» MS ISA Server (часть 1)

Такая есть проблема. Любому юзеру или группе в Site and Contents Rules во вкладке HTTP Content снимаю с любого контента птичку или даже все птички стоят и открываються вэб странички через одну, даже больше неоткрываються.... Как только в HTTP Contents выбираю All Contents Group, то всё в порядке, всё без проблем открываеться - ну и естественно вообще всё - и mp3 и avi....
Переустанавливал Ису, ставил даже на другую винду - ничего непомогает
Может у кого такой трабл был отзовитесь плиз!!!

Товарищи админы,извиняюсь разобрался.У меня шлюз не был прописан.А теперь возник такой вопрос: я настройки прописал вручную,как настроить DHCP-сервер,шоб адрес шлюза назначался автоматически.
Сенкс

Еще раз извиняюсь господа админы,спасибо што вы есть.
разобрался...

skylined
В настройках DHCP сервера это все есть - покопайся - все найдешь

Цитата:

У TREND MICRO есть хорошии антиврь и для исы и для 2003

2003win не поддерживается и не планируется до 2кв. 2004г.

Вышла новая бета TrafficQuota:

What's New in TrafficQuota
==========================

[+] - new features
- changes
[!] - significant changes
[-] - fixed bugs



=== Version 1.0 Beta 2 (from 11/09/2003) ==============================

[+] Added possibility to define a default quota (applied for the user when there are no any quotas defined for this user).

[+] Added possibility to reset an actual users' traffic ('Reset Traffic' in user popup menu).

[-] Web Proxy service crashed sometimes.

[-] The Access Policy was opening slowly.

[-] The Traffic Statistics page wasn't opened sometimes.

[-] User names were not displayed on Traffic Statistics page sometimes.

[-] Negative values was displayed on Traffic Statistics page sometimes.


http://www.trafficquota.com

Уважаемые исашники подскажите плиз как поставить ограничение по трафику на определенных юзверей?

Но при пропытке обращения в инет людей у которых не стоит firewall client доступ в инет через ISA-прокси, выдается HTML-страница с самого сервера на котором стоит ISA.

Тогда не понятно ситуация как может выдаваться страничка сервера с ISA, если IIS стопанут????? чего то ты путаешь тогда



Нда, прикольная вещь ISA. Проблему которую я описал вылечил с помощью изменения порта 8080 на другой. После смены порта, прокся снова заработала.

skylined
например пост выше...
olegnur
Явно где-то бага в настройке была.. ты просто от нее ушел, но проблему не решил...

Klisha
Сенкс,но к нему лекарства нигде нету...
А еще интересно кто каким антивирем пользуется в связке с ИСОЙ?

skylined
InterScan WebProtect
Ресурсов жрет немного, а толк есть.

skylined
Почитай топик внимательно! там полно было ссылок!

Я лично пользуюсь Surfcontrol, но у него проблемы с гибкостью

Доброго времени суток

два вопросика

1. Возможно ли на Isa не кешировать определенные HTTP запросы, есть банковский крипто клиент ДиалСофт/НТ5(ставится как локальная прокся под IE у юзеров), так при включенном кеше на ISA он не работает, а трафик вырастает ~20% без кеша.

2. Если логи Isa лить в SQL, не встричал ли кто скрипта или чего еще, чтоб можно было на корп.WEB вывешивать статистику юзеров по их запросу.

Дорогие Исашники,не видел ли кто-ндь доступной инфы по настройке ВПНа на Исе?
Сенкс.

skylined

А Какая тебе нужна инфа? Все крайне просто.

Как минимум нужно два действия - в IP Filtering в Свойствах в закладке PPTP ставишь галку - PPTP trough firewall, создастца правило SecureNAT PPTP

а дальше создаешь ВПН подключение, либо мастером (тем которым создаешь диалуп подкл.) либо через службу RRAS, в роутинг интерфейсах создаешь DemaindDial Interface, с которым уже крутишь,. Вот и все,. дальше тонкости по роутингу и т.д.

И еще обязательно добавь в ЛАТ ИП которые с другой стороны ВПНа.

З.Ы , Это настройка если ВПН сервер не у тебя. Если у тебя все проще,.

UNKNOWING
Общая схема понятна,но дело в том шо у меня такая трабла.Как тока запускаю службу маршрутизации - на клиентах отрубается инет нафиг.В чем тут может быть фикус?

