Toon posts:

[ISA 2000] ftp toegang blokkeren behalve specifieke adressen

Pagina: 1
Acties:

maandag 25 april 2005 14:18

Acties:
  • stefv
  • Registratie: Februari 2004
  • Laatst online: 18-04 23:06

stefv

Topicstarter
Ik werk op de ICT afdeling van een school. We hebben hier een ISA 2000 server draaien. Ik ben vrij nieuw op het gebied van ISA.

Nu willen we via de ISA al het ftp verkeer blokkeren behalve een aantal specifieke adressen. Deze adressen zijn van een aantal gebruikers die ftp nodig hebben. De rest moet geblokkeerd worden ivm misbruik want dit is al een aantal keer eerder voorgekomen. (ict leerlingen op de school)

Ik heb al het één en ander geprobeerd met 'destination sets' en 'sites and content rules'. Hier heb ik geprobeerd al het ftp blokker te blokkeren door 'ftp://*.*' etc. te deny'en. En vervolgens een specifiek ftp adres bij allow zetten.
Ik heb ook geprobeerd bij 'protocol rules' ftp helemaal te blokkeren en vervolgens een specifiek adres bij allow zetten bij 'destination sets' en 'sites and content rules' maar dit werkt ook niet.

Ik heb al wat gezocht, onder andere op GoT, isaserver.org en via google maar hier heb ik geen oplossing gevonden.

Iemand enig idee hoe ik dit moet doen?

Alvast bedankt!

maandag 25 april 2005 14:26

Acties:
  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 28-04 11:46

PcDealer

HP ftw \o/

In ISA 2004 kun je rules opstellen en hierin per protocol Allow of Deny instellen, ook per (groep van) IP adres(sen), enz.

Door alles eerst te Denien en dan specifiek een Allow te geven zou het moeten lukken.

LinkedIn WoT Cash Converter

maandag 25 april 2005 14:55

Acties:
  • speek1984
  • Registratie: Maart 2004
  • Laatst online: 05-09-2025

speek1984

broelie schreef op maandag 25 april 2005 @ 14:52:
je kan ook ff je baas naar me laten mailen, met de vacature waar jij voor aangenomen bent.
reageer dan niet..
In ISA 2004 kun je rules opstellen en hierin per protocol Allow of Deny instellen, ook per (groep van) IP adres(sen), enz.

Door alles eerst te Denien en dan specifiek een Allow te geven zou het moeten lukken.
En idd, zo zo het moeten lukken. Gewoon een access-list opstellen.

Suc6,

Speek

[ Voor 43% gewijzigd door speek1984 op 25-04-2005 14:58 ]

"It's about time you showed up Fox!"

maandag 25 april 2005 15:07

Acties:
  • TheZoo
  • Registratie: Maart 2004
  • Laatst online: 20-02 14:07

TheZoo

Animals Behind Bars

Speek1984 schreef op maandag 25 april 2005 @ 14:55:

En idd, zo zo het moeten lukken. Gewoon een access-list opstellen.

Suc6,

Speek
Idd, let er wel op dat rules niet direct in werking treden.
Bij sommige wijzigingen dien je de services te herstarten, en ik heb ook al meegemaakt dat een reboot nodig was, om de gewijzigde instelling effectief te krijgen.

We may be humans, but we are still animals.
We are immortal for a limited time.

maandag 25 april 2005 15:21

Acties:
  • stefv
  • Registratie: Februari 2004
  • Laatst online: 18-04 23:06

stefv

Topicstarter
Ik ben trouwens stagiar ;), had ik niet goed vermeld.
PcDealer schreef op maandag 25 april 2005 @ 14:26:
In ISA 2004 kun je rules opstellen en hierin per protocol Allow of Deny instellen, ook per (groep van) IP adres(sen), enz.

Door alles eerst te Denien en dan specifiek een Allow te geven zou het moeten lukken.
Op die manier dacht ik ook dat het zou moeten lukken. Alleen lukt dit bij ISA 2000 dus niet. Ik zal eens kijken wat de mogelijkheden hier zijn over te stappen naar ISA 2004.

woensdag 27 april 2005 09:11

Acties:
  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 28-04 11:46

PcDealer

HP ftw \o/

stefv schreef op maandag 25 april 2005 @ 15:21:
Ik ben trouwens stagiar ;), had ik niet goed vermeld.


[...]


Op die manier dacht ik ook dat het zou moeten lukken. Alleen lukt dit bij ISA 2000 dus niet. Ik zal eens kijken wat de mogelijkheden hier zijn over te stappen naar ISA 2004.
Dus omdat je niet weet hoe een pakket werkt, pak je de opvolger? Over geld verspillen gesproken enzo. Weet niemand bij jullie hoe dat werkt?

