Matagi
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем доброго дня.
Есть небольшая или большая проблема. Внутренняя сеть отгорожена от Интернета 2 брандмауэрами - аппаратным (WAN-DMZ) и программным ISA2006 (DMZ-LAN). На внутренних DNS пристутствует корневая зона (.). На всех серверах и РС установлен IFC, браузеры настроены на использование ISA как Web-proxy. На железном брандмауэре настроен DNS Relay. Пересылка на DNS провайдера.
К сети подключена точка доступа DLink. Беспроводным клиентам, среди которых есть и сотрудники, и гости, адреса выдает встроенный DHCP AP. В качестве DNS сервера НА ДАННЫЙ МОМЕНТ - сервер провайдера (чтобы не настраивать у каждого посетителя браузер или не устанавливать клиент), шлюз - LAN интерфейс ISA, IP адреса НА ДАННЫЙ МОМЕНТ - из внутреннего диапазона, т.к. ИЗРЕДКА посетителям требуется доступ к терминальный серверам, расположенным в LAN.
ВОПРОС - можно как-то ограничить эапросы (возможно, правильнее будет сказать, пересылку запросов ИСОЙ) к внутренним DNS серверам? На данный момент при запуске терминального клиента на ПК, подключенным через AP, есть доступ к терминальному серверу по его доменному имени, хотя клиент получает в качестве DNS сервера сервер провайдера. Планируется либо запретить(разрешить) запросы от определенного пользователя (на AP будет несколько SSID - аутентификация с использованием AP+RADIUS и без указания учетных данных), либо наоборот, разрешить. В итоге гости не должны иметь доступ к терминальным серверам по имени.
Второй вопрос - не будет ли проще и правильнее назначать беспроводным клиентам адреса из диапазона DMZ с шлюзом - внешним интрефейсом железного файрвола?
Спасибо.
|
ssl на то и ssl чтобы внутрь было не залезть. инспекция есть у тмг. для исы есть левые декодеры, например 
Следовательно иса_1 не входи в домен, а иса_2 входит в домен. Чем не вариант!?