» Microsoft ISA Server 2006/2004/2000 (Часть III)

MoRfiUM
_http://www.isatools.org/tools.asp?Context=ISA2004 - ISA site blocking definitions, и ниже скрипт для импорта листа из Squid-а.
Ну и здесь посмотри _http://www.isaserver.bm/destination_sets.html

Vxd2000
вообще то что ты хочешь полнейший бред и не могу представить зачем он мог понадобиться.
у себя проверил, обычная публикация и это почему то работает (к сожалению, я то надеялся что что работать такое никогда не будет, что мелкомягкие позаботятся о тех кому в голову лезут идиотские идеи и не позволят так на исе делать ), набираю ftp://внешний_ип и захожу на отпубликованный сервак
бред какой то, в логах при этом казалось бы все верно, с моего компа на внешний ип по обычному правилу доступа, и с внешнего на публикуемый через публикацию, тока странно что иса свой внешний ип в логах относит к external, а не к localhost, если бы она считала его как localhost то у меня не сработало бы, в этих правилах не разрешен localhost.

MoRfiUM
ну чужие сеты есть, тока они чаще всего буржуйские и туда много чего лишнего занесли
а всю порнуху все равно не закроешь, можешь и не пытаться, сеты будут содержать десятки тысяч записей, иса будет напрягаться их обрабатывать, а сайтов туда не попавших будет все равно стокаже если не больше )
я тока почтовики закрываю, IM, и некоторые равлекухи, там где приколы, видео, знакомства, музыка, чаты, блоги и т.д. а порно уже давно не закрываю, безполезный способ, есть намного лучше и действеннее

Цитата:

потоки чего?
несколько каналов использовать для резервирования или распределения трафика можно, но только иса тебе в этом никак не поможет по одной банальной причине: иса - НЕ роутер.

Допустим мне нужно чтоб pop3 и smtp шли по одному каналу, а http по другому, есть там возможность такой работы, или так и придется дальше пользоваться роутингом винды?

mrDem
в самой исе - нет.

hardhearted, то есть у тебя этот "бред" работает ?

Бывает, что те, у кого нарушение логики, называют что - то иногда бредом (без относительно личностей) .

Это должно работать по логике сетей.

Не знаю, что у тебя там в log' ах (их не видел) , но если с компьютера во внутренней сети уходит пакет адресованный получателю с IP из Internet'a, он туда и приходит (например на адрес mail.ru, этот пакет туда и приходит) , так если пакет уходит на адрес равный внешнему IP Isa, как он должен обрабатываться Isa ?

На то такие адреса и называются внешними или адресами диапазона Internet (по соглашению адресации, есть также адреса, например диапазонов 192., 10., которые не относятся к адресам Internet, вообщем это известно, наверное) , что они "внешние" .
Он (пакет) естественно возвращается "из вне" , на этот внешний IP.

Если к localhost относится внешний интерфейс, который смотрит наружу, не кажется ли, что это открывало бы большую дырку в localhost ?

Просто в данном случае получается такая "петля" или внешний loopback.

Из описания, идущего с Isa: "The External network includes all Internet Protocol (IP) addresses not explicitly included in any other network. Upon installation, the External network includes all addresses not in the Internal network, the IP address of the Local Host network (127.0.0.1) ... " , то есть логично, что внешний IP компьютера с Isa, то есть относящийся к диапазону Internet адресов, входит в External.


Добавлено:
Блин, у меня пока не работает, ни FTP, ни Web (только http://внутренний_IP и ftp://внутренний_IP) .

Vxd2000

Цитата:

На компьютере с Win 2003 Server запущен FTP сервер (встроенный) , "заведенный" на внутренний IP, в Isa прописано правило FTP и FTP сервер, также есть правило публикации (доступ с Internal и External, стоит внутренний IP адрес, тот же, на который заведен FTP) . Но с компьютеров внутренней сети по внешнему IP FTP сервера зайти не получается.

ну а что вы хотите? у Вас судя по тому (крайнемалопонятному) варианту что вы написали открыт на исе только внутренний ip. Соот-но на внешний будет динайд... Вариантов несколько - или отдельно открыть внешний ip для доступа к ftp или сразу на все ip исы - localhost (это обычные правила доступа, не публикация)
И публикация тут по идее не нужна - просто правило ftp-server с соот-м доступом (ранее в топе уже писали почему)
Цитата:

Если к localhost относится внешний интерфейс, который смотрит наружу, не кажется ли, что это открывало бы большую дырку в localhost ?

