none
Ajuda para bloquear sites RRS feed

  • Pergunta

  • Srs. boa tarde;

    Sei que já receberam diversos posts com esse titulo e tb pesquisei em diversos posts antes de criar essa thread.

    Vamos à pergunta.

    Tenho em meu ambiente o ISA Server 2004 instalado.
    Nele tenho as seguintes regras em sequencia.

    1º - REGRA DE PUBLICAÇÃO SERVIDOR XXXX - TRAFFIC (RDP(terminal services) SERVER) - FROM (ANYWHRE) - TO (SERVIDOR INTERNO 192.XXX.XXX.XXX) - NETWORKS (EXTERNAL)

    2º - REGRA DE PUBLICAÇÃO VPN - TRAFFIC (PPTP SERVER) - FROM (ANYWHERE) - TO (SERVIDOR INTERNO 192.XXX.XXX.XXX) - NETWORKS (EXTERNAL)

    3º - REGRA DE PUBLICAÇÃO OWA - TRAFFIC (HTTPS SERVER) - FROM (ANYWHERE) - TO (SERVIDOR EXCHANGE) - NETWORKS (INTERNAL)

    4º - ACESSO PROTOCOLO RDP - ACTION (ALLOW) - PROTOCOLS (RDP E RDP SERVER) - FROM (EXTERNAL) TO (LOCAL HOST)

    5º - ACESSP POP3/SMTP - ACTION (ALLOW) - PROTOCOLS (POP3,POP3S, SMTP, SMTPS) FROM (INTERNAL, LOCAL HOST) TO (EXTERNAL)

    6º - ACESSO GERAL - ACTION (ALLOW) - PROTOCOLS (ALL OUTBOUND) FROM (INTERNAL, LOCAL HOST) TO (EXTERNAL, INTERNAL, LOCAL HOST)

    7º - LAST DEFAULT RULE (REGRA PADRÃO DO ISA).

    Srs, informei as regras que disponho pelo seguinte motivo.
    Estou reestruturando meu isa server e quero com que nesse novo ambiente os usuários possam acessar apenas sites bancários e o google, preciso reestruturar geral quanto ao acesso a sites e também bloquear o uso de MSN.

    Eu li diversos tópicos a respeito mas não tive sucesso em nenhum que acessei. Em alguns momentos a regra funciona outros não.

    Já tentei colocar a regra de bloqueio como regra numero 1 mas não funcionou, tentei colocar a regra de bloqueio superior a regra de acesso a rede e também não tive sucesso.

    Já utilizei do monitoring mas sempre a regra ACESSO A REDE libera tudo.

    Essas são informações do meu ambiente, caso necessitem de mais dados me retornem.

    Obrigado pela ajuda e paciencia pois sei que posts como esse está cheio.

    Fabricio Proença
    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 01:09 (De:ISA Server 2004)
    quinta-feira, 5 de novembro de 2009 15:59

Todas as Respostas

  • Vamolas lah.....

    Seu ISA esta configurado como proxy?

    Como estao suas regras de acesso a internet hoje?
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quinta-feira, 5 de novembro de 2009 16:03
  • David, bom dia.


    Como consigo analisar essa configuração ??

    Posso te responder q meu isa é o gateway da rede e não utilizo o ISA Client nas estações e nem está configurado como proxy no browser.

    Abs.
    Fabricio Proença
    sexta-feira, 6 de novembro de 2009 12:46
  • Primeiramente.....

    Como vc esta pesando em fazer os bloqueios?


    A nivel de usuario, grupo, etc.....

    Como vc criou sua regra de bloqueio?
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    sexta-feira, 6 de novembro de 2009 12:48
  • David, o bloqueio q desejo fazer é por grupo, mas também pode ser feito por usuários da mesma forma ou não ?
    Eu ainda não criei a minha regra de bloqueio pq todas as regras q crio bloqueando o protocolo http e https para url set hora funciona hora não funciona.
    Nesse momento meu ISA Server está apenas com as regras de liberação, conforme publiquei no começo do post.

