none
Com Filtro e Sem Filtro RRS feed

  • Pergunta

  • Bom Dia,

     

    Estou tendo um problema e acho que é só erro de eu não saber configurar as regras, vou da uma explicada e mostrar como eu fiz.

     

    Todos os computadores na rede está com o Client.

     

    Tenho computadores que precissam se autenticar para acessar a internet, alguns usuários tem acesso total outros tem acesso a alguns sites.

    Mas tenho dois computadores que não pode ter proxy já que tem que ser acesso livre por causa de alguns problemas tipo o Conectividade Social, o Sintegra que não funciona se tiver filtro de proxy.

     

    O servidor ISA é o ip 10.0.0.254

     

    Então criei um Protocolo de saida para a porta 80 com o nome HTTP sem filtro.

    E criei dois conjunto de computadores.

    1ª Com Autenticação - Nesse aqui coloquei uma faixa de ip 10.0.0.0 até 10.0.0.29 e outra faixa 10.0.0.32 até 10.0.0.253

    2ª Sem Autenticação - Coloquei os dois ips dos computadores 10.0.0.30 e 10.0.0.31

     

    E criei dois conjuntos de Usuários

    1ª Usuários Acesso Total - Coloquei aqui todos os usuários com acesso total a internet

    2ª Usuários Acesso Parcial - Coloquei aqui todos os usuários com acesso parcial a internet

     

    E criei um conjunto de nomes de domínios (Sites Acesso Parcial) e coloquei os sites que os usuários restritos vão ter acesso.

     

    E na minha Rede Interna configurei para funcionar o proxy, a descoberta pela porta 8888 e configurei a autenticação como Basic e desmarquei a opção exigir autenticação de todos os usuários.

     

    Então criei 4 regras.

    1ª Rede - Permitir - Todos os Protocolos - Rede Interna e Host Local - Rede Interna e Host Local - Todos os Usuários

    2ª Acesso Total Sem filtro - Permitir - HTTP sem filtro, HTTS, PING - Host Local e Sem Autenticação - Externo - Todos os Usuários

    3ª Acesso Total - Permitir - HTTP, HTTPS, PING - Com Autenticação - Externo - Usuarios Acesso Total

    4ª Acesso Total - Permitir - HTTP, HTTPS, PING - Com Autenticação - Sites Acesso Parcial - Usuarios Acesso Total

     

    E existe a a ultima regra que fica sempre no final bloqueando tudo.

     

    Ai configurei os client dos pcs que tem acesso sem filtro para nao configurar o browser e os outros para configurar o browser.

     

    Ai ta tudo blz.

    Nos computadores que pede a autenticação funciona tudo perfeitamente.

    Agora quando vou no computador que está para funcionar sem o filtro ele não abre as páginas não faz nada.

    Ai fazendo testes e teste, ai vi que minhas regras devem ta errada pq quando desativo as regras 3 e 4 os computadores sem filtro começa acessar tudo normal, mas ai para de funcionar os computadores com acesso com o filtro.

     

    Alguem sabe como posso resolver isso, pq acho que é algo nas regras?

     

    Por favor alguem.

     

    Obrigado.

    sexta-feira, 12 de outubro de 2007 13:24

Todas as Respostas

  • Grande Rudá! Beleza, mano?

     

    Vamos começar com algumas explicações a respeito do processamento de regras no ISA Server 2004/2006.

     

    Nestas versões do ISA, o processamento é feito em ordem. Portanto, se algum computador cliente ou usuário cai em uma das regras, as demais não serão executadas. Para um perfeito processamento das regras, você precisa obedecer a um preceito básico: as regras mais específicas no topo e as mais gerais no final.

     

    Aí você vai me perguntar: "O que você quer dizer com 'regras específicas'?". Regras específicas são aquelas que atingem um cliente ou um grupo de clientes, um destino ou um grupo de destinos, enquanto que regras gerais são aquelas que atingem todo o restante dos clientes e/ou destinos. Vou usar seu próprio exemplo do Conectividade Social:

    1. Você deve criar a regra do Conectividade Social acima das demais regras;
    2. esta regra deve ter como clientes os computadores ou usuários que precisam de acesso a esta aplicação;
    3. também deve ter como destino o host chamado cns.caixa.gov.br ;
    4. provavelmente você pode não querer usar autenticação neste caso (vai que seu DC fica fora do ar num momento crítico...);
    5. coloque seu protocolo HTTP (sem filtro) na lista de protocolos permitidos.

