» Microsoft ISA Server 2006/2004/2000 (Часть II)

http://www.trendmicro.com/en/products/gateway/iswp-isa/evaluate/overview.htm

InterScan WebProtect for ISA - антивирь для исы от TrendMicro

народ, если кто пользовал, или будет пользовать отпишитесь плизз

Iv Michael
релиз WebProtect for Microsoft ISA 2004 пока не вышел (ждем, вроде должен скоро выйти) - он на стадии бета тестирования. Пока он существует для ISA 2000.

промахнулся топиком, извиняйте

кто как мониторит ftp коннекты в Исе?

MrKiT
Только логи просматриваю. А что имеется ввиду под словом "мониторит"? Содержимое мона и по-другому заблочить.

У меня два сетевых адаптера смотрящих в интернет, нужно разделить доступ к мнтернету через эти два адптера, но в ИСЕ не понятно как этосделать чтобы допустим пол офиса через один адаптер идут, а еще пол офиса через другой, это как вообще реально? Я вообще не пойму как это сделать, так как в ИСА все через гребанные IP адреса!!! Ту нельзя как в Керио по адаптерам разделить траффик Помогите!!!

kaskad
я имею ввиду полноценый мониторинг, то как GFI WebMonitor, но только для FTP.

IceFusion
выход: создать две External-сети, разбить юзеров на группы, и поставить (TO) одной группе через первый адаптер выход, другим через второй. Опять же не проверял, мысля навскидку, и работать скорее всего будет при наличии у этих двух сетевух внешних IP.

Не правильно две Экстернал сети будут иметь одинаковые диапазоны адресов и для ИСЫ я так понимаю между ними разницы не будет..... или я чего-то не допонял!!! Короче иса не на карты сетеввые смотрит а на ИП адреса сетей созданных в исе и ей пофиг на название.... сделаю две сети с одинакоавыми диапазонами адресов названия будут разными или даже скорее иса не даст создать две сети с одинаковыми диапазонами адресов... а даже если создам то для исы между ними разницы не будет никакой!

IceFusion
я что-то не понял, если у тебя две сетевухи смотрит в Инет, сколько у тебя провов? или если две сетевухи смотрят на одного прова, то зачем тебе две сетевухи? или один пров но с разными ИП? все равно не пойму.

как две External-сети будут иметь разные диапазоны адресов, если ИСА тебе предоставляет выбор какой Ethernet-адаптер к какой сети привязать? только если одинаковые адреса у адаптеров.

У нас два провайдера, так надо! Я думал что иса не привязывает сети к Адаптерам!

IceFusion
да, она привязывает адаптеры к своим созданным сетям. адресное пространство у твоих провов разное? и как прописаны внешние ИП этих провов, на самих адаптерах, смотрящих в Инет или как-то по-другому?

Они разные и прописаны на самих адаптерах!

IceFusion
вот и попробуй предложенный мною способ. интересно узнать, будет работать или нет. а вообще ИСА "с рождения" не умеет разграничивать трафик по адаптерам. может в 2006 версии и будет, хотя сильно в этом сомневаюсь.

Я же говорил что не получается..... он не дает создать две Экстернал сетки.... так как в них одинаковые диапазоны адресов!

Добавлено:
А как в таком случае траффик на определенный ИП адрес отделить и пустить его через второй сетевой адаптер?

IceFusion
у меня все прекрасно создается.
я ж написал, создай две группы, туда запихни всех нужных юзеров и попробуй в правилах во вкладку TO разные сети созданные пропиши.

Он у меня две Внешние сети не создает, первую я создаю, потом при попытке создать вторую сетку указываю второй сетевой адаптер все вроде ничего, но когда нажимаю далее он говорит что ИП адреса используемые в этой сети уже используются в другой и указывает на первую Экстернал которую я создал и нельзя это проигнорировать он не дает так далее пойти.... вот и все что происходит!

Добавлено:
Там вообще нельзя две одинаковые сети создать.... ты наверное какие то другие сети создал!

Добавлено:
Ну и куда ты пропал MrKiT

IceFusion
работаю как проверю твою ситуевину, отвечу. очень уж интересный вопрос ты задал.

