none
Liberar acesso site especifico para user especifico RRS feed

  • Pergunta

  • Boa tarde caros,

    Preciso liberar acesso a um site especifico para apenas 2 usuários de minha rede.
    Tenho uma rule de bloqueio a black list que barra acesso para todos os usuários, e preciso que liberar um destes endereços para estes 2 usuários.
    Criei uma regra definindo acesso total para estes dois usuários, de internal para external, aplicando num grupo que contém estes usuários, acima do Deny da black list, porém não funcionou.
    O que os amigos podem me indicar?
    Obrigado.
    terça-feira, 11 de agosto de 2009 16:56

Respostas

  • Rogério,

    vamos la vc vai criar um URL SET com os endereços especificos dos sites que eles podem acessar. Caso seja mais de um site do mesmo dominio vc pode criar um DOMAIN NAME SET para liberar o dominio todo, fica seu critério.

    Depois crie uma regra liberando de internal para esse domain name e/ou url set e os usuarios vc coloque o grupo de usuários que vc quer que tenha somente esse acesso.

    Detalhe importante...Esta regra deve vir antes da regra que bloqueia TUDO...OK?

    Faz o teste.

    No aguardo.

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 11 de agosto de 2009 17:19
    Moderador
  • Completando o o que o Luiz disse também da para vc fazer o seguinte.

    Na regra que vc tem a black list, em users vc pode adicionar o grupo desses dois usuarios em exptions (dai essa regra não vai valer para o grupo), d ok, agora clica com o botão direito sobre a regra e de um copy, esteja certo que a regra copiada esta abaixo da original, vá em user, tira tds os grupos, e adiciona somente o grupo desejado (dos dois usuarios), em to exception clique em add e adicione o dominio desejado que a regra não se aplique (exemplo *.orkut.com) todo o dominio e subdominios orkut.com estará liberado


    Se foi util marque como resposta.



    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    terça-feira, 11 de agosto de 2009 17:32
  • Coloca na mão mesmo o proxy para vc poder testar..


    Parece que o WPAD esta configurado errado...pq se estivesse correto deveria funcionar, e com o bloqueio é visivel que vc esta saindo securenat...

    Se quiser da uma validada no seu WPAD:

    http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=12
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 17 de agosto de 2009 17:45
    Moderador

Todas as Respostas

  • Rogério,

    vamos la vc vai criar um URL SET com os endereços especificos dos sites que eles podem acessar. Caso seja mais de um site do mesmo dominio vc pode criar um DOMAIN NAME SET para liberar o dominio todo, fica seu critério.

    Depois crie uma regra liberando de internal para esse domain name e/ou url set e os usuarios vc coloque o grupo de usuários que vc quer que tenha somente esse acesso.

    Detalhe importante...Esta regra deve vir antes da regra que bloqueia TUDO...OK?

    Faz o teste.

    No aguardo.

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 11 de agosto de 2009 17:19
    Moderador
  • Segue a dica do luiz ou vc tbm pode liberar por IP, mas as maquinas terão que ter IP fixo!!!!
    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    terça-feira, 11 de agosto de 2009 17:24
  • Completando o o que o Luiz disse também da para vc fazer o seguinte.

    Na regra que vc tem a black list, em users vc pode adicionar o grupo desses dois usuarios em exptions (dai essa regra não vai valer para o grupo), d ok, agora clica com o botão direito sobre a regra e de um copy, esteja certo que a regra copiada esta abaixo da original, vá em user, tira tds os grupos, e adiciona somente o grupo desejado (dos dois usuarios), em to exception clique em add e adicione o dominio desejado que a regra não se aplique (exemplo *.orkut.com) todo o dominio e subdominios orkut.com estará liberado


    Se foi util marque como resposta.



    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    terça-feira, 11 de agosto de 2009 17:32
  • Boa tarde Luiz, obrigado pela resposta.
    Então cara, até já tinha feito isto também..mas tudo bem, refiz agora, definindo tudo como o indicado, passando pelo protocolo HTTP, Resultado:
    Não tenho mais a tela de bloqueio do ISA, porém a tela dos sites que estão configurados no URL set não carregam..fica e fica, e depois dá erro de tempo excedido. Só Funciona se eu desabilito a rule de bloqueio da black list, ou se eu tiro os endereços da mesma.
    Bloqueando na black list e liberando antes da regra não está funcionando.

    Detalhe ainda é que: quando eu dou Enable nesta rule que criei, além de não navegar o site que quero liberar, toda a navegação fica lenta (nas máquinas desses dois usuários - estou usando uma máquina client para teste), até o ponto em que não navega mais, somente voltando a ficar normal quando eu desabilito a regra.
    terça-feira, 11 de agosto de 2009 17:43
  • Boa tarde Luiz, obrigado pela resposta.
    Então cara, até já tinha feito isto também..mas tudo bem, refiz agora, definindo tudo como o indicado, passando pelo protocolo HTTP, Resultado:
    Não tenho mais a tela de bloqueio do ISA, porém a tela dos sites que estão configurados no URL set não carregam..fica e fica, e depois dá erro de tempo excedido. Só Funciona se eu desabilito a rule de bloqueio da black list, ou se eu tiro os endereços da mesma.
    Bloqueando na black list e liberando antes da regra não está funcionando.

    Detalhe ainda é que: quando eu dou Enable nesta rule que criei, além de não navegar o site que quero liberar, toda a navegação fica lenta (nas máquinas desses dois usuários - estou usando uma máquina client para teste), até o ponto em que não navega mais, somente voltando a ficar normal quando eu desabilito a regra.

    Ja tentou pelo metodo que eu te falei
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    terça-feira, 11 de agosto de 2009 17:52
  • Boa tarde Luiz, obrigado pela resposta.
    Então cara, até já tinha feito isto também..mas tudo bem, refiz agora, definindo tudo como o indicado, passando pelo protocolo HTTP, Resultado:
    Não tenho mais a tela de bloqueio do ISA, porém a tela dos sites que estão configurados no URL set não carregam..fica e fica, e depois dá erro de tempo excedido. Só Funciona se eu desabilito a rule de bloqueio da black list, ou se eu tiro os endereços da mesma.
    Bloqueando na black list e liberando antes da regra não está funcionando.

    Detalhe ainda é que: quando eu dou Enable nesta rule que criei, além de não navegar o site que quero liberar, toda a navegação fica lenta (nas máquinas desses dois usuários - estou usando uma máquina client para teste), até o ponto em que não navega mais, somente voltando a ficar normal quando eu desabilito a regra.

    Ja tentou pelo metodo que eu te falei
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA

    Fazendo isso volta a tela de bloqueio do ISA Felipe.
    terça-feira, 11 de agosto de 2009 18:05
  • Cara entao esses sites devem estar eremetendo para algum outro dominio que esta bloqueado, ai da merd* mesmo.

    Tente fazer um monitoramento do acesso e veja que dominio esta tentando ser acessado e valide se o mesmo poderá ser ou nao acessado..
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 11 de agosto de 2009 18:11
    Moderador
  • Cara entao esses sites devem estar eremetendo para algum outro dominio que esta bloqueado, ai da merd* mesmo.

    Tente fazer um monitoramento do acesso e veja que dominio esta tentando ser acessado e valide se o mesmo poderá ser ou nao acessado..
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Cara, mas fiz teste com orkut, youtube por exemplo e acontece a mesma coisa.

    terça-feira, 11 de agosto de 2009 18:38
  • coloque como esta a ordem das suas regras...
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 11 de agosto de 2009 19:56
    Moderador
  • Exemplificando
    1...
    2...
    3...
    4...
    5 Allow white List > Configuração para acesso aos sites
    6 Deny Black List > Rule de bloqueio (orkut, youtube, msn, etc)
    7..
    8..
    9..
    .
    .
    .
    20 Default Rule
    terça-feira, 11 de agosto de 2009 20:39
  • nessas 1, 2, 3, 4 vc nao tem nenhuma regra q utilize HHTP e HTTP´S né?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 11 de agosto de 2009 21:05
    Moderador
  • Não Luiz..nade de HTTP e HTTPS..
    quarta-feira, 12 de agosto de 2009 12:07
  • nessas 1, 2, 3, 4 vc nao tem nenhuma regra q utilize HHTP e HTTP´S né?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    Alguma outra sugestão?
    quarta-feira, 12 de agosto de 2009 16:46
  • como você criou o domain name ou o url set?

