Bloquear Internet para Usuários sem usar Proxy

Todas as Respostas

• 

  

  0

  Entrar para Votar

  Daniel,
  
  Isso é simples.
  Na sua regra de liberação de internet provavelmente na guia de usuários vc tem ALL USERS inserido, remova esse cara e coloque USUARIOS AUTENTICADOS.
  
  De ok e aplique...Essa config faz com que somente navegadores com proxy e autenticação saiam para a internet... Como vc trabalha com autenticação integrada os usuarios logados no dominio nao precisarão inserir nenhuma credencial...apenas quem esta fora do dominio,,,,quem nao tem credencial nao navega..entendeu?
  
  
  Espero ter ajudado.
  
  Se util nao esqueça de marcar como resposta
  
  abraços

  ---

  Luiz Fernando Dias - MVP

  • Marcado como Resposta Luiz Fernando DiasModerator segunda-feira, 31 de agosto de 2009 19:45

  quarta-feira, 24 de junho de 2009 18:31

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Olá Luiz Fernando. Obrigado pela ajuda.
  
  Acho que vai dar certo.
  
  porém, no ISA, a regra criada para liberar internet, não foi criada nas Diretivas de Firewall, foram criadas em SETINGS >> NETWORK >> Na Aba de regras de rede. Essa regra libera o acesso de INTERNO para EXTERNO.
  
  No caso teria que exluir esta regra e criar uma outra nas Diretivas de Firewall correto?

  quarta-feira, 24 de junho de 2009 18:37

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Sim exatamente..
  
  Se nao vc fica sem controle nenhum...
  
  Oque vc pode tentar é criar uma regra la nas diretivas de firewall e testar se vai funcionar, se funcionar vc deixa a regra existente la, caso contrario vc ranca fora...
  
  Eu nunca fiz uma regra assim pelo network. então nao sei te falar entendeu?

  ---

  Luiz Fernando Dias - MVP

  quarta-feira, 24 de junho de 2009 18:54

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Obrigado Luiz
  
  
  Vou testar aqui.

  quarta-feira, 24 de junho de 2009 18:57

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Faz o teste e me diz.
  
  Se util nao esqueça de marcar como resposta os posts uteis..
  
  
  abraços

  ---

  Luiz Fernando Dias - MVP

  quarta-feira, 24 de junho de 2009 19:03

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Não deu certo =/
  
  Infelizmente, modifiquei a regra primária que Libera o Acesso a Todo Tráfego de Saída de interno para Externo. Coloquei Todos os Usuários Autenticados ao Invés de All Users, os usuários sem proxy ficarem sem internet, mas os usuários que tem o proxy também pararam de acessar =/

  quarta-feira, 24 de junho de 2009 19:21

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Então vc vai ter que rancar essa regra dai e criar no lugar certo..

  ---

  Luiz Fernando Dias - MVP

  quarta-feira, 24 de junho de 2009 19:23

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  já fiz o teste,
  
  Existe uma regra criada em networks que libera o acesso de interno para externo. E tb existe uma regra primária nas diretivas de firewall que libera tb todo trafego de interno para externo.
  
  Desabilitei a regra que esta em network, e deixei somente a que está nas diretivas, entrei na regra das diretivas e troquei All Users pelos Usuários altenticados mas o acesso a internet fica bloqueada para todos.
  
  Deixei habilitada a regra que esta em networks e fiz os mesmos passos com a regra que está na diretiva e o mesmo ocorre.. A internet fica toda bloqueada

  quarta-feira, 24 de junho de 2009 19:27

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  A regra em networks deve ter como NAT< pois é regra de rede...até ai legal..
  
  Agora la em diretivas de firewall vc precisa pegar essa sua regra primária e altera-la do modo que eu falei..
  
  
  PS: agora eu entendi oque vc falou da regra em networks....rs isso ai esta coprreto..só precisa acertar a regra de firewall.

