Блокирование трафика

[Shell 301]

Столкнулся с интересной проблемой.

Пытаюсь заблокировать определенный трафик идущий в инет на внешние IP адреса. Например, пытаюсь блокировать весь трафик с внутренних хостов правилами файерволла на 64.12.202.ххх по 53 порту.

Голову сломал. Не блокируется - и все. Пока не пришла мысль остановить на хосте файервольный клиент от ISA Server.

Спрашивается, если правило в SEP запрещает соединение на 64.12.202.ххх по 53 порту - то получается что до уровня на котором работает сам файервол SEP он уже обернут в "туннельчик" до ISA сервер? И как тогда заблокировать трафик с хоста?

Конешно, можно это сделать на самом ISA сервере. Но тут изобретенный велосипед с круглыми колесами не подходит. И хочется как то разобраться правилами SEP.

И, кстати, получается что подобным образом можно обойти правила файерволла при их маленькой некорректной доработке

[Кирилл Керценбаум 671]

Shell есть в KB такое замечание: Do not install Network Threat Protection on client computers that currently run third-party firewalls. Two firewalls that run on one computer at the same time can drain resources, and the firewalls might have rules that conflict with each other. Third-party firewalls include Microsoft ISA firewall and Windows Firewall.

Насколько я знаю, данную проблему не решить, так как ISA client намного раньше получает доступ к трафику и загоняет его в туннель, поэтому SEP его не видит. Могу ошибаться, но кажется это туннелирование можно отключить...

[man 5]

если не секрет, зачем внутренним адресам стучаться на внешний днс сервер? в сети нет своего днс сервера?

[Shell 301]

если не секрет, зачем внутренним адресам стучаться на внешний днс сервер? в сети нет своего днс сервера?

В моем случае был не совсем DNS

Была такая необходимость чтобы в правилах ISA был открыт полностью канал по порту 53 на внешние IP. Хитрецы стали прописывать вместо стандартных 5190 443 портов в клиентах асек - 53 порт. Ну а у меня возникла небольшая временная трабла с перлюстрацией переписки Вовремя увидел в своих правилах на снорте

Решил обезопаситься дополнительными правилами на клиентах помимо правил ISA - и столкнулся вот с этой проблемой.

[xck 25]

На клиентах установлен ISA Client?

[Shell 301]

На клиентах установлен ISA Client?

Ну не на ISA сервере же))

[xck 25]

Ну не на ISA сервере же))

Иногда интернет настройки распространяются политиками AD, поэтому не всегда может быть установлен ISA Client на машинах пользователей. Если Вы знаете, то NAT клиенты могут работать по разному в случаях когда установлен ISA Client или же нет.

[Shell 301]

Иногда интернет настройки распространяются политиками AD, поэтому не всегда может быть установлен ISA Client на машинах пользователей. Если Вы знаете, то NAT клиенты могут работать по разному в случаях когда установлен ISA Client или же нет.

В корпоративной сетке все стандартизировано. Отключать туннелирование нельза по объективным причинам. Камень в данной проблеме - что ISA клиент работает на более высоком уровне чем SEP. Это правильно. Решение пока не пришло в голову (кроме как сделать шлюз для отдельных приложений - но это глупое решение). NAT здесь вовсе не причем. ISA клиент не натирует, а туннелирует приложения до isa сервера для прохождения сквозной аутентификации (если сформулировать совсем уж грубо).

[xck 25]

NAT здесь вовсе не причем

Я имел ввиду, что для ISA Server существует три типа клиентов:

- Firewall;

- Secure NAT;

- Web-Proxy;

Подразумевая под этим то, что каждый тип клиентов имеет свои недостатки и преимущества.