    Coloque aki amaneira que vc configurou ele com os dominios e sites.
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 12 de agosto de 2009 18:42
    Moderador
  • Exemplificando
    1...
    2...
    3...
    4...
    5 Allow white List > Configuração para acesso aos sites
    6 Deny Black List > Rule de bloqueio (orkut, youtube, msn, etc)
    7..
    8..
    9..
    .

    .
    .
    20 Default Rul
    Amigão, vc esta usando lista branca para acesso a sites e lista negra para bloquear?? Acho que fica meio sem sentido e muito mais dificil de trabalhar.
    Geralmente vc usa ou lista branca ou lista negra, ou seja...

    Na lista Branca (Mais seguro, porém mais dificil de administrar)

    Nessa lista vc vai librar os dominios que o pessoal da empresa ou do grupo pode acessar, por exemplo, 

    regra 1 *.uol.com.br todos tem acesso (all users)
    *.youtube.com  (somente diretoria, grupo diretoria)
     e assim vai

    Black List (mais facil de administrar porém menos seguro e tb o mais usado)

    Vc faz uma regra de bloqueio de dominios exemplo (essas regras sempre ficam no topo)

    nega *.youtbe.com, *.orkut.com, *.orkut.com.br  all users
    libera internal para external all users


    Dai vc pensa bom mais tem aquele diretor que gosta de um orkut e se eu nega acesso pra ele eu rodo mais youtube ele num pode, faze o que.

    então ficaria assim.

    Nega *.youtube.com, *.orkut.com all users, menos para diretoria (essa regra não vale para diretoria)

    Nega *.youtube.com Diretoria

    Libera iternal para external all users



    Deu uma clariada no cerebelo?? kkk



     

    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 13 de agosto de 2009 03:40
  • Exemplificando
    1...
    2...
    3...
    4...
    5 Allow white List > Configuração para acesso aos sites
    6 Deny Black List > Rule de bloqueio (orkut, youtube, msn, etc)
    7..
    8..
    9..
    .

    .
    .
    20 Default Rul
    Amigão, vc esta usando lista branca para acesso a sites e lista negra para bloquear?? Acho que fica meio sem sentido e muito mais dificil de trabalhar.
    Geralmente vc usa ou lista branca ou lista negra, ou seja...

    Na lista Branca (Mais seguro, porém mais dificil de administrar)

    Nessa lista vc vai librar os dominios que o pessoal da empresa ou do grupo pode acessar, por exemplo, 

    regra 1 *.uol.com.br todos tem acesso (all users)
    *.youtube.com  (somente diretoria, grupo diretoria)
     e assim vai

    Black List (mais facil de administrar porém menos seguro e tb o mais usado)

    Vc faz uma regra de bloqueio de dominios exemplo (essas regras sempre ficam no topo)

    nega *.youtbe.com, *.orkut.com, *.orkut.com.br  all users
    libera internal para external all users


    Dai vc pensa bom mais tem aquele diretor que gosta de um orkut e se eu nega acesso pra ele eu rodo mais youtube ele num pode, faze o que.

    então ficaria assim.

    Nega *.youtube.com, *.orkut.com all users, menos para diretoria (essa regra não vale para diretoria)

    Nega *.youtube.com Diretoria

    Libera iternal para external all users



    Deu uma clariada no cerebelo?? kkk



     

    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    Cara, sei que é estranho, também penso como vc...Porém eu criei essa white list pq não estou conseguindo fazer a restrição de exceção na própria Black list.
    Tenho que usar Black list mesmo, pois a quantidade de bloqueios é Muuuuuuuuuuuuuuuuuiito menor que a de permissão, ou seja, são poucas coisas que são bloqueadas, então é mais fácil barrar apenas estes poucos do que barrar tudo e liberar todos os acessos.

