none
Configurar acceso a determinadas páginas con isa server 2004 RRS feed

  • Pregunta

  • Ante todo gracias por las respuestas, me ocurre lo siguiente, primera vez q instalo el isa, y me pidieron lo siguiente:

     

    Asignar a cada usuario ciertas páginas web a las que si puede acceder (para cada usuario del dominio son páginas diferentes) bloqueando cualquier otra página que no este dentro de la lista de url permitida de cada usuario.

     

    Metiendo mano por allí, realice lo siguiente, cree una lista de url de "prueba" procedi a crear mi grupo de usuarios con un solo usuario, luego en las politicas del firewall cree una nueva regla de acceso bajo permitir, donde coloque los protocolos http, https, ftp, luego seleccione mi red interna, luego en la siguiente ventana coloco la lista de url que eh creado, elimino todos los usuarios y coloco mi usuario para prueba, siguiente finalizar, coloco la regla de primero, aplico y tumba todo el internet.

     

    Luego cambie en las propiedades, en la pestaña de colque interna, en la pestaña a coloque externa y exclui la lista de url creada, cambie la regla a denegar, aplique, y listo me bloquea todo el internet excepto las páginas agregadas en mi lista, pero cual es mi sorpresa, que me bloquea todas las páginas en todos los usuarios y no solo en el usuario que estoy realizando la prueba.

     

    Quisiera saber primero si se entiende lo que estoy tratando de explicar que realice, y que es lo que me pidieron, si de lo que estoy hablando es posible, y de ser así una manera para realizarlo, mi fuerte no es el isa server la verdad.

     

    Muchas gracias...

     

    Se me olvido comentar el isa me vino con unas politicas preestablecidas q no e tocado, y la regla funciona (entre lo que cabe decir q funciona) cuando la coloco de primera.

    miércoles, 11 de junio de 2008 18:18

Respuestas

  • Al final pude resolver de la siguiente manera:

     

    Abran el isa server

    Vayan a politicas del firewall

    En el menú de la derecha vamos a herramientas

    Escojemos el submenu objetos de red

    vamos a la carpeta conjuntos de direcciones urls

    Clic derecho

    Nuevo conjunto de url

    Aqui colocamos todas las url que queremos permitir oh denegar...

    guardamos

    Nos vamos a la lista de reglas del firewall

    clic derecho

    nuevo--> regla de acceso

    Le colocamos el nombre que prefieran

    Escogemos denegar

    escogemos protocolos seleccionados

    Añadir (ftp, http, https)

    Esta regla aplica, hacemos clic en añadir, colocamos red interna

    siguiente

    destino de la regla de acceso

    si quieres bloquear las páginas de la lista (agregas la lista que creaste)

    si quieres permitir solo las páginas de la lista (agrega externa)

    Siguiente

    Escoge el o los usuarios a los que aplicara la regla (todos los exploradores deben tener la opción del proxy activada, si no pues al activar la regla nadie navegara, excepto los usuarios autenticados por el proxy)

    Siguiente finalizar

     

    Ahora si quieres que solo puedan ver las páginas que estan en la lista debes hacer clic con el botón derecho, en la nueva regla que creaste.

    propiedades

    Te vas a la pestaña A

    en excluir agregas la lista o las listas de urls permitidas.

    aplicar.

    aceptar.

     

    Y listo ya, a mi me funciona de maravilla de esta forma, recuerda que en todos los browser de la empresa debe estar configurado el proxy.

     

    Coloco esto para aquellos que tienen la duda, como yo que siempre encuentran este tipo de bloc abiertos y al final leen al fin solucione, gracias y no t dicen como rayos soluciono...

    Espero les sirva a algunos.

    miércoles, 18 de junio de 2008 18:22

Todas las respuestas

  • Lo mejor para ver donde estas teniendo problemas es usar el log live (Monitoring -> Logging).

    Allí podrás ver que regla se aplica al momento de denegarte la navegación.

     

     

    Veamos un poco tu caso.

    Cuando creaste la regla de Interna --> URLs Sets permitidos para tu usuario de prueba, dejaste otra regla para que los demás salgan? Si no fue así, es correcto lo que hizo.

    Tu usuario de prueba pudo salir? Si pudo navegar entonces la regla funcionó. Si no pudo, como estaba configurado el cliente para navegar? Para que funcionen las reglas para usuarios en concreto el cliente tiene que tener configurado o el proxy del browser o tener instalado el cliente del ISA. Con SecureNAT no funciona.

