none
Bloqueio apenas para alguns usuários de internet

    Question

  • Olá amigos eu ja sei que tem vários tópicos relacionados a esse tema, porém nenhum deles obtive êxito aos testes que me foi passado. Bem tenho o Windows 2003 Server com AD e Isa 2006 no qual contém as seguintes regras:

    1) Acesso ao isa - Action: Allow - Protocols: All outboound traffic - From / Listener: Internal - To: Local Host - Condition: All Users

    2) Firewall Rede Interna - Action: Allow - Protocols: All outboound traffic - From / Listener: Localhost - To: Internal - Condition: All Users

    3)
     Liberar Internet - Action: Allow - Protocols: Http:/Https/FTP - From / Listener: Localhost - To: External - Condition: All Users


    Porém na regra 3 eu coloquei um usuário em específico em exceptions para não acessar a internet, só que quando eu vou testar a regra, nenhum dos computadores conectam. Eu ja tentei praticamente de tudo para tentar fazer funcionar, caso eu deixe em all users funciona normalmente, mas quero bloquear apenas alguns pc's.

    Já tentei criar uma regra para bloqueio apenas com 1 usuário que quero bloquear cadastrado, mas se faço isso nenhum navega, como posso reverter?

    Grato
    Wednesday, October 07, 2009 5:08 AM

Answers

  • Amigo,

     

    O WAP server para distribuir a config de proxy automaticamente, junto com iss oa localização do servidor pelo Firewall client.

    Vc par aliberar para uma pessoa ou nao para outra precisa ajustar em regras, e nao com o FC.

    Abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Monday, March 29, 2010 11:22 PM
    Moderator
  • Completando...

    As boas praticas dizem para liberar dentro da rede interna, somente oque for necessario, ou seja protocolos que sua infra interna exisge, por ex: LDAP, DNS, DHCP e por ai vai....Porém para facilitar a vida as pessoas normalmente liberam tudo...Isso no caso de uma infecção por virus, tudo vai par ao espaço pois todas as portas estao liberadas para trafego....Vale a pena avaliar essa restrição...


    sobre o restante, ja informaram tudo, apenas nao esqueça de configurar o proxy nas estações, sem isso nao exitirá validação de usuário.

    Pode ser por WPAD http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=12.
    Ou por GPO....
    Ou manual...
    Ou firewall client (recomendado apenas para utilização que usem SOCKS)

    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Wednesday, October 07, 2009 3:54 PM
    Moderator

All replies

  • Ricard,

    Vamos la:

    Na regra 1 e 2 que você mencionou você ja poderia matar em uma:

    Rule 01: Permite comunicação entre a rede interna - Action: Allow - Protocols: all outbound traffic - From/Listener: Internal - To: Local Host - Condition: All Users
                                                                                                                                                                                Local Host     Internal
    Rule 02: Libera Internet - Action: Allow - Protocols: HTTP/HTTPS/FTP - From/Listener: Internal - To: External - Condition: All Users
                                                                                                     
                                                                                                                                                                              
    Exceptions: UsuárioDesejado


    O problema da regra 03 visivelmente de acordo com o que você descreveu foi porque você esqueceu de inserir a rede Internal (sua rede interna).
    Localhost nao seria necessario esta na regra 03 porque nenhum usuario seu da rede ira usar o ISA Server para navegar (acredito eu), e ela representa qualquer interface que esteja fisicamente no ISA Server (external, local dele...etc). Essa poderia esta em alguma outra regra para servidores.

    Uma sugestão é você tratar o acesso a internet a nível de grupo e não por usuário, é bem mais fácil a sua gerência.

    No mais é isso.


    Abraços!
    Charles S. Tavares
    Wednesday, October 07, 2009 6:30 AM
  • 1) Acesso ao isa - Action: Allow  - Protocols: All outboound traffic - From / Listener: Internal - To: Local Host - Condition: All Users

    2)  Firewall Rede Interna  - Action: Allow  - Protocols: All outboound traffic - From / Listener: Localhost - To: Internal - Condition: All Users

    3)
     Liberar Internet  - Action: Allow  - Protocols: Http:/Https/FTP - From / Listener: Localhost - To: External - Condition: All Users


    -----------------------------------------------------------------------------------------------------------------
    Cuidado com essas regras que libera tudo para o ISA


    Vc pode fazer assim:

    Juntar a 1º regra com a 2º como mencionou nosso colega Charles.