    Mas enfim, vamos lá: quando vc diz:

    Nega *.youtube.com, *.orkut.com all users, menos para diretoria (essa regra não vale para diretoria)

    Nega *.youtube.com Diretoria

    Libera iternal para external all users


    Se eu negar para all users, o grupo diretoria não está incluído nisto?
     Se quando vc diz, que a regra não vale para diretoria for no exceptions, já coloquei tbm e não funcionou. =/
    Inclusive quando coloco os users no excepitions, a navegação dos outros sites fica lenta e trava..


    quinta-feira, 13 de agosto de 2009 12:58
  • como você criou o domain name ou o url set?

    Coloque aki amaneira que vc configurou ele com os dominios e sites.
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

    URL SET:
    No ISA > Firewall Policies> Toolbox> NetWork Objects > New URL Set > Coloquei um nome (por exemplo White List)  e Adicionei os endereços.

    Grupo:
    Criei um grupo no AD contendo os users que quero liberar o acesso, feito isso, no ISA em Firewall Policies > Toolbox > Users > New user Set > Adicionei os usuários buscando o grupo do domínio.
    quinta-feira, 13 de agosto de 2009 13:12
  • Exemplificando
    1...
    2...
    3...
    4...
    5 Allow white List > Configuração para acesso aos sites
    6 Deny Black List > Rule de bloqueio (orkut, youtube, msn, etc)
    7..
    8..
    9..
    .

    .
    .
    20 Default Rul
    Amigão, vc esta usando lista branca para acesso a sites e lista negra para bloquear?? Acho que fica meio sem sentido e muito mais dificil de trabalhar.
    Geralmente vc usa ou lista branca ou lista negra, ou seja...

    Na lista Branca (Mais seguro, porém mais dificil de administrar)

    Nessa lista vc vai librar os dominios que o pessoal da empresa ou do grupo pode acessar, por exemplo, 

    regra 1 *.uol.com.br todos tem acesso (all users)
    *.youtube.com  (somente diretoria, grupo diretoria)
     e assim vai

    Black List (mais facil de administrar porém menos seguro e tb o mais usado)

    Vc faz uma regra de bloqueio de dominios exemplo (essas regras sempre ficam no topo)

    nega *.youtbe.com, *.orkut.com, *.orkut.com.br  all users
    libera internal para external all users


    Dai vc pensa bom mais tem aquele diretor que gosta de um orkut e se eu nega acesso pra ele eu rodo mais youtube ele num pode, faze o que.

    então ficaria assim.

    Nega *.youtube.com, *.orkut.com all users, menos para diretoria (essa regra não vale para diretoria)

    Nega *.youtube.com Diretoria

    Libera iternal para external all users



    Deu uma clariada no cerebelo?? kkk



     

    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    Cara, sei que é estranho, também penso como vc...Porém eu criei essa white list pq não estou conseguindo fazer a restrição de exceção na própria Black list.
    Tenho que usar Black list mesmo, pois a quantidade de bloqueios é Muuuuuuuuuuuuuuuuuiito menor que a de permissão, ou seja, são poucas coisas que são bloqueadas, então é mais fácil barrar apenas estes poucos do que barrar tudo e liberar todos os acessos.

    Mas enfim, vamos lá: quando vc diz:

    Nega *.youtube.com, *.orkut.com all users, menos para diretoria (essa regra não vale para diretoria)

    Nega *.youtube.com Diretoria

    Libera iternal para external all users


    Se eu negar para all users, o grupo diretoria não está incluído nisto?
     Se quando vc diz, que a regra não vale para diretoria for no exceptions, já coloquei tbm e não funcionou. =/
    Inclusive quando coloco os users no excepitions, a navegação dos outros sites fica lenta e trava..



    Não pq vc vai colocar o grupo diretoria em excepitons (nas propriedades da regra, users, no quadro abaixo é o excepitons).
    Muito estranho isso estar acontecendo, porque era para estar funcionando sim...








    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 13 de agosto de 2009 15:13
  • O proxy esta configurado no navegador desse pessoal?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 13 de agosto de 2009 17:36
    Moderador
  • e ai amigão alguma nova
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    sexta-feira, 14 de agosto de 2009 18:21
  • Bom Dia,

    Eu trabalho junto com o Rogério e estamos com este problema de liberar sites para alguns usuários.

    Quando eu faço o monitoramento, o bloqueio para na regra, Deny Sites, que está o meu usuário e o do Rogério adicionado na lista de exceptions.