[ Voor 6% gewijzigd door PcDealer op 27-04-2005 09:12 ]

LinkedIn WoT Cash Converter

donderdag 28 april 2005 13:15

Acties:
  • stefv
  • Registratie: Februari 2004
  • Laatst online: 18-04 23:06

stefv

Topicstarter
PcDealer schreef op woensdag 27 april 2005 @ 09:11:
[...]

Dus omdat je niet weet hoe een pakket werkt, pak je de opvolger? Over geld verspillen gesproken enzo. Weet niemand bij jullie hoe dat werkt?
Nee, hier op de afdeling weet ook niemand het.

Ik heb alleen gezegt dat ik ga kijken wat de mogelijkheden zijn, niet dat we er meteen op over wil stappen. Mocht het te duur zijn om over te stappen zullen we naar een andere oplossing gaan zoeken.

donderdag 28 april 2005 13:38

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 09:12

Koffie

Koffiebierbrouwer

Braaimeneer

De eerst volgende die nu nog loopt te zeiken over de kennis van de topicstarter of al dan niet open staan van deze functie, kan een OW verwachten :(

Tijd voor een nieuwe sig..

donderdag 28 april 2005 13:54

Acties:
  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 28-04 11:46

PcDealer

HP ftw \o/

Koffie schreef op donderdag 28 april 2005 @ 13:38:
De eerst volgende die nu nog loopt te zeiken over de kennis van de topicstarter of al dan niet open staan van deze functie, kan een OW verwachten :(
Vriendelijk alternatief voor boze opmerking:
Wil men niet meer topicreports inzenden over [...] ? Bij voorbaad dank.
Voor de TS: zoeken op Microsoft.com naar "isa 2000 ftp"
http://www.microsoft.com/...sadocs/cmt_ftpfilter.mspx

Check de "How to".

LinkedIn WoT Cash Converter

donderdag 28 april 2005 15:20

Acties:
  • Muppet
  • Registratie: Maart 2001
  • Laatst online: 10-09-2024

Muppet

GT: Beestig

stefv schreef op donderdag 28 april 2005 @ 13:15:
[...]


Nee, hier op de afdeling weet ook niemand het.

Ik heb alleen gezegt dat ik ga kijken wat de mogelijkheden zijn, niet dat we er meteen op over wil stappen. Mocht het te duur zijn om over te stappen zullen we naar een andere oplossing gaan zoeken.
Het kan wel en het beste denk ik dat je het moet doen met destinations sets.

Zoiezo zou ik aanraden zo min mogelijk met deny te werken.
Maar ik zou iets meer moeten weten over hoe isa is ingericht om te kunnen zeggen "zo moet het"

Want iedereen kan nu wel dingen gaan roepen maar misschien hebben jullie weer iets ingesteld wat dat ongedaan maakt!

There is no art to find the minds construction in the face

donderdag 28 april 2005 15:42

Acties:
  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 28-04 11:46

PcDealer

HP ftw \o/

Muppet schreef op donderdag 28 april 2005 @ 15:20:
[...]


Het kan wel en het beste denk ik dat je het moet doen met destinations sets.

Zoiezo zou ik aanraden zo min mogelijk met deny te werken.
Maar ik zou iets meer moeten weten over hoe isa is ingericht om te kunnen zeggen "zo moet het"

Want iedereen kan nu wel dingen gaan roepen maar misschien hebben jullie weer iets ingesteld wat dat ongedaan maakt!
Als ik het goed heb maakt de volgorde van de rules bij ISA 2000 niets uit, bij 2004 wel.

LinkedIn WoT Cash Converter

vrijdag 29 april 2005 09:33

Acties:
  • Muppet
  • Registratie: Maart 2001
  • Laatst online: 10-09-2024

Muppet

GT: Beestig

PcDealer schreef op donderdag 28 april 2005 @ 15:42:
[...]

Als ik het goed heb maakt de volgorde van de rules bij ISA 2000 niets uit, bij 2004 wel.
Deny rules gaan voor alles dus er zit wel een kleine volgorde in :P

There is no art to find the minds construction in the face

zondag 1 mei 2005 15:51

Acties:
  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 28-04 11:46

PcDealer

HP ftw \o/

Heeft de TS al de How-to gelezen en vooruitgang geboekt?

LinkedIn WoT Cash Converter

zondag 1 mei 2005 20:06

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Één en ander valt uiteraard met de config van je netwerk zelf he.. dhcp reservations of aparte subscopes voor de desbetreffende adressen/ PCs lijkt me wel zo handig om mee te werken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1
Reageer