none
Funcionamento incorreto de regras por grupo RRS feed

  • Pergunta

  • Olá Pessoal,

    Estou Criando regras para liberar http/https por grupos pois  em uma regra eu bloqueio msn,emule etc para o grupo web e na outra eu libero para o grupo full ate ai tudo bem esta funcionado mais quando eu tento liberar email por grupo ele não funciona só funciona se eu colocar all user por exemplo estou liberando e-mail para o grupo full ai não funciona para ninguém da rede nem para o grupo full tenho que liberar para all user já aconteceu isso quando tento liberar outros portas só funciona quando libero para todos os usuários alguém já passou por algo do tipo pois eles estão cadastrado no isa tudo normal e o pior não e nada e que esta funcionado para http/https.

    Grato desde já Jadson.

     

    • Movido Hengzhe Li quinta-feira, 29 de março de 2012 03:58 (De:ISA Server 2004)
    quinta-feira, 14 de dezembro de 2006 20:43

Todas as Respostas

  • Rolando, da uma monitorada no teu isa , pela gui monitoring>logging , seguindo estes passos você vai encontrar o problema rapidinho, geralmente isto é problemas de ordens de regras, ou de usuários em regras indevidas, utiliza também a guia exceptions , utilizando a guia você explicitamente diz quem pertence a esta regra ou não :) , verifica se o teu isa está estourando algum erro no evento do windows, outra você atualizou seu isa server com SP2 já? qualquer coisa manda email p/ maycon@gemspe.com , terei maior prazer em ajuda-lo, espero ter ajudado abs, do amigo Maycon Alves.
    sexta-feira, 15 de dezembro de 2006 00:17
  • Olá,

    Por acaso você está forçando os usuários a se autenticarem? Existe firewall client instalado em suas estações? Se não tiver e você criar regras por grupos, realmente não vai funcionar! Clientes Secure NAT (sem cliente instalado) não suportam autenticação. Só irá funcionar se você instalar o firewall client ou criar a regra pra all users.

    Fico no aguardo.

    []´s

    Alberto

    sábado, 16 de dezembro de 2006 20:58
    Moderador
  • O meu ad esta em outro servidor.
    quarta-feira, 27 de dezembro de 2006 19:25
  • Eu não to forçando os usuários se autenticarem estou usando autenticação integrada com o ad,não estou usando o firewall cliente to configurando o Proxy na internet Explorer.

    quarta-feira, 27 de dezembro de 2006 19:31
  • Certo,

    Mas as regras estão criadas para permitir acesso aos seus protocolos por grupo, correto?Tipo, os usuários do grupo TI tem acesso a SMTP, POP3, HTTP e HTTPS, procede? Se sim, não vai funcionar. Você só conseguirá criar as regras por grupo usando o fw client, para protocolos diferentes de HTTP,HTTPS e FTP. Esses 3 funcionam, se você utilizar via browser. Descreva melhor o seu ambiente que irá facilitar o processo de auxilio para resolver o seu problema. Exemplo: Explique como você criou a regra (de onde pra onde, se tem grupo de usuarios,protocolos, etc).

    []´s

    Alberto

    quarta-feira, 27 de dezembro de 2006 23:31
    Moderador
  • Olá Alberto,

     

    Respondendo sua pergunta, as regras foram feitas da seguinte forma criei uma regra liberando http/https da rede interna para rede externa onde o grupo web poderia navegar na internet ate ai ok os usuários do grupo web conseguem navegar blz e os que não pertencem ao grupo nao navegam, mais quando tento liberar smtp por grupo ele não funciona criei a regra liberando smtp/pop3 liberando da rede interna para rede externa para o grupo email acessar email só que não funciona só funciona se colocar all user, outra regra que criei era para libera as portas MMs(1755)/RTSP(554)  para liberar radio online para a diretoria da empresa mais nada de funcionar, no meu ambiente tenho 2 controlador de domínio rodando 2003, tenho servidor de banco e de arquivos todos rodando 2003 o meu isa esta no meu domínio consigo pegar os grupos do meu domínio normalmente sem problemas.

    Configuração do ISA CPU 2.8 GHz, 512 de memória, HD de 80 Gb 7200,3 placas de redes 2 RTL 8139 e 1 SIS 900

    Obs.Noto também que quando aplico uma regra ele demora um pouco a aplicar.

    Obrigado pela atenção

     

    quinta-feira, 28 de dezembro de 2006 13:53
  • Não funciona e não vai funcionar, :).

    Sem o firewall client, o seu cliente não tem como enviar as credenciais necessárias ao ISA, para que o mesmo entenda que você tem permissão de acessar POP3 e SMTP. Para criar regras por grupo e permitir o acesso para protocolos DIFERENTES do HTTP, HTTPS e FTP, é OBRIGATÓRIO o uso do firewall client. Experimente instalar em uma máquina e veja se você não vai conseguir mandar e-mails, ;). O ISA suporta 3 tipos de clientes: Webproxy client, Secure NAT e Firewall client. Com o webproxy client, você consegue permitir acesso aos protocolos HTTP, HTTPS e FTP (desde que usando o browser) de forma autenticada. Ou seja: Você consegue criar regras por grupo. No secure nat, você consegue criar regras permitindo o acesso de todos os protocolos. Porém, o secure nat NÃO suporta autenticação. As regras devem ser aplicadas a ranges IP e para all users. Não pode ser, por exemplo, aplicadas de internal para external, todos os protocolos, para o grupo usuarios permitidos. Não vai funcionar, pois o seu cliente não tem como passar as credenciais necessárias para o ISA. Por último, temos o firewall client, que suporta os mesmos protocolos do secure nat, ou seja, todos, e ainda lhe permite criar as regras de forma que o controle seja feito por grupo ou usuário. Clareou? Estamos entendidos? :).

    Resumo da ópera: Se você quer controlar o acesso a todos os protocolos POR USUÁRIO ou GRUPO, use Firewall Client. Caso contrário, opte por um dos dois outros clientes. :).

    []´s

    Alberto

    sexta-feira, 29 de dezembro de 2006 12:16
    Moderador
  • Olá Alberto,

    Se eu usar o isa 2006 ele funciona ou terei que usar o o Firewall client da mesma forma do 2004.

    domingo, 31 de dezembro de 2006 03:22
  • Funciona do mesmo jeito que o 2004. Você precisará do fw client. Qual seria o problema em você implantar o firewall client em sua rede? Eu, particularmente, só enchergo benefícios, :).

    []´s

    Alberto

    domingo, 31 de dezembro de 2006 20:36
    Moderador
  • Ola Alberto,

     

    Não tenho problema em instalar os clientes, o problema e que tenho algumas maquinas rodando o 98 ai teria que instalar na mão pois não funciona via  GPO, pois nas outras pretendo instalar via GPO. teria algum problema em usar o cliente ISA com win 98 ?

    segunda-feira, 1 de janeiro de 2007 22:11
  • Pode instalar, mas use o cliente do ISA 2000 para isso, ok?

    []'s

    Alberto

    terça-feira, 2 de janeiro de 2007 14:10
    Moderador