Windows Server 2003 / Routing / Filterregeln

hallo,
ich habe folgendes problem:
ich habe einen windows server 2003 als router. der soll nur http anfragen vom proxy server weiterleiten, damit die clients gezwungen sind, den proxy zu nutzen. also habe ich (versucht) über eine filterregel alles tcp was als zielport 80 hat und nicht vom proxy server kommt zu verwerfen. leider funktionert das nicht, nach wie vor kann jeden client auch ohne proxy ins netz. jemand ne idee was ich da falsch mache?
gruß, sancho

Wie hast du das genau konfiguriert?

unter IP-Routing / NAT/Basisfirewall habe ich bei der NIC, die ans Internet angeschlossen ist, unter->ausgehende filter' einen eintrag erstellt, der Pakete mit Zielport 80, die von einer bestimmten IP-Adresse kommen, blockt.

Das gilt nur für den Server selbst, nicht für die Clients. Die Clients holen sich nur die DNS-Daten, werden aber nicht über die Netzwerkkarte geroutet, sondern über das Standardgateway. So kannst du das nicht blocken.
Wenn du die Clients zwingen willst über den Proxy zu gehen, vergib per Policy die Proxykonfiguration und deaktivier den Reiter Verbindungen beim Internetexplorer.

das habe ich auch getan. nur wenn jemand z.b. mit seinem privaten notebook kommt und sich daran als admin anmeldet, kann er die verbindungseinstellungen selbst wählen und so den proxy übergehen.
ich versteh auch nicht ganz, was du mit->gilt nur für den server' meinst. der server ist standardgateway und alle anfragen der clients laufen über ihn. wieso kann ich dann nicht mit hilfer der filterregeln bestimmte pakete rausfiltern, wenn man schon die möglichkeit hat, quell und ziel ip anzugeben?
es muss doch irgendwie möglich sein, nur http anfragen vom proxy weiterleiten zu lassen oder nicht?

Dein Server ist Gateway? Naja, würd ich definitiv nicht so machen.
Ein Router sollte als Standardgateway definiert sein. Nach dem Proxy sollte ne Firewall kommen, dann kann keiner mehr ohne den Proxy raus, da die Firewall nur Daten vom Proxy auf Port 80 annimmt. Somit umgehst du auch die Adminanmeldungen. Ohne richtigen Eingrag gehts dann nicht mehr.
Windows als Softwarerouter zu verwenden is nicht wirklich zu empfehlen

ok, aber wieso sollte man sich für das routing, das man ja auch vom server erledigen lassen kann, noch ein zusätzliches gerät anschaffen?

Weil Router dafür da sind zu routen, ganz einfach...
Wer sagt das man das komplette Routing vom Windowsserver erledigen lassen kann? Das geht definitiv nicht. Es gibt nur sehr wenige Konfigs die du damit abdecken kannst. Es is doch viel einfacher und vor allem sicherer es über eine Hardware zu konfigurieren.
Wichtig ist vielleicht auch wenn dein Server wegbricht, oder Schwierigkeiten macht, kann und muss vielleicht der User ins Internet, da der Standardgateway auch als DNS-Server verwendet werden kann und du als Admin nach Problemlösungen googlen kannst.
Es gibt massenweis Gründe dafür. Entscheiden musst dich aber selbst.

Marco schrieb:

[...]Wer sagt das man das komplette Routing vom Windowsserver erledigen lassen kann? Das geht definitiv nicht.[...]

Zum Vergrößern anklicken....

Einspruch! Das geht sehr wohl!
Ich bin zwar kein Fan davon und nutze auch lieber ein separates Stück Hardware als Gateway, aber prinzipiell ist der Server 2003 durchaus ein _vollwertiger_ Router, mit dem sich so ziemlich alles realisieren lässt, jedenfalls weit mehr als mit einem Standard SoHo-Router.

Im angesprochenen Fall verweise ich einfach mal auf den ISA Server 2004, der würde genau das abdecken, was hier gefragt wird und läuft, man glaubt es kaum, stabil und sicher auf Windows Server 2003 Basis.

Stimmt schon, aber wenn ich die Kosten betrachte, brauchst du eine eigene Hardware für den ISA, und die Lizenz. Natürlich kannst du mit vielen weiteren Programmen über Software vieles abdecken, aber macht das auch Sinn?
Fakt ist das der Windows Server selbst ohne Zusatzsoftware das nicht kann, und ein Hardwarerouter immer zu empfehlen ist.