Есть проблема:
В логах сервака постоянно лезут сообщения об атаках, сканах портов и подборе пароля. Стоят конкретный айпи. Как можно на исе заблокировать доступ на эти айпи, или забанить на определенное время определенную подсеть? Как вообще можно бороться с подобными атаками?

у меня проблема - стоит isa server и он соединен с другим isa server в другой подсетке. все мои клиенты у которых стоит firewall client видят все порты, так как я их пакеты пересылаю на другой isa, а сам и ничего не вижу ( "тут мат"), пробовал установить у себя firewall client все работает, но и прокси и firewall при загрузке ругаются и запускаются со 2 раза, как БЫТЬ??
и вообще, кто нибудь точно знает что будет если установить isa server и client на одной машине?

Gyt

Цитата:

у меня проблема - стоит isa server и он соединен с другим isa server в другой подсетке. все мои клиенты у которых стоит firewall client видят все порты, так как я их пакеты пересылаю на другой isa, а сам и ничего не вижу ( "тут мат")

Мата не нужно, нужно маны читать Настрой пакетные фильтры. Очень часто этот вопрос туго понимается: разрешения, которые действуют для клиентов, не распространяются на сам сервер. То есть когда ты устанавливаешь необходимые разрешения для клиентов - это одно, а разрешения для самого сервера - совершенно другое. Пример: для разрешения доступа клиентов по http необходимо в протокол rules добавить allow http. Для разрешения доступа самого сервера (то есть ты работаешь на сервере, на котором установлен иса) нужно в packet filers add allow http. Второй пример: многие админы, переходящие с msp на иса не могут понять, почему с самого сервера не получается заходить по ftp, хотя у клиентов все работает. По той же самой причине. Ну про port и pasv с самого сервера я не писать не буду

Добавлено
Cuba

Цитата:

Есть проблема:
В логах сервака постоянно лезут сообщения об атаках, сканах портов и подборе пароля. Стоят конкретный айпи. Как можно на исе заблокировать доступ на эти айпи, или забанить на определенное время определенную подсеть? Как вообще можно бороться с подобными атаками?

BlockAttacker скрипт ? (isa.tools)

2izograv

у меня все везде разрешено!!? в чем я понимаю суть проблемы: если бы я у себя в качестве gw указал бы ису на которую ссылается моя иса, то оно бы работало!!, но я не могу так сделать потому что она сидит в другой подсетке, соответственно весь мой трафик идет на мой gw в подсетке (только что он там делает??)!!!

izograv

Цитата:

BlockAttacker скрипт ? (isa.tools)

Я не понял как работает данный скрипт...
Дело в том, что сама иса не кричит что атака, так как в исе настроенно что можно к серваку любой протокол всем туда и обратно.
А вот в логах винду, там полно неправильных входов.

Дальше больше... атаки идут с разных айпи постоянно... если в скрипте нужно в ручную прописывать все их то я каждый день буду сидеть с ними, автоматом можно?

skylined

Батенька,. ну вроде ж не маленькие,. а вопросы,. Могли же хоть описать,. что стоит, как настроено, как работает,. что имеешь ввиду под службой маршрутизации. Если RRAS так и напиши. (если стоит ИСА она запущена по умолчанию),. А то встречались пациенты, которые так называли винроут, вингейт,. а то и просто ICS,.

Cuba
Атаки будут всегда...ты же подключен к инету.. может не париться по этому поводу??? гораздо хуже будет если ISA не будет регистрировать атак - тогда стоит задуматься: может в настройках что не так....

Klisha

Цитата:

Атаки будут всегда...ты же подключен к инету.. может не париться по этому поводу??? гораздо хуже будет если ISA не будет регистрировать атак - тогда стоит задуматься: может в настройках что не так....

Окей, ясно, спасибо
Вопрос2. Можно тогда как нить вручную хотя бы, забанить конкретный айпи на доступ к серваку? Ну или под сеть определенную... ?

Кто-нибудь видел хоть одну книгу про MS ISA Server, написанную или переведённую на русский язык?

UNKNOWING
В том-то и дело шо по умолчанию она была отключена, а для ВПНа она как я понимаю необходима. Вот и трабла шо там в настройках прописать шобы инет на уоркстейшенах не отрубался? Мож статический пул айпи?

skylined

Фуххх,. ИСА работает как маршрутизатор и без RRAS, и по умолчанию, может быть и отключена,. утверждать не буду. Ты сначала почитай про настройку исы,. 4 шага, для того чтобы был инет на компах,. 2 пути.

