае.

И в Windows

это следовало бы делать на терминальном сервере, локально

О какой технике речь ведете?

чем она отличается от других подключений? порт открыт, порт закрыт.

или терминальный сервер находиться в одной сети с клиентами? тогда при чем тут шлюз..

no comments

идея: изменить разрешения на запуск браузера (ие или фаерфокс или что-то еще) в свойствах файла (вкладка безопасность), то есть явно указать кому можно читать/выполнять iexplorer.exe, firefox.exe, а кому нельзя.

Ничего не пойму! На линухе поставьте squid сделайте авторизацию по имени. На терминале вреестре политиками назначьте в экплорере работать через прокси с авторизайцией. Один раз впишите пароль и все ок. Если не подходит так то на сервер надо определять пользователя .... они у Вас под разными именами заходят ? Смотрите как вариант http://www.opennet.ru/base/net/win_squid.txt.html ну вернее http://yandex.ua/yandsearch?text=squid samba&lr=222&msp=1 от самбы до актив директори один шаг.