Home > Community, Forefront TMG, IT Pro, Microsoft, Networking, Security > Forefront TMG: blacklist configuration and web proxy errors customization

Forefront TMG: blacklist configuration and web proxy errors customization

Il momento di scrivere un nuovo post tecnico arriva necessariamente quando ci si rende conto che, in rete, la confusione sull’argomento è tanta e di risposte precise e dettagliate se ne trovano poche.

Come dice il titolo, mi sono imbattuto nell’esigenza  di configurare una blacklist di siti web e di personalizzare l’errore restituito dal proxy ai clients interni in modo da rendere evidente il motivo per cui il sito non è visibile.

Prima di provare questa configurazione in produzione ho voluto fare un test e ve lo racconto.

Seguendo questo articolo

http://blogs.technet.com/b/isablog/archive/2006/12/22/how-can-i-install-a-blacklist-in-isa-server.aspx

ho cominciato ad implementare la mia blacklist creando una nuova Web Access Policy (assumendo già esistente una policy che permetta la navigazione verso qualsiasi sito) che ho chiamato Domain name blacklist, che è ovviamente una policy di Deny e che ho messo al primo posto in ordine di priorità delle web access policies in modo da farla intercettare prima della policy di Permit.

La Web Access Policy in questione dev’essere ovviamente abilitata, dev’essere una policy di Deny, deve valere per i protocolli http e https (eventualmente anche per ftp), deve valere a partire dalla rete Internal, deve valere verso un Domain Name Set che io ho chiamato My domain name black list e che ho definito con due domini di test, deve valere per All Users (ma può essere limitata a determinati gruppi o utenti definiti), deve valere 24X24-7X7 (ma può essere schedulata diversamente) e non ho aggiunto null’altro sulle Tab Content Types e Malware Inspection.

Confermando tutto con un paio di OK e un paio di Apply compresi quelli del Tracker la nuova blacklist è implementata e da un qualsiasi client della rete si ottiene un risultato di questo genere

Non soddisfatto per come si presentava agli utenti finali l’errore del proxy ho trovato quest’altro articolo

http://technet.microsoft.com/en-us/library/ee914626

in cui si spiega come personalizzare l’errore fornito da TMG ma ho trovato in rete la documentazione di tante idee confuse, come quelle che riporto di seguito

http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/158f9c7d-30dd-4fc6-b4eb-0d4c4c679bc8

http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/6d49012f-9da3-4dc9-8eae-6836bb73dbfb

http://social.technet.microsoft.com/Forums/en-US/ForefrontedgePub/thread/319d3f48-df7b-42ab-9bb5-46b18e5e60dd ,

per cui ho deciso di mettere giù queste righe per fare chiarezza.

Come dice l’articolo, il primo passo è quello di andare a scegliere se si preferisce utilizzare le vecchie pagine degli errori disponibili prima di Forefront TMG SP2 oppure quelle nuove disponibili a partire dalla versione indicata.

Per fare questa scelta, nella console di Forefront TMG, si fa click destro sul nome del nostro server, si sceglie Proprietà, si va sulla Tab Error Pages

Le pagine degli errori restituite nella modalità antecedente a Forefront TMG SP2 si trovano sul server nel path

%programfiles%\Forefront Threat Management Gateway\ErrorHtmls

mentre le pagine degli errori restituite nella modalità Forefront TMG SP2 si trovano nel path

%programfiles%\Forefront Threat Management Gateway\Templates\WebObjectsTemplates\ISA

All’interno di ciascuna delle folders si trovano delle pagine html il cui nome file corrisponde al numero di errore restituito da TMG, nome che finisce con R quando viene restituito alla rete esterna di TMG (dove R sta per Reverse Proxy) mentre non ha la R finale quando viene restituito alla rete interna di TMG. Le pagine presenti corrispondono agli errori elencati in fondo a questa pagina http://technet.microsoft.com/en-us/library/ee914626 ma, come dice sempre l’articolo, è possibile crearne di nuovi partendo dal file default.htm

e salvandolo col nuovo nome di [numero_dell_errore].htm nella medesima cartella.

Io voglio utilizzare le pagine di errore della modalità Forefront TMG SP2 quindi vado nella cartella

%programfiles%\Forefront Threat Management Gateway\Templates\WebObjectsTemplates\ISA

apro in editing il file default.htm, modifico la dicitura “Network Access Message: The page cannot be displayed” in una più significativa “Network Access Message: L’accesso a questa pagina è VIETATO” ma, quando vado per salvare, mi accorgo che la pagina chiamata 502.htm esiste già

e come vedete riporta la descrizione dettagliata dell’errore Error Code 502: Bad gateway. There was an invalid response, errore che è diverso da quello ottenuto nel mio caso la cui descrizione dettagliata è Error Code: 502 Proxy Error. Forefront TMG denied the specified Uniform Resource Locator (URL). (12202).

La soluzione del mistero è che il vero numero di errore restituito da TMG è il 12202 e non il 502 quindi salvo il mio file html modificato col nome 12202.htm e, come ben precisato, per rendere efficaci le modifiche e per essere più realista del re riavvio il server TMG anche se è sufifciente riavviare il servizio Firewall.

A questo punto vado ad aprire un browser client mettendo nella address bar uno dei nomi di dominio messi in black list ed ottengo

Buon TMG a tutti e alla prossima🙂

  1. Non c'è ancora nessun commento.
  1. No trackbacks yet.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: