none
Problemas com o Firewall Policy do Isa RRS feed

  • Pergunta

  • Tenho um controlador de dominio que é o servidor DNS e tenho um servidor ISA separado. No servidor ISA tenho 2 placas de rede e compartilho 1 para funcionar a net para o resto do pessoal. Criar politicas para que apenas alguns usuarios possuam acesso a internet. Acho que devido ao fato de a net funcionar por NAT se eu coloco na aba User´s os usuarios que eu quero que tenham acesso a net, todas as nets param de funcionar. O que eu faço????

    terça-feira, 4 de novembro de 2008 14:08

Respostas

  • Olá Thiago,

     

    Assim não vai funcionar mesmo. hehehe... Isso por que alguns protocolos não utilizam autenticação. Consulta DNS é um deles.

     

    Faça o seguinte. Crie as seguintes regras, neste ordem:

    Ordem - Tipo   - Protocolo       - FROM                  - TO                        - Users

    Regra1 - Allow - HTTP/HTTPS - Internal/Local Host - Sites Bloqueados   - All Users

    Regra2 - Allow - HTTP/HTTPS - Internal/Local Host - External                 - Authenticated Users

    Regra3 - Allow - DNS             - DNS Server (DC)    - External                 - All Users

    A partir daqui, você cria as regras que você quiser, como FTP, por exemplo.

    Dessa forma, você permite que o seu server DNS consulte endereços externos e resolva para seus clientes internos. E também permite que apenas tráfego HTTP e HTTPS válidos, tanto de usuários como de sites, sejam permitidos.

     

    Se útil, classifique...

    Até mais!

    terça-feira, 4 de novembro de 2008 15:25

Todas as Respostas

  • Olá Thiago,

     

    O server ISA está no domínio ou em Workgroup? Se estiver em Workgroup você terá problemas de autenticação.

    Outra coisa, detalhe melhor suas regras para que possamos ajudá-lo.

     

    Até mais!

    terça-feira, 4 de novembro de 2008 14:45
  • O servidor ISA está no dominio é está rodando no Server 2003. Criei uma unica regra ALL OUTBOUND e nos adaptadores eu escolhi todas as redes tanto no To quanto no Para. Na Aba User´s eu coloquei um grupo do dominio e pronto.

     

    terça-feira, 4 de novembro de 2008 15:15
  • Olá Thiago,

     

    Assim não vai funcionar mesmo. hehehe... Isso por que alguns protocolos não utilizam autenticação. Consulta DNS é um deles.

     

    Faça o seguinte. Crie as seguintes regras, neste ordem:

    Ordem - Tipo   - Protocolo       - FROM                  - TO                        - Users

    Regra1 - Allow - HTTP/HTTPS - Internal/Local Host - Sites Bloqueados   - All Users

    Regra2 - Allow - HTTP/HTTPS - Internal/Local Host - External                 - Authenticated Users

    Regra3 - Allow - DNS             - DNS Server (DC)    - External                 - All Users

    A partir daqui, você cria as regras que você quiser, como FTP, por exemplo.

    Dessa forma, você permite que o seu server DNS consulte endereços externos e resolva para seus clientes internos. E também permite que apenas tráfego HTTP e HTTPS válidos, tanto de usuários como de sites, sejam permitidos.

     

    Se útil, classifique...

    Até mais!

    terça-feira, 4 de novembro de 2008 15:25
  • Faz o teste do Vinicius se nao rolar avisa..

    abraços
    terça-feira, 4 de novembro de 2008 17:31
    Moderador
  •  Vinícius Ramos Apolinário wrote:

    Olá Thiago,

     

    Assim não vai funcionar mesmo. hehehe... Isso por que alguns protocolos não utilizam autenticação. Consulta DNS é um deles.

     

    Faça o seguinte. Crie as seguintes regras, neste ordem:

    Ordem - Tipo   - Protocolo       - FROM                  - TO                        - Users

    Regra1 - Allow - HTTP/HTTPS - Internal/Local Host - Sites Bloqueados   - All Users

    Regra2 - Allow - HTTP/HTTPS - Internal/Local Host - External                 - Authenticated Users

    Regra3 - Allow - DNS             - DNS Server (DC)    - External                 - All Users

    A partir daqui, você cria as regras que você quiser, como FTP, por exemplo.