     

     

     

    jueves, 12 de junio de 2008 11:50
  • Ocurre lo siguiente, como comente anteriormente no eh trabajado antes con isa, el mismo ahora tiene las reglas que asumo yo trae por default en este orden:

    1. SBS outbound Acces rule
    2. sbs inbound acces rule
    3. sbs windows share poin services web publishing rule
    4. sbs web publishing rule
    5. sbs rww inbound access rule
    6. sbs ftp server access rule (no activa)
    7. sbs ftp outbound access rule (no activa)
    8. sbs rpd server acces rule (no activa)
    9. sbs rpd outbound acces rule (no activa)
    10. sbs pptp outbound access rule (no activa)
    11. sbs smtp server access rule
    12. sbs nntp outbound access rule
    13. sbs pop3 outbound access rule
    14. sbs smtp outbound access rule
    15. sbs localhost dhcp access rule
    16. sbs localhost access rule
    17. sbs protected networks access rule
    18. sbs microsoft update sites access rule
    19. sbs internet acces rule
    20. regla predeterminada

    Todas estan en permitir ah excepción de la ultima que este en denegar, como comente anteriormente yo no cree las reglas, instale el isa y asumo se configuraron automatico, como no e trabajado con el isa no se si borrarlas o dejarlas, el servidor se utiliza actualmente para DHCP, Exchange, compartir una aplicación administrativa, controlador de dominio, compartir archivo eh impresora y luego se desea colocar una vpn para que la gerencia pueda trabajar desde la casa.

     

    Y pues como no conozco el isa no me eh atrevido a quitar las reglas, lo unico fue que cree la regla de prueba que comente el el blog anterior, la cual solo funciono cuando la coloque de primera, bloqueando todas las paginas excepto las que coloque como permitidas, pero no se limito al usuario que coloque, sino que bloque a todos los usuarios y a todos les dio acceso solo a las páginas permitidas.

     

    Si alguien podria guiarme en que reglas crear para:

    1. Permitir el exchange
    2. permitir la vpn
    3. dejar que la gerencia navegue sin restricciones
    4. colocarle a cada usuario la lista de páginas asignadas
    5. compartir los archivos, impresora.
    6. Seguir prestando el servicio de dhcp

    Por desgracia no tengo la más minima idea de como trabaja el exchange y la mayoria de la información que consigo en microsoft es para exchange 2000 o 2006

    Muchas gracias por sus respuestas.

     

     

    jueves, 12 de junio de 2008 12:59
  • Las reglas que tienes son las que crea por defecto la instalación del SBS. Si no conoces como funciona te recomiendo que no las toques.

    Si la instalación se hizo correctamente, deberias tener permiso para el exchange, dhcp, file sharing, ya que es el funcionamiento que tiene el SBS.

     

    Con respecto a tu pregunta original, revisa lo que te comente en el post anterior, ya que sin esa información no se puede avanzar.

     

     

     

    jueves, 12 de junio de 2008 14:06
  • Muy bien creo q realice un avance, cree una regla de prueba nuevamente y la coloque de primera, colocando peticiones de la interna a la externa, y exclui las direcciones que quiero que si vea el usuario, luego configure en los browsers que utilizara detección automatica y el proxy, y aparentemente funciono.

     

    Creo que voy por buen camino ahora solo tengo q definir y verificar muy bien las listas ya que hay bancos y puedo agregar el banco pero al hacer clic para la conexión y verificar los movimientos de la cuenta, me bloquea, supongo tengo que agregar tambien esa página como permitida la pagina principal del banco, o como es el proceso de agregar las url por ejemplo si coloco www.alcaldiadechacao.com/* deberia reconocerme todo los link que este dominio implique? no se realmente la manera más efectiva de agregar las url.

     

    Otra cosa es, la gerencia tiene laptos, si yo configuro en el browser el proxy, cuando ellos se lleven las mismas a su casa, abra algún problema? repito estoy colocando el browser que utilice mi proxy, y tambien que detecte automaticamente la configuración.

     

    Gracias por tu ayuda

     

     

    jueves, 12 de junio de 2008 14:28
  • Al final pude resolver de la siguiente manera:

     

    Abran el isa server

    Vayan a politicas del firewall

    En el menú de la derecha vamos a herramientas

    Escojemos el submenu objetos de red

    vamos a la carpeta conjuntos de direcciones urls

    Clic derecho

    Nuevo conjunto de url

    Aqui colocamos todas las url que queremos permitir oh denegar...

    guardamos

    Nos vamos a la lista de reglas del firewall

    clic derecho

    nuevo--> regla de acceso

    Le colocamos el nombre que prefieran

    Escogemos denegar

    escogemos protocolos seleccionados

    Añadir (ftp, http, https)

    Esta regla aplica, hacemos clic en añadir, colocamos red interna

    siguiente

    destino de la regla de acceso

    si quieres bloquear las páginas de la lista (agregas la lista que creaste)

    si quieres permitir solo las páginas de la lista (agrega externa)

    Siguiente

    Escoge el o los usuarios a los que aplicara la regla (todos los exploradores deben tener la opción del proxy activada, si no pues al activar la regla nadie navegara, excepto los usuarios autenticados por el proxy)

    Siguiente finalizar

     

    Ahora si quieres que solo puedan ver las páginas que estan en la lista debes hacer clic con el botón derecho, en la nueva regla que creaste.

    propiedades

    Te vas a la pestaña A

    en excluir agregas la lista o las listas de urls permitidas.

    aplicar.

    aceptar.

