» Microsoft ISA Server 2006/2004/2000 (Часть II)

aik3

Цитата:

вероятно, можно заставить ISA выпускать наружу клиентов с активным режимом

вряд ли. пассивный режим фтп и был придуман для того чтобы клиенты сидящие за прокси нормально ходили по фтп.

MrKiT

Цитата:

вряд ли. пассивный режим фтп и был придуман для того чтобы клиенты сидящие за прокси нормально ходили по фтп.

а если и клиент, и сервер - за NAT'ом? а ведь хочется
скажем, iptables (который работает на машине с реальным IP) умеет заметить в трафике от заNATченой машины команду PORT и подменить в ней IP+port на свои и заделать port-mapping в обратную сторону автоматом. имхо и WinRoute так может, но здесь уже не уверен.

aik3
согласен на все сто. в частности, если бы не мои специфические требования сетевые то я уже давно бы переселился бы на допустим тот же freebsd + squid.

askaev
так что, помогла птица пассивного режима ? иль нет?

Люди добрые...
скажите, ISA умеет трафик по юзверам считать?Типа там нажал на такого, открылся список куда и когда он ходил...если умеет то скажите где посмотреть...а если нет, то скажите что за прога нуна для полной статистики?
Заранее благодарен...

Стоит ISA2006 при доступе с компа ИСЫ на FTP не пускает, вот логи:
SRV    2006-10-30    07:26:05    TCP    192.168.10.10:27776    216.143.70.11:21    192.168.10.10    Локальный компьютер    Внешняя    Denied    0x800733f5    Веб    FTP    0    0    0    0    -    -    -    -    5546    17529
SRV    2006-10-30    07:26:10    TCP    192.168.10.10:27776    216.143.70.11:21    192.168.10.10    Локальный компьютер    Внешняя    Denied    0x800733f5    Веб    FTP    0    0    0    0    -    -    -    -    5546    17530
Правило ВЕБ:
Разрешить -> ftp;http;https -> ВПН клиенты, Внутренняя, Локальный комп -> Внешняя -> Все прошедшие проверку

В условиях пробовал ставить "Все пользователи" - не помогло.

Пардон, разобрался, поставил "Все пользователи" и перестартовал сервисы, вроде заработало.
Однако осталось небольшая проблема, нужно сделать правило для хостов " ftp://ftp.nai.com/* и http://nai.com/* " доступ с локальной машины(на которой ИСА стоит) для всех пользователей. (Это для обновления антивирусника). Прописал эти хосты в "Набор УРЛ адресов" и в "Набор доменных имет" сделал правило Такое же как ВЕБ только назначение поставил "Набор УРЛ адресов и Набор доменных имет" - Для всех пользователей, не хочет. по FTP коннектиться. В каком моменте я ошибся.

Yrik123
Proxy Inspector, IAM. с рождения считать трафик ИСА не умеет.

AlexRNeos

Цитата:

доступ с локальной машины(на которой ИСА стоит) для всех пользователей

доступ на вышеозначенные хосты для ИСЫ или пользователей ?

Цитата:

Люди добрые...
скажите, ISA умеет трафик по юзверам считать?Типа там нажал на такого, открылся список куда и когда он ходил...если умеет то скажите где посмотреть...а если нет, то скажите что за прога нуна для полной статистики?

У меня в свое время стояла иса 2000 с заводом логов firewalllog и webproxylog в sql2k. Отчеты и обработку логов делал с помощью батчей и вью в сиквеле, выводил через отчеты, забацанные в кристал репортс. В принципе этого всем и желаю, можно получать именно те данные, которые вам необходимы. Обьем логов (использовал не все поля) за день составлял около 600 мег обработанные данные занимали 5-15 мегабайт за день в сиквеле. Не пользуйтесь готовым, думайте

askaev

Цитата:

Помница в иса2004 были "проблемы" другого плана - на фтп пускало,но закачивать ничего нельзя был. "лечилось" убиранием птички "read only" в св-вах фтп. А тут даже никаких св-в у фтп и нету-то... О как... куда-то вс поубирали...а весить дистриб стал в 3 раза больше

К продуктам MS много справедливых нареканий, но передергивать-то не надо. "Птичка read-only" на своем обычном месте.

Цитата:

Тип события:    Предупреждение
Источник события:    Microsoft ISA Server Web Proxy
Категория события:    Отсутствует
Код события:    14141
Дата:        10/30/2006
Время:        11:12:43 PM
Пользователь:        Н/Д
Компьютер:    DEIMOS
Описание:
ISA Server detected a proxy chain loop. There is a problem with the configuration of the ISA Server routing policy.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

MS Isa Sterver 2004 Enterprise sp2

подскажите что делать с этим ругательством?

STAKAN
что-то подобное видел на IXBT в ветке про ИСу. пользую WebSpy - доволен как слон, удобно, насчет быстро - конечно немного тормознуто, но зато выдергивате все нужные данные по полям отмеченным в сетапе логов. ИСА2004сп2.

demondeimos
у тя случаем в "Internal Properties -> Web Browser / Alternative ISA Server" ничего не прописано ?

Товарищи - прошу извинить если это уже обсуждалось ...волнует вот какой вопрос... мне совсем не нравится постоянная активность SQL сервера на машине с исой ...примерно каждые 8-10 секунд sqlservr.exe активизируется и шебуршит диском... как бы отключить это действие ...ну или хотя бы увеличить интервал между шебуршанием ? спасибо.

Подскажите пожалуйста, а может ли ISA 2004 ограничить входящий внешний трафик для определенных пользователей или групп?? Цель - ограничить количество интернет трафика в сутки для сотрудников.

