Esiste in isa 2006 la possibilità di filtrare le richieste http gestite da un proxy esterno. Mi spiego meglio. Nella nostra lan isa funziona benissimo e tramite gli url set gestiamo i siti della nostra intranet. Alcune macchine però sono autorizzate ad accedere ad internet tramite un proxy esterno di un'altra società non gestita da noi.

E' possibile per motivi di sicurezza interna bloccare alcune richieste verso questo proxy per esempio live.com facebook e twitter.

Il proxy esterno le fa passare ma noi vorremmo bloccarle.

Ho provato con gli url set anche gestendo la porta del proxy non standard 3190 creando un protocollo user defined ma come abilito il proxy su internet explorer fa passare tutte le richieste.

Isa non le filtra. qualche soluzione?E' molto importante!

Non ho capito bene come sono le connessioni tra i PC il proxy esteno e ISA

I PC si connetto al proxy esterno e questo esce tramite ISA? perchè in caso contrario ovvero che il proxy esca direttamente non credo tu possa fare molto

dunque tutti i client hanno come gateway il mio isa. Alcuni client hanno impostato in internet explorer il proxy esterno ma passando sempre dal gateway isa. A questi ultimi vorrei filtrare tramite isa i siti
visti con il proxy esterno presente in internet explorer

Il Http/Https se è definito un proxy il gateway non vine preso in considerazione, quindi la questione è se il proxy poi esce tramite ISA o meno...

purtroppo no....i client arrivano a quel proxy passando prima dal mio isa....cavolo possibile che non si possano filtrare quelle richieste?

>i client arrivano a quel proxy passando prima dal mio isa....
non capisco cosa intendi se i client usano il proxy le richieste Http non arrivano a ISA e quindi ovviamente non puoi filtrarle
Per verifica guada i log di ISA dei client interessati

Quello che puoi al limite fare è gestire la cosa a livello di script per il proxy
http://technet.microsoft.com/en-us/...61918.aspx

esatto le richieste http sono passate al proxy ma nella scheda di rete è l'indirizzo ip di isa a fare da gateway e routing.

Non ci dovrebbe essere quindi la possibilità di filtrare le richieste?

 Dico questo perchè penso che i pacchetti sempre da isa debbano passare....

Se usi un proxy i pacchetti Http/Https vanno dal client verso il proxy il gateway non viene preso in considerazione dal client

Puoi fare qualcosa se ISA è il gateway del proxy

Comunque puoi verificare tu stesso tramite i log di ISA

azz...ma scua come fa il router fisico che è il nostro isa ad essere saltato dalle impostazioni del proxy? chi inoltra i pacchetti alla rete esterna del proxy non è sempre il nostro unico router? è l'unico punto di uscita....

se io attivo wireshark vedo le richieste http dei client autorizzati passare da isa verso il proxy esterno....solo che non riesco a bloccarle

azz che mistero

Ma il proxy come esce verso Internet? collegato diretto al router o è collegato a ISA?

>se io attivo wireshark vedo le richieste http dei client autorizzati passare da isa verso il proxy esterno
Ma se vai su ISA e analizzi i log vedi arrivare richieste HTTP dai clinet?

si le richieste http le vedo passare....e il proxy della ditta esterna è collegato direttamente ad internet....guarda..

questa è la configurazione tipica di un client con autorizzazione ad internet della mia lan.

Ip 192.168.1.100
subn 255.255.255.0
gateway  192.168.1.200 (ISA Internal)

dns  192.168.1.1

Impostazioni in INTERNET EXPLORER:
Usa Proxy per la connessione LAN:
10.10.5.100  porta 3180

Da questo deduco che tutto passa attraverso il mio ISA per arrivare al proxy della ditta esterna. Solo che se uso gli URL SET non riesco a bloccare le richieste HTTP dei client con il proxy per navigare.

Mentre chiaramente funziona tutto bene ai client senza proxy.

Grazie per l'interessamento!!!!

hai prova a bloccare ramite i Domain Name Set?

hai prova a bloccare tramite i Domain Name Set?

Provato questa mattina. Ho creato un'access rule con
DENY
ALL OUTGOING TRAFFIC
FROM INTERNAL
TO DOMAIN NAME SET -> SITI BLOCCATI
ALL USER

Niente....le richieste passano ugualmente attraverso il proxy.

Assicurati che la Rule sia relativa al protocollo corretto e che prima di questa rule non vi sia qualche altra rule che consente il traffico, le rule sono elaborate in sequenza
http://blogs.sysadmin.it/ermannog/a...erver.aspx

Ciao Ermannog...appena provato con regola di deny su HTTP verso domain name set, messa addirittura come prima regola....niente da fare....non so che dire

Come hai specificato i vari domini? attento al formalismi io di solito per ogni dominio specifico
*.dominio.ext
dominio.ext

http://blogs.msdn.com/b/alexhomer/a...-2006.aspx

Prova anche a bloccare tutto il traffico verso quei domini non solo HTTP

Ma dai log di ISA cosa vedi di preciso verso questi siti?

appena provato....niente....
in wireshark vedo proprio il pacchetto HTTP GET verso il sito esterno contenente il Proxy Authorization basic
indirizzato all'ip del proxy

e nei log di isa alla voce della connessione trovo

INITIATED CONNECTION 0x0 ERROR_SUCCESS e la pagina esterna si apre tranquillamente.

>in wireshark vedo proprio il pacchetto HTTP GET verso il sito esterno contenente il Proxy Authorization basic
indirizzato all'ip del proxy

>INITIATED CONNECTION 0x0 ERROR_SUCCESS
Io torno alla mia idea ovvero i pacchetti HTTP arrivano dal proxy e non da ISA, per controprova rimuovi il protocolli HTTP e HTTPS da quelli consentiti da ISA o stacca temporaneamente ISA dalla rete e verifica se il client naviga lo stesso

grazie ancora per l'aiuto..
ti confermo che staccando nessuno esce anche perchè il nostro
isa ha 2 schede di rete, una collegata alla lan e una al router.....