    Até aí tudo bem. O "pulo do gato" vem agora: Cria uma regra quase que exatamente igual àquela acima, com a diferença de que ao invés de permitir ela vai negar, no lugar de ter seu protocolo personalizado sem filtro ela terá o protocolo HTTP padrão do ISA (que tem filtro), que esta regra ficará exatamente abaixo da que você acabou de criar e você configurará seus browsers para não usar proxy para o endereço cns.caixa.gov.br .

     

    Execute exatamente assim que você terá sua regra de acesso ao Conectividade Social funcionando perfeitamente.

     

    Outra coisa, evite usar regras que liberem todo mundo ao seu ISA Server, pois isto é desnecessário e aumenta a superfície de ataque ao seu firewall. Preferencialmente só você deve ter acesso administrativo ao firewall. Falo isto referente à sua regra número 1. Talvez você queira liberar Ping apenas para um teste de conectividade com o firewall, mas mesmo assim faça isto com ressalvas.

     

    Obedeça as dicas acima e provavelmente terás tuas regras funcionando a contento.

     

    Um grande abraço!

    domingo, 14 de outubro de 2007 12:31
  • E ai amigo, Tudo na paz?

     

    Value pelas dicas, mas tipo eu fiz com que cada um não cai-se em outra regra, usando aquele conjunto de computadores.

     

    Só que não consigo entender pq está dando esse problema. Se separei tudo, computador que faz aquilo computador que tem acesso a aquilo.

     

    Agora não consigo entender pq ele não funciona.

     

    Nesses computadores que vão acessar o conectividade social tb tem outros como o sintegra e esse computador tem acesso total a internet ai não quiser usar o filtro para não ter problema ai fiz aquelas regras, mas não funciona.

     

    Poderia me da uma ideia do que seja as minhas regras estão erradas?

    domingo, 14 de outubro de 2007 13:50
  • Tudo na paz, Rudá.

     

    Grande, tu chegaste a seguir as dicas que coloquei no post anterior? Se não estiver estritamente daquela forma, o Conectividade Social não vai funcionar. Tem que criar uma regra especificamente para ele e outra em seguida bloqueando o protocolo HTTP padrão do ISA.

     

    Siga passo a passo o que coloquei no post anterior e tu terás sucesso no acesso ao Conectividade.

     

    Um grande abraço!

    domingo, 14 de outubro de 2007 13:56
  • Oi Rudá. Acho que agora entendi.

     

    Porém, para que você navegue sem o filtro de HTTP, tem que executar o procedimento que informei no post anterior. Ou seja, criar uma regra liberando especificamente Origem e Destino usando seu protocolo HTTP sem filtro e abaixo dela criando uma regra exatamente igual só que negando o protocolo do ISA (que tem o filtro ativado) e especificando os mesmos Origem e Destino.

     

    Se você observar, é o mesmo procedimento do Conectividade, só que para outros sites. Se não fizer assim, não funciona.

     

    Abração pra ti!!!

     

    domingo, 14 de outubro de 2007 14:24
  • Tipo ficaria assim?

     

    1ª Rede - Permitir - Todos os Protocolos - Rede Interna e Host Local - Rede Interna e Host Local - Todos os Usuários

    2ª Acesso Total Sem filtro - Permitir - HTTP sem filtro, HTTS, PING - Host Local e Sem Autenticação - Externo - Todos os Usuários

    3ª Acesso Total Sem filtro - Negar - HTTP sem filtro, HTTS, PING - Host Local e Sem Autenticação - Externo - Todos os Usuários

    4ª Acesso Total - Permitir - HTTP, HTTPS, PING - Com Autenticação - Externo - Usuarios Acesso Total

    5ª Acesso Total - Permitir - HTTP, HTTPS, PING - Com Autenticação - Sites Acesso Parcial - Usuarios Acesso Total

    domingo, 14 de outubro de 2007 22:59
  • Vamos lá...

