» TrafficQuota for Isa server 2000/2004/2006

Предлагаю в этом топике задавать вопросы по программе, обсуждать ее работу и т.д дабы разгрузить топик в варезнике
Если со временем накопится достаточное количество вопросов-ответов, составим F.A.Q и попросим модераторов поднять шапку.

Подсчет трафика ведется с учетом кеширования на ISA или как?
Кто-нибудь тестировал Веб узел, который TQ разворачивает на уязвимость?

Повторяю...
Парни, еще такой вопрос, прога банит сессию сразу при привышении лимита, или когда новая авторизация, просто такие браузеры как опера держа ссесию и так можно открыть оперу утром одного дня, а закрять через день и трафа накачать скока хошь...я вот щас тестирую, и уменя бана не происходит сразу, тока при открытии браузера сразу..

Yrik123
TrafficQuota так и позиционируется производителем
Цитата:

Возможность немедленного разрыва интернет-соединений при превышении квоты

. Я вчера ставил версию 2.1 на ISA 2004 EE, потом обнюхивал со всех сторон - нормально режет. Может быть у тебя в настройках что не так? Юзер не тот стоит и т.д. Проверь может быть просто забыл выставить действие при превышении лимита (Deny Further Access And Terminate...)
yurl

Цитата:

Кто-нибудь тестировал Веб узел, который TQ разворачивает на уязвимость?

В каком смысле, поподробнее пожалуйста...

Добавлено:
Yrik123
Вот специально поставил сейчас оперу (9), открыл, полазил в инете, не закрывая выставил себе квоту - все нормально режет... С небольшим запозданием, но режет. Проверяй настройки.

Yrik123
В настройках действий по истечению квоты when the quota is reached:
3 действия:
- Do nothing
- Deny further acces
- Deny further acces add terminate oll opened ..
У меня при выборе последнего пункта отрубает даже посередине качаемого файла!
и ненадо забывать мануал:
Если вы используете ISA Server 2004 или 2006 - проверьте, каким образом заданы протоколы в правилах файрвола. Если в "Protocols" для правил, по которым проходит ограничиваемый трафик, указано "All outbound traffic", то никаких дополнительных настроек не требуется. Если в них указаны конкретные протоколы - необходимо подключить "TrafficQuota Filter" к этим протоколам. Это можно сделать в свойствах протокола.

У кого нибудь работает урезка трафика по группам ?

Asagiri
Работает.

народ проверте плиз такое - не убиваются веб-прокси-сессии в открытых сеансах исы
говорит

Произошел сбой - задание не запущено
0x80070424
Указанная служба не установлена.

грешу на TQ

yurl
спасибо за туториал небольшой, но вопрос такой, у тебя в "Protocols" для правил, по которым проходит ограничиваемый трафик, указано "All outbound traffic" или ты узаешь через подключение через подключение фильтра для определенного протокола?

Yrik123
У меня несколько групп по интернет привелегиям есть и all traff, есть и limmited acces, для особо одаренных юзверей.., впрочем, это уже не в тему. В общем у кого не все протоколы открыты я в свойствах протокола добавлял параметр traffic quota filter. For ISA2004EE firewall policy ->правило->properties->protocols->edit..->parameteries->appl filter +TQF

yurl
у тебя как идет прокси к вышестоящему или на прямки в инет...у меня связка прокси squid, потом иса...вот щас скачал 10 мегабаййтный файл и хоть бы что, не банит, блин мож я тупой...причем че самое обидное, tq пока не патченый, тестирую на 5 юзерах...почему блин не знаю...делал так:
создал правило proxy, разрешил в нем определенным юзерам ходить по http,http-прокси( в протокол добавил tq фильтер), после создал в сетях веб-цепочку на вышестоящий сервер...во внутренней сети стоит авторизация обязательная(встроенная и обычная)...мож кто укажет на ошибку..

