none
Regras não funcionam corretamente RRS feed

  • Pergunta

  • Srs, boa tarde;

    Estou com um problema em meu Isa Server.
    Na empresa criei regras de acesso full e acesso limitado.
    Na regra de acesso full está o grupo diretoria q pode ter todo o acesso a internet, este grupo está integrado ao AD.
    A segunda regra acesso limitado estão os demais grupos como colaboradores, visitantes e socios.
    Essa regra de acesso limitado hora funciona hora não funciona e da seguinte forma.
    Alguns usuários do grupo colaboradores tem acesso e outros não e os demais grupos da regra continuam com o acesso normal sendo q grupos distintos estão na mesma regra.
    Se pelo AD eu mudar o usuário por exemplo do grupo colaboradores e colocar no grupo socios a internet volta a funcionar.
    A principio eu estava sem minha zona reversa no dns, hoje criei a zona reversa mas mesmo assim não voltou a funcionar.
    O mais estranho é que há um mês estava funcionando normalmente e hoje já não sei mais o q é.
    No inicio o Isa Server estava com problemas de autenticação no DNS mas após eu criar a zona reversa não apresentou mais nenhum log.

    a regra de acesso full está configurada todos os protocolos para internet com permissão full.
    a regra de acesso limitado está configurado protocolos http e https com url sets bloqueados.

    Estou perdido pois já não sei se o problema continua sendo o dns ou o meu isa server.

    Já reiniciei, apliquei o sp1 do ISA Server 2006.

    Em alguns momentos no monitoring o ip do usuário está caindo na default rule, mas se mudo ele de grupo dentro da mesma regra volta a funcionar.

    Isso está impactando na minha produção e segurança, pois tenho q liberar tudo para todos.

    Alguem me ajude por favor.

    Obrigado a todos.
    Fabricio Proença
    terça-feira, 9 de março de 2010 15:36

Respostas

  • Mude sua regra assim:


    acesso full : all outbound traffic - from: internal - to: external - users: grupo diretores.

    bloquio acesso moderado: all outbound traffic - from: internal - to: (**url sets bloqueando sites indesejados**) - todos os usuarios

    acesso moderado: http,https,ftp - from: internal - to: external - users: grupo colaboradores, visitantes.


    seguindo essa ordem!!!!!
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 16:21
  • Bloqueia esses endereços:

    *.talk.google.com
     *.talkx.l.google.com
     chatenabled.mail.*
     chatenabled.mail.google.*
     chatenabled.mail.google.com
     http://*.chatenabled.mail.google.com/*
     http://72.14.253.125
     http://an-in-f189.google.com
     http://b.mail.google.com
     http://chatenabled.mail.google.com
     http://chatenabled.mail.google.com/*
     http://dl.google.com/googletalk/*
     http://kc-in-f125.google.com
     http://talk.google.com
     http://talkgadget.google.com/talkgadget/client
     http://talkx.l.google.com/*
     talk.google.com
     talkx.l.google.com
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 16:55
  • Use esses dois links:

    http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=17

    http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=16

    Alem desse links acima, crie uma regra assim


    acesso full : all outbound traffic - from: internal - to: external - users: grupo diretores.

    ---->>>> bloquio acesso moderado para protocolos: MSN, MSN Messenger, ICQ entre outro - from: internal - to: externo - todos os usuarios

    bloquio acesso moderado: all outbound traffic - from: internal - to: (**url sets bloqueando sites indesejados**) - todos os usuarios

    acesso moderado: http,https,ftp - from: internal - to: external - users: grupo colaboradores, visitantes.
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 17:17
  • David

    outra duvida, minhas regras estão organizadas da seguinte forma.

    acesso monitorado
    acesso bloqueado (regra nova)
    acesso full

    em qual local devo criar bloqueio acesso moderado protocolos ?

    Obrigado
    Fabricio Proença

    acesso full : all outbound traffic - from: internal - to: external - users: grupo diretores.

