Ağ Üzerindeki Bilgisayarların İnternet Erişimini Kısıtlamak

[axedice]

Bizim şirketin özellikle imalat bölümündeki bazı bilgisayarların internet erişimini kısıtlamak istiyoruz, ama bilgisayar üzerinden yapılan müdahaleleri geceleri falan kaldırıp yine de internete girebiliyorlar. Bununla ilgili bana iki çözüm önerisi geldi, biri firewall alıp tek tek kısıtlamaları yapmak ama çok pahalı şu anda. Bir diğeri ise routerdan kısıtlama yapmak, ama 16 bilgisayarın bağlı olduğu bi switch var ve biz en fazla 8 bilgisayarı kısıtlamak istiyoruz. Alternatiflere açığım, ama tabi ucuz bi çözüm bekliyorum.

[sharky]

Kisitlamak derken ?

Bandwith kullanimini kisitlamak ?
Authentication u kisitlamak ?
Internet erisimini kisitlamak ?

???

[Kharon]

hali hazirdaki router destekliyorsa belli bir ip range in priority sini dusurebilirsiniz. daha genis ayar sunuyorsa router elbet bandwith de dusurmek mumkun.

veya tam tersi onemli addettiginiz bilgisayarlarin priority sini arttirirsiniz ilgili QoS ayarlarindan.

her iki turlude 8 rule veriliyor nasilsa.

router desteklemiyorsa eldeki ekipmana gore olcup bicmek gerek, onu simdi dusunemedim.

edit: sharky den sonra dustu, ben kafadan bandwith ve erisim onceligi olarak baktim olaya.

[Kharon]

hatta direk cihazlari yaz olasi senaryolari degerlendirelim.
mac a gore, netmask da bi bloga gore, porta gore vs.

[axedice]

Arkadaşlar. Mac ne? Bigmac var, bide mac diye bi bilgisayar var galiba. Appleın bilgisayarı macdi dimi? Sonra netmask ne? Maske falan takmıyo bizim bilgisayarlar. Bilmem bu cümlelerim ağ mimarisi ve terimleri hakkındaki genel kültür seviyemi yansıtmaya yetti mi :P

Elimdeki cihazlar :
Bir adet hp marka server bilgisayarı.
Bir adet telekomun verdiği adsl modem
Bir adet bissürü çıkışı olan hub/switch zamazingo
Ondört adet farklı özelliklerde pc

Öncelikle benim istediğim bi kısım bilgisayarın direk internet erişimini kesmek, kısıtlamak yanlış olmuş. İmalattaki bilgisayarlar internete giremesin, sadece ağ üzerinden veri transferi olsun istiyorum. Ama aynı zamanda ofisteki bilgisayarlar da internete girebilsin. Şu portu kapa bunu aç falandı filandı çok detaylı bi ağımız yok zaten. Üç beş excel tablosu var, yarın öbürgün sql tabanlı bi mrp kurulacak ki express de yeterli geliyor bizim veri trafiğine. Hani iş yeri dedim ama kobiyiz biz öyle düşünün.

[Kharon]

tamam zerzevati geciyorum. aklima gelen yontem su;

erisimi kisitlanmasi gereken bilgisayarlarin elinden NIC ozellikleri editleme yetkisini al. ( tcpip girdigimiz, dns girdigimiz yerler lokal wireless falan)

default gatewaylerini sil fakat ip ve subnet masklar dursunlar. haliyle hepsine statik adres vermek durumundasin.

boyellikle o bilgisayarlarin kullanicilari kendi yetkileriyle tcpip ayari yapamayacaklar, herhangi bir program yardimiyla connectivity kazanamayacaklar, fakat lokal dosya ve printer share ile birlikte yerel trafik etkilenmemmis olacak.

[axedice]

Hah teşekkürler sayın kaçıra. Şimdi bu dediklerini nasıl yapabileceğimi de anlatırsan sanırım başarabilirim :P

Bir bilgisayarın NIC özelliklerini editleme yetkisini nasıl kaldırabilirim bu bir, default gatewaylerini silip ip ve subnet maskların kalmasını nasıl sağlayabilirim bu iki.

[sharky]

Bigmac ve maskeli bilgisayar kulturu ile ne yazik ki yapabilecegin kadar kolay bir olay degil bu :(

. ADSL modeminde belki MAC filtering ile birlikte bu tur kisitlamalar yapabilirsin ?
. ADSL modemi tum networkten izole ederek HP sunucuya baglarsin direk. HP sunucu uzerinde interneti dagitarak ( OS ne HP sunucu uzerinde kosan ? HP sunucu derken model ne ?(bu meraktan) ) belirli IP lere kisitlamalar verebilirsin. Netekim minik bir IP degisikligi ile bu override edilebilecek bir durum.
. Nihai cozum ;
ADSL modem izole edilir ve direk olarak bir sunucuya baglanir. Bu sunucu NAT ile ic networke default gateway rolunu ustlenir. Ayni zamanda bu sunucu uzerinde DHCP servisi/daemonu kurulur/aktif edilir. MAC based olarak IP tanimlamasi yapilir.
Bu sunucu uzerindeki firewall ile IP based bir internet restriction saglanir, ayni zamanda NATting icin MAC based bir ek rule eklenir.

// Edit: Tabii yeterince akilli bir arkadas, NIC lerin MAC adreslerini degistirerek tekrar internet erisimine sahip olabilir. Bu durumda bu tur bir restriction + AD + Group Policy problemi cozer. Ama tum bunlar cok kolay islemler degil..

[Kharon]

sharky nin soylediklerine katilmadan edemiyorum ama soyledigim yontemi aciklamaya calisayim, en az zahmetlisi sanirim bu oluyor. En iyi senin bildigini ve digerlerinin de senden daha yetkin mudehale edemeyecegini dusunerek yeterli gelecektir muhtemelen bu onlem.

Once her bilgisayar icin statik bir ip vermek gerekecek , yoksa gateway olmadan dhcp den ip alamayacaklardir.
yapman gereken local range de sirayla ip ler vermek olacak o 8 bilgisayara.
ip : 192.168.1.10-18 arasi
subnet mask 255.255.255.0
gateway bos. (gateway bosaltmaya izin vermiyorsa loop ise yariyor sanirim 127.0.0.1)
dns ler bos.

sonra bu bilgisayarlara admin olarak girip sharky nin dedigi gibi group policy rule set eklemek gerekecek.

bunun icin run-> gpedit.msc
Administritive Templates-->Network--->Network Connections-->
buralarda bi yerde de OS a gore degisiyor emin degilim;
"prohibit access to tcpip settings " veya turevi bisey gorebilmen gerekli. bundan sonra standart kullanicilar gerekli duzenlemeleri yapmak icin lokal ayarlara giremezler.

geri kalan kisimlar artik google ve technet yardimiyla cozersin diye dusunuyorum. bi problem olursa yine yardim etmeye calisirim sayin yurtseven. =P

http://technet.microsoft.com/en-us/library/bb457072.aspx#EGAA
burasi baslangic icin yardimci olabilir group policy de.