Yrik123
Я обычно такие ошибки нахожу через ISA-консоль - мониторинг - логинг - прописать конкретный IP либо несколько. Там видно на какой адрес и по какому правилу проходит.
Вероятно ты пролетаешь по другому правилу..

Yrik123
Может еще дело в свойствах самой TQ. Закладка Exlusions. Это тоже может влиять.

Yrik123
Напиши все сначала со всему подробностями свою проблему

kazavo4ka

Цитата:

Кто-нибудь тестировал Веб узел, который TQ разворачивает на уязвимость?

В каком смысле, поподробнее пожалуйста...

Смысл в том, что если этот узелок дырявый, то используя специальные команды CGI некие товарищи могут получить полный доступ к рессурсам сервера на котором стоит TQ. Что не очень желательно. И неважно откуда снаружи или изнутри.

Цитата:

Обнаружилась проблема. После установки TQ в логах пишется трафик разрешен по правилу Default Rule
Система Win2003 SP1 R2 Rus, ISA2006 SE Eng, TQ из шапки, логи пишутся в W3C формате. Проблема связана 100% с TQ, т.к. проверялась несколько раз (install/uninstall/reinstall, после удаления снова пишется все как должно, после реинстала - опять Default Rule). Проверьте, пожалуйста.

AvvNtl

Цитата:

Для Asker80
Да есть такое дело. (Win2003 SP1 Rus, ISA2006 EE RUS)
Логи выдают [Enterprise] Правило по умолчанию - разрешенное соединение. Но поисследовав это я выяснил, что скорее всего неправильно отображается имя правила в журнале. Когда пытаюсь выходить в инет юзером которому ничего не разрешено , то иса его не пускает. Это хоть радует. Есть подозрение что бага вылезает, когда пользователю разрешен не весь трафик, а конкретные протоколы с подцепленным к н ним фильтром TQ.

Исследовал траблу далее. Складывается впечатление, что таковая возникает только на HTTP протоколе при отсутствии аутентификации. Но можно быть уверенным, что проблема единственно в отображении названии правила в логе. Сами правила отрабатывают верно.
Кроме того, подключение фильтра TQ к протоколу на проблему не влияет, т.к. POP3 с подключенным фильтром TQ считается и правило корректно отображается в логе (квота выставлена на IP). А обновление баз SAV CE, которое идет через HTTP, также с квотой на адрес, выдает в логе Allowed Connection, Default Rule. Оба правила, разумеется, без аутентификации.
Буду копать дальше.

Скажите пожалуйста, кто использует Trafficstat, у меня после установки TrafficQuota 2.1 в Trafficstat месячные ограничения стали показываться в недельных, и соответственно, иконка по истечении трафика не меняется, хотя все обрезается нормально, это только у меня такая фигня, или у других также?

А можно нескромный вопрос - нафига юзать с версией 2.1 TrafficStat, написанный для первой беты 2.0, чтоюы заменить отсутствующую функциональность Web-reporting?

Asker80

Когда пользователи привыкли к "зеленому кружочку внизу" то заставить из ходить на сайт статистики почти нереально, поэтому и спрашиваю. Для меня-то сервер статистики информативнее, но, когда директор говорит, что "ему так удобнее" начинаешь искать выходы.

Доигрались... В пятницу TQ ещё пытался ползать, прихрамывая... На что-то ругался... Сегодня у него тотальный даун... Траф не считает, соответственно и пользы от него ноль... со всеми вытекающими... Рестарты сервисов не помогают...
Переустановлю... Но, кто-то юзал его на ISA 2K? Поделитесь впечатлениями...

funtik
сайт статистики поставь домашней страницей

Цитата:

Доигрались... В пятницу TQ ещё пытался ползать, прихрамывая... На что-то ругался... Сегодня у него тотальный даун... Траф не считает, соответственно и пользы от него ноль... со всеми вытекающими... Рестарты сервисов не помогают...
Переустановлю... Но, кто-то юзал его на ISA 2K? Поделитесь впечатлениями..

