none
Conectividade Social no TMG RRS feed

 > 

  • Pergunta

  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Usei as regras do ISA2006 no TMG e dá erro.
    Criei um protocolo "Http sem filtro" e outro protocolo pra porta da conectividade.
    Desabilitei no client TMG o proxy.

    Não funciona.
    Monitorando o cliente ele passa pela regra nova, mas muitos pacotes exigem o protocolo HTTP padrão.

    Mas se eu desabilitar o filtro web no protocolo HTTP padrão, funciona.
    Só quer aí todos os sites bloqueados passam a rodar no micro que está sem proxy.
    O TMG filtra vários sites pornos e outros atráves de inspeção de conteudo e isto se perde.

    Ou seja, ou tenho filtros de conteudo ou Conectividade social funcionando.
    Fiz uns 300 testes e nada, tudo sempre acabava nesta solução.

    Alguem tem alguma dica?

    Obrigado.
    Mário



    • Movido Enderson Valente quinta-feira, 26 de julho de 2012 10:13 Forum mais adequado. (De:ISA Server)
    terça-feira, 15 de dezembro de 2009 21:05
    |

Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar
    De uma olhada aki:

    http://social.technet.microsoft.com/Forums/pt-BR/isa2006pt/thread/42bc7a85-4187-4ef2-ba1c-3988ff040a96
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    • Marcado como Resposta Mario Fialho quinta-feira, 17 de dezembro de 2009 17:05
    quarta-feira, 16 de dezembro de 2009 19:36
    |

Todas as Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Como vc liberou essa regra HTTP sem filtro?
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 16 de dezembro de 2009 10:50
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Não entendi a pergunta.

    Regra de acesso, permitido, rede interna para externa, com http sem filtro (80) e conectividade (2631) para determinado usuário (fiz teste também com todos os usários).
    Pela monitoração vejo que ele passa por esta regra algumas vezes, mas quando faz acesso ao host (TMG) ele usa a regra padrao que usa HTTP (com filtro).

    A regra esta antes das Web Access Policy.
    Pelo que pude perceber esta novidade de todas as regras web estarem debaixo deste novo grupo (Web Access Policy) pode estar causando o problema.

    Me parece ser a conexão do cliente com o host, porque com a conectividade sai pela regra.

    Obrigado.
    Mário

    quarta-feira, 16 de dezembro de 2009 16:04
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Crie a regra liberando para:

    De:Ip do computador <- crie computer Sets para as maquinas

    Para: *.caixa.gov.br
     http://*.caixa.gov.br
     http://cmt.caixa.gov.br/*
     http://cmt.caixa.gov.br/cse
     http://obsupgdp.caixa.gov.br
     http://obsupgdp.caixa.gov.br/cns/*

    protocolos: Http sem filtro, 2631

    All users

    coloque essa regra acima da regra default da internet!!
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 16 de dezembro de 2009 16:09
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Não funcionou David.

    Mesmo porque seria muito estranho, a sua regra é mais restritiva que a minha, que permitia o trafego da rede interna para a rede externa, protocolos http sem filtro e 2631.

    Ele continua ficando preso no HTTP padrão, mesmo esse sendo depois desta regra.

    Alguma tentativa nova?

    obrigado.
    Mário
    quarta-feira, 16 de dezembro de 2009 18:30
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Coloca essa regra no topo e desabilite o client se estiver usando!!

    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 16 de dezembro de 2009 18:45
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Não. Com o sem o cliente habilitado. Mas sempre sem o proxy habilitado.

    Passa pela regra com HTTP sem filtro:
    Log type: Firewall service
    Status: Closed Connection
    Rule: Conectividade Social
    Source: Internal (xx.xx.0.107:54454)
    Destination: External (cmt.caixa.gov.br 200.201.173.68:80)
    Protocol: HTTP Sem Filtro

    Mas também passa pela inspeção do HTTP padrão:
    Log type: Web Proxy (Forward)
    Status: 0 The operation completed successfully. 
    Rule: Conectividade Social
    Source: Internal (xx.xx.0.107:54451)
    Destination: External (xx.xx.0.9:80)
    Request: GET http://200.201.173.68/images/icon_info_off.gif
    Filter information: Req ID: 0fb5a2f3; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protocol: http
    User: anonymous

    Abs.
    Mário.
    quarta-feira, 16 de dezembro de 2009 19:18
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    De uma olhada aki:

    http://social.technet.microsoft.com/Forums/pt-BR/isa2006pt/thread/42bc7a85-4187-4ef2-ba1c-3988ff040a96
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    • Marcado como Resposta Mario Fialho quinta-feira, 17 de dezembro de 2009 17:05
    quarta-feira, 16 de dezembro de 2009 19:36
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Obrigadão David.
    A solução descrita e os porquês no artigo são muito bons.

