none
Falhas nas regras e falha de DNS RRS feed

  • Pergunta

  • Meus Amigos preciso novamente da ajuda de voces, o ISA em determinada hora, da um erro de DNS ( vi pelo evento do windows ) e derruba a conexao, dai tenho que liberar a regra geral sem bloqueio ( Casa da Mae Joana ) e depois disso se eu bloqueio a regra novamente da closed conection em todas as outras regras, por exemplo hoje funcionou com a regra 1 ativada até as 09:54 qdo deu o erro parou tudo.

    Erro:
    A funcao recv() do servidor DNS Falhou.

    Minhas regras estao da seguinte forma

    a Regra 1 - é a que libera tudo, que tem que ficar bloqueada - Casa da Mae Joana

    http://www.paluana.com.br/regras_isa_server.jpg

    Windows 2003 Server SBS

    Este server é DHCP + AD + DC , usuarios usam Web Proxy. Isa Server 2004 com os 3 Service Packs e alguns hotfix Instalados.

    Configuracoes da Placa Interna

    IP: 192.168.0.1
    Mascara: 255.255.255.0
    Gateway:
    DNS 1 : 192.168.0.1

    Placa Externa

    IP: 187.XXX.XXX.XX
    Mascara: 255.255.255.248
    Gateway: 187.XXX.XXX.XXX
    DNS1 : 200.XXX.XXX.XXX
    DNS2: 200.XXX.XXX.XXX


    Nestas regras ainda preciso incluir o acesso somente a sites liberados ou seja tudo vai ser barrado para os IPS BLoqueados e liberados somente das 12:00 as 14:00, eu ja havia criado a regra mas sem chance de funcionar. Se alguem puder me ajudar a reorganizar essas regras pois ja tem mais de duas semanas que venho enfrentando esse problema de funciona/nao funciona.... agradeceria muito..

    grato

    Luciano

     

     

     

     

    • Movido Jundan Wu terça-feira, 27 de março de 2012 20:42 (De:ISA Server 2004)
    quarta-feira, 20 de abril de 2011 13:45

Respostas

  • Ola,

    1º entre no seu servidor DNS e informe o ip do Isa na Lista de Encaminhadores (Forwards)

    2º Seu clientes devem estar com a opcao de DNS primario para o seu servidor Interno (192.168.0.1)

    3º No ISA entre em DIRETIVAS DE SISTEMA

    Servicos de Rede>DNS

    veja se o check box esta habilitado.

    e na ABA PARA

    Adicione o seu Servidor DNS

    4º Nas suas Regras . Crie uma Regra dando permissao de consulta DNS

    De DNS1 to HOST LOCAl

    e teste agora!!

     

    nao entendi por q vc fez uma publicacao DNS, apenas e necessario criar uma regra (mas antes tem a mudar a diretiva de sistema)

     

    Espero seu retono e me informe quais dos passos informados ja estavam sendo utilizado e os q nao estavam.


    Enderson Valente Teixeira - Coordenador de Informática
    quarta-feira, 20 de abril de 2011 20:46
  • Ola,

    entao tem um detalhe que nao sabia nao sua rede. mas que vc informou no seu post

    que o seu ISA esta junto com o seu Active Directory (consequentemente com o seu DNS)

    entao teremos uma mudancas

    3º No ISA entre em DIRETIVAS DE SISTEMA

    Servicos de Rede>DNS

    e na ABA PARA

    Adicione a REDE INTERNAL

    4º Nas suas Regras . Crie uma Regra dando permissao de consulta DNS

    De DNS1 (servidor ISA/AD) to REDE INTERNAL

    Caso continue dando problema.

     

    Mande o monitoramento

    mas mande o monitoramento de ACESSO NEGADO

    pois vc mandou um log de Conexao fechada (isto e um ação comum do firewall)

     

    Espero ter lhe ajudado.

    Abracos


    Enderson Valente Teixeira - Coordenador de Informática
    segunda-feira, 25 de abril de 2011 17:51

  • Ola,

    Vai em Configuracao > Geral > Definir Configuracao de Reduncao de Inundacao


    tem dois caminhos.

    1º (Nao recomendavel mais rapido)
    Vamos fazer o seguinte para criterio de teste.
    DESABILITE "Reduzir ataques de inundacao e propagacaO de Worn

    2º Ente em todos os EDITAR
    e Na parte de limite de conexoes onde esta LIMITE PERSONALIZADO
    vc aumenta o limite ex: de 600 para 3000

    Entao entre depois na ABA Excecoes de IP
    Adicione um Grupo de Computadores com a FAIXA da sua rede interna e Inclua como Excecoes IP.


    e Peca para aplicar
    para resolver o problema de limite de excecoes.
    caso deê certo, vc vai adequando os valores conforme vc axar adequado para a sua rede.
    Enderson Valente Teixeira - Coordenador de Informática
    • Marcado como Resposta Richard Juhasz quarta-feira, 4 de maio de 2011 14:34
    segunda-feira, 25 de abril de 2011 19:04
  • Deixa a placa de rede externa do ISA sem DNS!!