  ---

  Luiz Fernando Dias - MVP

  quarta-feira, 24 de junho de 2009 19:34

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Isso mesmo Luiz, na regra primária, dentro das diretivas de firewall, eu retiro ALL USERS, e coloco ALL AUTHENTICATED USERS, ao fazer isso, usuários sem proxy não conseguem acessar a internet, Essa parte funcionou, o problema é que os usuários que tem o proxy configurado e tb tem acesso a internet estão ficando sem acessoem alguns sites que tinham acesso
  

  quarta-feira, 24 de junho de 2009 19:46

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Daniel, seus computadores fazem parte do dominio??? o ISA faz parte do dominio??

  ---

  Fazzani - MCP, MCSA, MCTS-ISA,VISTA

  quarta-feira, 24 de junho de 2009 20:17

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Ai vc precisa fazer uma query e verificar onde que estao sendo barrados , entendeu?
  
  Mas o primeiro problema vc solucionou....
  
  
  no agaurdo

  ---

  Luiz Fernando Dias - MVP

  quinta-feira, 25 de junho de 2009 02:53

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Olá Felipe
  
  
  O ISA faz parte do domínio sim.
  
  Os computadores que estou querendo bloquear, são de consultores, não fazem parte do domínio

  quinta-feira, 25 de junho de 2009 12:11

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Olá Luiz
  
  Estes sites, funcionávam antes de trocar os users na regra primária.. Agora não funcionam
  
  Colocando ALL AUTHENTICATED USERS, alguns sites não estão funcionando mais. E são sites já estavam liberados.
  
  Ex.: Há um usuário que tem acesso somente aos sites de bancos. Qdo ativei ALL AUTHENTICATED USERS, o site do banco itaú parou de funcionar.
  

  quinta-feira, 25 de junho de 2009 12:13

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Daniel,
  
  Quando estava ALL USERS, tudo funcionava pq estava configurado para deixar TUDO passar.
  Agora vc bloqueou esse acesso.
  Vc precisa fazer uma analise nas regras, fazendo um query vc consegue identificar qual é ela.
  Os usuarios estao com proxy configurados?
  
  abraços

  ---

  Luiz Fernando Dias - MVP

  quinta-feira, 25 de junho de 2009 13:32

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Luiz,
  
  Além desta regra primária que libera acesso à todos os usuários, existe uma outra tb que bloqueia!!!! Pode parecer estranho, mais aqui foi configurado assim.
  Eu não estava na empresa quando o ISA foi implantado.
  
  Há regras de acesso para todos os usuários. Cada usuário acessa apenas os sites que necessitam. Quando esta regra primária estava com ALL USER, os usuários acessavam apenas os sites designados. Quando mudei para Apenas Usuários Autenticados, alguns sites pararam de funcionar! E agora mesmo voltando como estava na regra primária, ALL USERS, alguns sites pararam de funcionar.
  
  Acho que deu algum problema no ISA =/

  quinta-feira, 25 de junho de 2009 13:47

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Esses seus clientes estão configurados com que tipos de cliente isa.
  Tem como vc posta pra gente quais as regras que vc tem e a ordem que elas estão??

  ---

  Fazzani - MCP, MCSA, MCTS-ISA,VISTA

  quinta-feira, 25 de junho de 2009 14:28

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Daniel,
  
  Vamos fazer o seguinte.
  Poste aqui para nós qual a ordem e quais são as regras do seu ISA....
  
  Pelo menos essas que tratam o protocolo HTTP e HTTPS..
  