     

    Para começar, remova a 1a Regra pois ela não é necessária. Então ficaria assim:

     

    1a Regra: Permitir - HTTP (sem filtro) - Origem:Internal - Destination:cns.caixa.gov.br (ou o site que você quiser)

    2a Regra: Negar - HTTP (padrão do ISA) - Origem:Internal - Destination:cns.caixa.gov.br (ou o site que você colocou na regra anterior)

    3a Regra: Permitir - HTTP, HTTPS e PING - Origem:Internal - DestinationTongue Tiedites Acesso Parcial - Com autenticação: Grupo Usuários Acesso Total

    4a Regra: Permitir - HTTP, HTTPS e PING - Origem:Internal - Destination:Extenal - Com autenticação: Grupo Usuários Acesso Total

     

    Para estas duas últimas regras, não entendi o porquê delas existirem. São conflitantes. Quando a 3a for executada, a quarta, que é idêntica, ficará invalidada. Reavalie estas duas regras.

     

    Só pra ressaltar, as regras mais específicas ficam no topo e as mais gerais no final. É por isso que troquei a posição entre as regras 3 e 4. A que era a sua 4a regra era mais específica (sites acesso parcial) do que a 3a (external).

     

    Espero ter te ajudado.

     

    Um abraço e fica com Deus!

    segunda-feira, 15 de outubro de 2007 03:19
  • Irei fazer aqui o que você falou. Obrigado.

     

    Tipo todos os computadores que tem acesso a Internet e usam o proxy tem que pedir autenticação, ai dependedo que usuário está se logando é acesso total a rede externa se não ele deve ta no grupo dos acesso parcial que só tem alguns sites liberados.

     

    Entende?

    segunda-feira, 15 de outubro de 2007 12:29
  •  

    Lembre-se de que se for usar o Internet Explorer como SecureNAT client, o recurso de autenticação integrada dele não vai funcionar. Só funcionará se você utilizar o Firewall Client do ISA Server nas estações.

    Um abraço!

    segunda-feira, 15 de outubro de 2007 13:22
  •  

    Amigo ainda não estou conseguindo fiz tudo mas nada de funcionar

     

    1a Regra: Permitir - Protocolos: HTTP (sem filtro) - Origem:Internal - Destination: Externo - Usuários: Todos os Usuários

    2a Regra: Negar - Protocolos: HTTP (padrão do ISA) - Origem:Internal - Destination: Externo (ou o site que você colocou na regra anterior)

    3a Regra: Permitir - HTTP, HTTPS e PING - Origem:Internal - Destination: Acesso Parcial - Usuários: Acesso Parcial

    4a Regra: Permitir - HTTP, HTTPS e PING - Origem:Internal - Destination: Extenal - Usuários:  Acesso Total

     

     

    Só que com as regras que você colocou não vou poder liberar acesso a internet sem filtro a todos os sites

     

    Eu quero que o PC tal acesse sem filtro e os outros protocolos e o resto acesso com o proxy para poder autenticar

    Se for acesso total acessa tudo, agora se for acesso parcial acessa só alguns sites

     

     

    Tipo ai não to conseguindo fazer isso, já estou desesperado pq toda hora que tem que acessar a internet do sem filtro tenho que desativar as outras regras para funcionar

     

    Se vc poder me adicionar no msn só para tirar alguns dúvida e vé se agente arruma isso eu agradeço e depois posta aqui o que vc conseguio.

     

    Meu msn: rudacunha@hotmail.com

     

    Obrigado.

    quinta-feira, 18 de outubro de 2007 17:54
  • Oi Rudá.

     

    Não sei se posso ter esquecido de te dizer, mas precisarás adicionar nas exceções de proxy do seu navegador todos os sites que não queres que passem pelo proxy do ISA. Por exemplo: *.caixa.gov.br .

     

    Também não esqueça-se de que para estes sites não haverá autenticação a não ser que seja utilizado o Firewall Client.

     

    Um abraço!

    quinta-feira, 18 de outubro de 2007 18:35
  •  

    E ai tudo blz.

     

     

    Tipo acho que agente não está conseguindo se comunicar bem.