    ---->>>> bloquio acesso moderado para protocolos: MSN, MSN Messenger, ICQ entre outro - from: internal - to: externo - todos os usuarios

    bloquio acesso moderado: all outbound traffic - from: internal - to: (**url sets bloqueando sites indesejados**) - todos os usuarios

    acesso moderado: http,https,ftp - from: internal - to: external - users: grupo colaboradores, visitantes.



    Cuidado com as regras...

    A regra de bloquio sempre fica acima da regra de liberação!
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 17:59

Todas as Respostas

  • Como esta suas regras de liberção detalhada!!!

    Em uma maquina cliente quando vc executa:

    nslookup uol.com.br
    nslookup servidorISA    está resolvendo?

    tem algum evento no ISA?


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 15:54
  • David, boa tarde;

    minhas regras estão da seguinte maneira.

    acesso full: all outbound traffic - from: internal - to: external - users: grupo diretores.
    acesso moderado: all outbound traffic - from: internal - to: external + (**url sets bloqueando sites indesejados**) - users: grupo colaboradores, visitantes.

    quando rodo o comando nslookup no dominio uol como no exemplo a resposta é.
    servidor: domaincontroler.local
    adress ip: 192.xxx.xxx.xxx

    não é resposta de autorização
    nome=uol.com.br
    adresses: 200.221.2.45, 200.98.249.120

    essa é a resposta.

    se eu executo nslookup no meu servidor isa a resposta é:
    servidor: domaincontroler.local
    adress ip: 192.xxx.xxx.xxx

    nome = servidorisa.local
    adresses ip:192.xxx.xxx.xxx

    No event viewer não há nenhum evento, o evento q tinha era sobre o dns, mas como criei a zona reversa esse evento foi sanado, tanto que quando eu rodava nslookup dentro da minha rede nem o servidor dns ele encontrava.

    Obrigado.


    Fabricio Proença
    terça-feira, 9 de março de 2010 16:08
  • Mude sua regra assim:


    acesso full : all outbound traffic - from: internal - to: external - users: grupo diretores.

    bloquio acesso moderado: all outbound traffic - from: internal - to: (**url sets bloqueando sites indesejados**) - todos os usuarios

    acesso moderado: http,https,ftp - from: internal - to: external - users: grupo colaboradores, visitantes.


    seguindo essa ordem!!!!!
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 16:21
  • David, uma duvida.

    minhas regras estão na seguinte sequencia.

    acesso moderado
    acesso full

    ---

    default rule.

    devo posicionar o bloqueio acesso moderado entre as duas regras ?

    Att;

    Fabricio Proença
    terça-feira, 9 de março de 2010 16:27
  • David, uma duvida.

    minhas regras estão na seguinte sequencia.

    acesso moderado
    acesso full

    ---

    default rule.

    devo posicionar o bloqueio acesso moderado entre as duas regras ?

    Att;

    Fabricio Proença

    Isso mesmo entre as duas!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    pq se vc colocar acima os gerentes tbm terao o bloqueio, e não é isso q vc quer!!!


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 16:29
  • David,

    A principio o acesso a internet funcionou e alguns bloqueios como r7, orkut e youtube tb funcionaram, mas o bloqueio do gtalk não funcionou adicionei as urls de bloqueio no url set referente ao gtalk q anteriormente estava funcionando.

    Tem alguma luz ae kkk.

    Fabricio Proença
    terça-feira, 9 de março de 2010 16:42
  • Bloqueia esses endereços:

    *.talk.google.com
     *.talkx.l.google.com
     chatenabled.mail.*
     chatenabled.mail.google.*
     chatenabled.mail.google.com
     http://*.chatenabled.mail.google.com/*
     http://72.14.253.125
     http://an-in-f189.google.com
     http://b.mail.google.com
     http://chatenabled.mail.google.com
     http://chatenabled.mail.google.com/*
     http://dl.google.com/googletalk/*
     http://kc-in-f125.google.com
     http://talk.google.com
     http://talkgadget.google.com/talkgadget/client
     http://talkx.l.google.com/*
     talk.google.com
     talkx.l.google.com
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 16:55
  • David, O bloqueio ao gtalk foi realizado com sucesso. Pode me instruir qual a melhor forma de bloquear o windows live messenger e o msn nativo do windows. Obrigado pela ajuda.
    Fabricio Proença
    terça-feira, 9 de março de 2010 17:02
  • Use esses dois links:

    http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=17

    http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=16

    Alem desse links acima, crie uma regra assim


    acesso full : all outbound traffic - from: internal - to: external - users: grupo diretores.

    ---->>>> bloquio acesso moderado para protocolos: MSN, MSN Messenger, ICQ entre outro - from: internal - to: externo - todos os usuarios

    bloquio acesso moderado: all outbound traffic - from: internal - to: (**url sets bloqueando sites indesejados**) - todos os usuarios

    acesso moderado: http,https,ftp - from: internal - to: external - users: grupo colaboradores, visitantes.
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 17:17
  • David

    outra duvida, minhas regras estão organizadas da seguinte forma.

    acesso monitorado
    acesso bloqueado (regra nova)
    acesso full

    em qual local devo criar bloqueio acesso moderado protocolos ?

    Obrigado
    Fabricio Proença
    terça-feira, 9 de março de 2010 17:36
  • David

    outra duvida, minhas regras estão organizadas da seguinte forma.

    acesso monitorado
    acesso bloqueado (regra nova)
    acesso full

    em qual local devo criar bloqueio acesso moderado protocolos ?

    Obrigado
    Fabricio Proença

    acesso full : all outbound traffic - from: internal - to: external - users: grupo diretores.

    ---->>>> bloquio acesso moderado para protocolos: MSN, MSN Messenger, ICQ entre outro - from: internal - to: externo - todos os usuarios

    bloquio acesso moderado: all outbound traffic - from: internal - to: (**url sets bloqueando sites indesejados**) - todos os usuarios

    acesso moderado: http,https,ftp - from: internal - to: external - users: grupo colaboradores, visitantes.



    Cuidado com as regras...

    A regra de bloquio sempre fica acima da regra de liberação!
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 17:59
  • David, boa tarde.

    Muito obrigado pelas ajudas, acho q a rede está produtiva agora.
    Apenas vou alinhar os sites da url set de acordo com as nossas necessidades.
    Adicionei as Signatures do msn na regra acesso moderado e funcionou, vou monitorar o ambiente analisar se ficará estavel, qualquer duvida volto a postar nessa thread.

    Agradeço mesmo a sua atenção e presteza, todas as respostas vou marcar como validas.

    Abs.

    Fabricio Proença
    terça-feira, 9 de março de 2010 18:25
  • David;

    O q pensei q estivesse bom não funfou.
    Estava funcionando até minutos atrás, mas do nada parou.
    Mesma condição, o grupo colaboradores parou de ter acesso porém o grupo socios que está contido na mesma regra acessa.

    Será possivel ser problemas de DC ?

    Tks
    Fabricio Proença
    terça-feira, 9 de março de 2010 20:16
  • Oq está acontecendo?

    Como ficou as posições da regra?

    Vc verificou o ISA se nao tem nehum serviço parando?

    E sua internet, está OK?

    No seu AD tem agum evento lah?

    Validade as configurações da placa de rede do ISA!

    veja:

    http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=19
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 20:21
  • A posição das regras ficou da seguinte maneira.

    acesso monitorado
    acesso sites bloqueados
    acesso diretoria

    no isa os serviços estão ok, não há nenhum evento tanto no isa quando no meu ad.
    Minha internet está ativa, tanto q todos da rede estão navegando através da regra diretoria tendo acesso full a internet.

    Ontem fiz a validação da placa de rede conforme tutorial.


    Fabricio Proença
    terça-feira, 9 de março de 2010 20:24
  • O ISA esta atualizado?