    1)Infra - Action: Allow  - Protocols: All outboound traffic - From / Listener: Localhost e Internal - To: Internal e local host - Condition: All Users

    2)  Liberar Internet  - Action: Allow  - Protocols: Http:/Https/FTP - From / Listener: internal - To: External - Condition: All Users


    Nessa regra para liberar internet, para vc consiguiu bloquear para usuarios especificos vc tera que usar proxy pq atraves e pode criar um grupo no AD colocando esse usuarios e depois importando para o ISA.

    Se vc for deixa a regra de liberação para all users mesmo, no caso vc estaria usando SecureNAt e teria que fazer o bloqueio pelo IP da maquina do usuario.

    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br http://lfdias.mvpbrasil.com.br
    Wednesday, October 07, 2009 11:52 AM
  • Amigo ricardo.

    Regra 1 - Brecha de segurança, nessa regra vc está liberando do o trafego da rede interna para seu servidor ISA e isso não eh necessario.
    Regra 2 - Também não eh necessario.]
    Regra 3 - Para liberar a net para usuarios vc deve liberar da Rede interna para rede externa, e não local host (que é o proprio ISA). - Como citou nosso amigo Charles.

    Te aconselho fazer o technet 5 estrela, para vc ter uma ideia melhor do funcionamento do ISA e vc também pode dar uma checada no meu blog para verificar a instalação do ISA Server http://ffazzani.spaces.live.com/blog/cns!5420E39DA3EE1FF3!405.entry
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    Wednesday, October 07, 2009 11:55 AM
  • Completando...

    As boas praticas dizem para liberar dentro da rede interna, somente oque for necessario, ou seja protocolos que sua infra interna exisge, por ex: LDAP, DNS, DHCP e por ai vai....Porém para facilitar a vida as pessoas normalmente liberam tudo...Isso no caso de uma infecção por virus, tudo vai par ao espaço pois todas as portas estao liberadas para trafego....Vale a pena avaliar essa restrição...


    sobre o restante, ja informaram tudo, apenas nao esqueça de configurar o proxy nas estações, sem isso nao exitirá validação de usuário.

    Pode ser por WPAD http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=12.
    Ou por GPO....
    Ou manual...
    Ou firewall client (recomendado apenas para utilização que usem SOCKS)

    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Wednesday, October 07, 2009 3:54 PM
    Moderator
  • Oi David182, seguinte eu só esqueci de digitar, mas mesmo colocando não funciona. MAs teoricamente era para funcionar, porque eu penso que seja assim, vamos mudar a regra de liberar internet se eu colocar em vez de all users somente o usuário que eu quero teria que funcionar correto? Mas não funciona
    Wednesday, October 07, 2009 11:05 PM
  • Olá Felipe, obrigado pela colaboração, fiz estas regras porque ao mesmo tempo uso o WSUS por GPO e não estava pegando de jeito nenhum, eu ja tinha criado uma regra de local host - internal <> local host - internal, usando as portas 8530 e 8531 (pois o WSUS não pegava nenhum pc na rede).

    Complementando eu ja liberei internal para external mas mesmo assim dá erro, se eu for por exemplo colocar só 1 usuário também não dá certo..a propósito, por que se eu em vez de all users colocar somente um usuário de domínio do AD não funciona também? Tem que ser sempre pela exceptions?

    Grato
    Wednesday, October 07, 2009 11:48 PM
  • Primeiramente vc deu uma checada no link que eu t passei? Vc fez as configurações e a instalação e pos instalação de acordo com o link que eu te passei??

    Pode ser erro até de configuração, então da uma checada, se tiver algo errado ajusta e posta pra gente os resultados.
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    Thursday, October 08, 2009 12:12 AM
  • Fiz sim e coloquei as regras mas não funcionou nem se quer a internet, notei que o dns era para deixar em branco, achei estranho... mas olha estou usando roteamento e acesso remoto pois tem um pc em específico que precisa está com algumas portas liberadas para acessar as câmeras de vigilância será que influencia?
    Thursday, October 08, 2009 4:27 PM
  • Influência e muito, após a instalação do ISA server você não deve mais fazer modificações no RRAS (roteamento e acesso remoto), porque o isa serve usa ele, e todas as configurações que vc deseja fazer no rras deve ser feitas no ISA. Agora vc deve ter melado tudo, remova o ISA e o rras e faça novamente a instalação do ISA.


    OBS. Sim, não deve configurar o DNS, pois que resolvera nomes externos é seu servidor DNS interno.
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    Thursday, October 08, 2009 5:07 PM
  • Claro entendo bem, tanto que quando eu fiz as perguntas eu desfiz todas as configurações criadas no RRAS e desinstalei o ISA server. é que realmente achei estranho não ter nenhum dns o próprio windows me alertou a falta do mesmo. Esse teste que eu fiz e mencionei a você na mensagem anterior eu ja tinha desinstalado o isa server e o roteamento remoto, apliquei as configurações nas placas de rede conforme o seu blog, configurei o roteamento remoto e instalei o isa server, farei o procedimento novamente.

