» Microsoft ISA Server 2006/2004/2000 (Часть III)

hardhearted

Цитата:

проблема не в этом, а в том что http трафик хватается исой и проксируется принудительно (запрросы идут от ее интерфейса), у меня самого так

а если подсеть добавить в интернал (при услоовии что на клиентах FWC) то по идее работать должно?

Подскажите, на серваке устновлена иса 2006 энтерпрайз. адрес машины 192.168.0.1. На бухгалтерской машине стоит банкклиент (192.168.0.78) и раньше он работал через керио порт-маппинг. Используется обычная почта (25 и 110 порты). Но если в банкклиенте прописат IP сервара банка - то документы приходят но не расшифровываются. Поэтому в керио пришлось прибегнуть к порт маппинг. схема была такая. в банкклиенте прописываю для входящей почты - 192.168.0.1:3132, для исходящей - 192.168.0.1:3133. В керио прописывал перенаправление с 192.168.0.1:3132 на 83.151.4.104:110, с 192.168.0.1:3133 на 83.151.4.194:25. Как осуществить такоеже перенаправление в иса?

AlexKan

Цитата:

Уменьшение размера - до какого размера ? Ранее было 10 gb, сейчас поставил 5. Пока тишина =)
А у вас какой размер кеша?

Я считаю так, допустим максимальное время хранения в кеше 7 дней, смотрю, сколько за это время было http и ftp трафика и вот эта цифра и становится размером кеша

Alex_H_aka_RAT
Забыл посмотреть, сегодня точно посмотрю, даже пометил в заданиях

Добавлено:
Londo_Mollary
У меня была проблема с банк клиентом, заключалось в том что использовались с их слов только smtp и pop порты, а связи не было, включил на isa весь сетевой трафик на ip их банка и всё заработало, дальше не разбирался

rijk
У меня включен весь траффик из интернал в экстернал. Это одно и тоже ведь? Тоесть я пропускаю из внутренней во внешнюю ВЕСЬ траффик без ограничений.

Londo_Mollary

Цитата:

Поэтому в керио пришлось прибегнуть к порт маппинг. схема была такая. в банкклиенте прописываю для входящей почты - 192.168.0.1:3132, для исходящей - 192.168.0.1:3133. В керио прописывал перенаправление с 192.168.0.1:3132 на 83.151.4.104:110, с 192.168.0.1:3133 на 83.151.4.194:25. Как осуществить такоеже перенаправление в иса?

это не прокатит. То что тебе надо afaik есть port preservation, т.е. статичное отображение внутренних портов хоста наружу посредством ната. В исе используется (если в общем сказать) "symmetric NAT for outgoing connections with a static port mapping capability" что даёт нам вобщем рандомное назначение портов при нате (про нат тут)

а что за программа такая (не дипост случайно?) и почему ты решил что в расшифровке виновата иса? Логи смотрел?

Никогда раньше было не нужно, но вот теперь понадобилось. Подскажите, пожалуйста, можно ли запретить кэширование для определённого сайта (нескольких). Как?

PIL123
в настройках кэширования (cache rules) вестимо - создаёшь новое правило, ставишь его первым, в него пихаешь нужные сайты и ставишь "не использовать кэш"

ps иса какая у тя?

А почему первым. Вторым можно? А первым если правило "Microsoft Update Cache Rule"? ISA 2006 EE
При этом надо кэш уже имеющийся чистить ручками?

greenfox

Цитата:

а если подсеть добавить в интернал

нельзя, иса скажет что это не интернал (и будет права, сеть то за внешним интерфейсом)
Londo_Mollary

Цитата:

Как осуществить такоеже перенаправление в иса?

никак, этой безполезной фичи у исы нет, в бк прописывай в качестве серваков адреса банка а не исы
greenfox

Цитата:

То что ты написал afaik есть port preservation

Цитата:

В исе используется (если в общем сказать) "symmetric NAT for outgoing connections with a static port mapping capability"

это не одно и тоже, в первом случае клиент обращается к шлюзу и тот мапит его наружу, во втором клиент обращается сразу наружу а иса транслирует адреса. то что хочет Londo_Mollary это в исе паблишинг тока в другую сторону и иса его не позволит сделать.

