今天收到领导一个需求,指示要求控制某部门外网,只能使用邮箱,不能上外网。该部门常用pop3收发邮件,现驻地是分部,属于工作组模式,邮件服务器在总部,用的是exchange2003.该部分还要使用***访问总部的oa。***的功能也不能断。

分部使用的是isa2004。做了一条isa规则,阻止除了pop3以外的其他所有协议。因为地址分布不均,一个一个跳着,只能使用计算机集。规则生效后,测试,不成功。

琢磨了一下,发现该阻止规则在允许上网后面,因为允许上网规则中包括阻止的ip地址。所以组织就没生效。后来将组织规则提前了,规则大约过了半分钟,就生效了。

该部门还要用*** ,但把允许***协议加入到排除阻止规则中,那该部们使用*** 就可以上外网了,因为总部所做***访问规则中是可以由***客户端访问外网的,如果改掉总部的规则,会影响其他在外网上网的***客户端。后来。琢磨了一下,将该部门的***客户端使用默认网关勾勾掉,使该部门使用***时,网关还是用分部的网关,不影响访问oa,但会依然上不了网。幸好机子不多,多的话,还是更改总部***比较划算

 

当时测试成功。后续,限制的客户端出现无法收发邮件问题,提示找不到邮件服务器。查,分部使用的是外网的dns。限制了网络连接,无法从外网dns解析总部邮件服务器的域名,故无法上网。

解决办法,直接在outlook客户端上,域名位置,换成ip地址,即可。