    Faça o monitoramento do trafego e veja se os clientes não estao caindo em outra regra...

    Ta muito estranho!

    VC usa FC nas maquinas?
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    • Editado David182 terça-feira, 9 de março de 2010 20:29
    terça-feira, 9 de março de 2010 20:26
  • Realmente está muito estranho.

    Quando monitoro o trafego as regras bloqueiam todos os sites seja da url set ou site fora da url set.
    Em algum momento do monitoramento ele cai na default rule mas logo passa pra regra de acesso monitorado.

    Não consigo entender, as vezes penso q pode ser problemas no grupo do ad, pois usuários q estão em outros grupos mas dentro da mesma regra acessam normalmente.


    Fabricio Proença
    terça-feira, 9 de março de 2010 20:29
  • Vc usa FC nas maquinas?
    O proxy esta apontando para o ISA?


    Exclua o grupo do AD, faça novamente e importe para o ISA.
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    • Editado David182 terça-feira, 9 de março de 2010 20:35
    terça-feira, 9 de março de 2010 20:31
  • desculpe a ignorancia VC, FC ?
    O proxy setado no browser aponta para o isa sim e o default gateway é o isa server.

    Fabricio Proença
    terça-feira, 9 de março de 2010 20:33
  • não utilizo firewall client não
    Fabricio Proença
    terça-feira, 9 de março de 2010 20:33
  • era so FC mesmo!!


    Tente refazer esse grupo no AD, faça teste com outros grupos e usuarios!!
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 9 de março de 2010 20:36
  • Vou tentar, mas só consigo fazer isso quando a rede está vazia.
    Assim que testar, eu posto aqui no forum.

    Att;

    Fabricio Proença
    terça-feira, 9 de março de 2010 20:37
  • Bom dia David.

    Hoje criei um grupo de teste (grp_visitante) inclui meu usuário dentro deste grupo e até então as regras estão funcionando da seguinte forma.

    acesso monitorado - from: internal - to: external (url sets) - users: grp_visitantes.
    acesso full - from: internal - to: external  - users: diretoria.

    ao fazer o monitoring do isa detecto q minha máquina respeita a regra de bloqueio porém os sites estão sendo bloqueados pela default rule. o bloqueio do msn está sendo respeitado pela regra, mas os sites estão sendo feitos pela default rule.

    nesse momento adicionei o grupo colaboradores dentro da regra de acesso full e mesmo assim alguns usuários estão sem internet. o grupo socios está dentro da regra acesso full e tem acesso a internet e o grupo colaboradores q está dentro da mesma regra está sem acesso.

    Será problema de autenticação no ad ?
    Fabricio Proença
    quarta-feira, 10 de março de 2010 13:03
  • Pq pelo q entendi essa regra:

    acesso monitorado - from: internal - to: external (url sets) - users: grp_visitantes.

    Vc colocou URLS entao se a URL estiver dentro dessa regra sai para internet!!!!!  se nao estiver aí ele vai para outra regra como nao tem ater achar liberação.......Como nao tem liberação ele vai cair na regra default mesmo!!

    faça um teste ai para vc ver



    crie uma regra assim:
    deixe extamente nessa posição!!!!!

    Bloqueio teste - todos protocolos - from: internal - to: (URL-http://*.orkut.com/*) - users: todos usuarios ---> somente o orkut para teste
    acesso monitorado - from: internal - to: external (url sets) - users: grp_visitantes.



    tente acessar o orkut e veja q ele vai cair na regra bloquio teste !

    O problema parece ser realmente nas criações das regras!!
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 10 de março de 2010 13:31
  • David,

    Entendi o q acontece, vou deixar a regra dessa forma q supri a minha necessidade.
    Vou apenas refazer os grupos do ad por desencargo e torcer pra funcionar corretamente.

    Agradeço novamente o help, assim q tiver respostas eu entro em contato.

    Abs.

    Fabricio Proença
    quarta-feira, 10 de março de 2010 14:10