Hallo,
kann ich einme Windows 2000 Server, bei dem NAT eingerichtet ist,ohne fremde Programme sagen, dass der für alles NAT machen soll, außer für Port 80?
Hintergedanke ist der, dass der Server den Internetzugang fürs Surfen nur noch über einen Proxy bereitstellen soll. MS Messenger und POP3 z. B. sollen aber weiterhin direkt ins Netz dürfen.
Gruß HADU
greg-cu 
HADU „W2k Server - NAT“
Hi hadu,
vorausgeschickt: Ich habe keine Ahnung davon ! (aber jetzt wartest Du schon fast 12 Stunden auf eine Antwort...)
NAT kenne ich von Routern her, und da musst Du konrekt sagen, _was_ von aussen nach innen _wohin_ geNATet werden soll.
Wie ein Win2k das macht -tja, wie gesagte, weiss ich leider nicht.
Gibt´s da nicht so was wie z.B. bei Cisco, daß Du sagst: Mach gar nic, ausser den POP3 (also Port 110) und den Messanger (weiss nicht was für ein Port) ?
So ein "deny any" ?
Nur mal, damit wenigstens eine Antwort kommt...
Gruß & gute Nacht greg
HADU greg-cu „Hi hadu, vorausgeschickt: Ich habe keine Ahnung davon ! aber jetzt wartest Du...“
Hi,
danke für die Antwort.
Bei NAT habe ich nichts gefunden, was man einstellen könnte. Entweder ist alles offen, oder alles zu :-(
Welches Protokoll geht und welches nicht kann man auf jeden Fall in einer Firewall angeben. Die Firewall in diesem Netz hängt aber im Router. Da ist es "zu spät".
Der TCP/IP Filter am W2k-Rechner bringt mir auch nichts. Der will seine Einstellungen gleich für alle Netzwerkkarten gemacht haben. Außerdem wüsste ich nicht, was ich sperren sollte.
Und einen extra Rechner als Proxy, NAT und Firewall? Mit Linux kenne ich mich nicht genug als, als dass ich das in einem Tag "mal kurz" einrichten könnte. Und die Firewall, mit der ich mich soweit auskenne (ISA-Server) kostet 1800 Euro + 500 Euro für einen W2k-Server und dafür kann ich auch nicht einfach einen alten Pentium I nehmen. Sonst wäre der DSL-Zugang eine Fehlinvestition gewesen :-)
Na, ja. Muss eben mal weitergrübeln!
Bis dann!
HADU
Teletom HADU „Hi, danke für die Antwort. Bei NAT habe ich nichts gefunden, was man einstellen...“
Wenn Du als Administrator die Interneteigenschaften bei den Clients machen darfst, kannst Du das Gewünschte über die Clients realisieren.
Einfach bei den Clients den Proxyserver wie "nötig" eintragen:
Interneteigenschaften/Verbindungen/LAN Einstellungen/Proxyserver verwenden/Erweitert
HTTP
Secure
FTP
Gopher
Socks
entsprechend des verwendeten Proxys machen
LAN-Verbindung Netzwerkeigenschaften
TCP/Ip-Protokoll Eigenschaften
bei (Standard erster Eintrag) Gateway und DNS Suchreihenfolge die IP des NAT-Servers eintragen.
(bei DNS Suchreihenfolge evtl. DNS-Server-IP des Providers eintragen -muss man ausprobieren - muss man evtl. machen, da mehrere Router durchlaufen werden.)
Beim POP3-Programm kannst Du dann ganz normal bei Server
Posteingang (POP3) die Adresse des E-Mail-Providers eintragen:
z.B. pop.gmx.de
Ergebnis:
Internet-Surfen geht über den Proxy
alle anderen Programme, bei denen kein Proxy explizit eingetragen ist, gehen über den Gateway-Eintrag in das Internet, d.h. über den NAT-Server.
Viele Grüße
Teletom
HADU Teletom „Wenn Du als Administrator die Interneteigenschaften bei den Clients machen...“
Hallo,
die Lan-Einstellungen laufen schon, danke.
Beim DNS ist die Weiterleitung auf den Provider eingerichtet. Ich brauche den eigenen DNS, da auch AD läuft.
Kann ich den Proxy am IE auch so einrichten, dass die USER am Client nichts mehr verändern können? Vielleicht per Gruppenrichtlinie?
Ist diese Einstellung dann auch bindend, wenn der User loakale Adminrechte hat (sind viele Entwickler dabei, die diese Rechte leider brauchen).
Gruß HADU
Teletom HADU „Hallo, die Lan-Einstellungen laufen schon, danke. Beim DNS ist die Weiterleitung...“
Das ist schwer möglich.
Administrator ist Administrator.
Du könntest aber die Proxyeinstellungen in der Registry in eine Reg-Datei exportieren und bei jedem Systemstart (Run Eintrag in der Registry) z.B. importieren.
Damit wird es ziemlich "unwahrscheinlich", dass nicht über den Proxy gesurft wird.
Gruß
Teletom