    E outra o servidor de dns interno como eu vejo se está resolvendo, pois pelo o que vi nenhum dns é aplicado.

    Grato!
    Thursday, October 08, 2009 6:26 PM
  • Mesmo fazendo sua configuração não obtive êxito, crei a regra novamente tudo direitinho coloco allusers navega se eu colocar um grupo em exceptions nenhum acaba navegando, alguém ja enfrentou este problema?
    Friday, October 09, 2009 2:28 AM
  • Bom falto uma nota no blog explicando o motivo do pq não colocar o DNS, mais pode deixar que eu vou arruma isso, e falta tb eu mostra como contornar isso, mais eu ja vou deixa uma deixa aki pra vc.

    Ápós ter feito toda a configuração como tem no blog, vá até seu servidor dns e configure um encaminhador para todos os dominios (all domains) com o IP do dns do seu provedor de acesso a internet, exemplo o da telefonica eh 200.204.0.10 e 200.204.0.138. feito isso seu servidor DNS ja tentará resolver os nomes externos, porém o ISA~por padrão não vai deixa ele sai, então vc vai criar um objeto de computador com o IP desse seu servidor DNS, exemplo, computador DNS interno ip 192.168.0.10, dai vc cria uma regra e deixa ela no top dizendo o seguinte, Libera Servidor DNS para externo, protocolo dns, do meu computador dns (objeto criado anteriormente), para rede externa, all users. Um detalhe muito importantre eh que esse servidor dns tem que ser um Securenat client (ip do gateway apontando para o ISA).


    Para testar se seu servidor dns esta resolvendo nomes externo vc pode um no pronpt de comando no servidor dns e digitar o seguinte comando nslookup www.uol.com.br esse nome tem que resolver para IP

    Faz o teste e posta os resultados

    Valew


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    Friday, October 09, 2009 2:56 AM
  • Mas é ae que fica o que eu não quero amigo, é ter que fazer por computaador, eu quero fazer por usuário apenas, pois no mesmo pc que fica o usuário restrito, pode entrar o usuário do grupo diretores (onde tem que tá tudo liberado), por isso da regra em questão de como dizer assim:

    - O usuário Balcao01 não acessa internet mas...
    - O usuário do grupo gerencia acessa a internet

    Acho que se me responder isso automaticamente ja vai me responder assim

    - O usuário balcao01 acessa somente o site do spc
    - O usuário do grupo gerencia acessa todos os sites, exceto os pornôs cadastrados

    Tem outra regra que fica muito interessante de implementação

    - O usuário balcao01 só pode acessar o msn do 12:00 até a 13:30 depois não acessa mais
    - O usuário do grpo gerencia pode acessar a qualquer horário

    Se eu fizer por ip do computador pelo o que eu entendi, o pc vai ficar bloqueado a regra para qualquer usuário correto?

    Grato

    Saturday, October 10, 2009 5:39 PM
  • Ricardo,

    Somente fazendo um comentário, voce habilitou o Serviço de Proxy na Rede Interna no ISA Server?

    Para que a Internet funcione da forma que voce está querendo voce deve habilitar o Proxy do ISA e nos browsers dos clientes, eu aconselho que voce utilize a configuração de Detectar as configurações automaticamente, mas para isso voce deve configurar o seu DHCP com a opção de WPAD. Coloca WPAD no help do ISA que ele te ensina como configurar isso.

    Dá uma toque pra nós se funcionou e classifique por favor.

    Abraço,

    Marcos Roberto

    Tuesday, October 13, 2009 1:48 AM
  • Oi Marcos, obrigado pela ajuda, mas seguinte só habilitando proxy irá funcionar? E os programas que não possuem conexão proxy como é que fica? Nem todos os programas possuem esse métdo de configuração. No caso eu citeu msn e internet explorer, mas tem por exemplo o conectividade social que não detem dessa configuração (os programadores da caixa acho que se "esqueceram" hehe)

    Só há essa alternativa, pensei que teoricamente você colocando uma regra e estipulando qual usuária irá usufruir da regra iria funcionar, mas foi engano meu hehe
    Tuesday, October 13, 2009 11:22 AM
  • Então amigão nos contumamos usar uma mesclagem de clientes ISA, Webproxy (HTTP, HTTPS e FTP) e o ISA consegue autenticar e o Securenat que o ISA não consegue autenticar, as regras que se referem a clientes securenat deve ser para all user.

