Usuário com melhor resposta
Conectividade Social no TMG

Pergunta
-
Usei as regras do ISA2006 no TMG e dá erro.
Criei um protocolo "Http sem filtro" e outro protocolo pra porta da conectividade.
Desabilitei no client TMG o proxy.
Não funciona.
Monitorando o cliente ele passa pela regra nova, mas muitos pacotes exigem o protocolo HTTP padrão.
Mas se eu desabilitar o filtro web no protocolo HTTP padrão, funciona.
Só quer aí todos os sites bloqueados passam a rodar no micro que está sem proxy.
O TMG filtra vários sites pornos e outros atráves de inspeção de conteudo e isto se perde.
Ou seja, ou tenho filtros de conteudo ou Conectividade social funcionando.
Fiz uns 300 testes e nada, tudo sempre acabava nesta solução.
Alguem tem alguma dica?
Obrigado.
Mário- Movido Enderson Valente quinta-feira, 26 de julho de 2012 10:13 Forum mais adequado. (De:ISA Server)
Respostas
-
De uma olhada aki:
http://social.technet.microsoft.com/Forums/pt-BR/isa2006pt/thread/42bc7a85-4187-4ef2-ba1c-3988ff040a96
David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com- Marcado como Resposta Mario Fialho quinta-feira, 17 de dezembro de 2009 17:05
Todas as Respostas
-
-
Não entendi a pergunta.
Regra de acesso, permitido, rede interna para externa, com http sem filtro (80) e conectividade (2631) para determinado usuário (fiz teste também com todos os usários).
Pela monitoração vejo que ele passa por esta regra algumas vezes, mas quando faz acesso ao host (TMG) ele usa a regra padrao que usa HTTP (com filtro).
A regra esta antes das Web Access Policy.
Pelo que pude perceber esta novidade de todas as regras web estarem debaixo deste novo grupo (Web Access Policy) pode estar causando o problema.
Me parece ser a conexão do cliente com o host, porque com a conectividade sai pela regra.
Obrigado.
Mário -
Crie a regra liberando para:
De:Ip do computador <- crie computer Sets para as maquinas
Para: *.caixa.gov.br
http://*.caixa.gov.br
http://cmt.caixa.gov.br/*
http://cmt.caixa.gov.br/cse
http://obsupgdp.caixa.gov.br
http://obsupgdp.caixa.gov.br/cns/*
protocolos: Http sem filtro, 2631
All users
coloque essa regra acima da regra default da internet!!
David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com -
Não funcionou David.
Mesmo porque seria muito estranho, a sua regra é mais restritiva que a minha, que permitia o trafego da rede interna para a rede externa, protocolos http sem filtro e 2631.
Ele continua ficando preso no HTTP padrão, mesmo esse sendo depois desta regra.
Alguma tentativa nova?
obrigado.
Mário -
Coloca essa regra no topo e desabilite o client se estiver usando!!
David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com -
Não. Com o sem o cliente habilitado. Mas sempre sem o proxy habilitado.
Passa pela regra com HTTP sem filtro:
Log type: Firewall service
Status: Closed Connection
Rule: Conectividade Social
Source: Internal (xx.xx.0.107:54454)
Destination: External (cmt.caixa.gov.br 200.201.173.68:80)
Protocol: HTTP Sem Filtro
Mas também passa pela inspeção do HTTP padrão:
Log type: Web Proxy (Forward)
Status: 0 The operation completed successfully.
Rule: Conectividade Social
Source: Internal (xx.xx.0.107:54451)
Destination: External (xx.xx.0.9:80)
Request: GET http://200.201.173.68/images/icon_info_off.gif
Filter information: Req ID: 0fb5a2f3; Compression: client=No, server=No, compress rate=0% decompress rate=0%
Protocol: http
User: anonymous
Abs.
Mário. -
De uma olhada aki:
http://social.technet.microsoft.com/Forums/pt-BR/isa2006pt/thread/42bc7a85-4187-4ef2-ba1c-3988ff040a96
David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com- Marcado como Resposta Mario Fialho quinta-feira, 17 de dezembro de 2009 17:05
-
Obrigadão David.
A solução descrita e os porquês no artigo são muito bons.
Esse procedimento resolve:
Para isso eu criei dois protocolos :
1° TCP porta 2631 Outbound (CNS)
2° TCP porta 80 Outbound (com o web filter desabilitado) (HTTP2)
Criei um Computer Set (contabilidade)onde adicionei as maquinas que terão acesso ao Conectividade.
Criei uma Subnet (rede da Caixa) 200.201.174.0 mask 255.255.255.0
Isso foi os itens criados para a regra.
A regra 1:
Ação: permitido - de : (contabilidade) - para: (rede da Caixa)
protocolos : (CNS - HTTPS - HTTP2)
A regra 2:
Ação: negado - de : (contabilidade) - para: (rede da Caixa)
protocolos : (HTTP)
Nos clientes deixei como NAT pois se houver a algum atravessador no caminho vai dar ____ !!!
Ai você fica livre para aplicar sua regras na camada HTTP sem dor de cabeça.
Vlw
Mário -
-
-
-
Mario ou David...
Tenho TMG e tambem estou com problemas para acesso ao Conectividade...
Fiz exatamente como descrito acima, e continuo com problemas....
Coloquei essas duas regras como as duas primeiras....porém o acesso não dá Match na Regra 1 usando o HTTP2.
Tem mais alguma dica.....
Fico no aguardo,
Obrigado,
Evandro Vieira
-
-
-
Não problema nenhum, tem que ser assim. Mas vc acompanhou no log o computador tentando acessar? que acontece?
Realmente vc criou um http sem filtro? (não altere o http padrão, crie um novo)
O artigo abaixo explica bem como fazer.
http://www.itcentral.com.br/default.asp?id=17&mnu=17&ACT=5&content=74
abs.
Mário- Editado Mario Fialho segunda-feira, 31 de janeiro de 2011 19:13 link errrado
-
A log aparece ele dando Match em outra regra que tem o HTTP "normal" com filtro....ele não da match no HTTP sem filtro que criei. Mesmo com a regra abaixo Dropando o acesso para o HTTP com filtro.
Olhei o artigo...criei exatamente assim!
Tem alguma outra dica?
Abc
Evandro
-
-
Desculpe Evandro a demora em responder, e que vou ficar uma semana fora e estou atolado até a cabeça.
Então, essa maquina é producao?
Se nao for, desabilite todas as regras e force passar por esta, e va resolvendo os porques de não passar.
Se vc criou um http puro, sem o filtro, qualquer pagina web http deveria abrir.
Pode ser também que vc tenha negado as maquinas erradas, pq vc tem que negar a maquina que vc quer na regra http normal, ela so pode passar pela http sem filtro.
ok? Boa sorte.
Daqui uma semana estou de volta.
Abs.
Mário