» Microsoft ISA Server 2006/2004/2000 (Часть III)

iogun
компы находящиеся в remote managment computers имеют доступ к исе даже когда все остановлено и все заблокировано.

rijk

Цитата:

я бы там осел на пару дней

только как быть с 500 юзеров? работу которых нельзя останавливать и на день
hardhearted
я не спорю с этим, вот только файервол в др. подсети и без службы RRAS он понятия не имеет в какую сетевуху отправлять пакеты для моей подсети, а она как раз останавливаетяся когда стопится ISA

iogun

Цитата:

без службы RRAS он понятия не имеет в какую сетевуху отправлять пакеты для моей подсети

а это где то у тебя криво настроено
чтобы слать пакеты согласно таблице роутинга rras не нужен

Цитата:

Цитата:Angoim
проверь через nslookup куда резолвиться это имя сервака


Проблема пропала после того как я запостил этот пост. Поэтому пинговать он стал нормально nslookup уже не определишь куда он там идет. Что и плохо.... Как же теперь определить как было сделано сие чудо?

Ну так что, есть идеи?

Angoim

Цитата:

Ну так что, есть идеи?

проблема же решилась, какие тебе еще идеи нужны?
выяснить что это было можно тока по логам (исы, днс винды может еще чего нить)
этот как древнюю историю восстанавливают тока по летописям, записям книгам и т.д.

колеги! прошу помощи!!!
решили поставить у себя прокси ISA2006... нужен совет в настройке.
дело вот в чем:
сейчас все юзера получают инет через корпоративный прокси из другого региона. нам нужно поставить свой прокси, к которому будут подключаться наши юзера, а наш прокси будет брать инет с корпоративного.
как мне правильно настроить ISA2006 для этих целей?
для наглядности ща попытаюсь обрисовать что у нас есть, и что нужно.
есть:
юзер-----корп. прокси

нужно
юзер-----ИСА2006----корп. прокси

north_crow
хелп, ключевые слова web chaining

Стоит ISA 2006 в однокарточном режиме. Из сети всё работает OK, а вот с него самого запросы IE не кешируются (и скорость соответствующая). Где и как это включается?

monastyrski
попробуй включить web proxy на localhost
ну и конечно же прокси прописать в браузере

Ни разу не помогает. Доступ c localhost в инет есть как при включенном, так и при выключенном web proxy для сети localhost - если прописано правило доступа. Но скорость его такая же, как у остальных машин при выключеном кеше - и никакое (приходящее мне в голову) правило кеширования на неё не влияет.

Просто прописать в IE прокси сервер, но не в коем случае не localhost:8080, это глюк IE, он тогда идет напрямую, прописывай ip:8080

Дык прописал! Прямого хода в инет у машины нет - только через другой прокси, открытый только для IP, на котором стоит ISA и прописанный в ISA в Web Chaining. Прописываю в IE этот внешний прокси - всё OK. Но мне хочется, чтобы весь трафик, идущий на этот внешний прокси, учитывался в ISA. И вот когда я прописываю ISA в локальном IE - хоть по IP, хоть по имени, хоть через automatic configuration script - он, вроде бы, работает, но скорость - как при выключенном кеше. При этом (при включённом кеше) скорость работы через этот ISA у других машин сети нормальная.
Очень похоже на то, что я недокурил что-то по правилам кеширования. Но что?

monastyrski
интересно, а почему ты думаешь что это кэш виноват? )
залезь в логи и проверь кэшируется ли контент или нет

Посмотрел. С других адресов - да, со своего - таки нет.

Начну издалека. Имеется компьютер с ISA 2004 EE без сервис паков, смотрит соответственно в локалку и инет, далее на этом же компьютере имеется еще одна сетевуха к ней подключен некий девайс к которому можно достучаться через IE. На ИСЕ создаем правило публикации веб сервера (а именно этого девайса). Из инета пытаемся подключится все нормально, в процессе работы передаются данные по 6666 порту. Соответствено я создал еще одно правило веб публикации для 6666 порта. При подключении по 6666 пишет 85.*.*.*(я), to 213.*.*.* (иса), action: failed to connection attemp , client user name: anonimus. Т.е. идет какая то аутентификация на исе, хотя в правиле публикации стоит all users. Да и источник web proxy filter, хотя при подключении по 80 порту источник просто firewall.

meskalin13
врядли тебе кто нить подскажет не зная особенностей того как там что и куда передается. для начала надо кой че выяснить
ты уверен что этот 6666 порт именно веб а не что то другое?
в каком направлении идет трафик по этому порту и кто инициатор соединения?
пробовал создать протокол tcp inbound 80 и добавить к нему secondary connection по 6666 порту?

Цитата:

ты уверен что этот 6666 порт именно веб а не что то другое?

