filtro ip

Te pego un mensaje mio que puedes encontrar, si buscas un poco, justo 7
mensajes debajo de este.
-
Los filtros solo se aplican en tres circustancias:
1-Aplicaciones en el propio ISA. Necesitas usar cualquier aplicacion en el
ISA, un cliente de correo por poner un ejmeplo. Si bien, te recomiendo que
no utilices absolutamente ninguna aplicacion en el ISA, como mucho navegar
contra un par de sitios: Windows Update y www.microsoft.com para descarga de
parches y actualizaciones.
2-Una configuracion Three-homed DMZ (tres interfaces de red). Como la
relacion entre red externa-DMZ es de routing, el trafico desde/hacia red
externa-DMZ lo controlas enpleando filtros.
3-Controlar el uso de otros protocolos distintos de TCP y UDP, basicamente
ICMP y GRE. Si neceitas que un cliente interno o el propio ISA puedan
realizar un ping o establecer una VPN con PPTP, debes crerar filtros que
pemirtan este tipo de trafico.

Para controlar lo que pueden y no pueden hacer los cleintes internos debes
emplear reglas de acceso: reglas de protocolo y reglas de sitio y contenido.
-

En tu caso porque funciona ? muy sencillo, hay tres opciones:
1-El messenger esta configurado para usar (o toam la configuracion del IE)
proxy y no estas forzando autentificacion para las peticiones web salientes.
Te recomiendo que fuerces autentificacion para el servicio web proxy.
Imagino cual sera tu siguiente pregunta ;-) como fuerzo autentificacion
Usa google, la parte de grupos, y veras como puedes encontrar la respuesta
facilmente. Si no lo encuentras, no hay problema, te indico como hacerlo,
pero es bueno intentar buscar primero las cosas y si no damos con ello,
preguntar.
2-Los clientes tienen instalado el firewall client y, o bien una regla
permite todo el trafico IP a cualqueir peticion o una regla especifica
permite MSN Messenger.
3-Los clientes tienen como default gateway la IP inretna del ISA (clientes
SecureNAT), y tienes reglas que pemriten todo el rtafico IP a cualquier
peticion.

Debes intentar por todos los medios permitir en saliente unicamente aquello
que necesitan los usuarios, nada mas. Permitir todo el trafico IP a
cualqueir peticion, es desde el punto de vista de la seguridad una opcion
pesima.

Un saludo.
Ivan
MS MVP ISA Server


"jose" escribió en el mensaje
news:

Hola Ivan todavia no lo he probado pero tengo una duda por lo que me has
dicho:

Me has dicho segun he entendido, que para que una aplicacion que necesite
un
puerto especifico, funcione y no sea desde el mismo servidor del isa, no
sirve un filtro de paquetes ip, y me has dejado un poco parado, porque por
ejemplo para el messenger, que considero una aplicacion que funciona sobre
un
puerto diferente, y que no esta logicamente en el servidor del isa, le
cree
un filtro de protocolo ip, y me funciona, por eso me he quedado extrañado
cuando me has dicho esto.

Espero que me puedas solventar mi duda,

Un saludo.


"Ivan [MS MVP]" wrote:

Si utilizas ISA 2000, me refiero a reglas de sitio y contenido y reglas
de
protocolo. ISA 2000 evalua ambas reglas antes de permitir una peticion
(bueno.. tambien los packet filters, aunque no se deban utilizar para
permitir/denegar a los clientes internos). Si hablamos de ISA 2004,
unicamente hay reglas de acceso.
Como imagino que utilizas ISA 2000, debes realizar esto:
1-Crea en el ISA esta definicion de protocolo:
Protocolo: TCP
Direccion: Outbound
Puerto: 9020
2-Crea un aregla de protocolo que pemrite la definicion anterior a los
usuarios o grupos necesarios.
3-Crea una regla de sitio y contenido que permite alcanzar el servidor al
que necesitas conectarte con esta aplicacion.
4-En los clientes internos instala el firewall client.

Un saludo.
Ivan
MS MVP ISA Server


"jose" escribió en el mensaje
news:
>
> Hola Ivan
>
> Se trata de un cliente de la red, de otro servidor, pero podrias ser un
> pelin mas explicito, cuando dices una regla de acceso, a que regla te
> refieres? reglas de protocolo?
>
>
>
> Gracias.
>
>
> "Ivan [MS MVP]" wrote:
>
>> >Si se trata de un cliente remoto
>>
>> Perdon, queria decir un cliente de la red interna que accede a
>> Internet a
>> traves del ISA.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Ivan [MS MVP]" escribió en el mensaje
>> news:
>> > Si desde el propio ISA necesitas acceder a un servidor remoto que
>> > proporciona un servicio en el puerto 9020, si debes crear un filtro.
>> > Si
>> > se
>> > trata de un cliente remoto, debes crear reglas de acceso, el filtro
>> > no
>> > sirve.
>> > Si es desde el propio ISA, debes crear este filtro:
>> > Protocolo: TCP
>> > Direccion: Outbound
>> > Puerto local: all ports
>> > Puerto remoto: 9020
>> >
>> > Un saludo.
>> > Ivan
>> > MS MVP ISA Server
>> >
>> >
>> > "jose" escribió en el mensaje
>> > news:
>> >> Necesito crear un filtro de salida para el puerto 9020,
>> >> el caso es que lo creo, pero tengo la duda si en el puerto local
>> >> tengo
>> >> que
>> >> poner el 9020 y en el remoto todos, o al reves.
>> >>
>> >> Gracias por la ayuda.
>> >
>> >
>>
>>
>>