none
FW Policy RRS feed

  • Вопрос

  • Приветствую!

    Как настроить правило для трафика https ограниченное по пользователям.

    Сейчас создано правило (for Example, kind of):

    All outbound traffic Allow, Source:Internal Dest: (domain Name Set: site.ru) User: Ivanov

    Так вот, это правило работает для трафика http, а для https нет, и приходится делать Computer Set с ip требуемых хостов. Тогда правило отрабатывает. Иначе - не подпадает под него и откидывается дефолтным. 

    Это неудобно.

    Веб прокси отключен, клиенты авторизуются строго клиентом ИСА. В браузерах прокси не используется.

    Ранее (до меня) были настроены правила вида: UserDefinedProrocol:xxxx (или протокол известный, например http) Source: Computer (рабочая станция пользователя определенная по IP адресу) Dest: DNset or URL, User: All User

    У народа в браузерах стоял прокси. Работал метод Proxy Forward.

    Как может быть связан метод авторизации (веб прокси или клиент ИСА) и разрешение имен для https?? Или я чего то недопонимаю.

Ответы

  • Вот то что я писал изначально, это и было им:"Так вот, это правило работает для трафика http, а для https нет, и приходится делать Computer Set с ip требуемых хостов. Тогда правило отрабатывает. Иначе - не подпадает под него и откидывается дефолтным. "

    А решение у меня такое, что я добавил хост по айпи адресу. 

     

Все ответы

  • Похоже что не работает только тогда когда трафик https не по 443 а по произвольному.
  • isatpre, и создавай отдельный тунель.
  • Создан. И был создан, и работало, пока не ввел ограничения по пользователям, плюс поменял способ авторизации.

  • Создан. И был создан, и работало, пока не ввел ограничения по пользователям, плюс поменял способ авторизации.


    на что поменял? авторизации или аутенфикации?
    Отвечающий
  • ок, неправильно выразился. Ранее были настроены правила как я описал выше, и народ использовал для перенаправления запросов на ИСА: Веб прокси в браузере и secure nat - понятно шлюз ИСА у всех.

    Убрал возможность юзать веб прокси на ИСА. Поставил клиента ИСА (FWC).

    Я думаю это никак не должно повлиять на вопрос разрешения имен.

    Не получается именно с трафиком https и именно на произвольных портах.

    Пример, создано правило, где site.ru - Domain Name Set, Ivanov - доменный пользователь:

    Rule1: Allow -  All outbound traffic - from Internal to site.ru - Condition: Ivanov.

    Иванов пытается зайти на https:\\site.ru:4500 - у него не выходит, на ISA отброс под дефолтному правилу (не подошел под Rule1) - вот здесь собак зарыт я полагаю.

    Иванов пытается зайти на http:\\site.ru - заходит все отлично, на ISA видим подпадание под Rule1.

    Иванов заходит на https:\\site.ru - отлично получается (еще бы, 443 порт по дефолту), на ISA вижу подпадание под Rule1.

    Туннель SSL на ISAtpre с портами 4500 создан.

  • в поле To что конкретно указано, какой конкретно set?
    Отвечающий
  • А как еще? Указано, и днс серверов прописаны в таком виде: site.ru без там www http и  прочей дряни.

    вопрос в догонку, почему через клиента брэндмауэра все веб запросы представляются айпи даресами хостов а не днс именами?

    Allowed Connection ISA-SERVER 07.05.2010 14:07:21 Log type: Web Proxy (Forward) Status: 200 OK Rule: System_rule Source: Internal ( 192.168.3.100:0) Destination: External (colo-4-da.megahoster.net 95.168.160.128:80)

    Request: GET http://95.168.160.128/jscripts/ips_menu.js

    Может он поэтому и вкурить не может с правилами.

  • сет там какой? domain name или url?

    имена пишет только web proxy клиент, все остальные всегда пишут ип, это уже сотни раз писали и обсуждали, используй поиск, там писали почему это и какими левыми фильтрами можно обойти

    да и на работу правил это не влияет

    Отвечающий
  • Писали и хорошо, вопрос был по ходу дела, суть не в этом. Domain Name Set, я уже писал выше. На работу правил не влияет - тоже отлично, остается вопос один, созданный домен сет работает при http запросах и https 443. а на другие ssl фигу, что может влиять?
  • попробую диагностик логгинг посмотреть
    Отвечающий
  • k0st13,

    что говорит диагностик логгинг?
    Вы решили проблему? Огласите решение общественности, пожалуйста.

    Модератор
  • Вот то что я писал изначально, это и было им:"Так вот, это правило работает для трафика http, а для https нет, и приходится делать Computer Set с ip требуемых хостов. Тогда правило отрабатывает. Иначе - не подпадает под него и откидывается дефолтным. "

    А решение у меня такое, что я добавил хост по айпи адресу.