Restringir internet

Hola tengo una red de 15 equipos, la mayoria win xp, aunque hay win 98 y 95 .Tengo un servidor con windows server 2003 y la red esta con grupos de trabajo y no con un dominio.

El servidor tiene dos tarjetas de red una por donde entra el Internet (ADLS) y la otra es la salida a la red local LAN. Tengo configurado un Proxy que le da accesos y restricciones a los clientes. Y aqui es donde esta el problema.

Si el cliente tiene configurado el Internet Explorer para que navegue desde el Proxy esté hace su trabajo y da acceso según las restricciones que tenga activas; pero si el usuario cambia la configuracion del Internet Explorer y le dice en conexiones que detecte automaticamente la conexión a Internet, el navegador busca conectarse y EFECTIVAMENTE se conecta pero sin importarle el servidor PROXY para nada.

la pregunta concreta sería como puede desde el servidor denegar el acceso a internet por fuera del Proxy, que si alguien se quiere conectar debe ser unicamente por el Proxy.

Se me olvidaba estoy utilizando FREEPROXY.

Gracias por su ayuda

ok mira veo que estas utilizando el Windows server 2003, no se por que utilizas otro software para compartir el internet si el windows 2003 ya trae incluido el ISA server 2004 para esta funcion.

Aqui el problema lo veo en la configuracion del freeproxy, yo utilice en mi red el ISA 2000 y tengo como 250 estaciones y nunca tube ese problema ya que el isa generas grupo de ip y a las que les da salida les aplica la politica y a las demas las rechaza y listo.

hechale un ojo al ISA no es lo mejor en el mercado pero es bueno dentro lo que cabe con sus agujeros de seguridad etc.

Espero que te ayude.

OK. Voy a chequear el ISA. Pero quisiera saber como puedo bloquear el correo por fuera del Proxy.
La configuracion del Freeproxy funciona perfecto, es cuando el cliente decide navegar sin utilizar el proxy que esta el problema porque SI PUEDE NAVEGAR SIN UTILIZAR EL PROXY. Y no se porque por qué?

Buenas, estaba buscando información para un buen proxy para windows 2003, y he encontrado esta cadena. Respecto a tu pregunta de porqué salen al exterior pasandose el proxy por alto, es porque probablemente asignadas la puertas de enlace y los DNS directamente en cada uno de los equipos, o bien estas utilizando un servidor DHCP que se los proporciona. En el momento que quitas el proxy de la configuración de internet explorer, las peticiones salen directamente a traves de la puerta de enlace, al exterior, y por tanto no pasan por el proxy.

Para evitarlo, puedes editar el registro de windows de cada equipo, y deshabilitar la página de configuración de conexión de internet explorer, de forma que los usuarios no puedan cambiarlo. De todos modos, hacerlo en varios equipos es un engorro, y si tienes Windows server, con active directory(Dominio), hay una forma mucho mas facil de hacerlo. Tienes que crear una unidad organizativa, y crear en ella los equipos y los usuarios correspondientes, y crear una directiva de grupo en dicha unidad organizativa. Al editarla, puedes restringir la página de configuración de la conexión del proxy(aparte de muchisimas cosas mas) en todos los equipos a la vez. Esto te quita el problema del explorer.

Si quieres rizar el rizo, y que nadie salga a internet sino es pasando por el proxy, independientemente de que programa se use, tienes que hacer algunas cosas mas. Para empezar tendrias que restringir en el router, porque supongo que tendras un router para salir a internet, que la única Ip que tenga acceso hacia el exterior sea la del servidor. En el equipo windows 2003, tienes que instalar y configurar el servicio "Servidor de DHCP", para que asigne las ip, el dns, y la puerta de enlace automaticamente al resto de equipos. Para que funcione también tienes que tener en cuenta que hay que activar los reenviadores del servidor DNS (que también debes activarlo en win2003), y poner las direcciones DNS de tu proveedor de servicios, de forma que todas las peticiones que tus equipos hagan, y tu propio dns no pueda resolver se reenvien a estos que si pueden resolverlas. Para finalizar solo tienes que deshabilitar en la politica de grupo la pagina de configuración de conexiones de red, para que no puedan ponerse un ip que no este restringida, aunque bien planificado no podrian, ya que la única ip con salida seria la del servidor, y esa esta siempre en uso, por lo que no podrian ponersela a ningún otro equipo.

De esta forma, todas las peticiones de resolucion de nombres (dns), se hacen a tu servidor, y este si no las resuelve el mismo, las pasa a los reenviadores, estos devuelven la respuesta a tu servidor y este a los equipos. Una vez que se ha hecho esto el equipo pide la conexion al proxy que tambien esta en el servidor, y este devuelve las páginas o lo que sea al equipo que lo solicita. De esta forma has centralizado todas las comunicaciones hacia el exterior en el servidor, y nadie puede acceder a internet sino es pasando a traves de él.

Este metodo puede parecer complicado al principio, pero depues es lo mas comodo, porque para hacer cualquier cambio en todos los equipos lo puedes hacer directamente desde el servidor. Inconveniente, si el servidor se cae, tienes que cambiar la configuración manualmente en cada equipo para que salgan a internet, mientras se repara. Por eso, te recomiendo que si te decides a hacerlo, no lo hagas restringiendo la configuración en los equipos, sino en los usuarios.

Espero que te sirva de ayuda.

Un saludo.