     

    Tipo veja o que eu estou precissando só que não estou conseguindo

     

    Tenho umas 50 máquinas aqui na empresa tudo com o Firewall Client do ISA instalado.

    Dentro dessas 50 temos 48 que ta configurado para acessar via proxy(marquei a opção de configurar o IE)

    E o resto que são 2 tem que ter acesso total a qualquer site sem filtro do proxy, por motivos de sintegra, conectividade social e outros vários programas que não podem ter filtro.

     

    Agora essas 48 maquinas que ta configurado para o proxy alguns tem acesso total a internet e outros tem que autenticar.

    Só que esses que tem acesso total sempre estão indo de máquina em máquina e por isso não posso deixar a máquina liberada para outra pessoa que não tenha acesso tenha. Ai pede-se a senha para se conectar a internet, dependendo de que grupo ele seja vai ter acesso a determinados sites.

     

    Então crie dois Conjuntos de Computadores.

    O 1ª ta os dois computadores que tem acesso sem filtro. Ex: 10.0.0.10 e 10.0.0.11

    O 2ª ta com as faixas de ip 10.0.0.12 até 10.0.0.200

     

    Ai criei 3 regras.

    A 1ª libera acesso ao 1ª conjunto de computadores(o acesso sem filtro). Fiz assim:

    Nome da Regra: Acesso sem Fitro - Protocolos: HTTP sem filtro, HTTPS, PING - Origem: 1ª Conjunto de Computadores - Destino: Externo - Usuários: Todos os Usuários

     

    Ai criei a 2ª regra que libera o acesso para o 2ª conjunto de computadores(o com filtro) a alguns sites. Fiz assim:

    Nome da Regra: Acesso Parcial - Protocolos: HTTP, HTTPS, PING - Origem: 2ª Conjunto de Computadores - Destino: Lista de Domínios - Usuários: Usuários com Acesso Parcial

     

    Ai criei a 3ª regra que libera o acesso para o 2ª conjunto de computadores(o com filtro) a todos os sites. Fiz assim:

    Nome da Regra: Acesso Parcial - Protocolos: HTTP, HTTPS, PING - Origem: 2ª Conjunto de Computadores - Destino: Lista de Domínios - Usuários: Usuários com Acesso Parcial

     

     

    E ai vc conseguio me entender, pq acho que não estou me expressando bem.

     

    Se poder me adicionar agradeço rudacunha@hotmail.com

    quinta-feira, 18 de outubro de 2007 21:11
  • Alguem por favor pode me ajudar?

    sábado, 20 de outubro de 2007 21:33
  •  

    Oi Rudá.

     

    Mano, agora temos um caminho por onde prosseguir. Teu procedimento tá parcialmente correto. Há algumas coisas adicionais que você precisa ter em mente.

     

    Inicialmente vamos pensar na criação das regras. Há um mal-entendimento no processamento das regras que, creio eu, serão resolvidos agora.

     

    Se você cria uma primeira regra colocando como Origem Todos e Destino External com todos os protocolos mais utilizados, esta regra será a primeira a ser executada. Quando o ISA executa esta regra, não entrará em mais nenhuma outra. Portanto, evite botar no topo da lista de regras aquelas que envolvam a maioria dos usuários.

     

    Portanto, você deve criar as regras da seguinte forma:

    1. Permitir - Protocolos: HTTP e HTTPS - Origem: Computador 1 e Computador 2 - Destino: Sites sem proxy - Usuários: All users
    2. Negar - Protocolos: HTTP e HTTPS - Origem: Computador 1 e Computador 2 - Destino: Sites sem proxy - Usuários: All users
    3. Permitir - Protocolos HTTP, HTTPS, PING - Origem: Internal - Destino: External - Usuários: All authenticated users

    Outra coisa. Coloque na lista de exceções de proxy do Internet Explorer os sites que você colocar na lista "Sites sem proxy". Isto possibilitará ao IE funcionar como um cliente SecureNAT do ISA, não passando as requisições para proxy e possibilitando atingir seu objetivo.

     

    Só para relembrar: Regras mais específicas ficam no topo, regras mais gerais ficam mais abaixo da lista de regras.

     

    Um abraço!!!

     

    domingo, 21 de outubro de 2007 03:40