     

    Y listo ya, a mi me funciona de maravilla de esta forma, recuerda que en todos los browser de la empresa debe estar configurado el proxy.

     

    Coloco esto para aquellos que tienen la duda, como yo que siempre encuentran este tipo de bloc abiertos y al final leen al fin solucione, gracias y no t dicen como rayos soluciono...

    Espero les sirva a algunos.

    miércoles, 18 de junio de 2008 18:22
  • Muy Buen trabajo Gillermo, te Felicito.

    yo tengo el mismo problema que tu tenias, aun no logro solucionarlo, yo soy nuevo al usar el ISA yo estoy trabajando con ISA 2006 standar Edition, voy a implementar la regla que tu creaste aver si finciona con ISA 2006.

     

    solo que tengo una Duda, como configurar el proxy de los browsers, a que te refieres con eso?? me puiedes accesorar por favor.

     

    Se  como configurar un proxy, pero no se si tu te refieres a lo mismo que yo se.

     

    Muchas Gracias.

    martes, 24 de junio de 2008 14:42
  •  

    para configurar el proxy en los browsers te vas a, herramientas --> opciones de internet-->conecciones--> opciones de red, allí le activas el proxy server por el puerto 8080 y listo, a mi me funciono por aquello de los usuarios autenticados.

     

    Esto hay que realizarlo en todo browser, otra cosa ten cuidado con las reglas, primera pruebala con un solo usuario, y varias combinaciones de las páginas a ver o a no ver, prueba todo lo que tengas, exchange, conección, si tienes tu página web en el server, antes de activar todo, para que no se te caiga tu red, igualmente importa todas las reglas que tienes ya creadas o te trajo por defecto por si tienes q desinstalar.

     

    Cualquier cosa preguntame estoy a la orden...

    martes, 24 de junio de 2008 15:54
  • Ok Muchas gracias muy amable, voy hacer unas pruebas. como mencionas espero poder lograr que funcione todo bien. estamos al pendiente gracias.

    martes, 24 de junio de 2008 22:16
  • Mira Omar:

     

    He tenido varios lios con el ISA 2006 Standard, para loque respecta el acceso a determinadas paginas con el ISA Server 2006 yo estuve intentando de varias manera, con decirte que utilize incluso el GFi Web Monitor y me dio pesimos resultados pero la solucion es la siguiente:

     

    1.-En Objetos de red, en conjunto de direcciones URLS creasun Grupo por ejemplo, Websites Bancarios con las direcciones que necesitas que tengan acceso tus usuarios.

    2.-Una vez listo el grupo de urls, ahi mismo en Objetos de red, creas un Grupo de Equipos, por decir algo, Navegadores Bancarios, y le agregas los equipos OJO, pones el nombre del equipo y la IP que tiene el equipo., sino le das un examinar para que busque dentro del Active Directory.

    3.-Te vas mas arriba donde dice USUARIOS, creas un grupo, por decir algo  USUARIOS BANCARIOS y le agregas todos los usuarios del active directory que deben de accesar solo a las websites bancarios.

     

    Luego vas a Firewall, creas una nueva regla de acceso, y le das Denegar, Protocolos FTP, HTTP, HTTPS, De Origen: agregas la seccion donde tienes el conjunto de equipos NAVEGADORES BANCARIOS, Siguiente, A este Destino Le pones REDES, RED EXTERNA, en las excepciones de esta pestaña le pones el conjunto de URLS que creaste, WEBSITES BANCARIOS, despues le dices a que usuarios aplica la regla y le dices que a los USUARIOS BANCARIOS le das finalizar y listo, de esa manera por decir algo, le estas dando acceso a los usuarios que tengan que entrar solamente a sitios web bancarios, en mi empresa lo aplique para el departamento de contabilidad, y me ha servido increiblemente, lastimosamente, el ISA no entiende si no le ordenas las 3 pautas claras, EQUIPO, USUARIO, y REGLA, si alguna de esas 3 falta, creeme que estara de la patada.

     

    Saludos...

     

    martes, 12 de agosto de 2008 20:41
  •  

    Hola a todos ha sido muy interesante leer sus experiencias y de paso me he quitado algunas dudas, pero tengo un problema no se si es correcto que lo coloque aca pero igual si alguien me ayuda mejor.

    yo acabo de empezar a trabajar con isa server 2000  y quisiera configurar que todos los usuarios de mi red cada vez que se conectan a internet les aparezca la pagina de la empresa como pagina de inicio, sin importar que pagina de inicio tengan configurada ellos en sus computadoras.  he estado leyendo varias cosas y si hay formas de hacerlo pero he visto mas ejemplos de como se publica una en mi servidor, lo unico que he probado varias cosas para hacerlo y no me funciona.  si alguien me puede ayudar se lo agradezco de antemano.

     

    PD.  en un servidor se encuentra instalado el isa server y en otro servidor se encuentra el active directori si esto sirve de algo....

    miércoles, 10 de septiembre de 2008 21:39