Озадачили.
Имеется подключение от проводного провайдера, раздающееся модемом, который подключен к сетевому концентратору, создающему локальную сеть нескольких компьютеров. Имеется указание - заблокировать весь интернет у сотрудников, кроме почтовой программы.
У сотрудников есть неотъемлемое желание сидеть в одноклассниках, чатится в мейл-агенте и прочих маленьких радостях интернета.... Для обхода указа - закупили usb модемы от мобильных операторов.

Появился вопрос возможно ли средствами винды (хрсп3), или прикладными программами реализовать возможность пользоваться интернетом в такой ситуации? Т.е. разрешено всё только при подключении через usb модем, и, не давать пользоваться интернетом, кроме почтовика, при отключенном модеме, т.е. когда (не всегда, конечно... Блютузы, программки, вечно норовят создать еще дополнительные соединения в сетевом окружении, но не в этом суть) единственное соединение - "Подключение по локальной сети".

Появился вопрос возможно ли средствами винды (хрсп3), или прикладными программами реализовать возможность пользоваться интернетом в такой ситуации? Т.е. разрешено всё только при подключении через usb модем, и, не давать пользоваться интернетом, кроме почтовика, при отключенном модеме, т.е. когда (не всегда, конечно... Блютузы, программки, вечно норовят создать еще дополнительные соединения в сетевом окружении, но не в этом суть) единственное соединение - "Подключение по локальной сети".

Без настройки одного из компьютеров сети в качестве СЕРВЕРА, одними лишь средствами Ethernet модема-роутера, НЕ РЕАЛЬНО.
Нужно настраивать одну машину под сервак и там ВСЕ запрещать/разрешать.

Банально через dhcp + прокси.

Да. Можно. Решал проблему когда то ...http://forum.oszone.net/thread-202020.html

неужели в модеме huawei mt882a нет функции блокирования у айпи адресов внутри локальной сети выбранных портов (как пример 80й)?

Да. Можно. Решал проблему когда то ...http://forum.oszone.net/thread-202020.html

неужели в модеме huawei mt882a нет функции блокирования у айпи адресов внутри локальной сети выбранных портов (как пример 80й)?

РЕБЯТА, на стороне модема это не решить...нужен выделенный комп под ШЛЮЗ. а на нём все разрулить. :) На модеме нет возможности прописывать маршрут и все остальное, даже если у КАЖДОГО ЮЗЕРА ЭТО ПРОПИСАТЬ, а вдруг появится новый юзер?!, и тебя нет на месте? а еще он БЛИЗКИЙ друг ШЕФА :) тогда у тебя будут реальные проблемы :)
Проще всего, выделить одну машину под шлюз и на ней все разрулить, чем придумывать велосипед, как это сделать без сервера.

На модеме нет возможности прописывать маршрут и все остальное
Есть, даже на самых дешевых.

Проблема в другом - маршруты в модеме и даже на отдельном сервере не помогут.

даже если у КАЖДОГО ЮЗЕРА ЭТО ПРОПИСАТЬ, а вдруг появится новый юзер?!,
Как раз-таки у каждого юзера это и надо прописывать. Часть маршрутов должна вести через сетевую карту на модем/роутер, а дефолтный маршрут - в 3g модем (расположенный на локальной машине, при чем тут вообще сервер?).
Теоретически решается командой route, но как в винде решаются тонкости типа динамического адреса (и динамического шлюза, соотв) и что будет при выдергивании модема - я не знаю.

Поскольку контора предоставляет только почту, а модемы - изобретение сотрудников, я бы сделал так: в фверволе модема заткнул бы все порты, кроме 25 и 110, а как там настаривать свой модем и компьютер - проблема пользователей.

Как раз-таки у каждого юзера это и надо прописывать. Часть маршрутов должна вести через сетевую карту на модем/роутер, а дефолтный маршрут - в 3g модем (расположенный на локальной машине, при чем тут вообще сервер?).
Теоретически решается командой route, но как в винде решаются тонкости типа динамического адреса (и динамического шлюза, соотв) и что будет при выдергивании модема - я не знаю.

Поскольку контора предоставляет только почту, а модемы - изобретение сотрудников, я бы сделал так: в фверволе модема заткнул бы все порты, кроме 25 и 110, а как там настаривать свой модем и компьютер - проблема пользователей.


у одного юзера почта на gmail? у другого корпоративная....у третьего ваще неизвестно что, но корпоративная (гости)..и каждый раз из-за этого лезть в модем?!

Вообще-то прав...проще запретить всем лезть в ДОРОГОЙ КОРПОРАТИВНЫЙ ИНЕТ, чем выделить маленький комп для реализации "нормальной" маршрутизации с одним 3G модемом.
Если нужен "дешевый" инет...можете обращаться...сделаем. от 600$ unlim/1мбит

Отрезать почтовый сервер от локалки, разрешить вход на него из мира и пусть все своими юсб-модемами пользуются, для почты тоже.

Отрезать почтовый сервер от локалки, разрешить вход на него из мира и пусть все своими юсб-модемами пользуются, для почты тоже.

ТОГДА ВООБЩЕ ЗАЧЕМ НУЖНА ЛОКАЛКА С ИНЕТОМ1? Пусть все будет на 3G модемах...на них же и сеть построить :) и обмен файлами и принтеры...и вообще ВСЁ. ОТРУБИТЬ НАХ,,,,Н локалку. пусть все через МИР ходит :)

тонкости типа динамического адреса это не грозит, внутри сети статика у всех, и один на всех статичный айпи - внешний, прописанный в модеме.

Подумываю как заставить этот модем зарезать к примеру 80й порт определенным участникам в сети.

На крайний случай, уже подсказали самый простой вариант - выделить комп, у которого просто не будет прописан адрес модема, не будет корпоративной почты, но будет беспрепятственный доступ к интернету подручными средствами... Но моя изначальная задумка - дело принципа, к тому же знать как это реализовывается тоже полезно, и вообще, будет удобней людям сидеть каждому за своим компьютером со своей модемо-флешкой, чем по очереди толпится у одного компа.

Так же есть еще один вариант, но, немного сомневаюсь в стабильности (может есть кто пользовался, оставит отзыв): Поставить на серверный, самый мощный с "не цензурируемым интернетом", программу AnalogX Proxy, и, вбить адрес локального компьютера с этой прогой как маршрутизатор в прокси-настройках Бата...

в прокси-настройках Бата...
The Bat вроде не умеет прокси. Или ошибаюсь?

The Bat вроде не умеет прокси. Или ошибаюсь?что-то есть вроде, настройки сети - подключения - вкладка прокси...

Concerned,а есть возможность выделить компьютер?) дать инэт через проксю) вписать нужные правила)

есть возможность выделить компьютер?конечно есть, но, всё же оставил это на самый крайний случай, если фокус с модемом-как-прокси не прокатит. А пока жду замены на другую модель модема, у которой настройки, как мне показалось, более гибкие и детальные.

Впрочем, всем спасибо за обсуждение, все варианты достойны.

Чуть не забыл про резюмировать...
В общем, перепробовал несколько модемов и пришел к выводу, что "возможность" фильтрации трафика машин выходящих в интернет из локальной сети (прим у Huawei SmartAx Mt288 - Advanced > IP Filter) создана для красоты... или, применяется для другой архитектуры сети.

В итоге, поставил на один компьютер прокси сервер, самый простой, который можно найти, прописал в "the bat" прокси сервер локальной сети ("свойства"> "администрирование и сеть"> вкладка "прокси"). Удалил шлюз модема в свойствах сетевого подключения. И всё, что нужно было - реализовалось.