Добавлено:
в общем так. не знаю как ты создаешь вторую External-сеть, но у меня она превосходно создается. и назначается ей ИП-пространство той сетевухи которую я захочу, ессесно она не должна быть в другой сетке. я воткнул вторую сетевуху, воткнул её в свободный порт на свитче подкинутом. проверить ситуацию со вторым провом не могу чисто физически, потому как пров один так что копай где ты промахнулся.

Какой блин другой сетке у меня две сетевухи, есть Экстернал по умолчанию, я создаю ЭкстерналЦМТ с адресами сетевого адаптера ИнтернетЦМТ потом создаю Сеть ЭкстерналАРТКОМС с адресами сетевого адаптера ИнтренетАРТКОМС.... но она уже не создается так как в первой котоорая ЭкстерналЦМТ уже есть все ИП адреса, весь диапазон кроме внутренних.... ты меня не понимаешь наверное, того что я говорю!

А кто может помешать сделать так:
ЭкстерналЦМТ: 192.168.1.1 - 192.168.1.10
ЭкстерналАРТКОМС: 192.168.1.11 - 192.168.1.20

то есть не указывать сетевой адаптер, а указать конкретные IP или диапазоны IP.
Может и не получится - так на вскидку сказал.

Добавлено:
только что создал 2 сети типа External:
1: 192.168.1.100 - 192.168.1.100
2: 192.168.1.200 - 192.168.1.200

ИСА нормально на это прореагировала. И в дальнейшем использовать их а не абстрактную External из ИСЫ

Блин вы что не понимаете то???? Создал ты эту Экстернал, а она у тя не Экстернал получилась а Интернал, Экстернал это весь диапазон от 0.0.0.1 - 255.255.255.255(это я загнул) исключая 10.x.x.x 127.x.x.x 192.168.x.x и там еще какие-то зарезервированные для разных нужд!!! Две сетевухи в интернет пускают а не в другую сетку!!!! ВЫ как не поймёте то?

Добавлено:
В обеих сетевушках реальные IP адреса, как вы там создаёте экстернах если не понимаете о чем я говорю???

Добавлено:
И надо траффик двоих Юзеров пустить через одного провайдеоа, а всех остальных через другого, в этом есть проблема!

IceFusion
спокойнее.

тип создаваемой сетки указывается при создании оной. позволяется выбрать Internal, Perimeter Network, External. Выбираешь последнее. Затем делаешь как я говорил, либо же как SunStroke. и еще в Networks Rules должны быть прописаны отношения между вновь создаваемыми сетями и Internal.

Цитата:

только что создал 2 сети типа External:
1: 192.168.1.100 - 192.168.1.100
2: 192.168.1.200 - 192.168.1.200

ИСА нормально на это прореагировала. И в дальнейшем использовать их а не абстрактную External из ИСЫ

Еще бы не нормально прореагировать на это у тебя там ИП адреса з разных диапазонов! И ИСАВ не умеет привязывать кажется к интерфейсам ей пофиг вапще на сетевой адаптер она сама все сделает в лучшем виде(так считает Microsoft) но вот у Керио программе которая много дешевле тока вот клиента нету можно спокойно отделять траффик по интерфейсам!

Добавлено:
От того что я назову её Экстернал она не станет экстернал в том виде в котором она нужна мне что значит Экстернал с диапазоном адресов 192.168.1.100 - 192.168.1.100
Это вапще не Экстернал, вы мне объясните плиз что вы делаете, я не пойму никак! Для мня экстернал сеть это

Цитата:

диапазон от 0.0.0.1 - 255.255.255.255(это я загнул) исключая 10.x.x.x 127.x.x.x 192.168.x.x и там еще какие-то зарезервированные для разных нужд!!!

Как люди выйдут в инет во внешнюю Экстернал с диапазоном 192,168,1,100-192,168,1,200 если они запросят 94.128.10.222 ИСА отбросит это так как нет такого адреса не в одной сети....
А две сети типа:

Цитата:

диапазон от 0.0.0.1 - 255.255.255.255(это я загнул) исключая 10.x.x.x 127.x.x.x 192.168.x.x и там еще какие-то зарезервированные для разных нужд!!!