Третьи сутки стоит на win 2k(SP4), isa 2000 (SP2) - пока никаких отклонений от нормы - но пока еще рано горворить о том, что продукт ведет себя стабильно (пройдет месяц посмотрим)- кстати лекарство родной сервис у меня так и не подлечило - подсунул пропатченный сервис!!!

Viz99
Короче расказываю...дело такое, поставил isa 2006 рус на win2003 SP1 рус...сдулал 2 сетевки, одна внутрянка другая внешняя, внешняя идет на proxy сервер squid, а от туда в инет...на исе сделал правило http, http-прокси(в этих протоколах указал tq фильтер) разрешить из внутрянки в мир.поставил аторизацию для пользователей...сделал веб-цепочку от иса на squid...на внутреней сети поставил обязательную авторизацию...на tq создал себя, поствил квоту на inc и out, с автоматическим отрубанием...и все, пошел в инет...в логах исы все ок, авторизация прошла, правило то, инте есть, на squid иса обращаеться,в общем все работает кроме tq, он вопревых считает только копейки 1 или 2 kb, и никакого бана...качал 10 метров файл, все бестолку...если кто видит грабли, ткните носом...
И такой вопрос, tq пофигу на правила, он считает по протоколам, правильно?

Yrik123
у тебя в инет ходит группа на которую ты дал хттп и хттп-прокси? так дай ограничение на группу в tq, а не только по юзеру.
тквота считает по логам исы вроде

Viz99
нет у меня ходит пользователи...группы мне не надо...еще такой вопрос время обновления статистики какое, к примеру я открыл сайт, закрыл ослика, tq сразу покажет на статистики этот сайт, или через минуту, а мож 2-ве, кто тестил...
щас короче добился бана, но прикинте, не на все сайты...я в шоке, на mail.ru,ya.ru,rambler.ru есть доступ, а какой нить новый сайт открываю все бан...причем на ya.ru работает поиск, т.е. это не кеш, да и я его вырубил нафиг...короче че то не знаю, у меня одного такие траблы что ли, у всех все тип топ?

у тебя видимо проблемы с авторизацией.
обновление живое.
у тебя в правиле для all users открыто?

Yrik123

Цитата:

нет у меня ходит пользователи...группы мне не надо...еще такой вопрос время обновления статистики какое, к примеру я открыл сайт, закрыл ослика, tq сразу покажет на статистики этот сайт, или через минуту, а мож 2-ве, кто тестил...

Сразу, запаздывания не заметил вообще.

Запаздывание небольшое имеется, но не больше 30 секунд.
Кстати, и бан ТКвота отрабатывает с небольшим опозданием, когда на проверку качал файл, на скорости 130кБ/с скачался 1 мег сверх квоты. прежде чем отрубило. Но ИМХО это нормально, так и должно быть. В конце концов это же не mission-critical решение, задержки при обработке данных неизбежны, и они вполне приемлемы.

Добавлено:
John_mark

Цитата:

кстати лекарство родной сервис у меня так и не подлечило

А ты сервис останавливал? Патч запускал из каталога ТКвоты (%Program Files%\TrafficQuota)?


Добавлено:
Да, с запаздыванием в статистике я малость переборщил. Там даже меньше - 15-20 сек.

Добавлено:
И еще: снова подниму вопрос, который уже задавался, но никто вроде не проверял: ТКвота режет с учетом трафика из кэша, или кэшированные данные не считаются? Проверьте кто-нить, плз, а то на работе запарка - некогда.

Viz99
может быть и авторизация...короче буду смотреть, если народ пишет что все ок, то значит грабли у меня...нет на all users я сразу убрал, поставил на пользователей из ad..

Yrik123
А ты фильтр подцепил на http протокол? У меня сейчас работает и без него, но на тестовом серваке пришлось прикреплять...
Прошу прощения, туплю. А попробуй тогда этот фильтр наоборот отключить от протокола