Запретить сайтам на IIS 7 выход в интернет

Тема в разделе "Администрирование серверов", создана пользователем kolya12, 16 фев 2014.

Модераторы: mefish, stooper
  1. kolya12

    kolya12 Создатель

    Регистр.:
    20 июн 2008
    Сообщения:
    37
    Симпатии:
    0
    Система Win2008R2. IIS 7.
    Нужно запретить всем или избранным сайтам, работающим на сервере доступ в интернет, что бы запретить любым "стучалкам" выполнять свои функции. Нужно сделать так, чтобы сайты были доступны только внутри локальной сети.
    Как это реализовать?
     
  2. ne4to

    ne4to Постоялец

    Регистр.:
    16 ноя 2012
    Сообщения:
    107
    Симпатии:
    50
    встроенный фаярвол, KIS, Kerio, etc...
     
  3. kolya12

    kolya12 Создатель

    Регистр.:
    20 июн 2008
    Сообщения:
    37
    Симпатии:
    0
    Как правило настроить тогда?
     
  4. ne4to

    ne4to Постоялец

    Регистр.:
    16 ноя 2012
    Сообщения:
    107
    Симпатии:
    50
    самое простое запретить исходящие соединения для процесса iis и довавить в исключения локальную сеть
     
  5. kolya12

    kolya12 Создатель

    Регистр.:
    20 июн 2008
    Сообщения:
    37
    Симпатии:
    0
    Блокирую @%windir%\system32\inetsrv\iisres.dll по всем портам и адресам. Не помогает. Доступ из вне есть.

    Но вот php-cgi.exe в инет просилось, закрыл. Не помогает.
     
    Последнее редактирование модератором: 17 фев 2014
  6. Цукер

    Цукер Сам себе призедент

    Moderator
    Регистр.:
    5 мар 2008
    Сообщения:
    416
    Симпатии:
    376
    http://technet.microsoft.com/ru-ru/library/cc733090(v=ws.10).aspx

    а вообще если ты php хочеш локнуть то надо не только его exe блочить но и модули и сокеты(и wininet)
     
  7. kolya12

    kolya12 Создатель

    Регистр.:
    20 июн 2008
    Сообщения:
    37
    Симпатии:
    0
    Спасибо за наводку. Это мы ограничим ответы сервера.
    Но как отграничить доступ конкретного сайта (или хотя бы всех) IIS сервера во внешнюю сеть (интернет) ?

    Можно унести ISS внутрь локальной сети и не дать серверу доступ во внешнюю сеть, это понятно. Но как программно реализовать задачу на сервере, имеующим доступ в интернет?
     
  8. kolya12

    kolya12 Создатель

    Регистр.:
    20 июн 2008
    Сообщения:
    37
    Симпатии:
    0
    В мониторинге ресурсов System отдает данные от Веб-сервера по 80, 443 порту.
    Создал правило в брандмауэре на блокировку W3SVC (Служба веб-публикаций), но трафик в том же мониторе ресурсов все равно проходит. В чем может быть дело?
     
  9. glavriba

    glavriba Создатель

    Регистр.:
    15 апр 2013
    Сообщения:
    39
    Симпатии:
    1
    По портам исходящий трафик лучше блокировать. Ну и исключения для локальной сети. Делается даже встроенным брандмауэром.
     
  10. venomrs

    venomrs Создатель

    Регистр.:
    7 янв 2014
    Сообщения:
    24
    Симпатии:
    0
    С помощью роли ISS "авторизация URL-адреса" это нельзя решить?