ISA Server – blokowanie wybranych portów

Share this post

W jaki sposób można zablokować użytkownikom w sieci lokalnej dostępu np. do pobierania plików poprzez torrenty, ftp, lub ściągania maili za pomocą programów pocztowych. Takie pytanie zadaje sobie wielu administratorów szkolnych pracowni komputerowych. W tym przykładzie zademonstruję blokowanie portów na przykładzie programu pocztowego.

Na początku otwieramy dowolny program pocztowy, konfigurujemy go i pobieramy pocztę na dysk.

Rysunek 1. Pobieranie poczty.
Rysunek 1. Pobieranie poczty.

Jak widać na powyższym screenie, program rozpoczął pobieranie maili. My w tym przykładzie uniemożliwimy ściąganie poczty poprzez zablokowanie ruchu na porcie 110 (POP3).Otwieramy ISA Server Management i klikamy na zakładkę Firewall Policy/ Prawoklikiem rozwijamy menu kontekstowego i wybieramy nowy -> Access Rule.

Rysunek 2. Definiowanie nowej roli.
Rysunek 2. Definiowanie nowej roli.

Zostajemy powitani przez kreator tworzenia nowej reguły, w którym nadamy jej dowolną nazwę.

Rysunek 3. Definiowanie nazwy dla nowej Reguły.
Rysunek 3. Definiowanie nazwy dla nowej Reguły.

Klikamy next i definiujemy rodzaj działania naszej reguły. Mamy możliwość wyboru dwóch działań:

Allow – reguła zezwalająca na ruch;
Deny – reguła zabraniająca danego ruchu;

W naszym przypadku zaznaczamy Deny, gdyż chcemy zablokować ruch do wybranego portu.

Rysunek 4. Sposób działania funkcji.
Rysunek 4. Sposób działania funkcji.

Reguła ma blokować ruch tylko po porcie 110 (POP3) więc Wybieramy Selected protocols i klikamy Add.

Rysunek 5. Wybór protokołu.
Rysunek 5. Wybór protokołu.

W oknie Add Protocols rozwijamy zakładkę Mail, zaznaczamy protokół POP3 i klikamy Add.

Rysunek 6. Wybór protokołu.
Rysunek 6. Wybór protokołu.

W oknie kreatora widzimy, że port POP3 został poprawnie dodany. Klikamy przycisk Dalej.

Rysunek 7. Dodawanie protokołu.
Rysunek 7. Dodawanie protokołu.

Kolejny krok to inicjowanie sieci źródłowej, w której ruch do określonego portu zostanie zablokowany. Poprzez kliknięcie Add dodajemy Internal, gdyż blokujemy ruch po porcie 110 w sieci lokalnej.

Rysunek 8. Wybór sieci.
Rysunek 8. Wybór sieci.

Za pomocą przycisku Add dodajemy miejsce, do którego wychodzą wszystkie zapytania z sieci lokalnej czyli External (na zewnątrz).

Rysunek 9. Miejsce przeznaczenia zapytania.
Rysunek 9. Miejsce przeznaczenia zapytania.

Określamy użytkowników, których reguła ma dotyczyć. Mamy tu do wyboru:

„All authenticated users” – wszyscy użytkownicy potrafiący się uwierzytelnić;
„All users” – wszyscy użytkownicy;
„System and Network Service” – konta usług systemowych serwera ISA;

Brak możliwości odbierania maili przez program pocztowy ma dotyczyć wszystkich użytkowników sieci lokalnej więc wybieramy All Users i klikamy Dalej.

Rysunek 10. Wybór użytkowników.
Rysunek 10. Wybór użytkowników.

Przeszliśmy już przez cały etap tworzenia reguły, o czym informuje Nas kreator podsumowującego cały proces jej tworzenia. Jeśli wszystko się zgadza klikamy Zakończ.

Rysunek 11. Koniec procesu tworzenia reguły.
Rysunek 11. Koniec procesu tworzenia reguły.

Nasza reguła jest już dostępna i w zasadzie to by było na tyle. Teraz by nowa reguła zaczęła działać w naszej sieci lokalnej trzeba ją włączyć poprzez wciśnięcie Apply.

Rysunek 12. Uruchamianie reguły.
Rysunek 12. Uruchamianie reguły.

Nastąpi wdrażanie nowej konfiguracji.

Rysunek 13. Wdrożenie nowej konfiguracji przebiegło pozytywnie.
Rysunek 13. Wdrożenie nowej konfiguracji przebiegło pozytywnie.

Pozostało wykonanie testu poprzez ponowny odbiór mail za pomocą programu pocztowego.

Rysunek 14. Ruch na porcie POP3 został zablokowany.
Rysunek 14. Ruch na porcie POP3 został zablokowany.

W ten sposób można zablokować ruch po każdym porcie. Musimy tylko wiedzieć na jakim porcie działa dana usługa.

Podobne wpisy

Instalacja Active Directory w Windows Server 2003