» MS ISA Server (часть 1)

UNKNOWING

Дело в том, что изначально blackice, когда он еще на был куплен iss, позиционировался именно как IDS для небольших home сетей, а не как firewall. И, подтверждаю Gipro, в этом качестве прекрасно работал в связке с исой, очень успешно дополняя его именно в качестве IDS (а база атак у него огромная, не чета исовской). Ну а после покупки в него стали встраиваться как функции расширенного firewall, так и, например, контроль active applications. Вот тут у меня пошли глюки, я пробовал этот apps отключать, но было как-то не очень корректно и, при отсутствии у меня массовых атак на сервер, во имя стабильности системы я blackice убрал. Идеальным вариантом было бы использовать старые версии blackice, но с обновлением новой базы, но это наверное невозможно

Gipro

ну батенька, никто и не спорит. лично у меня винда вызывает дрожь в руках и коленках, когда она стоит на шлюзе/маршрутизаторе. а два файрвола на компе - это слишком, со всех точек зрения - неоправданой увеличения нагрузки, да хотя бы просто лишнего ПО на сервере.


Добавлено
izograv

Никто и не спорит,. я говорю о двух файрволах на сервере. IDS встроенная в ИСУ корява, и в некоторых случаях служит причиной отказа сервисов. Например у меня, она блокировала ДНСы прова, считая его ответы как атаку. Эти сообщения о атаке с 127.0.0.1, единственное обьяснение которое нашел - кто-то посылает пакеты с Source в заголовке пакета 127.0.0.1. нахь? не наю. лично я отключил IDS ИСЫ, и пока тьфу, тьфу,. Есть глюки с ВПНами, и т.д. с АД,. но мля, когда у МС все нормально было?

Опять проблемы с иса серваком

Происходит такое: ввожу в браузере адрес сайта на который хочу зайти нажимаю Enter он в ответ нельзя. Я нажимаю рефрешь, он заходит Как так? Такое часто происходит. Вот пример ответа на запрос:

На некоторые сайты в инете вообще зайти не могу. Конечно используется список банерных сайтов и резка контента, но даже при отключении онного не заходит.
Например на www.mail.ru ну ни в какую... главное пингую mail.ru всё нормально, а открывать не открывает. Долго коннектиться, а ответ в итоге:

Цитата:

Cannot find server or DNS Error
Internet Explorer

На этом же компе с исой стоит апачи. В протоколах открыт порт 80 in tcp. Всё равно зайти не могут. Пришлось в publishing >> Web publishing добавить сам сайт.... Я думаю это не правильно же? Есть идеи?
P.S. В свойствах сервака в incoming стоит порт 80, enabled ssl включена (даже не знаю стоит её включать?). В Packet Filters стоит any:both.

Cuba
По вопросу mail.ru и далее копай свой ДНС.

Цитата:

На этом же компе с исой стоит апачи. В протоколах открыт порт 80 in tcp. Всё равно зайти не могут. Пришлось в publishing >> Web publishing добавить сам сайт.... Я думаю это не правильно же? Есть идеи?

Почему это не правильно???
Апач какой адрес прослушивает внутренний или внешний??

Klisha

Цитата:

По вопросу mail.ru и далее копай свой ДНС

Там всё нормально, всё проверял, всё остальное работает,а пара сайтов нет


Цитата:

Почему это не правильно???
Апач какой адрес прослушивает внутренний или внешний??

А это как проверить?

Помогите решить проблемму
Есть локальная сеть организации, домен, AD,ISA. На одном из серверов (не ISA) организован удаленный доступ по dial-UP. При входе в сеть с удаленной машины по dial-up, сеть видится нормально, в том числе и ISA сервер, все пингуется, но в Интернет не пускает (удаленное соединение происходит от имени пользователя, которому разрешен выход в Интернет).
Подскажите где подстроить. Плиззз.

IgorAl
Вся проблема в том, что ISA сервер не знает куда отправлять ответные пакеты... Судя по всему у тебя удаленный клиент получает IP по DHCP... в такой связке мелкомягкие чего-то там не доработали... работает это криво


Добавлено
Cuba


Цитата:

А это как проверить?

В конфиге апача

Klisha
Поставил для удаленного соединения статический адрес, проверил его в сети организации - все ОК. Но проблема осталась.

IgorAl
Я подозреваю, что на ISA надо прописать статические маршруты на сервер удаленного доступа для адресов, которые этот сетвер выдает.
Хотя на 100% не уверен.

Я тут отчасти под влиянием обсужденного на этой странице решил снова поставить в дополнение к исе blaсkice.
Не для развлечения - просто меня, кроме паршивых исовских IDS функций, оченно раздражает невозможность ограничить что-либо средствами исы в локальной зоне. Пишу о результатах следуя рекомендации в шапке (писать подробнее):

Основной конфиг сервака: C1.7, 512, ц2к sp4 engl, AD, ISA интегр. mode, Mdaemon, Sendmail, Dnews, MS SQL, NAV corp. client,
Diskeeper & Undelete server, активно работающий IIS, Tmeter, 4 интерфейса, 2 параллельных коммутируемых внешних канала (модем+ISDN).