    IP: 192.168.0.1
    Mascara: 255.255.255.0
    Gateway:
    DNS 1 : 192.168.0.1

    Placa Externa

    IP: 187.XXX.XXX.XX
    Mascara: 255.255.255.248
    Gateway: 187.XXX.XXX.XXX
    DNS1 : em branco
    DNS2: em branco

     

    em binds na opção de locais de rede indo em avançado coloque a placa Interna do ISA em primeiro...

     

    http://social.technet.microsoft.com/Forums/pt/forefronttmgpt/thread/4d225891-8537-482b-ae55-7f499f56dc55


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    • Marcado como Resposta Richard Juhasz quarta-feira, 4 de maio de 2011 14:34
    terça-feira, 26 de abril de 2011 16:19

Todas as Respostas

  • Monitorando todas as conexoes com a regra 1 liberada vejam o status da regra de DNS.

     

    Closed Connection  20/4/2011 10:51:36
    Log type: Firewall service
    Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
    Rule: Allow DNS from ISA Server to selected servers
    Source: Local Host ( 187.x.xxx.xx:47107) -> IP do IPS
    Destination: External (te-resolver1.tdatabrasil.net.br 200.153.0.68:53)
    Protocol: DNS
    User:
     Additional information
    • Number of bytes sent: 0 Number of bytes received: 0
    • Processing time: 147547ms Original Client IP: 187.x.xxx.xx
    • Client agent:
    quarta-feira, 20 de abril de 2011 13:54
  • Como esta configurada as placas de rede do ISA?

    Tem muita regra em....rsrsr


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    quarta-feira, 20 de abril de 2011 20:01
  • David ta assim:

    Configuracoes da Placa Interna

    IP: 192.168.0.1
    Mascara: 255.255.255.0
    Gateway:
    DNS 1 : 192.168.0.1

    Placa Externa

    IP: 187.XXX.XXX.XX
    Mascara: 255.255.255.248
    Gateway: 187.XXX.XXX.XXX
    DNS1 : 200.XXX.XXX.XXX
    DNS2: 200.XXX.XXX.XXX


    Tu viu minhas regras como esta? Brother ta rodando com todos os protocolos liberados, se travo a regra 1 bloqueia tudo.
    E confesso que ja nao sei mais o que fazer...
    quarta-feira, 20 de abril de 2011 20:09
  • Ola,

    1º entre no seu servidor DNS e informe o ip do Isa na Lista de Encaminhadores (Forwards)

    2º Seu clientes devem estar com a opcao de DNS primario para o seu servidor Interno (192.168.0.1)

    3º No ISA entre em DIRETIVAS DE SISTEMA

    Servicos de Rede>DNS

    veja se o check box esta habilitado.

    e na ABA PARA

    Adicione o seu Servidor DNS

    4º Nas suas Regras . Crie uma Regra dando permissao de consulta DNS

    De DNS1 to HOST LOCAl

    e teste agora!!

     

    nao entendi por q vc fez uma publicacao DNS, apenas e necessario criar uma regra (mas antes tem a mudar a diretiva de sistema)

     

    Espero seu retono e me informe quais dos passos informados ja estavam sendo utilizado e os q nao estavam.


    Enderson Valente Teixeira - Coordenador de Informática
    quarta-feira, 20 de abril de 2011 20:46
  • 1º entre no seu servidor DNS e informe o ip do Isa na Lista de Encaminhadores (Forwards)

    RE: ok  Enderson, verifiquei e ja consta no forwards ( nomedamaquina.dominio.local ), até porque o win 2003 SBS já faz toda a configuracao na instalacao. Mas tornei verificar e ja consta.

     

    2º Seu clientes devem estar com a opcao de DNS primario para o seu servidor Interno (192.168.0.1)

    RE: ok,  DNS Primario nos clients ja apontavam para 192.168.0.1 ( isa server /DC/AD )

    3º No ISA entre em DIRETIVAS DE SISTEMA

    Servicos de Rede>DNS

    veja se o check box esta habilitado.  

    RE: ok já estava habilitado

    e na ABA PARA

    Adicione o seu Servidor DNS

    RE: Estava  com ALL NETWORKS ( AND LOCAL HOST), adicionei o 192.168.0.1

    4º Nas suas Regras . Crie uma Regra dando permissao de consulta DNS

    De DNS1 to HOST LOCAl

    RE: Adicionei uma Regra de  DNS1 ( 200.XXX.XXX.XXX - DNS da placa externa ) para LocalHost

     

    Removi a regra de Publicacao de DNS Server, que na verdade eu criei por desespero... rsrsrsrs.