    Obrigado,
    Fabricio Proença
    sexta-feira, 6 de novembro de 2009 15:48
  • Pelo que entendi vc quer bloquear tudo, deixar liberado apenas sites de bancos e google? então se for isso eu acho q voce deveria tirar a regra de acesso geral e criar uma que permita apenas os sites liberados, neste caso voce irá criar uma lista de sites que serão permitidos, na regra voce coloca esta lista como destino, toda sua rede interna para os sites liberados apenas, protocolo http e https, fazendo isso não tem erro.

    Agora se alguns usuarios tem que ter acesso completo a web ai voce precisaria alterar a regra do acesso geral, coloca os protocolos http https e ftp se quiser permitir isso tb, da rede interna para rede externa, mas em usuarios voce teria q criar um grupo de acesso geral aonde somente as pessoas com acesso completo seria membro e adicionaria apenas esse grupo nesta regra. Agora para todo mundo não cair na primeiro regra ou voce coloca essa segunda (Acesso Geral) a frente da primeira ou então na primeira regra voce adiciona apenas o grupo de usuarios com bloqueio. seria apenas isso. O MSN será estaria bloqueado ja q estaria sendo liberado apenas os sites da lista, agora se voce quiser bloquear o MSN tb para os usuarios do acesso geral, então voce poderia usar filtro por http, acesse esse site http://www.andersonpatricio.org/Tutoriais/AP076_b.html que tem informacoes de como bloquear o MSN. so uma dica, este site o bloqueio serve para as versoes mais antigas, para bloquear as versoes mais novas crie uma regra igual mas alterando em signature para "Live Messenger".

    Qualquer duvidas so falar.
    sexta-feira, 6 de novembro de 2009 16:33
  • Vlw Marcel.

    Lembrando q eu tenho algumas regras de publicação de vpn e owa, vou ter problemas com essas regras, ou não por estar bloqueando http e https ?

    Vlw.
    Fabricio Proença
    sexta-feira, 6 de novembro de 2009 16:45
  • Não tera nenhum problema nao...

    Pode aplicar tranquilamente.

    Enquanto ao MSN da uma olhada aki:

    http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=17
    http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=16

    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    sexta-feira, 6 de novembro de 2009 16:51
  • Não, pois a regra estará bloqueando acessos interno para externo ja na publicação é o contrario, agora o usuario q voce usa pra acessar os servidores voce pode incluir na regra de acesso geral pra ter acesso a internet dos servidores, pra fazer atualizacoes ou coisa do tipo.
    sexta-feira, 6 de novembro de 2009 17:03
  • David, outra dúvida.

    Se apenas o google vai funcionar como vou fazer para que os usuários acessem as urls das pesquisas ??

    Pensando neste momento, desculpe a ignorancia, mas qual é a melhor forma de realizar bloqueios de sites.
    Realmente a idéia é limitar somente a sites de interesse profissional e também a bancos mas se eu liberar o google todos terão acesso as urls de pesquisa ou não ?
    Por exemplo, pesquiso no google (orkut.com) se eu clicar no link eu consigo acesso ou não ??

    Obrigado.

    Fabricio Proença
    sexta-feira, 6 de novembro de 2009 17:05
  • Fabricio,

    Se você fizer a configuração como falei que apenas libera os sites da lista o google irá funcionar pois o ISA estará liberando o acesso ao dominio da lista, no caso www.google.com então se ele tentar entrar no orkut.com como no seu exemplo ele irá bloquear pois não consta na lista. Agora você precisa verificar extamente como voce irá fazer isso, pois se voce permite acesso ao google para fazer pesquisas, de nada vai adiantar se os usuarios não conseguiram acessar nenhum conteudo da pesquisa que seja fora do google, então ou voce bloqueia apenas os sites que não quer q ninguem acesse ou então voce terá que informar seus usuarios para avisar os sites q eles estão querendo acessar, ai voce analisa o site, e libera ou não incluindo nesta lista, pode dar muito trabalho mas pelomenos voce saberá exatamente os sites que seus usuarios estarão acessando.
    sexta-feira, 6 de novembro de 2009 23:36