configuración básica de isa server 2004

10/01/2005 - 13:45 por JPF | Informe spam
Hola amigos quisiera preguntarles algo:
Tengo un aula basado en 15 equipos con xp prof y un servidor 2000. Dicho
servidor (que es el único), es controlador de dominio y tiene instalado el
Isa server 2004.
En el servidor sólo hay una tarjeta de red.
Todos lo Pc´s incluidos el servidor tienen Internet por medio de una línea
ADSL.
Lo que pretendo es poder impedir que los Pc´s del aula salgan a Internet
cuando el profesor lo crea oportuno sin que de este modo tambien se le
impida al servidor (el Pc del profesor).
Todo ello necesito que sea de la manera más fácil ya que el profesor carece
de conocimientos del Isa.
No necesito ningún otro tipo de configuración.
Alguna sugerencia????
 

Leer las respuestas

#1 Ivan [MS MVP]
10/01/2005 - 14:48 | Informe spam
Lo ideal seria añadir otra tarjeta de red al ISA para conseguir esto:
Internet<-->RouterADSL<-->ISA<-->Red Interna

Si solo utilizas una tarjeta de red en el ISA, unicamente puedes controlar
el uso de protocolos web: HTTP, HTTPS y FTP sobre HTTP y siempre y cuando
los navegadores de los clientes esten configurados para usar proxy. Si
necesitan usar otros protocolos, los clientes deben enviar las peticiones al
router ADSL, con lo cual, no tienes ningun control. Ademas, en el caso de
protocolos web, tendrias que impedir que los usuarios modificasen la
configuracion del IE u otro navagador y no utilizarian proxy.

Suponiendo que vas a agregar otra tarheta de red al servidor, mirate esta
guia:
http://download.microsoft.com/downl...1%2003.doc
Como se trata de un DC, la configuracion DNS es critica. En la guia te
indica que configures ambos interfaces de red con la IP interna del ISA y
configures los reenviadores a los DNS del ISP en el servicio DNS.
Otro tema importante al tratarse de un DC, es que los cleintes internos
necesitan acceder a el para realizar numerosas funciones. Como ISA 2004
aplica filtrado en todos los inetrfaces, este trafico seria denegado y tu
red dejaria de funcionar. Para solucioner esto, puedes hacerlo de dos
formas:
1-Simplemente permitir en una regla de acceso todo el trafico en saliente
desde la red interna a localhost a todos los usuarios.
2-Permitir unicamente los protocolos necesarios. Pra empezar los que indica
este articulo:
http://www.isaserver.org/articles/2...omain.html
Por supuesto, si el ISA ofrece otros servicios: IIS, SQL, etc, tambien debes
permitirlo con reglas de acceso.
Para el entorno que nos comentas, quizas lo mas sencillo es hacer lo que te
indico en el punto 1.

Para las reglas de acceso, como no se que tipo de trafico quieres
permitir vamos a suponer que simplemente quieres permitir todo y denegar
todo en un determinado momento. Crea una regla de acceso que pemrite todo el
trafico en saliente desde la red interna hacia la red externa a todos los
usuarios. Con esto, en la MMC de ISA veras que solo hay dos reglas, esta que
has creado en primer lugar y la regla por defecto que deniega todo. Cuando
no quieras permitir el acceso a internet, simplemnete deshabilitas la regla
y clic sobre apply. Esto tienen un pequeño problema, las conexiones
establecidas no se verian afectadas por este cambio y algunas aplicaciones
podrian seguir funcionado o hacerlo con una funcionalidad limitada. Para
evitar esto, dos opciones:
1-Reinicias el servicio firewall
2-Desde la MMC de ISA, Monitoring, Sessions, seleccionas todas las sesiones,
clic derecho, desconectar.

Para ISA 2000 hay disponible un script que desconecta todas las sesiones,
pero, aunque en algun post he visto comentar que funciona en ISA 2004, mi
experiencia me dice que no es asi

Un saludo.
Ivan
MS MVP ISA Server


"JPF" escribió en el mensaje
news:%
Hola amigos quisiera preguntarles algo:
Tengo un aula basado en 15 equipos con xp prof y un servidor 2000. Dicho
servidor (que es el único), es controlador de dominio y tiene instalado el
Isa server 2004.
En el servidor sólo hay una tarjeta de red.
Todos lo Pc´s incluidos el servidor tienen Internet por medio de una línea
ADSL.
Lo que pretendo es poder impedir que los Pc´s del aula salgan a Internet
cuando el profesor lo crea oportuno sin que de este modo tambien se le
impida al servidor (el Pc del profesor).
Todo ello necesito que sea de la manera más fácil ya que el profesor
carece de conocimientos del Isa.
No necesito ningún otro tipo de configuración.
Alguna sugerencia????

Preguntas similares