    Nós tambem temos uma regra do protocolo HTTP e HTTPS para fazer o filter para bloqueio do client do msn...

    sera que está dando algum conflito ?
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 11:37
  • Meu usuário está na lista de exception e está dando este erro na monitoração

    Denied Connection
    Log type: Web Proxy (Forward)
    Status: 12202 The ISA Server denied the specified Uniform Resource Locator (URL).
    Rule: Deny Blocked Sites
    Source: Internal ()
    Destination: External (bs-in-f102.google.com 64.233.163.102:80)
    Request: GET http://64.233.163.102/
    Filter information: Req ID: 09cd71e0; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protocol: http
    User: anonymous


    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 11:46
  • Se voce reparar bem ele esta considerando o usuario como "anonymous" e usuario esta como WebProxy Cliente?? ou Firewall Cliente??
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 12:49
  • Toda conexão para as máquinas é passada via NAT para a estações.
    Não existe configuração de proxy em nossos Browsers

    Nossa...está anonymous mesmo...

    me ajuda ae!
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 12:51
  • Esta anonymous pq vc esta usando o cliente como SecureNAt e SecureNAT o ISA não Autentica o usuario entendeu, o ideial é vc mesclar...
    Usar WebProxy para requisições HTTP e HTTPS FTP e SecureNat para e-mails e outros.

    Para vc não ter o trabalho de ficar configurando IE de um por um o ideal é usar o WPAD da uma olhada no site

    http://www.itcentral.com.br/default.asp?id=26&mnu=26 e veja o video configurando automatic discovery

    e tb da uma olhada nos tipos de clientes ISA
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 12:57
  • Mas voce acredita que a liberação do site para alguns usuários esteja acontecendo por conta disto ?

    Nem eu que sou adm de redes aqui consigo ter acesso full a internet...é um absurdo
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 13:01
  • Vcs estão com o proxy configurados no navegador?


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 17 de agosto de 2009 13:02
    Moderador
  • Não utilizamos o proxy nos navegadores.
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 13:04
  • A nossa configuração é SecureNAT pois nós colocamos o IP do Gateway o endereço do nosso ISA Server

    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 13:09
  • Amigão da uma olhada no link que eu te passei, e olha os tipos de clientes ISA, não tem como liberar sites para usuarios diferentes por autenticação do mesmo se o cliente for SecureNAT e vamos para de aperta na mesma tecla please.
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 13:17
  • Tudo bem...

    não tem como liberar via SecureNAT para usuários diferentes. Mas como eu resolvo o meu problema ?

    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 13:20
  • Esta anonymous pq vc esta usando o cliente como SecureNAt e SecureNAT o ISA não Autentica o usuario entendeu, o ideial é vc mesclar...
    Usar WebProxy para requisições HTTP e HTTPS FTP e SecureNat para e-mails e outros.

    Para vc não ter o trabalho de ficar configurando IE de um por um o ideal é usar o WPAD da uma olhada no site

    http://www.itcentral.com.br/default.asp?id=26&mnu=26 e veja o video configurando automatic discovery

    e tb da uma olhada nos tipos de clientes ISA
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA

    Foi o que eu falei acima...
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 13:23
  • Como eu faço esta mudança para usar WebProxy e SecureNAT simultaneamente?



    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 13:24
  • vc vai continuar com o SecureNat configurado como vc esta no momento e configurar o Webproxy cliente o Ideal é que vc use WPAD para configuração automatica do mesmo, entra no link que passei e veja o video configurando automatic discovery


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 13:26
  • OK.

    Ai depois que tiver o Firewall Client configurado nas estações esta regra que estamos querendo liberar para usuários específicos irá funcionar ?

    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 13:30
  • não precisa instalar o firewall cliente amigão so o webproxy e securenat resolve seu problema
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 13:34
  • OK...

    O WebProxy é só habilitar la na rede Internet e fazer as devidas alterações no DNS e DHCP neh ?

    So quero saber se esta regra vai validar...
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 13:36
  • isso
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 13:37
  • Hmm

    No tutorial ele ensinal Automatic Discovery mas ele mostra o Firewall Client em 2 estações.