    Dessa forma, você permite que o seu server DNS consulte endereços externos e resolva para seus clientes internos. E também permite que apenas tráfego HTTP e HTTPS válidos, tanto de usuários como de sites, sejam permitidos.

     

    Se útil, classifique...

    Até mais!

     

     

    Regra1 - Allow - HTTP/HTTPS - Internal/Local Host - Sites Bloqueados   - All Users

    NESTA REGRA SERÁ LIBERADO O ACESSO AOS PROTOCOLOS TANTO DA REDE INTERNA

    QUANTO DO ISASERVER(LOCALHOST), PARA OS SITES (URL SET) , ALLUSERS, ENTÃO TODOS

    IRÃO ACESSAR SOMENTE OS SITES QUE ESTIVEREM CONFIGURADOS NA URL SET. ACREDITO QUE A OPÇÃO SERIA O DENY DEVIDO A URL SET ESTAR CONFIGURADA COMO "SITES BLOQUEADOS"

     

    Regra2 - Allow - HTTP/HTTPS - Internal/Local Host - External                 - Authenticated Users

    BELEZA.. ENTAO OS USUÁRIOS AUTENTICADOS, PODE ATÉ SER UM OUTRO GRUPO CONFIGURADO PARA ESTE FIM, IRÃO ACESSAR TODOS OS SITES, EXCETO AQUELES QUE ESTÃO NA URL SET "SITES BLOQUEADOS", SE FOR CONFIGURADO NA PRIMEIRA REGRA COMO DENY.

     

    Regra3 - Allow - DNS             - DNS Server (DC)    - External                 - All Users

    OK. PORÉM O DETALHE, TODO PROTOCOLO QUE POR DEFAULT ESTA COM A OPÇÃO "SERVER"

    EXEMPLO (DNS SERVER) SÃO PROTOCOLOS DE ENTRADA (INBOUND), ENTÃO A REGRA DO DNS NÃO IRÁ FUNCIONAR.. ACREDITO QUE NESTA REGRA A SUGESTÃO FOI APONTAR O SERVIDOR DNS PARA EXTERNAL..

    BASTA CRIAR A REGRA , ALLOW - DNS - INTERNAL - EXTERNAL - ALLUSERS, NÃO HÁ NECESSIDADE DE CRIAR UM COMPUTER SET PARA ESTE FIM. O SERVIDOR DNS PRECISA ESTAR COM O GATEWAY APONTADO

    EM AMBAS AS OPÇÕES.

     

     

    abs,

     

     

     

     

     

     

    terça-feira, 4 de novembro de 2008 19:08
    Moderador
  • Olá Felipe,

     

    Muito bem feitas as observações. Vamos aguardar pela resposta do Thiago.

     

    Até mais!

     

    terça-feira, 4 de novembro de 2008 19:33
  • Valeu pelas dicas!!! Não testei até agora pois eu só posso testar depois das 19:00 horas (quando a empresa fecha). Muito obrigado até o momento. Assim que funcionar eu "posto" como resposta  

    terça-feira, 4 de novembro de 2008 20:10
  • Cara fiz tudo do jeito que vcs disseram porém não deu certo. Tem uma aba dentro da guia user (quando vc acessa pelo propriedades da firewall access rules ) que diz que usuários de NATsecurity não são autenticados. Eu uso NAT já que compartilho a placa de rede do meu micro, vcs acham que pode ser isso????

     

    Aguardo a resposta!

     

    terça-feira, 4 de novembro de 2008 23:23
  • Pessoal descobri era cagada minha. Eu como todo novato não sabia que o ISA tinha 3 tipos de clientes. Então  não configurei os browsers para usar proxy.... os usuarios utilizavam o SecurityNat e por esse tipo de cliente do ISA não é possível diferenciar quem usou o que por nome e saber os sites pelos nomes também.

    De qualquer maneira muito obrigado.

     

     

     

    quarta-feira, 5 de novembro de 2008 10:22