作者 主題: [問題] 區網內的網路限制....  (閱讀 4405 次)

0 會員 與 1 訪客 正在閱讀本文。

crazyfeng

  • 可愛的小學生
  • *
  • 文章數: 20
    • 檢視個人資料
[問題] 區網內的網路限制....
« 於: 2005-01-12 14:55 »
在區網內要限制PC上網....
不外乎利用鎖IP,鎖MAC,鎖DMAIN....
不過,現在的病毒問題又多又麻煩,WindowsUPdate又不能不做....
問題來了....
區網內,經理級以上的PC要能上INTERNET收發EMAIL,這部分OK....
員工的PC只跑ERP不讓他瀏覽網站(有人上網聊天玩遊戲)....
此時又要能夠讓WINDOWS更新....
請問各位學長有沒有比較適當的方法或訣竅....?!
或者是像ServerProtect的 "部署" 功能....!!

phantom

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 2185
    • 檢視個人資料
[問題] 區網內的網路限制....
« 回覆 #1 於: 2005-01-12 14:59 »
Linux 非萬能, 沒 Linux 萬萬不能.
root = God
apt-get install ultimate-horsepower

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
Re: [問題] 區網內的網路限制....
« 回覆 #2 於: 2005-01-12 15:00 »
引述: "crazyfeng"
在區網內要限制PC上網....
不外乎利用鎖IP,鎖MAC,鎖DMAIN....
不過,現在的病毒問題又多又麻煩,WindowsUPdate又不能不做....
問題來了....
區網內,經理級以上的PC要能上INTERNET收發EMAIL,這部分OK....
員工的PC只跑ERP不讓他瀏覽網站(有人上網聊天玩遊戲)....
此時又要能夠讓WINDOWS更新....
請問各位學長有沒有比較適當的方法或訣竅....?!
或者是像ServerProtect的 "部署" 功能....!!


配合 proxy 如 squid 之類可以做到。
不然你就配置 SUS 一類。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

ffff

  • 憂鬱的高中生
  • ***
  • 文章數: 121
    • 檢視個人資料
[問題] 區網內的網路限制....
« 回覆 #3 於: 2005-01-13 04:47 »
..用 radius 認証...??

crazyfeng

  • 可愛的小學生
  • *
  • 文章數: 20
    • 檢視個人資料
[問題] 區網內的網路限制....
« 回覆 #4 於: 2005-01-13 13:35 »
忘了提到一點....
大陸的網路跟MicroSoft有仇....
一台Windows2000更新竟然花了一天....

另....
學長們提供的 SUS 方案可行....
現正在努力的建構中....

如果各位學長有其他的建議請不吝提供....
小弟會全部都拿來測試的....
謝~~~

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8832
    • 檢視個人資料
    • http://www.24online.cjb.net
[問題] 區網內的網路限制....
« 回覆 #5 於: 2005-01-13 13:56 »
我會建議強迫使用squid,用iptables的方式讓使用者在不知不覺中使用.然後設定ACL,可以的就快樂到外面亂玩,不行的就是乖乖被拒絕(但可以看微軟的地盤,這樣才能更新),


這樣有好處,你還可以順便做網頁掃毒防禦的功能!
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
Re: [問題] 區網內的網路限制....
« 回覆 #6 於: 2005-01-13 14:31 »
引述: "crazyfeng"
在區網內要限制PC上網....
不外乎利用鎖IP,鎖MAC,鎖DMAIN....
不過,現在的病毒問題又多又麻煩,WindowsUPdate又不能不做....
問題來了....
區網內,經理級以上的PC要能上INTERNET收發EMAIL,這部分OK....
員工的PC只跑ERP不讓他瀏覽網站(有人上網聊天玩遊戲)....
此時又要能夠讓WINDOWS更新....
請問各位學長有沒有比較適當的方法或訣竅....?!
或者是像ServerProtect的 "部署" 功能....!!


不知道您網路架構規劃是怎樣。若是內部都是使用 nat 架構,那通常在 nat 出口那邊弄個 proxy server 搭配 transparent proxy 與 filtering 條件就可以。比方這用 linux 來弄就是 squid 搭配 iptables 來達成。

若是您的網路架構無法調整,也就是不希望內部 ip 都要改成 private ip 的話,那可以採行 transparnt firewall 架構。商業上可以採行購買 netscreen 這類硬體 firewall 達成需求,好處正個環境都不用調整,把該硬體設備放至於 router 與 lan 區段就好,剩下就是設定 filtering rule 相關限制需求。

若要使用 transparent firewall,但是無力花錢購買商業設備的話,那可以考慮使用 linux 來提供這樣的服務。bridge support + filtering 功能在目前的 kernel 2.6 都已經完全 ready 了,所以要架設上並不會有太多問題。

相關 linux 這部份議題可以參閱:

http://bridge.sourceforge.net/howto.html

不過若您要使用 iptables 過濾時,請順便 man iptables,查閱一下關於
physdev 的 match extension 項目,因為過濾層面需要搭配這部份判定所屬連結的實體來源。

至於純 ms 軟體更新部份,上面有人提到  sus 一個非常好選擇。剩下的 filtering 阻擋過濾,就參考一下上面提供的方式。
I am kenduest - 小州

my website: http://kenduest.sayya.org/