    Estou vendo que esta fantando um conhecimento basico para você, indico que faça no minimo o technet 5 estrala para entender melhor o esquema do ISA.


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    Tuesday, October 13, 2009 12:31 PM
  • Ricardo,

    Olha só, no ISA existem diversos tipos de configurações, voce pode liberar a Internet por Proxy "O mais comum", voce pode liberar por Secure Nat "Não muito utilizado". Quanto aos programas, voce pode criar regras de acesso de "Maquinas", voce pode dizer que para um determinado dominio as maquinas passam direto sem autenticação, ou até mesmo fazem um "bypass" pelo ISA.

    Onde eu trabalho, o ISA não é o Firewall de borda, então utilizamos diversos tipos de configurações, mas de um modo geral ele funciona muito bem!!

    Cara, de verdade, O ISA Server 2006 é uma ferramenta muitissimo boa o que requer um bom aprendizado, se voce não conhece muito bem a ferramenta eu te indico que voce compre as video aulas do Baboo "Olha que eu não estou ganhando um centavo com a propaganda... kkk" Estas video aulas são bastante interativas e mostram na pratica como utilizar o ISA Server, isto alem deste curso ter sido feito por um MVP.

    Se voce precisar de mais alguma coisa, estamos aqui pra ajudar.

    Abraço,

    Marcos Roberto
    Tuesday, October 13, 2009 1:54 PM
  • Alguma novidade?
    Ficou alguma duvida?
    Podemos finalizar o post?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Sunday, October 18, 2009 10:18 PM
    Moderator
  • Olá amigos, realmente eu sou notavto no ISA Server, eu pensei que a configuração era simples e que a regra teórica funcionava, mas pelo o que andei pesquisando tem muita coisa para eu aprender realmente e gostaria de expressar minha gratidão enorme a cada um que teve a paciência de me ajudar, mas como falto muito conhecimento da minha parte eu não consegui fazer o que eu queria, estou tentando me especializar mais, visto que eu peguei a ferramenta e fui descobrindo como ela funcionava, se não for pedir muito, alguém tem alguma apostila ou material sobre o próprio ISA, eu tentei me inscriver no programa 5 estrelas mas acho que não deu certo, grato a todos!
    Monday, October 19, 2009 12:47 AM
  • Ricardo,

    sobre o 5 estrelas, basta ter cadastro ao technet (coisa que vc ja tem).

    Sobre conteudo:

    http://lfdias.mvpbrasil.com.br
    http://www.isaserver.org
    http://www.andersonpatricio.org
    http://www.itcentral.com.br
    http://ffazzani.spaces.live.com/
    http://www.microsoft.com/brasil/servidores/isaserver/default.mspx


    Acho que nesses sites vc vai encontrar muito conteudo para estudo.

    Espero ter ajudado.
    Se util nao esqueça de marcar como resposta.

    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Monday, October 19, 2009 12:49 PM
    Moderator
  • Caro Luiz Fernando Dias e amigos que me ajudaram, realmente agora etou compreendendo o porquê de não funcionar as minhas regras. Tipo eu ficava me perguntando pois esse tipo de regra era comum em vários tutoriais inclusive num dos sites que você postou numa das respostas então o que foi que eu entnedi. (Corríga-me caso eu esteja errado)

    Há 3 tipos de configuração no ISA Server que são Secure Nat, Web Proxy Clientes e o Firewall Clientes

    Secure Nat - é esta a configuração que eu estou usando, tento como vantagem que não precise de nenhuma instalação de programas nos terminais em que são controlados pelo isa, mas também tem como principal desvantagem é que não podemos controlar o acesso a recursos baseado como nome de usuário ou grupo (é justamente isso que eu queria fazer, um controle para determinados usuários e/ou grupos), ou seja não dá para fazer o que eu quero. tipo mas eu ficava encucado pois eu via em vários exemplos que usavam minha mesma lógica e funcionava.

    Firewall Client - esta regra funciona como um controle remoto, ou seja, nos terminais clientes são instalados aplicativos firewall do ISA Server, ficando da seguinte forma, quando o pc pede uma requisição o ISA Cliente se comunica com o ISA Servidor, solicita a autenticação e autoriza ou não o acesso solicitado pelo computador baseados nas regras de firewall e nos filtros de aplicação. Acho que esta regra seria a mais apropriada para mim, pois com ela consigo fazer o que eu quero e configura-lo para o WPAD usando o serviço de DHCP e DNS. Só tem 2 desevantagens, que esse tipo de configuração só funciona em windows (para outros sistemas acredito eu, necesita de outro cliente firewall) e a outra é que precisa de uma instalação no computador cliente para funcionar.