Создать не получается!

IceFusion

Цитата:

Еще бы не нормально прореагировать на это у тебя там ИП адреса з разных диапазонов!

а ты как хотел???

ИСА вполне нормально создает и юзает разные External-сетки, лишь бы адресные пространства были разные. И какой адаптер ты ей укажешь привязать к создаваемой External-сети, тот она и поставит. Ни больше не меньше.

Ты как вообще считаешь нахера я бы парился так??? Мне нужны две экстернал сети в которых весь диапазон ИП адресов, чтобы полноценно разделить доступ, чтобы не зависеть от диапазонов, как я могу отделаить полноценно интернет если в одной Экстернал будет половина адресов, в другой Экстеонал другая половина, как в таком случае я смогу половину оффиса пустить через одну сетевуху, а половину через другую!!!

IceFusion
а ты не парься и не нервничай я вообще-то тебе задавал вопрос, разные ли диапазоны адресов имеют твои сетевухи - ты ответил утвердительно. На основании этого я построил свои следующие ответы. Если у тебя два разных прова, то одинаковыми ИП ну никак не могут быть.

У тебя есть телефон? Я так не могу объяснить что я хочу Лана не парься, ты меня опять не понял... сетевухи разные, адреса на них тоже разные... а сетям этим экстерналовским какие адреса то задавать??? Т.е. какие диапазоны? я не пойму, этим экстернал сетям надо задать адреса сетевых адаптеров??? А чё толку тада?

Так. Давайте по шагам с самого начала.
Если что не правильно, так и говорите - я себя "гуру" не считаю, поэтому только предполагаю.

В наличие на компе с ИСОЙ:
сетевуха с IP 192.168.0.20 (из подсети Internal)
сетевуха с IP 192.168.1.33 (ADSL модем например, не входит в Internal)
сетевуха с IP 192.168.1.34 (выделенка например, не входит в Internal)

Делаем две доп. сети типа External с диапазоном адресов 192.168.1.33-192.168.1.33 и 192.168.1.34-192.168.1.34

Указываем в правилах:
1-му юзеру ходить из Internal на External1
2-му юзеру ходить из Internal на External2

Единственная потенциальная трудность - это проблемы с роутингом. А вообще если есть время можешь подождать до субботы - нам протянут 2 оптоволоконные линии от разных провов - вот тогда и попробуем этот вариант на рабочем сервере и на рабочей ИСЕ.

Блин в таком случае кажа к ИСЕ пойдет запрост к майл.ру с ип адресом 194.67.57.26 Иса скажет что такое соединение запрещено, так как такого ИП адреса нет в диапазоне моих Экстернал сетей... ребят я то ли вас не понимаю, то-ли вы не понимаете как ИСА работает.... Простите меня конечно.. но что нить по реальнее можно???

Добавлено:
У меня на компе с ИСОЙ сетевухи с адресами 192.168.1.254 (Внутренняя), 82.114.113.206 (Первая внешняя), 62.141.65.42 (Вторая внешняя) если создавать сети так как советуете вы, то получится что в этих сетях у нас только эти ИП адреса и все запросы клиентов на другие ИП адреса будут отбрасываться как запрещенные... Нужно сделать внутренний Адрес Интернал сеткой (ка маршрутизатор) и наверное потом в зависимости от того какой юзверь запросил интернет перенаправить его на другой шлюз уже 82.114.113.206 или 62,141.65.42, т.е надо настроить маршрутизацию между созданными мною сетями.... короче не понимаю я как это сделать, но так как предлагаете вы не получается вообще!

Помогите вырубить процесс sqlserv. Это я так понимаю MSDE (Isa instance). Висит в памяти и жрёт 200М оперативки. При том, ISA логируется в файлы w3c. Если остановить этот процесс вручную, то служба Microsoft Firewall тоже останавливается, ссылаясь на невозможность ведения лога. Можно ли как-то вырубить этот процесс или он реально используется для логирования?

Народ а что мне делать с моей исой??? Проблемка на пост выше!!!!