    Eu apenas fazendo a Alteração no DNS\DHCP e Habilitando o Automatic Discovery nas estações, os usuários já irão navegar via WebProxy ?
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 13:43
  • Isso eh valido para webproxy tb, quando o IE está configurado para detectar as conexão automaticamente ele usa o WPAD tendeu, pula a parte da instalação do firewall cliente


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 13:50
  • Nas máquinas que não tiverem para auto-detectar as configurações de proxy na rede, elas irão nevegar como antes, via SecureNAt ?

    eu quero entender como vai ser essa divisão de navegação por Secure NAT e Web Proxy....

    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 13:53
  • Isso vai navegar como secure nat.

    Por favor vai no link que eu te falei do IT central e da uma olhada no video entendendo tipos de clientes ISA, sem essa base vai se dificil vc entende alguma coisa
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 13:56
  • Ok Felipe,

    Agora está claro.
    Vou fazer esta mudança no horário do almoço, pois acredito que todos irão cair na hora da mudança.

    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 14:08
  • Ok, fico aguardo
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 14:14
  • Quando eu habilitar o WPAD no meu DHCP será necessário fazer um refresh na placa de rede de todos ?

    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 14:24
  • será necessario dar um comando no cmd ipconfig /renew, ou seja renovar a consseção no DHCP
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 14:36
  • Eu fazendo esta modificação vai dar algum conflito na minha regra de bloquear o MSN via Role Filtering...
    Acessei o site do Anderson Patricio que estava ensinando como fazer isto.
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 14:44
  • Pq se acha que vai dar conflito?? o que tem have WPAD com o filtering do MSN??
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 14:56
  • Por isto estou te perguntando...o forum server para discurtimos as dúvidas.
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 14:58
  • eu sei que serve pra discutirmos as duvidas... eh que eu não nenhuma ???? dai achei que vc estava afirmando.. tendeu?
    num vai dar conflito nenhum fica tranquilo
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 15:00
  • Ai est ao erro..

    Secure NAT nao valida usuário.
    Se vc quer fazer bloqueios ou liberações para grupos ou usuários especificos você terá que utilizar WEB PROXY....
    Ou Firewall client, mas nesse caso nao recomendo....

    Qualquer duvida post anovamente.


    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 17 de agosto de 2009 15:07
    Moderador
  • Fiz a alteração aqui e o erro continua...

    não consigo nevar no orkut e no youtube estão bloqueados na regra.

    eu adicionei meu usuário de rede na linha exception.

    e ele ainda continua fzendo como anonymous user
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 15:13
  • Vinicius,

    Me fale como esta criada essa regra...
    antes dessa regra existe alguma regra de liberação de HTTP e HTTPS?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 17 de agosto de 2009 15:16
    Moderador
  • Action - Deny
    Protocol - HTTP
    FROM - Internal\VPN Client
    To - BlackList
    Condition - All users\Exception meu usuário

    Em baixo desta regra possuo a regra HTTP\HTTPS para bloquear o Client do MSN.

    Não possuo nenhuma regra acima desta para bloqueio HTTP...

    Estranho o user continuar como Anonymous
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 15:20
  • Amigão é pq vc esta usando Securenat, ja foi dito isso aki...

    deve ser alguma pegadinha ne? fala a verdade
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 15:23
  • Vinicius,

    VC ESTA COM O PROXY CONFIGURADO?? Sem ele nao será possivel validar o seu usuario para deixar passar.

    Faz um monitoramento e veja por qual regra o seu usuário esta saindo.
    Post aqui a ordem que essa regra esta, se a mesma esta antes ou depois dessa de bloqueio.
    E como ela esta configurada.

    No aguardo
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 17 de agosto de 2009 15:28
    Moderador
  • Luiz,
    Eu segui o procedimento para habilitar o Auto Discovery e fiz toda alteração em meu DNS e DHCP, conforme o link que o Felipe tinha passado.

    Como faço para habilitar isto agora ?
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 15:29
  • Mesmo eu adicionando meu usuário na regra Exception, meu usuário é bloqueado na rede Dany Blocked Sites que foi criada.
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 15:30
  • pode ser que o WPAD não esteja funcionando, faz o seguinte vai no IE, em conexao, configurações de lan, marca para usar servidor proxy, e digita o ip do isa e a porta 8080, agora faz o teste.