  Se nao fica dificil de diagnosticar.
  
  abraços

  ---

  Luiz Fernando Dias - MVP

  quinta-feira, 25 de junho de 2009 14:49

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Escrevi abaixo as diretivas em questão. Espero que possam me ajudar
  
  
  REGRA ACESSO USUÁRIO DANIEL
  Ordem = 58
  Ação = Permitir
  Protocolos = HTTP/HTTPS
  De = Interno
  Para = Acesso Usuário Daniel (Conjunto de URL contendo o endereço: http://www.itau.com.br)
  Usuários = Daniel
  
  REGRA BLOQUEIA ACESSO WEB
  Ordem = 62
  Ação = Negar
  Protocolos = HTTP / HTTPS
  De = Interno / Host Local
  Para = Acesso Web Restrito (Conjunto de URL contendo os endereços http://* e https://*)
  Usuários = Usuários Restritos (Conjunto de Usuários) - Exceções = Diretoria (Conjunto de Usuários)
  
  REGRA PRIMÁRIA
  Ordem = 71
  Ação = Permitir
  Protocolos = Todo o Tráfego de Saída
  De = Host Local / Interno
  Para = Externo
  Usuários = All Users
  ***** É nessa regra que altero de ALL USERS para ALL AUTHENTICATED USERS
  ***** Quando está ALL USERS, o usuário Daniel acessa o site do banco itaú normalmente ( Acessa SOMENTE o site do banco itaú)
  ***** quando coloco ALL AUTHENTICATED USERS, o usuário Daniel não acessa o site do banco
  
  REGRA PADRÃO
  Ordem = Ultima (nº 72)
  Ação = Negar
  Protocolos = Todo o Tráfego
  De = Todas as Redes (e Host Local)
  Para = Todas as Redes (e Host Local)
  Usuários = All Users
  
  **Outro erro que começou ocorrer depois de ontem, é o endereço "https://supplier.cat.com" que era acessado normalmente, e agora não consigo mais acessá-lo, mesmo mudando de ALL USERS para ALL AUTHENTICATED USERS e vice-versa, o acesso não é feito. Para acessar este site estou tendo que retirar a configuração de proxy do usuário para que ele possa ter acesso a este site.
  Não sei o que pode ser =/
  
  
  

  quinta-feira, 25 de junho de 2009 15:31

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Se vc tirar o proxy ele sai como securenat nada é validado.
  
  visivelemnte vc tem problemas de conflito de regras.
  
  Vc pode fazer um teste para confirmar isso..
  
  Crie ou suba a regra que libera HTTP E HTTPS para usuarios autenticados para primeiro....
  
  e tente os acessos.
  
  no agaurdo

  ---

  Luiz Fernando Dias - MVP

  quinta-feira, 25 de junho de 2009 21:17

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Bom dia Luiz, estamos hj no 3º dia de sofrimento hein rsrsrsrsrs
  
  
  Fiz o teste hj de manha. Coloquei a Regra Primária, que libera HTTP/HTTPS, acima das outras regras e infelizmente não deu certo tb.
  
  É estranho, pq quando coloco Usuários Autenticados, alguns sites funcionam normal, mas tem sites que não abrem. O site da receita federal mesmo não abre quando coloco Usuários Autenticados.
  
  Pra fazer outro teste, Desabilitei esta regra primária, que libera todo o acesso, e tb NADA, deixei essa regra desabilita e tb desabilitei a regra de numero 62 da relação acima, REGRA BLOQUEIA ACESSO WEB, e tb não deu certo =(
  
  Se fosse pra fazer o ISA todo do Zero... como teria que ficar as diretivas de firewall para que atendesse as necessidades abaixo? :
  
  - Bloquear acesso a internet para todos os usuários com exceção da diretoria
  - Bloquear acesso a internet para computadores que não tenham proxy configurado
  - Liberar apenas sites específicos de necessidade de cada usuário
  

  sexta-feira, 26 de junho de 2009 11:51

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Daniel,
  
  Se vc for montar um ISA novo o ideal é que os bloqueios venha antes das regras de liberação.
  
  Cara para sabermos onde esta dando problema...va em Monitoring depois em LOG e inicie uma query com o IP da estação que vc esta testando e veja em que regra esta parando.. é o unico modo de identificar onde esta esse erro.

  ---

  Luiz Fernando Dias - MVP

  sexta-feira, 26 de junho de 2009 13:27

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Eu fiz a Query com o IP, ligado ao nome de usuário.
  
