locked
TMG 2010 Webzugriff mit Domainliste mit und ohne ISA-Client RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich teste gerade den TMG und habe da eine Frage bezüglich des Webfilters.

    Folgendes Szenario:

    Ich surfe mit einem Client via IE mit ISA PROXY und einmal mit dem Firefox mit ISA-Client.

    Im TMG gibt es folgende Webregel:

    Zulassen,  "Mein User" von intern, auf "Domainliste1"

    in der Domainliste1 steht www.google.de drin. Danach kommt eine Regel die besagt alles verboten ;-).

    Nun kommt das seltsame. Surfe ich über den IE (mit Proxy) funktioniert das super. Die Seite kann ich anzeigen und alles andere geht nicht. Mit dem Firefox (ohne Proxy aber mit ISA) bekomme ich die Seite nicht, alle anderen gehen auch nicht (logisch).

    Im Logfile steht mein Benutzername, bei beiden. Aber bei URL steht beim IE www.google.de und beim Firefox steht die IP von google.

    Erst wenn ich die Kategorie Suchmaschinen (wo google.de drin ist) zu der oberen Regel hinzufüge geht es auch mit dem Firefox. Da hier aber bestimmt Domains reinkommen die nicht in einer Kategorie sind kann ich das nicht machen und müsste die IP reinschreiben (diese kann sich aber mal ändern).

    Da wir in unserem Netz mal Clients haben die den ISA-Client haben und andere die ihn nicht haben, möchte ich nicht die IP's eintragen müssen. Bei Google wäre das echt umständlich.

    Im Prinzip weiss ich ja warum ich da die IP drin stehen habe (der Firefox löst www.google. auf und macht einen connect auf die IP), der IE gibt den Request einfach an den Proxy weiter.

    Kann ich dem TMG sagen das er immer IP's auflösen soll? Oder hat jemand eine andere Idee?

     

    Donnerstag, 9. Juni 2011 08:34

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    und wenn der proxy im Firefox drin ist, dann verhaelt sich Firefox so wie der IE?
    Wenn Du den TMG Client auf dem Rechner mit IE verwendest, hast Du dann das gleiche Verhalten wie bei Firefox und TMG Client?
    Bei verwendung des TMG Client macht der TMG Server "Proxy" DNS und loest den Namen in eine IP auf. Evtl. liegt hier das Problem und der TMG loest den Namen nicht sauber auf?
    http://www.isaserver.org/tutorials/Understanding-ISA-Firewall-Client-Part1.html
    Nein, der TMG nimmt das an, was der Client ihm sendet, also IP oder FQDN.

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 9. Juni 2011 10:45
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    und wenn der proxy im Firefox drin ist, dann verhaelt sich Firefox so wie der IE?
    Wenn Du den TMG Client auf dem Rechner mit IE verwendest, hast Du dann das gleiche Verhalten wie bei Firefox und TMG Client?

    Genau so, bloß das der Firefox die Seite ein wenig verünglückt aanzeigt.
    Bei verwendung des TMG Client macht der TMG Server "Proxy" DNS und loest den Namen in eine IP auf. Evtl. liegt hier das Problem und der TMG loest den Namen nicht sauber auf?
    http://www.isaserver.org/tutorials/Understanding-ISA-Firewall-Client-Part1.html
    Nein, der TMG nimmt das an, was der Client ihm sendet, also IP oder FQDN.

     

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Nach längerem hin und her glaube ich das es nicht wirklich gut ist mit einer Domainliste zu arbeiten. Problematisch ist es Beispielsweise bei www.map24.de. Da wird ersteinmal ein Ridirect auf www.de.map24.com gemacht und danach kommt der Rest von *.map24.com. Und das ist ein ähm Mini Beispiel.

    Deswegen war ich verboten worden (wenn man dann in der Verboten Regel einschaltet das die Kategorie ausgegeben wird sieht man es am besten). Beim Proxy scheint er ein wenig mehr "mitzudenken". Ich weiß aber nicht wie es ist wenn eine IP eine anderes Reverselookup als Forwordlookup hat, was aber bei vielen Sites der Fall sein dürfte (Virtualhosts etc.).

    Wie in meinem Fall bei www.google.de. Hier gibt es 11 IPs die erste die der TMG über den Proxy bekommt ist für Ihn die www.google.de. Wenn ich zufällig mit dem ISA-Client diese IP nehme, dann klappts auch. Wenn nicht bekomme ich die Verboten Regel mit Info: Kategorie Suchmaschinen.

    Was mich zu der Annahme führt, das wenn ich eine Domain habe, die ich über eine Domainliste zulassen oder verbieten möchte, muss ich alle über einen ZWANGSPROXY sprich TMG schicken, damit die Domainliste funktioniert.

    --- Zusatz ---

    Ansonsten wenn ich zuerst mit dem ISA-Client versuche und die IP anders aufgelöst wird (Reverselookup) dann kann ich gar nicht auf die Seite zugreifen. Da sie nicht der Domain entspricht auf die ich darf. Erst wenn der Proxy einmal www.google.de in irgendeine IP aufgelöst hat, darf ich wenn ich diese IP verwende auf diese Seite, da die IP ja zu www.google.de gehört.

    --- Zusatz ---

    Sonst habe ich nur eine geringe Chance das es mit dem TMG-Client funktioniert.

    Oder liege ich hier falsch?


    • Bearbeitet Thomas Voß Donnerstag, 9. Juni 2011 12:18 Zusatz
    Donnerstag, 9. Juni 2011 12:13
  • Question
    Anmelden
    0
    Anmelden

    moin uniprof,

    whitelisting ist hartes brot, habe dies vor kurzem für einen kunden checken müssen, bei dem youtube gehen sollte. die liste war ellenlang, da sehr viele offsite-linx vorhanden waren/sind.

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 9. Juni 2011 16:41
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jens,

    ich kenn das Problem. Bis man alle Teile einer Seite beisammen hat, hat sich die womöglich wieder geändert. Aber was soll ich machen es wird halt so gewünscht. Unser vorheriger Webfilter hatte wenigstens ein Tool in dem nach bestimmten Teilen der URL gesucht werden und diese dann alle in eine Kategorie stecken konnte. Aber der Filter ist in die Jahre gekommen und für uns ein wenig "Overhead". Ich denke das ich allen einen Proxy verpassen muss. Ein Transparenter Proxy kommt meiner Meinung auch nicht in Frage, da der ja nur den Request an den ISA-Proxy weiterleiten würde, was mir nicht bei der Problematik hilft (da der Request ja wieder nur die IP beinhalten würde).

    Da wir Hauptsächlich nur den IE verwenden, hab ich nun per GPO den Proxy festgelegt und den Benutzern verboten diese Einstellung zu verändern. Autosuche nach Proxy ausgeschaltet somit sollte ich schonmal bei HTTP einigermaßen sicher sein das da über den Proxy gesurft wird.

    Hat auch den Vorteil das die URLs im TMG-Log auch den Namen beinhalten und nicht nur die IP.

    Auch wenn es schwer Fällt ich muss sagen das der TMG recht gut gelungen ist. Eigentlich bin ich ja kein M$ Fan aber ab dem ISA2006 kann man den wirklich verwenden.

    Das einzige was mir fehlt ist, wenn ich einen Client habe der eine DHCP Adresse hat und ich den für eine bestimmte Regel zulassen will. Dann kann ich den nicht den HOSTNAMEN des Clients eintragen sondern muss den auflösen und mit IP Speichern. Schick und konsequent wäre auch Rechner direkt aus dem AD einzubinden mit SID.

    Freitag, 10. Juni 2011 05:59