Доброго времени суток.

Столкнулся с проблемкой. Бухгалтерия попросила сделать доступ на сайт банк клиента парольным. т.е. задача

сделать на несколько сайтов(банков несколько, используется интернет клиенты(http, java)) доступ по паролю

Железо - DFL-860e.
Локалка - DHCP раздается через сервер Windows. Присутствует АД.
Мысль была следующая используя HOWTO - http://www.dlink.ru/ru/faq/85/574.html создать дополнительные правила, только вместо ALL-NETS в правилах использовать группу в которой будут указаны ИП сайтов банков. Не получилось. (позже укажу как было реализовано)
Может кто сталкивался с похожей задачей, может кто знает как решить.

_________________
С уважением, Иван.
____________________________________

Верно думаете
Новые правила ставьте выше ваших работающих для всех

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Прошивка 2.30.01.06-15901 May 12 2011

1. Идем в "Objects"-"Address Book", создаю "Addres folder" = "Passw_protected_TCP"
2. В этой папке создаю несколько "ipv4 Address" которые нужно защитить паролем, например "Passw_odnokl-ru" и "Passw_Vk-ru" (жалко что не работает преобразование dns:host.com)
3. Создаем группу "Passw_pr_gr", вносим все "Passw_*" IPv4 в группу.
4. Идем в "User Authentication"-"Local User Databases" создаем базу "Passw_access_users", добавляем пользователя "Test" в поле "Group" пишем "Passw_access_users".
5. Идем в "Objects"-"Address Book"-"InterfaceAddresses" (стандартная папка) создаем "ipv4 Address"-"lannet_auth"-"192.168.0.0\24" переходим в закеладку "User Authentication" вбиваем имя базы - "Passw_access_users" (основной "lannet" так же = "192.168.0.0\24")
6. Выполняем пункт 3 из http://www.dlink.ru/ru/faq/85/574.html
7. Идем в "Rules"-"IP Rules" создаем папку "Passw_Acces_Rules", перемещаем её выше папки "lan_to_wan" (стандартная папка).
8. В папке создаем правило - "Passw_Nat"

Address Filter:

9. Создаем правило "Passw_allow_httpauth"

Address Filter:

(Это взято неизменно из http://www.dlink.ru/ru/faq/85/574.html)

10. Создаем правило "Passw_SAT_httpauth"

Address Filter:

Во вкладке SAT:

11.Создаем правило "Passw_allow_httpauth" (честно не совсем понял что разрешает данное правило и зачем оно нужно.)


Продолжение следует..... (убежал домой, после 22 продолжу.)

_________________
С уважением, Иван.
____________________________________

С виду все правильно делаете
Поднимите ваши правила выше lan_to_wan

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Почему то возможность редактирования у меня отсутствует в сообщении так что придется продолжить так. Если модератор поможет склепать все что идет последовательной нумерацией в единое сообщение, буду благодарен.
По поводу поднять выше "lan_to_wan" так разве не пойдет?
7. Идем в "Rules"-"IP Rules" создаем папку "Passw_Acces_Rules", перемещаем её выше папки "lan_to_wan" (стандартная папка).
Пока продолжу
11.Создаем правило "Passw_allow_httpauth" (честно не совсем понял что разрешает данное правило и зачем оно нужно.)

Address Filter:

12. Создаем правило "Passw_reject_NOhttpauth" (По идее должно не пускать не авторизованных пользователей. Но как мне кажется это перестраховка т.к. у нас есть правило "Passw_Nat" идет 8 пунктом в котором четко прописано, что пускать только из сети "lannet-auth" которая доступна только после авторизации. Возможно я не прав пусть меня поправят.)

Address Filter:

13. Идем в "User Authentication"-"User Authentication Rules". Создаем правило "Passw_auth_rule"

Во вкладке Authentication Options:

Во вкладке HTTP(S) Agent Options:

Во вкладке Restrictions:

14.Сохраняемся.

Теперь проблемы.
1. В качестве PASSW_PROTECTED для теста выбрано 2 сайта - mail.ru - внесены все ИП полученные от NSLOOKUP и сайт YA.RU так же.
2. При заходе на MAIL.RU спрашивает пароль. Хорошо. Но тут же при заходе на YA.RU пароль не спрашивает - страница не доступна. Тут же на MAIL.RU снова пароль просит. Странно как то....
3. Точно никак нельзя сделать чтобы заработало DNS:MAIL.RU? Чтобы не вбивать тонну ИП адресов?

_________________
С уважением, Иван.
____________________________________

Проверяйте IP для теста через команду dns в консоли DFL - возможно у вас просто разные IP определяются
Для теста попробуйте настроить одному клиенту вообще авторизацию - работает ли?

FQDN использовать в IP rules нельзя

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо сейчас заработало. Проблема была в ИП. Таким же образом можно блокировать или ограничивать не только HTTP на определенные ИП но и любой другой трафик. Для разблокировки нужно просто зайти по http:\\заблокированный_ИП ввести пароль, и логин. После этого трафик побежит на указанный ИП.
(Это я вдруг для будущих искателей.)

_________________
С уважением, Иван.
____________________________________