какую именно? масло масленое...

hardhearted

Цитата:

бред какой то, в логах при этом казалось бы все верно, с моего компа на внешний ип по обычному правилу доступа, и с внешнего на публикуемый через публикацию, тока странно что иса свой внешний ип в логах относит к external, а не к localhost, если бы она считала его как localhost то у меня не сработало бы, в этих правилах не разрешен localhost

иса как бы получается по разному трактует принадлежность своих ip адресов к соот-м пердопределённым сетям в зависимости от правила в который попадает доступ. При обычных - это локалхост, при правилах публикации это уже экстернал

Т.о. и получается, что если открываешь на исе фтп сервак простым правилом доступа с протоколом фтп-сервер то в дестинейшене надо использовать локалхост. Если открываешь доступ правилом публикации (что вобщем то неверно логически) то в дестинейшене надо уже указаывать экстернал наск я понимаю... (это если использовать вкачсетве дестинейшена нетворки а не конкретные ip)

Майрософтттттттттт....

mrDem
у исы нет роутинга вообще, так что только виндовый.
винда не умела никогда ни port-based ни source-based роутинг, так что забудь про свою затею. хочешь такое реализовать ставь нормальный роутер
Vxd2000

Цитата:

На то такие адреса и называются внешними или адресами диапазона Internet (по соглашению адресации, есть также адреса, например диапазонов 192., 10., которые не относятся к адресам Internet, вообщем это известно, наверное) , что они "внешние" .

не путай теплое с мягким, "внешние" и "internet" адреса для исы разные вещи (у меня "внешний адрес" например 10.0.0.2 ). у исы external это все множество адресов не включенных в другие network, в том числе свои адреса туда также не входят (пингани ису и посмотри какая сеть в логах будет).

Цитата:

Если к localhost относится внешний интерфейс, который смотрит наружу, не кажется ли, что это открывало бы большую дырку в localhost ?

как раз наоборот, все свои адреса принадлежат к localhost специально чтобы своими адресами оперировать во всех правилах отдельно.
greenfox

Цитата:

При обычных - это локалхост, при правилах публикации это уже экстернал

про публикацию все понятно, но при такой ситуации в логе две записи, одна по простому правилу от моего компа на внешний ип, вторая уже публиция, так вот первая запись это не публикация и по идее должна быть в localhost (в нормальной ситуации при коннекте из вне этой первой записи вообще бы не было), а вторая уже понятное дело от external потому что по публикации прошло.

Цитата:

Если открываешь доступ правилом публикации (что вобщем то неверно логически) то в дестинейшене надо уже указаывать экстернал наск я понимаю... (это если использовать вкачсетве дестинейшена нетворки а не конкретные ip)

в правиле публикации destination не указывается, указывается только конкретный адрес публикуемого сервака (что логично, всю сеть опубликовать нельзя), а сети указываются тока в поле from а также указывается network который надо слушать

Цитата:

какую именно? масло масленое...

Большую, какой вопрос такой и ответ.
Масло масленного здесь нет, просто наверное сначала надо было понять фразу.
Пример такой: есть хорошо укрепленый замок (можно в свою фантазию допустить средневековый) , высокие стены, ров воды вокруг, одна сторона замка выдолблена в скале.

И тут правитель этого замка говорит (издает указ) , бери любой желающий чужак (не гражданин) , в пределах замка (крепостой стены) любой дом для проживания с участком стены (участок стены не в собственность, но можешь с ним делать что хочешь, например сделать проезд к своему дому) , таким образом надежность защиты замка падает катастрофически (можно конечно поставить еще одни ворота - правило доступа, но по сути защита упала очень сильно) .

greenfox, посмотрю еще раз правила (хотя правило FTP сервер есть) .


Цитата:

не путай теплое с мягким, "внешние" и "internet"

, вот тут - то у многих и заблуждение, одно с другим часто (очень) идут рука об руку, у мягкого одна из характеристик может быть - теплое, ну и наоборот. Но все это из "одной оперы" .


Цитата:

у меня "внешний адрес" например 10.0.0.2

, согласен, у меня например "внешний" второй адрес 10.0.4.53.

Но от этого внешний, тот который Internet адрес не поменялся и не поменялось то, что пакет приходит на самый внешний из внешних адресов (если такая тафтология здесь возможна) , на адрес "внешнего" интерфейса, принадлежащий Internet диапазону.

Буду еще посмотреть.

Самое интересное (блин, может что - то с NAT) , но с самого сервера (где стоит Isa, есть правило FTP сервер, есть ftp публикация) , например ftp://внешний_IP тоже пока не работает.




Добавлено:

Цитата:

ну а что вы хотите? у Вас судя по тому (крайнемалопонятному) варианту что вы написали открыт на исе только внутренний ip.