Добавлено:

Цитата:

Люди добрые...
скажите, ISA умеет трафик по юзверам считать?Типа там нажал на такого, открылся список куда и когда он ходил...если умеет то скажите где посмотреть...а если нет, то скажите что за прога нуна для полной статистики?
Заранее благодарен..

Собираю логи из ISA с помощью GFI WebMonitor. Достаточно информативно + Web интерфейс, так что могу с любой машины смотреть.

iknow
если шебуршит - значит работает. что у тебя использует MS SQL ? возможно ИСА пишет логи в базу ?

Tsahez

Цитата:

может ли ISA 2004 ограничить входящий внешний трафик для определенных пользователей или групп?

не может. для этого используются сторонние программы.
простите а где в вебмониторе можно читать логи ?? он же с рождения только для мониторинга предназначен.

Цитата:

Цитата:
может ли ISA 2004 ограничить входящий внешний трафик для определенных пользователей или групп?

не может. для этого используются сторонние программы.

А не подскажешь чего-нибудь? У меня домен на Win2k3, желательно чтобы с ISA ужилось.

Tsahez
http://forum.ru-board.com/topic.cgi?forum=35&topic=17089#1 - TrafficQuota
http://forum.ru-board.com/topic.cgi?forum=35&topic=28555#1 - Bandwidth Splitter

MrKiT

подскажи а эту функцию (писание логов) можно отключить? ...мне они не нужны а вот постоянное шебуршание диска достало....

---------------------
Все уже спасибо - сам нашол.

Привет народ. Тестирую ISA2006EE До сих пор производил настройки проки на браузере клиента через виндовые политики- все получалось. Пробую добится того же через скрипт автонастройки, который по умолчанию в исе. Но у клиентских IE при этом всегда прописывается "один прокси сервер для всех протоколов".
А мне нужно чтобы прописалось HTTP: PROXY 8080 ; Secure: PROXY 8443 и т.д.
Естественно настройка внутренней сети в исе для использования 8443 произведена (сертификаты, галочки..).

Вот я полагал что скипт после настройки на сервере использования 8443 должен измениться автоматом, а не меняется. Неужели надо будет самому ковырятся, и переписывать скрипт?
Кто как делает? поделитесь плиз...

система: win2003 isa 2000
проблема:
есть программа, которой нужен прямой доступ в интернет для совершения некоторых операций по определенному айпи адресу. но все компьютеры у нас в разных доменах, и сидят в интернете через прокси сервер.
задача: сделать для определенных компьютеров доступ на этот айпи адрес

если можно то поподробней что и как

freedom83

Нужно сделать правило, которое будет "перекидывать" запросы на необходимый порт от определённых внутренних ip во внешний мир к требуемому ip адресу с "правильным" портом.

angelweb
как?

freedom83
firewall client не пробовал ставить ? у меня хоть и не в другом домене, но в бухгалтерии используется Клиент-Банк не умеющий с прокси работать, через клиента нормально работает в интернете.

по подробней что к чему

freedom83
Firewall Client - клиентская программа для работы в интернете приложений которые не умеют работать в Сети через прокси. т.е. осуществляется так называемое прозрачное проксирование. Входит в дистрибутив ИСЫ и устанавливается вместе с ней.

а Существует ли антивирус для ИСЫ 2004 который бы тихо сканил и не давал скачать вирусню ли просто тихо блокировал вирусы для sNat клиентов?
ДЛЯ Web proxy клиентов полно антивирусов тотже макака тот же GFI? также Trend есть тоже

VerbatimTDK
Я не спец, но разве макака не сканит просто шлюз?

У меня такой вопрос, что то не пойму, поставил ИСУ2006 - при установке она у меня спросила IP моей локальной сети, я ей указал. Но вот никак не догоню, при вводе машины в домен начинает матюкаться что блокирован то один то другой запрос (из интернал к локал хост) Иса стоит на КД.
Просто если она все это блокирует и нужно ручками потом правила дописывать для любого протокола, то нафига она спрашивает что является интернал а что экстернал?

Народ а на висту кому-то клиент от 2006 исы установить удалось?

Вопрос следующего характера. Решил порпобовать русскую ISA 2006. Поставил, применил шаблон. Разрешил всё. После чего работают все сервисы (пробовал около 20 разных приложений протоколов), пинги тоже, но http ни в какую.
Перекопал всё что увидел, переставлял машину. Тоже самое. Уже просто интересно что может быть

неа не сканит вроде. хочу точно узнать какой сканит тччно

AlexRNeos
сначала нужно вводить машину в домен, а потом ставить ИСУ.

djkey
логи в студию.

Цитата:

AlexRNeos
сначала нужно вводить машину в домен, а потом ставить ИСУ.

не обязательно. надо просто разрешить любой трафик от DC к машине с ИСАй и обратно.
а про внутренний и внешний интерфейсы она спрашивает для того чтобы нормально переадресацию настроить, т.е. откуда принимать и куда отдавать.
ИСА по умолчанию для внутренней сети открывает только 8080, 80 и почтовые порты. остальное ручками.

Добавлено:

Цитата:

demondeimos
у тя случаем в "Internal Properties -> Web Browser / Alternative ISA Server" ничего не прописано ?

неа. ничего.

Добавлено:
оффтоп: прочитал большую часть коментов про секс с 2006 напомнило как народ переходил на 2004 с 2000. Сначала было столько радости от выхода новой версии. а потом пока sp не вышел стока матов. ) имхо дежавю.