А как узнать что это не что то другое? Есть два правила публикации для 6666 одно веб, другое просто, по вебу пускает и ругаеться, а просто публикация сразу посылает.


Цитата:

в каком направлении идет трафик по этому порту и кто инициатор соединения?

Трафик идет от клиента к серверу. А конкретней с веб сервера подгружаеться java скрипт запрашивает логин пароль и отправляет его на веб сервер по 6666 порту. И вот опять таки вопрос, в логах показывает что идет соединение по протоколу который outbond, а в правило публикации его нельзя запихнуть, говорит что только inbond можно, мне кажеться что трабла в этом но как это победить??


Цитата:

пробовал создать протокол tcp inbound 80 и добавить к нему secondary connection по 6666 порту?

Пробовал, создал просто правило публикации не веб, не помогает.

meskalin13
Брррр, правила публикации нужны для входящих соединений. То есть, если за фаерволлом (внутри сети) есть нечто, слушающее определенный порт. А если Трафик идет от клиента к серверу, то нужно просто сделать правило доступа.

Цитата:

То есть, если за фаерволлом (внутри сети) есть нечто, слушающее определенный порт.

Дык так оно и есть

Цитата:

Имеется компьютер с ISA 2004 EE без сервис паков, смотрит соответственно в локалку и инет, далее на этом же компьютере имеется еще одна сетевуха к ней подключен некий девайс к которому можно достучаться через IE. На ИСЕ создаем правило публикации веб сервера (а именно этого девайса)

P.S. Немного запутано написал, ну уж извините у самого голова скоро взорветься.
Прочитал иро Web Proxy Filter. Добавил его к созданным протоколам правда пришлось вторичные соединения грохнуть, но ничего не изменилось.

А это... топология исы какая? DMZ?

Цитата:

А это... топология исы какая? DMZ?

Чего чего.......А как это узнать?

meskalin13
Посмотреть, имхо. Configuration > Networks, смотри на закладке Templates, как ису можно сконфигурировать, и сравнивай с тем, как у тебя сейчас она работает. Может, у тебя стандартный Edge Firewall, и иса не знает, как к третьей сетевухе пакеты доставлять.

У меня сейчас Edge Firewall. Т.е. мне 3-Leg Perimetr поставить. А на работу ISA это не повлияет. А то сама иса далеко, а я там в удаленке колбашусь. И еще тогда вопрос а почему тогда пакеты по 80 порту проходят?

meskalin13

Цитата:

почему тогда пакеты по 80 порту проходят?

Снаружи на 80 порт? Хз. route print смотри.

Вот route print но там связи между веб сервером (это который 172.16.100.30) и наружкой нет.
А пакеты не только приходят но и на внутренний сервак аля девайс пробрасываються.

ҐвҐў®©  ¤аҐб Њ бЄ  бҐвЁ Ђ¤аҐб и«о§  €-вҐадҐ©б ЊҐваЁЄ 
0.0.0.0 0.0.0.0 xxx.xxx.207.37 xxx.xxx.207.38 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.16.100.0 255.255.255.0 172.16.100.1 172.16.100.1 30
172.16.100.1 255.255.255.255 127.0.0.1 127.0.0.1 30
172.16.255.255 255.255.255.255 172.16.100.1 172.16.100.1 30
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20
xxx.xxx.207.36 255.255.255.252 xxx.xxx.207.38 xxx.xxx.207.38 20
xxx.xxx.207.38 255.255.255.255 127.0.0.1 127.0.0.1 20
xxx.xxx.207.255 255.255.255.255 xxx.xxx.207.38 xxx.xxx.207.38 20
224.0.0.0 240.0.0.0 172.16.100.1 172.16.100.1 30
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20
224.0.0.0 240.0.0.0 xxx.xxx.207.38 xxx.xxx.207.38 20
255.255.255.255 255.255.255.255 172.16.100.1 172.16.100.1 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
255.255.255.255 255.255.255.255 xxx.xxx.207.38 xxx.xxx.207.38 1
Ћб-®ў-®© и«о§: xxx.xxx.207.37
===========================================================================
Џ®бв®п--лҐ ¬ аиагвл:
ЋвбгвбвўгҐв

Dead_Moroz
причем тут роутинг? по 80 порту все ок, он его опубликовал вот и ходит

Народ помогите опубликовать 6666 порт. Горю. Если просто делаю публикацию то непускает. Если делаю веб публикацию то говорит источник web proxy(reverse) Status 13 Недопустимые данные?
Что я делаю не так?

Нужно заблокировать ICQ и Mail.ru агента, дайте список ip-ишников, что б через прокси не лазили, а то самому лень их отыскивать в логах

Цитата:

дайте список ip-ишников

У тебя 2000 ISA что ли? Если нет то смотри в logging

rijk
205.188.0.0 - 215.155.255.255
64.12.0.0 - 64.12.255.255
201.27.217.113
200.117.138.206