есть DFL-260E по vpn подключается удаленный пользователь, и потом заходит в терминал.

1. задача создать несколько vpn пользователей(user1, user2) чтоб они видели только сервак с терминалом, ресурсы сети были недоступны. Может для повышения безопасности, разрешить им только rdp TCP 3389?
2. пользователь админ мог видеть сую сеть и ресурсы.


спасибо

легко , на форуме такие схемы описывались не раз .

а вы думаете что пользователь который вошёл на терминальный сервер по RDP будет ограничен какими то правилами DFL ? и не получит доступа к сети ?!
странно пускать в одну дверь пользователя - а потом ему разрешать ходить по всему дому

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

сервер подключен на lan2, может сделать чтоб они попадали только туда, vlan-нами как то.
user1 и user2 в терминале имеют доступ только к 1С поэтому с сервака они никуда в сеть не попадут, задача ограничить доступ в сети.

Vlan и надо , только не забудте что у вас будет еще одна сеть и ее тоже придется маршрутизировать [quote="Bov4ik"]user1 и user2 в терминале имеют доступ только к 1С поэтому с сервака они никуда в сеть не попадут, задача ограничить доступ в сети.
[quote]
так пользователи консолью 1с подключаются , или заходят по RDP?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Мне аналогия очень понравилась.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

"Элементарно. Ватсон!" (с)
У меня так на одном из объектов сделано.

Создаете пул адресов для VPN юзверей
При регистрации на PPTP-сервере в зависимости от логина выдается строго определенный адрес из вышеуказанного пула
Группируете рядовых юзверей и даете им доступ только на группу хостов ForVPNUsers по нужному сервису
У Мастера - полный доступ.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

по RDP

супер просто !

помните про дверь ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Топикстартер! Какая версия у Вас там на серваке?

Володь, если в параметрах RDP на сервере разрешить запуск только конкретного приложения ( например, 1С), то дальше юзверь не сможет ломануться. Я так понимаю, у топикстартера так и сделано.
Но лучше конечно подстраховаться и докрутить гайки при помощи политик.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

приложения то понятно .... но пользователь на уровне системы. получит тот доступ к сети.

те даже если админ и ограничит запуск приложений . кто не дает гарантии что пользователь не залезет на какие то шары , и тому подобное ..... начудить можно массу чего . разгребать то админу . поэтому я за тот туннель в котором нет открытых ресурсов типа RDP. на край под виндой опубликованные приложения через RDP, а у Зверя ярлычок на рабочем столе

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

спасибо настроил меня устраивает.