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 15:35
  • Coloca na mão mesmo o proxy para vc poder testar..


    Parece que o WPAD esta configurado errado...pq se estivesse correto deveria funcionar, e com o bloqueio é visivel que vc esta saindo securenat...

    Se quiser da uma validada no seu WPAD:

    http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=12
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 17 de agosto de 2009 17:45
    Moderador
  • Luiz,

    Coloquei a configuração no browser direto na mão e funcionou.
    O problema que no IE funciona apenas deixar para pegar automatico e no Mozilla tem que pegar as configurações digitadas do proxy.

    É assim mesmo ?
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 18:37
  • vc colocou a porta 8080??


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 18:50
  • Vinicius,

    Sim tem que deixar para pegar automatico...
    No mozzila nao ta funcionando se deixar automatico?

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 17 de agosto de 2009 18:57
    Moderador
  • Não,

    No mozzila não funciona para pegar automatico...
    Eu coloquei porta 8080 sim Fernando.

    Bom,

    Vou fazer uma GPO para aplicar esta configuração apenas para os usuários que precisam acessar a internet.

    No isa vai estar habilitado é só para elas ?

    Esta é a melhor estrategia ou existe alguma outra que voces podem me orientar
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 19:09
  • Vinicius,

    Sim tem que deixar para pegar automatico...
    No mozzila nao ta funcionando se deixar automatico?

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

    Luiz o que deve estar acontecendo e que ele configurar o Proxy na unha e não funciona dai ele deixa detectar automaticamente, não consegue achar o wpad e sai a conexão via securenat e ele acha que esta funcionando o proxy
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 19:13
  • Bom,

    O meu usuário e mais um usuário que está para detectar automatico fucnionou.
    Estes usuários estão na lista de Exception da minha Regra tambem.

    Ninguem mais acessa...
    MCP Windows Server 2003
    segunda-feira, 17 de agosto de 2009 19:16
  • então, se vc colocou na unha para o ip so isa nas configurações de proxy no browser e não funcionou e depois deixou marcado detectar automatico e funcionou é vc esta saindo por securenat e não webproxy.


    me add ai no msn que eu te dou uma força f_fazzani@hotmail.com
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 17 de agosto de 2009 19:25
  • Vinicius,

    Sim tem que deixar para pegar automatico...
    No mozzila nao ta funcionando se deixar automatico?

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

    Luiz o que deve estar acontecendo e que ele configurar o Proxy na unha e não funciona dai ele deixa detectar automaticamente, não consegue achar o wpad e sai a conexão via securenat e ele acha que esta funcionando o proxy
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA

    Primeiro ele valida o automatico....se ele nao consegue achar o automatico ele utiliza o que esta configurado na unha...

    o mozzila deveria funcionar pelo menos o automatico.....
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 17 de agosto de 2009 19:41
    Moderador
  • Vinicius,

    algum resultado?

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 18 de agosto de 2009 16:08
    Moderador
  • Vocês estão usando autenticated users? ou a regra esta sendo aplicada por ip?

    Caso a reposta tenha resolvido por favor Marque esse post como "RESPOSTA" para que se encerre essa Thread. E se lhe foi util também Marque como "votar como util" Caso não tenha resolvido, sinta-se a vontade para fazer novas perguntas. Boa sorte MCP - Win2k3 server MCP - Windows XP
    quarta-feira, 4 de novembro de 2009 00:48
  • Completando o o que o Luiz disse também da para vc fazer o seguinte.

    Na regra que vc tem a black list, em users vc pode adicionar o grupo desses dois usuarios em exptions (dai essa regra não vai valer para o grupo), d ok, agora clica com o botão direito sobre a regra e de um copy, esteja certo que a regra copiada esta abaixo da original, vá em user, tira tds os grupos, e adiciona somente o grupo desejado (dos dois usuarios), em to exception clique em add e adicione o dominio desejado que a regra não se aplique (exemplo *.orkut.com) todo o dominio e subdominios orkut.com estará liberado


    Se foi util marque como resposta.



    Fazzani - MCP, MCSA, MCTS-ISA,VISTA


    oi

     

    domingo, 8 de agosto de 2010 02:13