locked
Negar acesso com o TMG RRS feed

  • Pergunta

  • Galera, meu ambiente funciona da seguinte forma, eu tenho o fortigate que controla a minha saída de internet, forefront tmg funciona apenas como proxy, tem como eu negar a saida da internet pelo ff pra quem não tiver com proxy?


    segunda-feira, 14 de outubro de 2013 11:30

Todas as Respostas

  • Após configurar o proxy no forefront, você está fazendo NAT na internet, ou seja os computadores chegam ao Fortigate com o IP do proxy e não com seu IP real.

    Com isso basta liberar a saída no Firewall Fortigate para o IP do proxy apenas, permitindo somente ele navegar a internet, com isso os usuários somente sairão através do proxy explicito ou do secure NAT do forefront.

    Faça o teste na regra de liberação do Fortigate, liberando o trafego com o source IP sendo o do FF e o destination a rede WAN com IP (all)

    Qualquer dúvida posta ai que ti explico melhor

    Daniel Ulisses

    MCSA - MCITP - MCTS - MCP - http://danielulisses.com - @danielulisses


    Acesse o site TIBRASIL - Tutoriais, Empregos em TI, Notícias sobre tecnologia e muito mais. http://tibrasil.com
    Att,
    Daniel U. Silva - Analista de suporte MCTS Windows Vista / Windows 7 / Windows Server 2008 / Sharepoint Server

    segunda-feira, 14 de outubro de 2013 11:39
  • Eu entendi o que vc falou, só não posso colocar em pratica, como o FF está em faze de teste se eu setar esta configuração eu empeço todo mundo de navegar, eu queria setar esta configuração para um grupo especifico entende?
    segunda-feira, 14 de outubro de 2013 11:44
  • O que você pode fazer como teste neste caso é o seguinte.

    Separe um IP da rede ou uma vlan de testes e bloqueie o trafego dela para internet.

    Libere o trafego dela para o FF e creio que o FF já possua o trafego liberado para a internet.

    Com isso o acesso direto das máquinas desta VLAN ou do IP que utilizou não passará.

    Eu recomendo isso com uma VLAN, pois ficará mais amplo o cenário para futuros testes.

    Daniel Ulisses

    MCSA - MCITP - MCTS - MCP - http://danielulisses.com - @danielulisses


    Acesse o site TIBRASIL - Tutoriais, Empregos em TI, Notícias sobre tecnologia e muito mais. http://tibrasil.com
    Att,
    Daniel U. Silva - Analista de suporte MCTS Windows Vista / Windows 7 / Windows Server 2008 / Sharepoint Server

    segunda-feira, 14 de outubro de 2013 11:51
  • Entendi, vou ver qual a melhor pois para criar uma VLAN eu precisaria de um switch gerenciavel e nao possuo um disponivel agora, ou da pra fazer vlan pelo ff?

    segunda-feira, 14 de outubro de 2013 12:05
  • Não, você precisaria taguear a vlan através de um switch de preferência.

    neste caso, separe um range de Ip's da sua rede para fazer o teste e bloqueie a saida deles no Fortigate. com isso já conseguirá simular o proxy pelo FF


    Acesse o site TIBRASIL - Tutoriais, Empregos em TI, Notícias sobre tecnologia e muito mais. http://tibrasil.com
    Att,
    Daniel U. Silva - Analista de suporte MCTS Windows Vista / Windows 7 / Windows Server 2008 / Sharepoint Server

    segunda-feira, 14 de outubro de 2013 12:18