Еще раз, вот что есть: Win 2003 Server R2, Isa2004 Standart, один "внутренний" IP на внутреннем интерфейсе, два "внешних" IP на внешнем интерфейсе (провайдера и Internert диапазона) , здесь же Ftp и Web сервера (оба на своих стандартных портах) , оба на "внутренних" IP.

Есть правило FTP server: естественно Allow, протокол конечно же FTP сервер, from - поставил и External и Internal, to стоит Local host.

Есть правило публикации FTP: опять же, естественно Allow, Traffic - FTP server, from - Anywhere, to - "внутренний" адрес сервера Win 2003 и естественно тот же адрес, на котором FTP сервер, selected networks - отмечены local host, internal, external.

Важно: правило публикации FTP стоит после правила FTP server.

hardhearted

Цитата:

в правиле публикации destination не указывается, указывается только конкретный адрес публикуемого сервака (что логично, всю сеть опубликовать нельзя), а сети указываются тока в поле from а также указывается network который надо слушать

да, ошибся. Имел ввиду что экстернал уже получается в поле "слушать", хотя по идее слушает она свой ip (который в локалхосте)

Vxd2000

Цитата:

Большую, какой вопрос такой и ответ.

вопрос был нормальный... каую дыру вам открывает наличие в локалхосте все ip исы? Вариант про замок маловразумителен бо в нашем случае второго проезда это явно не открывает, пока ты сам явным образом не разрешишь доступ соот-м правилом (не дашь разрешение прорубить ворота)... Не вижу issue.
Цитата:

два "внешних" IP на внешнем интерфейсе (провайдера и Internert диапазона)

не совсем понятна данная фраза...
Имхо, если сервак стоит на исе, правило публикации пока убери (задизейбли например), потом давай доступ из интернал и экстернал по протоколу ftp-server на ису (локалхост). Поставь правило на самый верх (для чистоты эксперемента), потом смотри что он-лайн лог кажет (или сюда запости)

hardhearted
Roks
Больше всего интересует блокировка бесплатных почтовых серваков.

Собственно нет ли у кого списка таких ресурсов?

MoRfiUM
Я бы пошел другим путем, разрешил бы только платные
Или по требованию, хочешь почту, заявление на имя директора

PS: не читал предыдущие сообщения, но думаю ты про протоколы POP, SMTP

Vxd2000
про замок бред полнейший, еще раз говорю, что все обращения к исе на любой адрес (именно к исе, публикуемые серваки иса считает обращением не к себе а к серваку) считаются как к localhost и сделано это именно для безопасности, чтобы выделить ису в отдельный сетевой обьект

Цитата:

у мягкого одна из характеристик может быть - теплое, ну и наоборот

это не обьекты а характеристики, и мягкое это мягкое, а теплое это теплое, а то что мягкий обьект может быть и теплым и холодным это уже не важно )

Цитата:

Есть правило FTP server: естественно Allow, протокол конечно же FTP сервер, from - поставил и External и Internal, to стоит Local host.

если ты лезешь на опубликуемый сервак, то как я писал из своего опыта в поле to ставь external, ибо в этом случае она почеу то считает свой адрес external а не localhost
MoRfiUM
я сам вношу в списки когда вижу в статистике у юзеров почтовики, чужие в инете не искал и не пользовался

MoRfiUM
как вариант многие почтовые беспл. сервера содержат сигнатуру "mail" в урле, соот-но можно попробовать организовать их фильтрацию на этой основе... Как - расписано на мс и у папы шиндлера...

greenfox
фильтровать по сигнатурам надо очень осторожно
слова mail sex и т.д. часто бывают в url как некоторые данные для логина или в анкете или в каком нить запросе какого нить поиска
rijk
он имеет ввиду как раз бесплатные почтовые сервисы на вебе, типа какого нить банального mail.ru
такие закрывают обычно по хосту или урлу. а про то по какой технологии это разрешать речи не идет, через директора или ящик пыва это уже его проблемы )

hardhearted

Цитата:

фильтровать по сигнатурам надо очень осторожно
слова mail sex и т.д. часто бывают в url как некоторые данные для логина или в анкете или в каком нить запросе какого нить поиска

это как отче наш, никто не спорит. Безопастность это обратная сторона совместимости. Хочешь секьюрности - будь готов что что-н будет работать не так или вообще перестанет работать.
Я в своё время когда включал фильтрацию по сигнатурам потом просто проблемные сайты в исключение добавил Правда пользователи кровь мою попили

Народ подскажите, есть сервак-шлюз с Win2003, одной сетевой смотрит в инет через модем, другой во внутреннюю сеть 192... итд, ставлю Isa2006, разрешаю http, smtp, pop3 и т.д., в итоге во внутренней сетке почта и др. порты работают, а именно http нет (IIS не стоит), в броузере выдает ошибка днс и т.д.(не блок Isы), настроил пинг, внутренняя сеть пингует сервак, но инета не дает, причем месяц назад настраивал другой сервак, такой же, win2003+isa2006, работает замечательно, в чем может быть проблема?