Порядок установки blaсkice server:

- версия 2.5;
- апдейт до 2.9 (обе у меня сохранились в архиве);
- апдейт по последней через онлайн.
При установке 3.6 cbx была отключена apps protection. После установки исовския IDS была выключена.

Рез-ты:
- 2 недели уже все без малейших проблем;
- ну и полное удовольствие от наглядных результатов полноценной IDS.
Про спу: примерно постоянно 2-3 процента, при массовых атаках - до 30 %

бай, на конфигом прошу не смеяться, "люди мы неместные и небогатые", денег на лишние серваки нет, да и не нужно этого.

Следующая задачка по ISA:

Есть машина во внутренней сети, есть ISA (смешанный, авторизация для всех).
Стоит клиент банк, связь через дозвон по модему в пул банка, подключается к почтовому серверу банка, и гоняет почту туда-сюда.
Если ставишь на машину firewall клиент, то дозвон идет, соединение устанавливается, но обмен данными не происходит, видно клиент блокирует доступ к внешней сети (наверное через winsock).

Как это можно обойти?
т.е. чтобы можно было и через dial-up подключаться к банку и через клиента работать с обычной почтой.

Добавлено
схожая проблема рассматривается вот здесь:

Solving the Mystery of the VPN/RAS/Web Proxy Client
http://www.isaserver.org/tutorials/Solving_the_Mystery_of_the_VPNRASWeb_Proxy_Client.html

Уважаемые!
Никто не сталкивался с такой проблемой:
Два офиса соеденены по VPN.
на обоих концах - ISA
почти всё работает на ура(например ping),кроме:
а нельзя из одной сетки зайти терминалом на сервер из другой сетки
б то же для citrix серверов
PS:в обоих офисах выход в интернет через ADSL
проблема сосотоит в том, что если отключить клиента файервола и работать через security NAT, то всё работает.

Подскажите плиз дараггие Исовцы. Мой исуля уже 2 недели не делает репорты притом что соответствующий репорт джоб в Мониторинг конфигурэйшн - энейблд.
Где могет трабла быть?

кто знает, какие порты использует FireWall Client (на серваке), информация необходима для того, того чтобы можно было настроить Tmeter для подсчёта траффика юзеров не использующих проксу?

Bacilla

Про порты - не скажу, но вот насчет самой идеи: не проще (точнее, не целесообразнее)ли исп. анализаторы логов (или логгировать в sql)? Потому как с tmeter или общий трафик так получится считать (но без разбивки по юсерам это наверное малоинформативно), а если по юсерам - это отдельное правило для каждого нужно, как с производительностью тогда?

Давненько тут пробегал вопросик от Dymond:

Цитата:

ISA выдает ошибку -
HTTP 502 Proxy Error - The size of the response header is too large. Contact your ISA server administrator. (12216)

и ответ на него:

Цитата:

Проблема известна нам.

Это браузер глючит при работе с куками, когда трафик идет через прокси.

Лечится просто:

Просто закрываем все окна браузера, потом идем к нему в настройки, и очищаем куки, и кеш!

После этого все нормально будет.

Жаль я не читал эту тему раньше, ответил бы:

Проблема на самом деле проще. Не в броузере, а скорее либо в серваке, либо в коде... От ру-боарда приходит большой cookie на 5 кил (у меня) В основном это lastvisit =... с тучей "----", у ISA по умолчанию стоит максимальный размер заголовка в 4 Кб, отсюда и проблема.

Выход очень простой, надо увеличить размер максимально допустимого заголовка (но не увлекайтесь)

Например, так:
--- Содержимое Fix - The size of the response header is too large.reg

Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters]
"MaxRequestHeadersSize"=dword:00032000
"MaxResponseHeadersSize"=dword:00032000

izograv
анализаторы логов - это хорошо, но используя Tmeter я смогу ограничить траффик юзерам и реально видеть кто и на какой скорости качает !
по поводу производительности, я не думаю, что для десятка юзеров сервак загнётся!

могет как то мона ограничить диапазон портов для Firewall Client'a ....

p.s. могет кто смогет предложить альтернативу для раздачи квот, инет раздаю по айпухам

Bacilla
для ISA же были решения квотирующие пользователей

abzac
1. TrafficFilter не работает с айпухами!
2. ща качаю SurfControl 4.5 for ISA Server, 74 метра! (я в шоке, ну и фильтры)

могет кто то всё таки знает как разобраться с портами Firewall Client'a?

Вроде как есть TrafficQuota... http://www.trafficquota.com
Правда не уверен, что она может ограничивать трафик по ip, но по юзерам она это делает замечательно.

Кто-нибудь знает, где можно найти ISA Server 2004 Beta?
Охота посмотреть, что там нового...

NSentinel

Цитата:

Проблема на самом деле проще.

пригодится. спасибо.

