Utilizzo Windows Server 2012 in cui ho condiviso internet tramite NAT su una scheda LAN secondaria utilizzando routing e servizio remoto.
Il problema è che quando i miei clienti navigano attraverso il proxy 10.0.0.1:3128 tutto va bene, ma quando rimuovono questo proxy dalle Opzioni Internet sono in grado di navigare i siti Web bloccati dal proxy.
Come posso reindirizzare il traffico del client per passare solo attraverso il server proxy?
Se imposti un proxy come filtro, devi rifiutare tutte le richieste che non provengono dal proxy stesso.
Ciò imporrà all'utente di passare attraverso il proxy o di non avere affatto accesso.
Di solito, l'utente non dovrebbe avere accesso alla configurazione del proxy a meno che non abbia lo scopo di cambiarlo.
L'opzione Lazy mans è quella di modificare l'indirizzo IP dei gateway e assicurarsi che non venga impostato tramite dhcp. In questo modo le macchine (senza conoscere l'IP del gateway) non avrebbero accesso a Internet aperto.
P.S. Imposta il server proxy stesso con l'indirizzo IP appropriato.
Il modo più semplice sarebbe impedire l'inoltro IP tra le interfacce interne ed esterne. In questo modo sarà consentito solo il traffico HTTP / HTTPS che passa attraverso il proxy. Ma questa soluzione semplicistica non può essere utilizzata se il traffico non HTTP (S) deve essere consentito, ad esempio SMTP, IMAP, POP o DNS. Quindi, per renderlo accettabile, è necessario impostare regole di filtraggio che consentano esplicitamente alcune porte (o alcune macchine) mentre si proibisce HTTP (S). Nelle organizzazioni di medie e grandi dimensioni, è necessario configurare i sistemi di posta e DNS che sarebbero autorizzati a utilizzare tali porte attraverso il firewall esterno, mentre tutte le macchine client sarebbero autorizzate a utilizzare il proxy HTTP (S).
Il rimanente non è altro che la mia opinione. Il server Windows 2012 è un sistema operativo eccellente per la creazione di server interni, in quanto offre numerosi servizi tramite AD. Ma per costruire firewall sicuri esposti a Internet, preferirei sistemi più semplici come Linux o anche meglio BSD, perché possono essere più facilmente messi a nudo per contenere solo le applicazioni ei servizi richiesti per quell'utilizzo: in genere nessuna interfaccia grafica X11 ma affidabile Servizio di filtraggio IP (IPTABLE, IPF, IPFilter, ecc.) E facoltativo (*) alcuni proxy. La logica dietro ciò è giusta: meno servizi aperti sull'host bastion, meno potenziali vulnerabilità. Ovviamente, dipende molto dalle dimensioni della rete e dalle tue conoscenze: se sei un esperto nella protezione dei server Windows e conosci poco o nulla sulla configurazione di base di Unix, questa non sarà un'opzione ...
(*) dal momento che alcuni proxy possono essere complessi su un punto di vista della configurazione o della dimensione del codice, può avere senso non installarli sul proprio host bastion ma su un altro server
Leggi altre domande sui tag proxy port-forwarding