» Железный и soft форум>Как средствами WinXP ограничить инет только посещением одного сайта?
Eximus 16:00 23.07.2009
Есть домен, есть ISA2006.
Есть некий юзер, которому полный инет ну никак нельзя давать.
Возиться с ИСой ради одного пользователя не охота.
Можно ли через hosts сделать так, чтобы человек попадал только на один сайт?
типа
80.80.80.80 mysite.ru
127.0.0.1 *.*
[Ответ]
AleksandrD 17:34 23.07.2009
Через hosts не получится.
Можно статические маршруты прописать на "все кроме..." сети в никуда, но это криво.
А что с исой-то не повозиться?
[Ответ]
iggg 22:48 25.07.2009
Eximus, использовать брэндмауэр. Для браузера разрешить исх и вход для конкретного IP-адреса, остальные исх и вход запретить.
Изображения
iggg, имеется в виду виртуальный хостинг, т.е. разрешить доступ к одному ip<>доступ к одному сайту, там их могут быть тыщи :-)
И эта... давно ли Outpost firewall входит в стандартные средства WinXP? :-) AFAIK, стандартный брэндмауэр такое не позволяет.
[Ответ]
AleksandrD 10:01 26.07.2009
Сообщение от Africa:
а мой вариант чё работать не будет?)
Теоретически должен, практически же, по крайней мере в IE, эта возможность работает настолько криво, что работой это назвать трудно. Возможно, в других браузерах ситуация получше, не знаю.
[Ответ]
AleksandrD 10:34 26.07.2009
Сообщение от Africa:
в чем выражается кривизна? если не секрет?
Конечно, не секрет :-) И Вы (если работаете под win) можете его раскрыть, вот как сейчас я, попытавшись прописать www.yandex.ru как единственный, разрешенный к просмотру сайт. :-) Ограничение доступа запрашивает пароль каждый раз, когда видит на разрешенном сайте ссылки на ресурсы других, т.е. 2-3 раза при посещении любой страницы. А ссылки вида market.yandex.ru и вовсе недоступны. Нет, возможно сайт автора темы другого вида, без внешних ссылок, да и с yandex можно повозиться, но.... по мне это не работа.
[Ответ]
][irurg 11:12 26.07.2009
вообще интересный сабж. в ХР куча инструментов для запрета по протоколам, портам, именам программ, но контроль http протокола весьма примитивен. в висте вроде есть еще интрумент "родительский контроль", возможно он более гибкий, не использовал не знаю
а что касается ограничения доступа через ие - видимо это самое близкое что подойдет по теме. делал бы так - сначала все запрещаем (* - Запретить), затем руками разрешаем те несколько ссылок которые нужны. конструкции вида *yandex.ru* почему то не работают
[Ответ]
][irurg 11:27 26.07.2009
Africa, да, действительно. но группу символов (через *) у меня задать не получилось. и даже на разрешенном яндексе он пытается блокировать какой то JS при каждой загрузке, согласен с AleksandrD что все таки лучше использовать сторонний софт
апд а при наличии единого точки выхода в инет как у автора вообще и думать нечего)
[Ответ]
Africa, абсолютно то же самое. настройки покажете? любопытно почему у меня не прокатывает. уверены что другие сайты не открываются при этих настройках?
[Ответ]
][irurg 12:07 26.07.2009
Africa, не нужно, вроде заработало.
ЗЫ имелись ввиду настройки как раз разрешенных узлов. у меня было *google.ru - не работало, заработало с *.google.ru. видимо * не включает .
Изображения
Сообщение от Africa:
Это как не понял? о какой единой точки выхода идет речь? и что.. что единой?) это к чему?
ну не знаю чего вы не поняли, имеется ввиду единый сервер офиса через который производится выход в интернет, на котором установлен прокси - фаерволл. ТС писал ведь, что у него есть ИСА
[Ответ]
pwei 19:11 26.07.2009
Сообщение от Eximus:
Есть домен, есть ISA2006.
Есть некий юзер, которому полный инет ну никак нельзя давать.
Возиться с ИСой ради одного пользователя не охота.
Можно ли через hosts сделать так, чтобы человек попадал только на один сайт?
типа
80.80.80.80 mysite.ru
127.0.0.1 *.*
Удаляете днс серверы из настроек сетевого подкл. Через групповые политики ограничиваете доступ к настройкам сети на локальном компе. В файл hosts вносите те имена, которые должен резолвить этот комп.
Я бы сделал так.
[Ответ]
AleksandrD 20:12 26.07.2009
pwei, Предполагаем, что юзер достаточно тупой, чтобы не попробовать доступ к сайтам по ip?
[Ответ]
][irurg 20:51 26.07.2009
AleksandrD, не всегда ведь это возможно, вспомните опять же виртуальные хосты. имхо способ pwei имеет право на жизнь, правда довольно трудоемкий в некоторых случаях. например что бы адекватно отобразить mail.ru нужно будет разрешить с пару десятков их доменов типа r.mail.ru q.mail.ru и пр. и прописать их в хостс.
Сообщение от Africa:
][irurg, и как это мешает использовать настройки блокировки содержимого или вы про другое?
про другое ) имхо при наличии в сети централизованного сервера все подобные вещи как ограничение нужно делать на нем
[Ответ]
iggg 22:35 26.07.2009
Сообщение от AleksandrD: iggg, имеется в виду виртуальный хостинг, т.е. разрешить доступ к одному ip<>доступ к одному сайту, там их могут быть тыщи :-)
И эта... давно ли Outpost firewall входит в стандартные средства WinXP? :-) AFAIK, стандартный брэндмауэр такое не позволяет.
Согласен Outpost firewall и др. не входят. Но создав вышеизложенные правила, убедился что разрешил доступ только к www.u-antona.vrn.ru[Ответ]
pwei 07:40 27.07.2009
Сообщение от AleksandrD: pwei, Предполагаем, что юзер достаточно тупой, чтобы не попробовать доступ к сайтам по ip?
В предположении, что юзер достаточно подкован(можно выходить в инет и через прокси, и через домашний комп) остаецца только на шлюзе\фаерволле запрещать все кроме доверенных хостов и ток по определенным портам. ][irurg, топикстартер говорит ток про один сайт, т.е. ток один айпи нужно указать в хостс.
[Ответ]
Eximus 08:20 27.07.2009
pwei, юзер на уровне "блондинко", перебор проксей и ай-пи для выхода - исключено на генном уровне
да, нужен доступ только на один сайт, конкретно http://forum-okna.ru/[Ответ]
][irurg 09:12 27.07.2009
Сообщение от pwei:
][irurg, топикстартер говорит ток про один сайт, т.е. ток один айпи нужно указать в хостс.
на "одном" сайте могут находится элементы подгружаемые с других сайтов, имена которых тоже нужно разрешать для корректного отображения. пример привел - маилру, попробуйте зайти на него вашим методом, расписав только 1 айпи
мастерхостовский хостинг. юзер по айпи не зайдет, подойдет любой из указанных способов
[Ответ]
Eximus 08:15 28.07.2009
Africa, в самой ИСЕ не хочется делать по той причине, что админские права только у Московского головного офиса, пока создашь заявку на SharePoint, пока они до нее дойдут, потом будут парить зачем это надо, потом долго будут делать....
короче сплошная бюрократия, проще самому придумать некий hand made
[Ответ]