1. Просто прокси,. Копаешься в настройках ISA Web-proxy, и прописываешь его в ИЕ, еще убираешь проверку на доступ в настройках Outing Web Request. (Плюсы - будешь ходить на все сайты , включая содение на нестандартные порты типа www.web.com:8213)

2. Ставишь как роутер,. Для этого:
а) Ставишь в настройках клиентов ИП в шлюз и ДНС, (должен быть поднят ДНС на сервере)
б) Разрешаешь все в закладке безопасности Protocol Rules- разрешаешь все, для всех,.
в) в IP Filtering, оставляешь как есть,. Просто его включаешь,.
г) Добавляешь свою локальную подсеть в Network Configuration-->LAT

Все должно заработать,. Просмотри внимательно свойства своего сервера Servers and Arrays-->ISAServer,. там много чего полезного для понимания работы сервера, включая авторизацию и т.д.

Цитата:

Вопрос2. Можно тогда как нить вручную хотя бы, забанить конкретный айпи на доступ к серваку? Ну или под сеть определенную... ?

Cuba
забанить напрочь доступ к серверу (скрыть сервер) можно, например, дополнительным простеньким фаерволом типа BlackICE (новые версии блэкайс конфликтуют, вроде с одной из служб ISA, я было дело, ставил что-то типа ~3.5cvb - всё нормально работает)

а НЕ РАЗРЕШИТЬ ходить в инет можно (и нужно) делать в самом ISA: Policy...> Client address sets. Вот.

Добавлено
Cuba

Цитата:

Дальше больше... атаки идут с разных айпи постоянно...

Кстати, с помошью доп.фаера типа блэкайс, ты сможешь разгрузить немного и системный журнал от сообщений ISA. Тока надо в фаере также разрешить все порты и протоколы, что нужны для работы.

Насчёт производительности волноваться не стоит, т.к. у меня такая конфигурация в одной конторе работает на P200MMX и 192 мозгов и 30 компов смело ходят под 2 мегабита в инет (а штук 12 долбятся в сервер и отдыхают), диск сказёвый спасает, но пришлось всё же сделать кэш=0 - на этот случай есть отличный апстрим SQUID-прокси.


Добавлено
Arsenic

Цитата:

Кто-нибудь видел хоть одну книгу про MS ISA Server, написанную или переведённую на русский язык?

Вот и там же выше Borgia кое что отсканировал из книги. Также обрати внимание - в шапке

Цитата:

Статьи по ISA на русском - да, и вообще конкретный сайтик!

Удачи!

Gipro

Прости,. Но это ИМХО бред,. Ставить на сервер два файрвола?? ИСА позволяет обходится ее средствами, со всем, что не связано с шейпингом трафика,. (Прошу к словам не придираться)

Cuba
Ты могешь "забанить" один ИП. При создании фильтра в IP Packet Filtering, указываешь Block вместо Allow и в конце указываешь вместо All remote computers --> Only this remote computer.

ну а подсеть, может как-то и можно, но извратным методом, типа добавления ее в лат, потом в клиент груп, и запрещения куда либо, чего либо,. Может и будет работать,. но изврат это,.

Не люблю МС, а что делать,..

Gipro
UNKNOWING
Спасибо, разобрался....
правда с этим blackice он не то что глючит маленько, после становки ваще контролер домена пал с синим экраном !!! Еле восстановил его ! Спасибо, кульный файерволл

UNKNOWING

Цитата:

Прости,. Но это ИМХО бред,. Ставить на сервер два файрвола?? ИСА позволяет обходится ее средствами, со всем, что не связано с шейпингом трафика,. (Прошу к словам не придираться)

Уважаемый! Бред это, или не бред, однако работает вышеописанная схема уже как 3 года без сбоев, и очень всё просто настраивать. Притом, что при таком быстром канале желающих поломать извне много находилось, но увы - стоит фаервол как пуленепробиваемый!

Cuba

Цитата:

Спасибо, кульный файерволл

так ты наверно, новую версию его ставил Я ж предупредил, что у новых службы конфликтуют.

Как хотите вопщем , я поделился своим ноу-хау