Se cuela la gente por el firewall !!!

Revisa la configuracion de las reglas, no estan correctamente definidas. Si
un usuarios no tienen permitido HTTP, da lo mismo como este configurado el
filtro redirector HTTP, el IE, el cliente firewall o sea un cliente secure
NAT, simplemente no puede usar HTTP. Es muy probable que tengas reglas que
permiten a cualquier peticion o a un cllient address set que engloba un
rango amplio o que el usuario pertenezca a un grupo del dominio que si esta
permitido.

Un saludo.
Ivan
MS MVP ISA Server


"Antonio Sánchez" escribió en el mensaje
news:

Hola,

Tengo un problema con el ISA Server 2000, y es que las reglas de protocolo
funcionan perfectamente con las personas de la intranet, pero han
encontrado un "truco": Deshabilitan el cliente del servidor de seguridad y
PUEDEN ENTRAR CUANDO Y DONDE LES DA LA GANA.

Sospecho que el filtro redirector de HTTP pudiera tener algo que ver ya
que lo cambio y la cosa va distinta, aun así no funciona como yo quiero y
no se que más probar.

Nota: Solicitar identificación de los usuarios no autenticados en la
pestaña "peticiones web salientes" está activo.

Un saludo

Gracias por la respuesta, y sí, es verdad que tengo reglas que permiten a
todos el acceso, pero luego otra que deniega el acceso específicamente a
ciertos usuarios, y las reglas de denegación "mandan" sobre las de permitir
¿no?

Nota: por si sirve de ayuda, he probado a configurar en Internet Explorer >
herramientas >Opciones de internet > Conexiones > Configuración LAN >
Servidor Proxy y así parece que va bien (parece ser que en los ordenadores
donde no está configurado es donde pasaba el problema).

De todas formas no entiendo porqué ocurre así, ya que si tengo instalado el
cliente de seguridad, se supone que no tengo porqué configurar ademas el IE.
También, he detectado que en los ordenadores están ambas cosas a veces dan
muchos problemas para conectarse al messenger y algún otro programa similar.

Un saludo,

Antonio Sánchez.
"Ivan [MS MVP]" escribió en el mensaje
news:

Revisa la configuracion de las reglas, no estan correctamente definidas.
Si un usuarios no tienen permitido HTTP, da lo mismo como este configurado
el filtro redirector HTTP, el IE, el cliente firewall o sea un cliente
secure NAT, simplemente no puede usar HTTP. Es muy probable que tengas
reglas que permiten a cualquier peticion o a un cllient address set que
engloba un rango amplio o que el usuario pertenezca a un grupo del dominio
que si esta permitido.

Un saludo.
Ivan
MS MVP ISA Server


"Antonio Sánchez" escribió en el mensaje
news:

Hola,

Tengo un problema con el ISA Server 2000, y es que las reglas de
protocolo funcionan perfectamente con las personas de la intranet, pero
han encontrado un "truco": Deshabilitan el cliente del servidor de
seguridad y PUEDEN ENTRAR CUANDO Y DONDE LES DA LA GANA.

Sospecho que el filtro redirector de HTTP pudiera tener algo que ver ya
que lo cambio y la cosa va distinta, aun así no funciona como yo quiero
y no se que más probar.

Nota: Solicitar identificación de los usuarios no autenticados en la
pestaña "peticiones web salientes" está activo.

Un saludo

"Antonio Sánchez" escribió en el mensaje
news:

Gracias por la respuesta, y sí, es verdad que tengo reglas que permiten a
todos el acceso, pero luego otra que deniega el acceso específicamente a
ciertos usuarios, y las reglas de denegación "mandan" sobre las de
permitir ¿no?

Bueno, te recomdaria que mirases la ayuda de ISA o te pases por
www.isaserver.org y mires tres articulos que explican las diferencias entre
los tres tipos de clientes que soporta ISA: web proxy, firewall y Secure
NAT.
Si, las reglas que deniegan tienen prioridad, pero, que ocurre si deniegas
por usuarios en unas reglas y otras reglas permiten a client address set ?
pues que si esa maquina es un cliente Secure NAT, podra funcionar.

Nota: por si sirve de ayuda, he probado a configurar en Internet Explorer
> herramientas >Opciones de internet > Conexiones > Configuración LAN >
Servidor Proxy y así parece que va bien (parece ser que en los ordenadores
donde no está configurado es donde pasaba el problema).

Creo que tus clientes internos tienen configurado como default gateway la IP
interna del ISA y por lo tanto son tambien clientes Secure NAT. Si NO
necesitas que los clientes tengan ese default gateway, te recomiendo que
unicamente emplees clientes web proxy y firewall, elimina en los clientes el
default gateway.
Cuando configuras el navegador para ssra proxy funciona porque se envia
informacion de autentificacion y hay una regla que deniega a ese usuario.
Cuando no configuras el navegador para usar proxy y deshabilitas el cliente
firewall, tienes un cliente Secure NAT y estos no envian informacion de
autentificacion, por lo tanto, si una regla permite a la IP de ese cliente o
alguna regla permite a any request podra funcionar.

De todas formas no entiendo porqué ocurre así, ya que si tengo instalado
el cliente de seguridad, se supone que no tengo porqué configurar ademas
el IE. También, he detectado que en los ordenadores están ambas cosas a
veces dan muchos problemas para conectarse al messenger y algún otro
programa similar.

No es necesario, pero, los clientes no usaran la cache. La unica forma de
que la usarian seria configurando el HTTP redirector filter para enviar las
peticiones al servicio web proxy, pero, si fuerzas autentificacion para las
peticiones web salientes, no podran funcionar. Insisto de nuevo: configura
el navegador para usar proxy siempre y si necesitan usar otros protocolos
distintos de HTTP, HTTPS y FTP (encapsulado en HTTP) instala el cleinte
firewall. No hay problema en instalar ambos independientemente de lo que
necesiten usar, en el ISA mediante las reglas lo controlas. Ademas, si en el
ISA en la parte de clientes, esta correctamente configurado, cuando instalas
el cliente firewall, deja configurado el IE para usar proxy.

Un saludo.
Ivan
MS MVP ISA Server