PIL123
ну я имеел ввиду что бы выше этого правила не стояло случаем правило кэширования разрешаюшее для данного сайта
про чистку не знаю - по логике при первом обращении иса опредлелит что надо брать объекты напрямую... но это имхо

timsson
и не поможет, я проверял,
раньше делал так: создавал правило для таких сетей, запрещал в нем http и разрешал transparent http (http со снятым web filter), и заносил эту сеть в исключения
но с выходом sp2 на 2004ю это перестало работать, теперь работает тока если web filter вообще погасить, других вариантов пока не нашел, если срочно надо обратись в техподдержку микрософта с правильным вопросом )

hardhearted

Цитата:

это не одно и тоже, в первом случае клиент обращается к шлюзу и тот мапит его наружу, во втором клиент обращается сразу наружу а иса транслирует адреса. то что хочет Londo_Mollary это в исе паблишинг тока в другую сторону и иса его не позволит сделать

я знаю, просто (насколько я его понял) по задумке он это делает именно для обхода "динамического" маскарадинга когда порты наз-ся рандомно ( в его примере он пытается это обойти паблишингом наружу). По уму это реализуется с помощью port preservation (который иса не держит). Имхо. Или я чего то опять "недопонял"

greenfox
а смысл обходить динамику?
исе вообще нет смысла все это держать, она изначально как роутер не задумывалась и выполняет только примитивные функции, типа паблишинга, ну и еще может отношения между сетями строить типа натить или роутить (самого роутинга у нее нет). все остальное, типа портмапинга, статик нат, несколько isp, балансировка и резервация, source и port based роутинг, разграничение пропускной способности канала и т.д. уже нее ее, для этого надо нормальные роутеры. а иса в первую очередь firewall и proxy

hardhearted
я не спорю, просто чел спросил я ответил (по факту самой проблемы)
Что касается "быть или не быть" исе и кем то моё имхо в том что в итоге она (или то что будет после неё) будет именно универсальным роутером\файерволом\и.т.д. в одном флаконе. Причины банальны - бизнес. Держать одну ису выгоднее чем покупать доп. железяку. Собсбтвенно наличие только одной исы (и нежелани нач-ва тратить больше на развитие ит) и приводит к вышеописанным извращениям (в том числе) со всякими паблишингами наружу, резервацией портов, симетричным-натом и т.д. ...
Всё имхо

PIL123

Цитата:

При этом надо кэш уже имеющийся чистить ручками?

не сколько раз это делал, скажу точно, приходилось чистить, иначе брало из кеша

Londo_Mollary
Сам не пробовал, можно попробовать опубликовать внешний smtp у себя, хотя публикация должна работать в другую сторону, но чем черт не шутит

Цитата:

и почему ты решил что в расшифровке виновата иса?

Поддерживаю

rijk

Цитата:

можно попробовать опубликовать внешний smtp

не прокатит )

Соединил две удаленные сети 192.168.1.0 & 192.168.2.0 туннелем IPSec site-to-site и с такой проблемой столкнулся: из второй сети нельзя подключать сетевые ресурсы, находящиеся в первой сети. Из первой сети ресурсы второй подключаются.
В чем проблема может заключаться?

Infected Switch
причин тысячи, и больше половины из них могут быть не связаны с исой вообще
сама сетка видна? логи на обеих исах что говорят?

hardhearted
В проблемной сети при попытке подключения алерт: Drive couldn't connect because network not found, а в логах Исы запрещено соединиение по протоколу Netbios Name Service на 137 порт запрашиваемого сервера. Пинги идут нормально, днс пашет... В логах Исы запрашиваемой сети чисто.

Цитата:

логах Исы запрещено соединиение по протоколу Netbios Name Service на 137 порт запрашиваемого сервера

ну а протокол то у тебя открыт на проблемной исе?

greenfox
у меня между этими двумя сетями разрешен весь трафик
может в системных что-то подправить нужно?

Infected Switch
в логе правило на котором всё стопарится какое?

greenfox
там не указывается правило, только протокол

Infected Switch


Цитата:

может в системных что-то подправить нужно?