LaboArt

Цитата:

а именно http нет

а ISA имена резолвить может?

Народ че т не пойму ,,,подскажите ,,,плиз
Делаю правило - весь исходящий траффик из внутренней сети наружу и указываю определенных юзеров или группы юзеров,,,,то они могут почему то тока просматривать веб страницы а выходы на остальные порты(протоколы) кроме http ,,,почему то не дает
В чем может быть трабла,,,сроянком нужно,,
ЗАранее пасиб!

timsson
остальные порты это какие? Они определены в ИСЕ? Что он-лайн лог кажет? Версия исы то какая? (с) и т.д.

ну млин к примеру скайп не пашет,,,,банк клиент тоже,,,плюс какой нить там мэйл агент.
не конектятся даже если им проксю прописываешь с портом.
иса стоит 2006
порты никакие я не запрещал ,,,
просто тупо хочу чтобы имели полный доступ в инет определенные доменные учетки ,!вот и все!

timsson
если не ошибаюсь (во всяком случае в 2004) то "весь исходящий траффик" означает трафик который определён в ИСА как соот-е протоколы. Т.о. пока не создашь их в исе нифига и не пойдёт. + СМОТРИ ОН-ЛАЙН ЛОГ! Там всё чёрным по белому - что\куда\почему

1

greenfox
нет весь исходящий траффик это - значит любой траф по любому порту -!
т.е. объясняю - делаю к примеру правило весь исход траф из внутр во внешн определеному пк(т.е. тачка указанная по ip )- - то получаю полный доступ в нет по всем портам с той тачки кот прописал!

Добавлено:
он лайн лог ты имеешь ввиду просмотр журнала включить?

timsson
включи фильтпр с одного Ip и посмотри что пишет иса при блокировке....

timsson
все просто
ты указал группы юзеров, а об аутенфикации подумал? сделаешь all users все будет greenfox

Цитата:

весь исходящий траффик" означает трафик который определён в ИСА как соот-е протоколы

гонишь, весь исходящий означает весь исходящий, и не важно что там в исе определено.

hardhearted
нет ты не понял мне именно надо чтобы были инет распределенный по правам доступа,,а права доступа прописаны по группам,,и уже в нужных группах сидят нужны челы ,,,и эти соответсвующие группы добовлены в соответсвующие правила,,
Т.е. вот как это выглядит есть скажем несколько правил одно к примеру разрешает из нутри наружу поп и смтп , другое там радмин,,третье аську и т.д. и т.п. и вот я в кажое правило просто добиваю нужную группу а в этой уже группе на доменконтролере внесены те челы(учетки) кому нужен соответствующий доступ в инет доступ в инет.
вот,,,надеюсь я понятно объяснил.


Добавлено:
timsson
а самое первое что я писал это я хотел и щас хочу дать полный доступ в нет определенной группе,,,,то что оно работает на all users это я знаю ,,,а вот надо чтобы определенной группе понимаешь!

timsson
авторизация то у тебя как проходит? То что определённая группа "всё наружу" все поняли. Как ты будешь авторизовать юзверя при использовании им скажем поп3? FWC у тебя на клиентах стоит скажем?
Что фильтр показывает?

timsson
мог и не распинаться я именно так сразу и понял, потому как по другому это
Цитата:

просто тупо хочу чтобы имели полный доступ в инет определенные доменные учетки ,!вот и все!

понять просто нельзя
и мой прошлый ответ в силе.
ты сказал исе авторизовать доступ по юзерам, а как ты думаешь откуда иса узнает что за урод ломится в инет и пускать его или нет? аутенфикация это и есть процесс выяснения личности, без аутенфикации для исы (и для любой другой системы в мире) все анонимы


Добавлено:
2 All
и может прекратим эту путаницу: авторизация и аутенфикация это разные слова и несут разный смысл

Не хотелась плодить тем.
Есть вопрос:
что лучше использавать для доступа в интернет(офис 20 машин, есть север 2003), с точки зрения надежности , удобсва, возможности ограничения по трафику и определенным адресам.

UJ79
ты зашел в топик про ису и спрашиваешь что лучше?
в этом топике обсуждают ису а не решают что лучше а что хуже
вариантов сотни, мона поставить ису , можно юзать никсы, можно другие поделки на винде (коих туча, всякие вингейты, винроуты, и т.д.), можно поставить какой нить аппаратный роутер/файрвол (cisco например). универсальных решений не существует, каждыю задачу надо рассматривать отдельно, и как всегда все упирается в деньги

ps а что для тебя удобство?