    Esse procedimento resolve:

    Para isso eu criei dois protocolos :

    1° TCP porta 2631 Outbound (CNS)

    2° TCP porta 80 Outbound (com o web filter desabilitado) (HTTP2)

    Criei um Computer Set (contabilidade)onde adicionei as maquinas que terão acesso ao Conectividade.

    Criei uma Subnet (rede da Caixa) 200.201.174.0 mask 255.255.255.0

    Isso foi os itens criados para a regra.

     

    A regra 1:

    Ação: permitido  - de : (contabilidade) -  para: (rede da Caixa)

    protocolos : (CNS - HTTPS - HTTP2)

    A regra 2:

    Ação: negado - de : (contabilidade) -  para: (rede da Caixa)

    protocolos : (HTTP)

     

    Nos clientes deixei como NAT pois se houver a algum atravessador no caminho vai dar ____ !!!

    Ai você fica livre para aplicar sua regras na camada HTTP sem dor de cabeça.



    Vlw
    Mário

    quinta-feira, 17 de dezembro de 2009 17:05
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    flws.... ate +
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quinta-feira, 17 de dezembro de 2009 17:08
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Gente alguem sabe me dizer se é necessario colocar a url da caixa em:

    REDES>INTERNA>PROPRIEDADES>WEB BROWSER>ACESSO DIRETO A ESSES SERVIDORES OU DOMINIOS:

    Att.
    terça-feira, 19 de janeiro de 2010 12:51
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Eu não usei as URLs e funcionou, porque a subnet da caixa está liberada.

    Abs.

    Mário
    terça-feira, 19 de janeiro de 2010 19:35
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Mario ou David...

    Tenho TMG e tambem estou com problemas para acesso ao Conectividade...

    Fiz exatamente como descrito acima, e continuo com problemas....

    Coloquei essas duas regras como as duas primeiras....porém o acesso não dá Match na Regra 1 usando o HTTP2.

    Tem mais alguma dica.....

    Fico no aguardo,

    Obrigado,

     

    Evandro Vieira

    quinta-feira, 27 de janeiro de 2011 20:35
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Evandro, Vc colocou alguem pra passar pela regra? ou determinou algum computador? abs. Mario.
    Mário
    quinta-feira, 27 de janeiro de 2011 20:57
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Determinei 2 computadores!!!

    Algum problema?

     

    Abc

    Evandro

    domingo, 30 de janeiro de 2011 15:56
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Não problema nenhum, tem que ser assim. Mas vc acompanhou no log o computador tentando acessar? que acontece?

    Realmente vc criou um http sem filtro? (não altere o http padrão, crie um novo)

    O artigo abaixo explica bem como fazer.

    http://www.itcentral.com.br/default.asp?id=17&mnu=17&ACT=5&content=74

     

    abs.

    Mário
    • Editado Mario Fialho segunda-feira, 31 de janeiro de 2011 19:13 link errrado
    segunda-feira, 31 de janeiro de 2011 19:11
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    A log aparece ele dando Match em outra regra que tem o HTTP "normal" com filtro....ele não da match no HTTP sem filtro que criei. Mesmo com a regra abaixo Dropando o acesso para o HTTP com filtro.

    Olhei o artigo...criei exatamente assim!

    Tem alguma outra dica?

    Abc

    Evandro

    segunda-feira, 31 de janeiro de 2011 19:21
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Mario,

    alguma outra dica??

     

    Evandro

    quinta-feira, 3 de fevereiro de 2011 18:10
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Desculpe Evandro a demora em responder, e que vou ficar uma semana fora e estou atolado até a cabeça.

    Então, essa maquina é producao?

    Se nao for, desabilite todas as regras e force passar por esta, e va resolvendo os porques de não passar.

    Se vc criou um http puro, sem o filtro, qualquer pagina web http deveria abrir.

    Pode ser também que vc tenha negado as maquinas erradas, pq vc tem que negar a maquina que vc quer na regra http normal, ela so pode passar pela http sem filtro.

    ok? Boa sorte.

    Daqui uma semana estou de volta.

    Abs.

     

    Mário
    sexta-feira, 4 de fevereiro de 2011 20:29
    |