none
Prblema con Firewall ISA RRS feed

  • Pregunta

  •  

    Hola, se me ha presentado el siguiente problema, despues que instale el isa todos los usuarios trabajan perfectamente, y me extraño realmente que nadie se quejara por nada, sin embargo se me ocurrio trabajar con la maquina de un usuario y me di cuenta que tiene libre acceso a internet (con razon nadie se quejaba y todos estan asi), revisando me doy cuenta que tengo una regla configurada en el isa que permitia todo el acceso a la red externa desde la red interna, la cual desabilite, pero al desabilitarlo revise otras por usuario (que ya estaban pero por alguna razon el isa no las toma en cuenta) sino que a todos les aplicaba la  norma generica, bueno el caso es que ahora los usuarios pueden accesar a las paginas que le he dado acceso, pero no pueden ni enviar ni recibir correo, y tienen asignado los protocolos smtp y pop3, cosa que no entiendo. Si alguien me puede ayudar y decir a que se debe esta reaccion agradezco mucho.

    ************************************************************************************************************************

    y me da este error cuando intento acceder a alguna pagina https

     

    Código de error: 502 Error de proxy. Conexión denegada(10061)
    Dirección IP: 65.54.183.203
    Fecha: 26/02/2008 03:46:37 p.m.
    Servidor: copservold
    Origen: proxy

    y este otro tambien en los clientes. (una pagina web)

     

    Mensaje de Acceso a Redes: no se puede mostrar la pagina

     

    Informacion Tecnica (para personal de soporte tecnico)

     

    Codigo de error: 502 error de Proxy. Puerto SSL (capa de socket seguros) especificado no esta permitido. El servidor Isa no esta configurado para permitir peticiones SSL de este puerto.

     

    ***********************************************************************************************************************

    y en el registro de cuando los clientes intentan revisar su correo por outlook sale este error

     

    Conexin denegada COPSERVOLD 26/02/2008 11:13:00 a.m.
    Tipo de registro: Servicio de firewall
    Estado: 
    Regla: Regla predeterminada
    Origen: Interna ( 192.168.2.13:1026)
    Destino: Interna ( 192.168.0.2:161) (esta IP no pertenece a mi red, nose porque esta apuntando a ella, esta ip era de la red que funcionaba antes pero se cambio el servidor y las direcciones)
    Protocolo: SNMP (ya habilite este protocolo pero todavia nose porque no me deja consultar los correos)
    Usuario: 
     Informacin adicional
    Nmero de bytes enviados: 0 Nmero de bytes recibidos: 0
    Tiempo de procesamiento: 0ms IP del cliente original: 192.168.2.13
    Agente del cliente:

     

     

    martes, 26 de febrero de 2008 18:23

Respuestas

  • 1) Con respecto al correo, fijate en el live log para ver que regla te está filtrando. Es un tema de reglas ( y orden de las mismas)

    Los clientes de correo están bien configurados. Si dices que aparece una IP que era vieja, es porque en algún lado sigue configurada.

     

    2) Cuando intentas ingresar a los sitios seguros, a que puerto te estas conectando. Por defecto el ISA solo permite el 443.

     

    viernes, 29 de febrero de 2008 1:15

Todas las respuestas

  • 1) Con respecto al correo, fijate en el live log para ver que regla te está filtrando. Es un tema de reglas ( y orden de las mismas)

    Los clientes de correo están bien configurados. Si dices que aparece una IP que era vieja, es porque en algún lado sigue configurada.

     

    2) Cuando intentas ingresar a los sitios seguros, a que puerto te estas conectando. Por defecto el ISA solo permite el 443.

     

    viernes, 29 de febrero de 2008 1:15
  • Saludos..

     

    Te dire que despues que soluciones lo del IP que no reconoces, que es lo primero, reviza estos link que te dejo y asi podra solucionar el problema con lo protocolos pop3 y smtp. si usas outlook.

     

    http://www.isaserver.org/articles/2004olpop3smtp.html

     

    http://support.microsoft.com/default.aspx?scid=kb;es;891234

     

    Luego de esto te recomiendo que la regla que crees para solida al SMTP y al POP3 este arriba y veras que si funciona. y si es el caso que utilizas NAT en tu red debes crear tu recla permitien salidas a todos los usuarios.

     

    La regla debe ser: pemitir, POP3, SMTP, DNS, desde interno y localhost, a externo y localhost, all user. 

     

    Lo del DNS es por si tienes que resolver el nombre fuera de tu red.

     

     

    Espero y te siva, ami me resulto perfecto despues de mucho leer....

     

     

     

     

    viernes, 29 de febrero de 2008 4:24
  • Hola el problema era el orden de las reglas cuando la subi se soluciono todo, pero todavia tengo el problema del ssl me sigue bloquenado ese puerto ..donde lo puedo desbloquear porque ya cree en el firewall una regal que lo permitiera. y nada

     

    viernes, 29 de febrero de 2008 14:17
  • A que puerto te conectas con el SSL? Es el 443?

    viernes, 29 de febrero de 2008 15:13
  • si es al 443 pero tengo instalado en el DC la consola de mcaffe que usa el 8443
    viernes, 29 de febrero de 2008 15:18
  • Hola Noiralih.

     

    Te recomiendo que hayas haciendo pruebas y descartando posibilidades, y para esto creas una regla permitiendo todo trafico desde esa computadora que tiene el antivirus al externo, (me imagino que lo que quieres es que tu consola de distribucion del antivirus se actualice), crea una computadora usando el toolbox y luego donde dice computers. luego creas la regla y por ultimo vas monitoreando esa IP a ver su comportamiento.

     

    Coloca esta regla debajo de la que usa para el POP3, si todo va bien, entonces verifica que puerto es el que sale y lo vas creando tu regla basada en estos datos.

     

    Yo tengo el mismo escenario con trendmicro y lo solucione siguiendo estos paso.

     

    Espero y logres que funcione...

     

    lunes, 3 de marzo de 2008 15:32