WinXP-Client vom Internet ausschließen

[maeck 10]

Hallo,

 

wir haben ne w3k-Domäne und ich würde gerne zwei WinXP-Clients vom Internet ausschließen, wobei sie aber nachwievor auf das Netzwerk (FileServer) zugreifen dürfen sollen.

 

Geht so was und wenn ja, wie?

[Purecut 10]

Hallo,

 

wir haben ne w3k-Domäne und ich würde gerne zwei WinXP-Clients vom Internet ausschließen, wobei sie aber nachwievor auf das Netzwerk (FileServer) zugreifen dürfen sollen.

 

Geht so was und wenn ja, wie?

 

Ohne groß nachzudenken würde ich folgendes machen.

Die beiden Clients in eine gesondert OU und eine GPO erstellen, da dass diese die Netzwerkeinstellungen und andere Netzwerktools nicht benutzen können. Dann den Clients eine IP vom DC DHCP zuteilen. In den DHCP Bereisoptionen diesen Clients ein Gateway zuteilen, welches es in deinem Netzwerk nicht gibt. Dann können die Clients nicht nach draußen aber interne Seiten über deinen WEB Server aufrufen.

 

Man könnte den Clients aber auch ein Gateway zuteilen, welches dann auf eine interne Adresse geroutet wird z.B. wieder den internen WEB Server mit einer eigens dafür vorgesehenen 404 Seite.

 

Ob man Clients per GO so einfach den Zugang nach außen entziehen kann weiß ich nicht.

[Gast]

Falls es mit einem falschen Gateway nicht geht, bleibt dir nur der Proxy. Entweder MS oder Squid o.ä. für Linux.

[maeck 10]

Danke für die Antworten. An den squid hatte ich auch schon gedacht.

Hatte nur gehofft, dass es mit ner Gruppenrichtline möglich ist.

 

Was genau ist OU?

 

Falsches Gateway ist zwar ganz schön unsauber, aber wenns wirkt ;)

Danke euch.

[overlord 10]

Danke für die Antworten. An den squid hatte ich auch schon gedacht.

Hatte nur gehofft, dass es mit ner Gruppenrichtline möglich ist.

möglich ist vieles...

- falsches oder kein gateway

- falscher oder kein proxy

- generell auth am proxy für zugang zum inet (hätte den nachteil, auth gilt dann für jeden)

- ip´s dieser clients am proxy für inet sperren

 

wenn squid sowieso eingesetzt wird, wäre es eine überlegung. ansonsten unnötig und schneller per GPO bzw. fehlendem gateway realisierbar.

 

Was genau ist OU?

auf deutsch= Organisationseinheit (organizational unit)

Stichwort Active Directory! ;)

[maeck 10]

auf deutsch= Organisationseinheit (organizational unit)

Stichwort Active Directory! ;)

Aha, jut :)

Wusste nur mit der Abkürzung nichts anzufangen.

 

Danke für die Zusammenfassung.

 

Schönen Tag zusammen.

[schaedld 10]

Möglich wäre auch auf der FW eine Rule zu erstellen, die z. Bsp. Deny Access to Inet hat und die Clients dann dort drin aufnehmen.

[Purecut 10]

Möglich wäre auch auf der FW eine Rule zu erstellen, die z. Bsp. Deny Access to Inet hat und die Clients dann dort drin aufnehmen.

 

Richtig. Wenn Das deine Firefall unterstützt ist da wohl die sauberste Lösung. (Kann das meine überhaupt.. muss mal flux kramen, wäre interessant zu wissen)

[maeck 10]

Hmm, das klappt aber doch nur, wenn ich statische IP-Adressen habe, oder? Und wir haben DHCP.

Oder kann ich in der FW auch Mac-Adressen eintragen?

[overlord 10]

Hmm, das klappt aber doch nur, wenn ich statische IP-Adressen habe, oder? Und wir haben DHCP.

Oder kann ich in der FW auch Mac-Adressen eintragen?

-kommt auf die FW an :)

-btw, sperren von MACs geht auch im squid

-die 2 Clients könnten per DHCP aber auch eine feste IP reserviert bekommen (allerdings nicht so "sauber" wie die Lösung per MAC-Sperre,..)

[maeck 10]

okay, danke.

 

Werd wohl erstmal über DHCP an die ausgewählten clients nen falsches Gateway ausgeben und dann mal schauen, dass ich dafür ne saubere Lösung über squid hinbekomme.

Nur muss ich mich mit squid nen bisschen intensiver beschäftigen, weil die Authentifizierung dann auch über w3k-Domäne laufen sollte und ich noch keinen Plan habe wie das geht.

 

Danke, an alle.