No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server 2000
 ISA 2000 - Installazione e configurazione
 Configurazione Proxy server con 1 nic
 New Topic  Reply to Topic
 Printer Friendly
Author  Topic Next Topic  

andrea230995
New Member

35 Posts

Posted - 07/02/2013 :  21:51:59  Show Profile  Reply with Quote
Salve,
ringrazio per l'aiuto datomi in passato e dopo qualche anno vi faccio ancora una domanda riguardo isa.

La mia esigenza è configurare un proxy con una sola scheda di rete per il filtraggio siti dei pc client.
Ho una rete con 16 pc e dei dipendenti abbastanza svegli, in grado di togliersi il proxy dalle impostazioni del browser e bypassarlo.
Perciò vorrei optare per la configurazione di client SecureNAT, dato che gli account utente sono limitati e non possono perciò cambiare gli ip.

Sapreste dirmi come dovrei creare la regola in isa e come configurare i client.

P.S. Ho letto che è anche possibile configurare nei client solo IP e Subnet Mask con Gateway e DNS voti, inserendo però il proxy nel browser, è una configurazione fattibile anche in isa 2000?

Grazie dell'attenzione.

lconte
Amministratore del Forum

2017 Posts

Posted - 08/02/2013 :  09:11:38  Show Profile  Reply with Quote
Ci sono varie soluzioni, il passare al secureNAT non te lo semplifica, vediamo alcune:
1. Configurare sul tuo router una ACL che accetti traffico HTTP/HTTPS "Solo ed esclusivamente" dall'indirizzo IP di ISA e da "poche" altre postazioni autorizzate ad uscire senza proxy (es. Server). Traffico HTTP/HTTPS generato da altre postazioni è bloccato.

2. Se i client accedono ad Internet SOLO ED ESCLUSIVAMENTE per consultare siti Web allora potresti rimuovere il default gateway dalla configurazione IP del client (Se ovviamente non sono amministratori locali e se i tuoi client hanno una configurazione TCP/IP omogenea).

Questa può rappresentare già una prima linea ed è utilizzabile tranquillamente con ISA 2000. Il punto 1. è fondamentale.




Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

andrea230995
New Member

35 Posts

Posted - 08/02/2013 :  13:32:48  Show Profile  Reply with Quote
Intanto ringrazio per la risposta celere;
mi sono dimenticato di scrivere nel precedente post che ho router CISCO, perciò non posso assolutamente modificare i parametri, e non posso utilizzare firewall hardware perchè tutti i pc si connettono in vpn alla sede centrale.
Quindi il punto 1 è da scartare.
Da quello che so i client fanno solo uso di navigazione e alcuni programmi che si connettono in vpn.
La configurazione tcp/ip è omogenea.

In pratica la mia necessità è di monitorare il traffico dei client attraverso i report e bloccare alcuni siti web per TUTTI gli utenti.

Non sarebbe possibile impostare come gateway dei client l'ip di isa? In modo che non possano bypassarlo facilmente?

Grazie dell'attenzione.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 09/02/2013 :  11:36:20  Show Profile  Reply with Quote
Ciao Andrea,
Il fatto che tu abbia un router cisco ti facilita il compito del punto 1.

Non ho ben capito il discorso delle VPN, ma suppongo che ci sia una VPN Site-TO-Site ( e cioe' router-router) tra la sede periferica e la master.

Se è così è ancora + semplice, perchè fai passare tutto verso la sede master e filtri solo le connessioni verso l'esterno.

Un altra alternativa è impedire (anche agli utenti svegli) di modificare il proxy. E cmq se cambiano un proxy saranno anche in grado di cambiare un gateway ...... e questo non va bene, o meglio non bene per quello che vuoi fare.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 09/02/2013 :  12:34:46  Show Profile  Reply with Quote
Il router Cisco lo gestisci te o è in outsourcing?
Comunque l'unico condizione che può impedire l'uso della soluzione 1 è che i tuoi client usino VPN/SSL (es. OpenVPN); in caso contrario la 1. è lo standard quando si ha un proxy 1-NIC.
Se proprio non vuoi la strada si complica un pò, devi lavorare più sul client e sui permessi degli utenti che non sul lato server; bypassare un proxy non è poi così difficile anche con delle black-list in piedi.


Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

andrea230995
New Member

35 Posts

Posted - 09/02/2013 :  20:52:15  Show Profile  Reply with Quote
Grazie sia a ISACAB che a Luca Conte.
Il cisco non lo gestisco io, e i client non usano vpn, l'unica vpn è impostata nel cisco, per questo non posso cambiare gli ip.

Quindi seguendo la prima strada come dovrei procedere?

Grazie. Buona domenica.
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 10/02/2013 :  14:57:43  Show Profile  Reply with Quote
Optando per la soluzione 1., è necessario che tu chieda a chi lo gestisce di impostare una ACL secondo le indicazioni che ti ho dato. Se poi la devi creare te, basta sapere il modello del router non credo ci siano difficoltà a darti una mano ad implementarla.
Buona domenica

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

andrea230995
New Member

35 Posts

Posted - 11/02/2013 :  10:17:29  Show Profile  Reply with Quote
Salve,
mi sono informato e fortunatamente quando hanno configurato il cisco avevano già inserito il filtraggio per https/http e ftp(solo download) per tutto il range di ip da 230 a 254, ossia il range assegnato dal dhcp, invece i 5 computer degli uffici di amministrazione utilizzano ip da 1 a 5 della stessa classe, perciò non filtrati.

Ora come posso procedere? Intendo come configurazione di isa? Devo mettere l'ip di isa come gateway nei client?
Se possibile preferirei non utilizzare il proxy nel browser, ma impostare tutto nella scheda di rete, è fattibile?

Grazie
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 11/02/2013 :  10:39:13  Show Profile  Reply with Quote
Quando parli di filtraggio sul CISCO cosa intendi? Quello che a te occorre è che gli IP dal 230 al 254 non possono uscire su Internet via HTTP/HTTPS; il tuo router CISCO "deve bloccare questi IP"; mentre invece NON deve bloccare il traffico HTTP/HTTPS dall'indirizzo IP di ISA.
Filtraggio non è detto che blocchi, ma analizza il contenuto del traffico (da chi, verso chi ecc.).
Se questa condizione è verificata basta che i tuoi client usino ISA come proxy e se, nel caso, provassero ad uscire direttamente tramite il router CISCO...beh quest'ultimo li bloccherebbe.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

andrea230995
New Member

35 Posts

Posted - 11/02/2013 :  11:21:28  Show Profile  Reply with Quote
ok, prima di sera mi aggiornano la regola nel cisco, così da permettere di uscire solo isa e i pc dell'amministrazione!

Ora ho capito come funziona, io pensavo di dover permettere solo il protocollo http/https e ftp perchè non facessero uso di programmi tipo torrent.

Una volta fatto questo, l'ip di isa devo quindi metterlo nel gateway dei client? o solo nelle impostazioni del browser?

Grazie

Edited by - andrea230995 on 11/02/2013 11:23:36
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 11/02/2013 :  11:51:15  Show Profile  Reply with Quote
Una volta fatto questo, sui client basta configurare il proxy sul browser. Se i tuoi utenti NON usano un client per scaricare la posta da Internet potresti anche rimuovere il Gateway dalla configurazione del TCP/IP dei client...tanto su Internet non devono andarci se non tramite proxy web.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

andrea230995
New Member

35 Posts

Posted - 13/02/2013 :  12:06:08  Show Profile  Reply with Quote
Configurati ora tutti i client, funziona tutto alla perfezione e con gli opportuni filtraggi.
Grazie ancora dell'aiuto dato da Luca Conte e da Giulio, veramente competenti nel campo del networking.
Buona giornata
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 14/02/2013 :  09:09:14  Show Profile  Reply with Quote
Ciao Andrea,

grazie a te per il feedback.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
   Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association