    Até agora ta de boa... vou monitorar, qualquer problema retorno e conto com a ajuda de voces. Após os testes marco a resposta. Por enquanto valeu. 

    ForestDNSZones

    (igual a pasta pai )      Host(A)     192.168.0.1

    segunda-feira, 25 de abril de 2011 14:01
  • Enderson procedimento falhou brother. Rodou sem parar até por volta das 12:30 de hoje. Vou continuando com a regra Habilitada para todos, ate que eu consiga resolver essa bucha.

     

    valeu.

    segunda-feira, 25 de abril de 2011 17:44
  • Ola,

    entao tem um detalhe que nao sabia nao sua rede. mas que vc informou no seu post

    que o seu ISA esta junto com o seu Active Directory (consequentemente com o seu DNS)

    entao teremos uma mudancas

    3º No ISA entre em DIRETIVAS DE SISTEMA

    Servicos de Rede>DNS

    e na ABA PARA

    Adicione a REDE INTERNAL

    4º Nas suas Regras . Crie uma Regra dando permissao de consulta DNS

    De DNS1 (servidor ISA/AD) to REDE INTERNAL

    Caso continue dando problema.

     

    Mande o monitoramento

    mas mande o monitoramento de ACESSO NEGADO

    pois vc mandou um log de Conexao fechada (isto e um ação comum do firewall)

     

    Espero ter lhe ajudado.

    Abracos


    Enderson Valente Teixeira - Coordenador de Informática
    segunda-feira, 25 de abril de 2011 17:51
  • Enderson, fiz o procedimento, não rolou, entao brother nao da Acesso Negado, apenas da Closed Conection nas regras. Ao monitorar os Alertas, dá o seguinte alerta:

    Connection limit for a rule was exceeded
    Description: The request was denied because the mumber of connections per second allowed for the DNS from ISA Server to selected servers rule was exceeded.

    Lembrando que fiz as alteracoes que tu passou, apenas nas diretivas de sistema nao retirei o ALL NETWORKS ( AND LOCAL HOST), apenas acrescentei o ip 192.168.0.1.

    1 - DNS to Internal    Allow     -> Protocolo ->  DNS  -> From ->   192.168.0.1    -> to  -> Internal - > All Users

    2 - Foward DNS to ISP  -> Allow -> Protocolo -> DNS -> From -> 192.168.0.1 -> to -> External  -> All Users

    Vou monitorar somente esta regra para ver o que rola e posto aqui. Mais uma vez obrigado.

     

    segunda-feira, 25 de abril de 2011 18:37

  • Ola,

    Vai em Configuracao > Geral > Definir Configuracao de Reduncao de Inundacao


    tem dois caminhos.

    1º (Nao recomendavel mais rapido)
    Vamos fazer o seguinte para criterio de teste.
    DESABILITE "Reduzir ataques de inundacao e propagacaO de Worn

    2º Ente em todos os EDITAR
    e Na parte de limite de conexoes onde esta LIMITE PERSONALIZADO
    vc aumenta o limite ex: de 600 para 3000

    Entao entre depois na ABA Excecoes de IP
    Adicione um Grupo de Computadores com a FAIXA da sua rede interna e Inclua como Excecoes IP.


    e Peca para aplicar
    para resolver o problema de limite de excecoes.
    caso deê certo, vc vai adequando os valores conforme vc axar adequado para a sua rede.
    Enderson Valente Teixeira - Coordenador de Informática
    • Marcado como Resposta Richard Juhasz quarta-feira, 4 de maio de 2011 14:34
    segunda-feira, 25 de abril de 2011 19:04
  • Deixa a placa de rede externa do ISA sem DNS!!

    IP: 192.168.0.1
    Mascara: 255.255.255.0
    Gateway:
    DNS 1 : 192.168.0.1

    Placa Externa

    IP: 187.XXX.XXX.XX
    Mascara: 255.255.255.248
    Gateway: 187.XXX.XXX.XXX
    DNS1 : em branco
    DNS2: em branco

     

    em binds na opção de locais de rede indo em avançado coloque a placa Interna do ISA em primeiro...

     

    http://social.technet.microsoft.com/Forums/pt/forefronttmgpt/thread/4d225891-8537-482b-ae55-7f499f56dc55


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    • Marcado como Resposta Richard Juhasz quarta-feira, 4 de maio de 2011 14:34
    terça-feira, 26 de abril de 2011 16:19
  • Pessoal obrigado a todos, mas a solucao foi migrar para o ISA SERVER 2006.

    sexta-feira, 13 de maio de 2011 16:32