Поскольку системные правили обрабатываются до пользовательских, соответсвенно тебе надо посмотреть разрешен ли у тебя трафик между этимим сетями в System Policy Rules - Allow NetBIOS from ISA Server to trusted servers (эт если хочешь подключить сетевой диск со второй сети на ИСУ). Кстати по какому протоколу блокировка проходит?

Infected Switch
"отношения" между сетями (локальной и удалённой\сайтом) на проблемной исе стоит как "route"?
трафик вообще никакой не идёт или только netbios?

отношения route
не идет только netbios - режется на исе филиала, причем непонятно кто его режет =\

Добавлено:
ITeXPert
блокируется протокол Netbios Session

в системных добавил в 21 правиле удаленную сеть - ноль эммоций

ITeXPert
системные правила только разрешают, но запрещать они ничего не могут, поэтому никто не мешает разрешать тоже самое в пользовательстких наплевав на системные.
и к тому же ему надо не с исы, а с одной сетки в другую

to ALL

Как через ISA2006 (или вернее, компьютер на котором работает ISA2006) пропустить multicast ???

Помогите кто-нибудь срочно плиз! Появилась проблема: поменял провайдера, взял другое подключение - ADSL через Ethetnet-ADSL модем.
Периодически (не могу выяснить закономерность) иса запрещает DNS изнутри наружу.
Модем имеет внутренний ip 192.168.1.1, работает в режиме бриджа к сетевой карте - ip 192.168.1.2 (имя соединения - External)

Вот ipconfig при проблеме:

Windows IP Configuration

IP Routing Enabled. . . . . . . . : Yes


Ethernet adapter Internal:

DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.100
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.0.100

Ethernet adapter External:
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
NetBIOS over Tcpip. . . . . . . . : Disabled


PPP adapter Provider:
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : xxx.xxx.xxx.xxx
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 195.5.46.12
195.5.46.11
NetBIOS over Tcpip. . . . . . . . : Disabled

Ни с того, ни с сего, иса запрещает DNS, в логах исы следующее:
dest. ip: 195.5.46.11 | 53 DNS | Denied Connection | client ip: ip PPP адаптера | client network: Local Host | destination network: External

Не указано, какое правило запрещает DNS...

Чаще всего это проявляется так: я захожу по RDP на сервер, после логоффа днс перестает работать, но и само по себе тоже отваливается через неопределенное время.

Обратите внимание: когда начинаются проблемы, ipconfig PPP-адаптера вместо

PPP adapter Provider:
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : xxx.xxx.xxx.xxx
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 195.5.46.12
195.5.46.11
NetBIOS over Tcpip. . . . . . . . : Disabled


выглядит так:
....
Default Gateway . . . . . . . . . : 0.0.0.0
....



route print:
(а, пофиг на ip, все равно он динамический)


Код: IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10003 ...xx xx xx xx xx xx ...... 3Com EtherLink XL 10/100 PCI TX NIC (3C905B-TX)
0x10004 ...xx xx xx xx xx xx ...... Realtek RTL8139 Family PCI Fast Ethernet NIC
0x2e0005 ...xx xx xx xx xx xx ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 82.207.57.94 82.207.57.94 1
82.207.57.94 255.255.255.255 127.0.0.1 127.0.0.1 50
82.255.255.255 255.255.255.255 82.207.57.94 82.207.57.94 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.100 192.168.0.100 20
192.168.0.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.100 192.168.0.100 20
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
195.5.5.6 255.255.255.255 82.207.57.94 82.207.57.94 1
224.0.0.0 240.0.0.0 192.168.0.100 192.168.0.100 20
224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
224.0.0.0 240.0.0.0 82.207.57.94 82.207.57.94 1
255.255.255.255 255.255.255.255 82.207.57.94 82.207.57.94 1
255.255.255.255 255.255.255.255 192.168.0.100 192.168.0.100 1
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
Default Gateway: 82.207.57.94
===========================================================================
Persistent Routes:
None

Dead_Moroz
Странно что у тебя нету шлюза по умолчанию.
Какие правила у тебя на localhost заведены?