  Depois de colocar Todos os usuários autenticados, os sites que continuam acessando, aparece na query.. normal, com o nome da REGRA ACESSO USUÁRIO DANIEL.
  
  porem os sites que acessavam quando estava ALL USERS, e não acessam quando coloco ALL AUTHENTICATED USERS, não aparecem na query. A página da internet só fica carregando
  
  Luiz, tenho uma pergunta: vi em uma empresa que tb trabalha com ISA 2006, que nos computadores dos usuários, tem tipo um Client do ISA instalado, que fica executando ao lado do relógio do windows. Qual a função deste Cliente? Como se usa??
  

  sexta-feira, 26 de junho de 2009 14:35

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Esse Client normalmente é recomendado quando os usuarios precisam rodar aplicações SOCKS.
  Caso nao possua é desnecessario a instalação do mesmo.
  O trabalho de WEB proxy e securte nat da conta de tudo tranquilamente.
  
  Vc tem o SP1 do ISA instalado?

  ---

  Luiz Fernando Dias - MVP

  sexta-feira, 26 de junho de 2009 14:51

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Não sei Luiz... Como faço para verificar se tem o SP1?
  
  Não sei se tem instalado pois quando entrei na empresa o ISA já estava configurado.

  sexta-feira, 26 de junho de 2009 15:26

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  ve em adicionar e remover programas..

  ---

  Luiz Fernando Dias - MVP

  sexta-feira, 26 de junho de 2009 15:32

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Não tem o SP1 não Luiz.
  
  Vou baixar na microsoft.
  
  Entrei no site.. É apenas 12,3 mb mesmo??

  sexta-feira, 26 de junho de 2009 15:53

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  é pequeno mesmo..
  
  baixa e instala a parada...

  ---

  Luiz Fernando Dias - MVP

  sexta-feira, 26 de junho de 2009 18:24

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  SP1 do ISA instalado.

  sexta-feira, 26 de junho de 2009 19:13

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Veja se as coisas funcionam,

  ---

  Luiz Fernando Dias - MVP

  sexta-feira, 26 de junho de 2009 19:18

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Olá Luiz.
  
  Mesmo depois de ter instalado o SP1 do ISA, realizei todos os testes anteriores e nada...
  
  Alguns sites já liberados para usuários continuam sem acessar depois que tiro ALL USERS.
  
  As páginas não dão erro. Ficam apenas carregando por muito tempo e não acessam.
  
  Nem aparecem no LOG do ISA =(
  

  • Editado Daniel TK terça-feira, 30 de junho de 2009 19:57

  sexta-feira, 26 de junho de 2009 19:20

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  me adicione no MSN...hang_loose98@hotmail.com
  
  ai vemos essas regras...pq nao é possivel..rs

  ---

  Luiz Fernando Dias - MVP

  segunda-feira, 29 de junho de 2009 21:23

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Daniel,
  
  Vamos la.
  
  De uma verificada nas estações de trabalho, para onde estao apontando o proxy das mesmas.
  o Proxy deve apontar para o servidor ( FQDN ou IP) do ISA. De maneira nenhuma coloque outro computador nessa config ao menos que vc utilize outro tipo de servidor ou tecnologia para proxy.

  Recomendo vc utilizar o FQDN pois os IE7 e superiores trabalhm com Kerberos para autenticar ou seja, se autenticam somente uma vez, onde os outros navegadores autenticam com NTLM , ou seja toda vez eles validam usuário.

  Depois de ajustado o proxy remova o ALL users da regra...

  De uma olhada nisso

  No aguardo

  Se util nao esqueça de maracar como resposta os pots uteis.

   

  Abraços

  ---

  Luiz Fernando Dias - MVP

  • Marcado como Resposta Luiz Fernando DiasModerator segunda-feira, 31 de agosto de 2009 19:45

  terça-feira, 30 de junho de 2009 20:38

  Responder

  |

  Citação

  Moderador