Всё облазил не найти!!!!!!
нужно:
Title: 813864 FIX: Site and Content Rules Do Not Filter Based on File Name Extensions

Hotfix: 1200.264

Link: http://support.microsoft.com/?id=813864

Files: 28-Apr-2003 22:40 3.0.1200.264 178,448 Mspadmin.exe

Files: 28-Apr-2003 22:40 3.0.1200.264 102,160 Msphlpr.dll

Files: 28-Apr-2003 22:40 3.0.1200.264 391,440 W3proxy.exe

Files: 28-Apr-2003 22:40 3.0.1200.264 299,280 Wspsrv.exe

Summary: When you use Content Types (HTTP Content) in Site and Content Rules to deny or allow requests for downloading specific files (for example, .exe files), ISA Server does not deny or allow the request if you only have the file name extension (for example, .exe) configured in the appropriate Content Group.

This problem occurs only when you serve outgoing HTTP request through ISA Server.

или

Title: 824246 "Response with Cache-Control: s-maxage=0 does not expire immediately"

Hotfix: 1200.281

Link: http://support.microsoft.com/?id=824246

Files: -Jul-2003 18:42 3.0.1200.281 178,448 Mspadmin.exe

10-Jul-2003 18:41 3.0.1200.281 103,184 Msphlpr.dll

10-Jul-2003 18:41 3.0.1200.281 392,464 W3proxy.exe

10-Jul-2003 18:41 3.0.1200.281 299,280 Wspsrv.exe

Summary: If you use Internet Security and Acceleration (ISA) Server 2000 in either a Web publishing scenario or a Web proxy scenario, ISA Server may not immediately expire a response that contains the Cache-Control: s-maxage=0 header. This header is used to tell a proxy server not to use an entry after it is delivered to the requesting client unless it first revalidates the entry with the origin server. A value of 0 means that the cached response should expire immediately.

Пришла мне посылка с бета2 версией ИСА2004 стандарт эдишен. Ентерпрайз будет весной, пока поставил и не узнал продукта. Теперь оно больше похоже на файервол и впн сервер чем на прокси. Совсем другой уровень! Бешено доволен микрософтом, в кои то веки

Добавлено
Завалили меня за пару часов письмами про ису.
Не ответил никому, все читают тут
http://forum.ru-board.com/topic.cgi?forum=35&topic=2319&start=100#lt
и думают как это устроить

Цитата:

Бешено доволен

Согласен.
Чтиво на 2004 не выходило?

как опубликовать контроллер домена AD2000 для клиентов в DMZ зоне?
какие порты, протоколы и направления должны быть доступн для клиентов?

SpiderPlus


http://support.microsoft.com/?kbid=289241

а вообще это не благодарное дело, и лучше это делать по ВПН, тогда граблей удет меньше. Патаму шо, ИСА 2000 не поддерживает публикацию любых сервисов, а только перечисленных. Например, мне РАдмин пришлось публиковать как ХТТПС сервер. Вооот. И опубликовать все нужные порты врядли удасца,. а если получица - то это все равно непрально, потому что слишком уж громоздко будет. Луче на крайняк поднять ВПН сервер, и подключать клиентов, Так они не видет внутренней сети, и имеют доступ к АД,.

После восстановления системы (Windows 2003 Server Std.) ISA Server не хочет ни удаляться, ни устанавливаться. Службы ISAS не сохранились, а сам он установлен, но, конечно, не работает.
Как его удалить меня больше не интересует, а вот как переустановить?!

При установке пишет "Could not initialize ISA Server settings.", смотрел решение этой ошибки на Microsoft'е - не помогает.

Не поможете чем можете?

Ну чтобы переустановить, тебе его все равно анинсталить придется. Запускай rmisa.exe и вперед...

UNKNOWING:

сервисы в ИСА публикуются достаточно лихо, хотя и криво иногда. Просто надо знать, что и как публиковать. А вот зачем публиковать RAdmin? В смысле, к машине подключиться за ИСА сервером? Делаешь Protocol Definition на RAdmin (порт, направление), потом Server Publishing Rule на этот definition - и все. Какие там громоздкие схемы?

Zheka009

Вот подумал что умный человек глаза мне отрклы,. Думаю пойду еще раз посмотрю,. Что вижу,.

Создаю тестовое правимло в определениях протокола, допустим на порт 12345,. захожу в закладку Server Publishing Rule, создаю новое правило,. и в списке протоколов что я вижу??? правильно,. ничего своего не вижу,.
Заметил только случайно,. Если мой протокол, портами совпадает с один из defined by ISA Server, тогда в списке он отображается,. Такшо ИМХО публикация может происходить только по избранным портам,.

Если не прав - переубеди,.

Не,. даже не так,. Если мой протокол совпадает портами с один из протоколов из НЕКОТОРОГО СПИСКА (который ты можешь видеть при создании нового правила публикации), тогда он виден в списке протоколов при создании правила,.

такшо молд. чек,. Либо переубеждайте, либо говорите о том, что знаете из личного опыта,.

З.Ы. на молд. чека не абыжаца,.