    Web Proxy Clients - este tipo de regra acho eu que deve ser o menos utilizado, pois o cliente deverá possuir instalado um browser compatível com o HTTP 1.1. Quando o computador com o Web Proxy Client habilitado, solicita um acesso a um recurso da internet e a mesma é redirecionada para o ISA server e lá são feitas as solicitações de liberação ou negação. A principal desvantagem é que só funciona para HTTP e HTTPS, também só pode ser instalados em pcs baseados em sistemas windows

    Então pelo o que eu quero fazer a melhor forma é usando WPAD - Firewall Client, pois ela é a única que funciona da forma que eu quero, libera tal regra para tal pessoa e não libera para outra. Estou certo? Como procederia para o funcionamento correto do WPAD?

    Grato!!

     

     

     

    Monday, March 29, 2010 1:42 AM
  • Amigo,

     

    O WAP server para distribuir a config de proxy automaticamente, junto com iss oa localização do servidor pelo Firewall client.

    Vc par aliberar para uma pessoa ou nao para outra precisa ajustar em regras, e nao com o FC.

    Abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Monday, March 29, 2010 11:22 PM
    Moderator
  • Amigo,

     

    O WAP server para distribuir a config de proxy automaticamente, junto com iss oa localização do servidor pelo Firewall client.

    Vc par aliberar para uma pessoa ou nao para outra precisa ajustar em regras, e nao com o FC.

    Abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.


    Entendi inclusive pelo sistema de firewall client WPAD eu finalmente consegui fazer o que eu queria.Só gostaria de ver alguns detalhes pois o firewall Client habilita o servidor proxy do internet explorer no pc do cliente, se eu desmarcar este mesmo, funciona normal, só que quando reinicializo o pc volta com as opções marcadas. Sei que esta configuração é feita no ISA Server como deixar somente o script de configuração automática de maneira que ele não habilite o proxy no IE?

    Grato!

    Tuesday, March 30, 2010 3:03 AM
  • Nas propriedades do client na maquina tem uma opçao para ele nao habilitar o proxy no IE....
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Tuesday, March 30, 2010 4:31 AM
    Moderator
  • Nas propriedades do client na maquina tem uma opçao para ele nao habilitar o proxy no IE....
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Tuesday, March 30, 2010 4:31 AM
    Moderator
  • Olá, achei a opção e desabilitei no ISA Server e agora tudo funcionando bem. Agora segue algumas dúvidas de regras, bem eu abri as regras de liberação de internet, sites por usuários e/ou  grupos de usuário. Mas vamos supor você tem uma empresa que faz os bloqueios necessários o seu servidor comanda a distribuição de internet, e chega um vendedor por exemplo, querendo usar a internet para mostrar um catálogo. Qual regra que deve ser criada dentro do ISA para liberar internet a usuários não pertencentes ao domínio?

    Grato!!

    Tuesday, March 30, 2010 12:48 PM
  • Amigo,

     

    O WAP server para distribuir a config de proxy automaticamente, junto com iss oa localização do servidor pelo Firewall client.

    Vc par aliberar para uma pessoa ou nao para outra precisa ajustar em regras, e nao com o FC.

    Abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::. T
    Bom realmente eu tentei fazer a regra por usuário e não funcionou, pelos testes que fiz aqui no servidor, a única forma que funcinou da forma que eu queria seria instalando o client firewall nos micros e usando o WPAD, se eu usar uma regra do tipo liberar protocólo http e https para um grupo de usuário sem configurar o WPAD, não funciona, qualquer seria o caminho de criar estes tipos de regras sem ter que instalar firewall client? Grato!
    Wednesday, March 31, 2010 2:42 PM
  • Nesse caso vc poderia ter uma wireless por ex com um range separado, regra separada somente tratando isso.

     

    Ou então tu vai ter que configurar proxy na maquina dele e colocar usuario e senha para tal..

     

     


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Wednesday, March 31, 2010 3:35 PM
    Moderator
  • Nesse caso vc poderia ter uma wireless por ex com um range separado, regra separada somente tratando isso.

     

    Ou então tu vai ter que configurar proxy na maquina dele e colocar usuario e senha para tal..

     

     


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Wednesday, March 31, 2010 3:35 PM
    Moderator
  • ficou alguma duvida amigo?

     

    Podemos finalizar o post?


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Thursday, April 08, 2010 7:11 PM
    Moderator