none
Regras de Firewall não estão funcionando com SecureNat RRS feed

  • Pergunta

  • Boa noite a todos,

    Pessoal, estou com um grande problema. Possuo o ISA Server 2004 e gostaria de utilizar o acesso "Secure Nat" (configurei todo clientes com o endereço IP 192.168.0.1 que é o servidor ISA) porém não funciona. Assim, criei uma regra para bloquear o site do orkut, quando esta com o SecureNAT a regra não é aplicada (o orkut abre). Porém quando configuro o IE para utilizar o Web Proxy a regra funciona (o orkut fica bloqueado). 
    Ffiz o teste bloqueando um site dentro da minha rede e o resultado foi o mesmo (no secureNAT não bloqueia mas como web proxy bloqueia) Alguém poderia me auxilizar qnto a isso? Desde ja muito obrigado!
    MCP, MCDST e MCSA 2003
    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 00:57 (De:ISA Server 2004)
    terça-feira, 19 de janeiro de 2010 02:27

Todas as Respostas

  • thiago,

    Esse comportamento ja é esperado...

    O SecureNAt vc libera tudo, ao menos que na regra de liberaçao vc coloque alguma excessao...Ou entao coloque uma regra securenat encima dessa de liberaçao com um domain name set ou url set bloqueando os dominios, entendeu?


    Web proxy vai pegar mesmo, pois ele valida usuário..acesso securenat sai como anonymous, ou seja liberaçao e bloqueio devem ser feitos sempre utilizando o ALL USERS.


    Ficou claro?

    Se util nao esqueça de marcar como resposta
    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 19 de janeiro de 2010 02:52
    Moderador
  • Ola Luis,


    Então, esse é o problema minha regra de bloqueio site ja esta para o grupo "All Users", ou seja deveria ter sido bloqueado, porém não ocorreu.
    MCP, MCDST e MCSA 2003
    terça-feira, 19 de janeiro de 2010 02:56
  • Qual a ordem dessas suas regras?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 19 de janeiro de 2010 03:10
    Moderador
  • Segue o print:

    http://img200.imageshack.us/img200/935/isav.jpg


    nenhuma dessas duas regras de bloqueio funcionaram com secureNAT

    MCP, MCDST e MCSA 2003
    terça-feira, 19 de janeiro de 2010 03:35
  • Muito estranho.... Faça o seguinte, faça um monitoramento e veja por qual regra esse acesso esta saindo.. Vc tem firewall client instalado na maquina?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 19 de janeiro de 2010 03:46
    Moderador
  • Então efetuei o monitoramento, e quando da minha máquina cliente acesso o orkut no ISA me mostra o IP do servidor DNS se conectando ao ISA como secureNAT (até ai creio que esta tudo ok).

    Não possuo firewall client instalado.




    MCP, MCDST e MCSA 2003
    terça-feira, 19 de janeiro de 2010 04:00
  • Monitore somente o IP da sua maquina..

    Veja qual regra esta liberando o acesso ao orkut...
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 19 de janeiro de 2010 04:02
    Moderador
  • Vc ja colocou o IP 64.233.165.85 na regra de bloqueio?

    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 19 de janeiro de 2010 14:43
  • alguma novidade thiago?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 19 de janeiro de 2010 16:10
    Moderador
  • Boa noite!


    Me desculpem a demora para responder, correria no serviço...

    Mas vamos lá!


    David, que ip é esse? não é do orkut...

    E Luiz, fiz o que você pediu (creio que é isso, me desculpe se não é... comecei a estudar ISA a pouco tempo)

    segue:

    http://i49.tinypic.com/2jeo4yb.jpg

    o IP 192.168.0.2 é do meu servidor DNS fazendo a requisição da URL www.orkut.com.br

    Vi que a saída do DNS estava sendo negada, dai criei um  regra para a saída de requisições na porta 53 (esta correto?). Porém ainda assim minhas regras de bloqueio não funcionam com SecureNat.

    Um outro ponto que gostaria de levantar é que as minhas três máquinas (o ISA, o DNS e o Cliente WinXP) são máquinas virtualizadas sobre o virtual PC, será que poderia ser essa a causa do problema? como se fosse algum conflito?


    Desde ja muito obrigado!





    MCP, MCDST e MCSA 2003
    quarta-feira, 20 de janeiro de 2010 23:39
  • esse IP 64.233.165.85 e do site orkut.com....


    Vc liberou a regra no seu servidor DNS para fazer consulta na rede externa;...

    Executa o comando nslookup nas extaçõs e olha se esta resolvendo os nomes.....


    vc esta utilizando uma LAB?

    como estao as configurações das plcas de redes?


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    sexta-feira, 22 de janeiro de 2010 02:06
  • Então, eu liberei o DNS pra fazer consulta externa sim.

    Ja fiz testes com o nslookup e ta tudo ok.


    Não baixei LAB pronta eu mesmo instalei as máquinas...

    segue as configurações:


    Hostname: COMP-01
    IP: 192.168.0.11 (DHCP)
    DNS: 192.168.0.2
    Gateway: 192.168.0.1
    S.O: Windows XP
    Função: Máquina cliente
    %%%%%%%%%%%%
    Hostname: SVRDC-01
    IP: 192.168.0.2 (Estático)
    DNS: 127.0.0.1
    Gateway: 192.168.0.1
    S.O: Win Server 2003 R2
    Função: DC, DNS, DHCP, IIS, Exchange 2003, File Server e Print Server
    %%%%%%%%%%%%
    Hostname: FWISA-01
    IP: 192.168.0.1
    DNS: 192.168.0.2
    Gateway: 192.168.0.1
    S.O: Win Server 2003 R2
    Função: ISA Server 2004 SP2

    Problema de resolução creio que não é pois se não ocorreira a mesma coisa utilizando Web Proxy ou Firewall Client

    Refiz as regras de bloqueio e da na mesma: Só funcionam como Web Proxy ou Firewall Client.


    Mais uma vez obrigado pela atenção!


    MCP, MCDST e MCSA 2003
    sexta-feira, 22 de janeiro de 2010 02:53
  • Ninguém sabe oque poderia ser né?


    Acho que vou ter que efetuar a instalação do firewall client mesmo...


    Mesmo assim valeu pela atenção galera! e se eu descobrir a solução posto aqui....

    Att.
    MCP, MCDST e MCSA 2003
    terça-feira, 26 de janeiro de 2010 22:49