Bloqueo con Isa server

Hola Alvaro, en lugar de crear un regla de protocolo que permita todo el trafico IP y luego denegar, crea reglas que permitan unicamente lo necesario, hacerlo al reves no es buena idea. Averigua las necesidades de tus usuarios y permite en las reglas solo lo que necesitan. Los filtros, aunque se pueden usar para lo que quieres, no se aplican en esta situacion. Los filtros solo se utilizan para:
-Permitir el uso de aplicaciones en el propio ISA
-Permitir el uso de GRE e ICMP (otros protocolos distintos de TCP y UDP)
-Una configuracion three-homed DMZ

Para controlar lo que pueden y no pueden hacer los clientes de la red interna debes emplear reglas. Prueba a crear una definicion de protocolo para 1214 TCP Outbound y crea una regla de protocolo que deniega dicha definicion. Insisto en que esto no es buena idea, vas a estar dia si y dia tambien buscando la forma de que ciertos programas no funcionen. Si solo permites lo necesario, es mucho mas sencillo y tienes un verdadero control de tus usuarios.

Un saludo.
Ivan
MS MVP ISA Server


"Alvaro Nuñez" escribió en el mensaje news:005f01c49432$482b7620$

Buenas tardes resulta que quiero cerrar los puertos del
caza tengo un isa server y toda mi lan sale por ella, el
caso es , que colocandole dentro de filtros de paquetes ip
que me bloquee tcp:1214, pueto local-->fijo,y puerto
remoto igual, la verdad es que el isa no lo esta
bloqueando por que ?

¿hace falta crear otra cosa a parte de filtro de
paquetes ip ? , no lo entiendo .alguien me ayuda...

Muchas gracias de antemano a todo el equipo.

un saludo

gracias Ivan , he hecho lo que me has recomendado pero
resulta que cuando llego en el isa a la parte de reglas de
sitio y contenido y deniego todo, la preguenta es donde
habro yo los puertos por ejemplo el 80,25,110 ,
etcdonde los habro en reglas de protocolo o en
filtros de paquetes ip ? y como ? ...gracias de verdad.

un saludo a todos

Hola Alvaro, en lugar de crear un regla de protocolo que

permita todo el trafico IP y luego denegar, crea reglas
que permitan unicamente lo necesario, hacerlo al reves no
es buena idea. Averigua las necesidades de tus usuarios y
permite en las reglas solo lo que necesitan. Los filtros,
aunque se pueden usar para lo que quieres, no se aplican
en esta situacion. Los filtros solo se utilizan para:

-Permitir el uso de aplicaciones en el propio ISA
-Permitir el uso de GRE e ICMP (otros protocolos

distintos de TCP y UDP)

-Una configuracion three-homed DMZ

Para controlar lo que pueden y no pueden hacer los

clientes de la red interna debes emplear reglas. Prueba a
crear una definicion de protocolo para 1214 TCP Outbound y
crea una regla de protocolo que deniega dicha definicion.
Insisto en que esto no es buena idea, vas a estar dia si y
dia tambien buscando la forma de que ciertos programas no
funcionen. Si solo permites lo necesario, es mucho mas
sencillo y tienes un verdadero control de tus usuarios.

Un saludo.
Ivan
MS MVP ISA Server


"Alvaro Nuñez"

escribió en el mensaje news:005f01c49432$482b7620
$

Buenas tardes resulta que quiero cerrar los puertos del
caza tengo un isa server y toda mi lan sale por ella, el
caso es , que colocandole dentro de filtros de paquetes

ip

que me bloquee tcp:1214, pueto local-->fijo,y puerto
remoto igual, la verdad es que el isa no lo esta
bloqueando por que ?

¿hace falta crear otra cosa a parte de filtro de
paquetes ip ? , no lo entiendo .alguien me ayuda...

Muchas gracias de antemano a todo el equipo.

un saludo
.

Alvaro, en ISA 2000 la forma de denegar todo y permitir lo necesario consiste en crear reglas que permitan lo necesario. Si creas una regla que deniega todo y luego intentas crear reglas que permitan, no funcionara, las reglas que deniegan tienen preferencia sobre las demas en ISA 2000. En ISA 2004 si se evaluan en orden (menos mal ;-)
En ISA 2000 hay dos tipos de reglas, reglas de sitio y contenido y reglas de protocolo y ambas reglas deben permitir el acceso. Imagina que creas una regla de sitio y contenido que permite solo www.microsoft.com y una de protocolo permites HTTPS, HTTP, SMTP y POP3 a un determinado usuario o grupo de usuarios. Que ocurriria ? pues sencillamente que ese usuario o grupo de usuarios solo podria usar los 4 protocolos anteriores cuando el destino sea www.microsoft.com.
Empieza por lo sencillo, crea una regla de protocolo que permite todos los destinos a los usuarios o grupos de usuarios necesarios y crea reglas de protocolo que unicamente permiten eso, los protocolos necesarios. Mas adelante y analizando las necesidadaes de los usuarios puedes ver que quizas permitir todos los destinos sea excesivo para muchos de ellos y podrias limitar el acceso en las reglas de sitio y contenido. Recuerda que solo puedes emplear usuarios y grupos en las reglas si utilizas clientes web proxy y firewall, si usas clientes Secure NAT debes usar en las reglas client address set.
Si estas empezando con ISA, te recomiendo que uses ISA 2004, es bastante mas sencillo realizar este tipo de tareas.

Un saludo.
Ivan
MS MVP ISA Server


"Alvaro Nuñez" escribió en el mensaje news:770c01c494f4$37d280d0$

gracias Ivan , he hecho lo que me has recomendado pero
resulta que cuando llego en el isa a la parte de reglas de
sitio y contenido y deniego todo, la preguenta es donde
habro yo los puertos por ejemplo el 80,25,110 ,
etcdonde los habro en reglas de protocolo o en
filtros de paquetes ip ? y como ? ...gracias de verdad.

un saludo a todos

Hola Alvaro, en lugar de crear un regla de protocolo que

permita todo el trafico IP y luego denegar, crea reglas
que permitan unicamente lo necesario, hacerlo al reves no
es buena idea. Averigua las necesidades de tus usuarios y
permite en las reglas solo lo que necesitan. Los filtros,
aunque se pueden usar para lo que quieres, no se aplican
en esta situacion. Los filtros solo se utilizan para:

-Permitir el uso de aplicaciones en el propio ISA
-Permitir el uso de GRE e ICMP (otros protocolos

distintos de TCP y UDP)

-Una configuracion three-homed DMZ

Para controlar lo que pueden y no pueden hacer los

clientes de la red interna debes emplear reglas. Prueba a
crear una definicion de protocolo para 1214 TCP Outbound y
crea una regla de protocolo que deniega dicha definicion.
Insisto en que esto no es buena idea, vas a estar dia si y
dia tambien buscando la forma de que ciertos programas no
funcionen. Si solo permites lo necesario, es mucho mas
sencillo y tienes un verdadero control de tus usuarios.

Un saludo.
Ivan
MS MVP ISA Server


"Alvaro Nuñez"

escribió en el mensaje news:005f01c49432$482b7620
$

Buenas tardes resulta que quiero cerrar los puertos del
caza tengo un isa server y toda mi lan sale por ella, el
caso es , que colocandole dentro de filtros de paquetes

ip

que me bloquee tcp:1214, pueto local-->fijo,y puerto
remoto igual, la verdad es que el isa no lo esta
bloqueando por que ?

¿hace falta crear otra cosa a parte de filtro de
paquetes ip ? , no lo entiendo .alguien me ayuda...

Muchas gracias de antemano a todo el equipo.

un saludo
.