» MS ISA Server (часть 1)

JcVai

Цитата:

Тогда проверь наличие авторизации на внешнем интерфейсе
и разрешенные твоему аккаунту destinations.

На внешнем интерфейсе нету авторизации.
Моему аккаунту разрешено всё и вся!!!

Но нифига не видно. Пишешь публичный FQDN - не показывает, пишешь внутренний FQDN - показывает.
ГДЕ КОПААААААТЬ?????

JcVai
Ну то что аппаратный файр+роутер мне нужен как воздух перед ISA это точна (и не тока из-за SYN флуда) но не на все в нашей стране с радостью выделяют, приходится придумывать "гениальные способы решения"

с таймингами поиграться тоже не факт, что так сразу поможет. можно оказаться в ситуации когда просто начинает зависать служба пакетного фильтра в ИСЕ.

Кому данная проблема актуальна рекомендую почитать вот тут _http://unix.net.ua/pdf/1_04_syn.pdf
помойму более чем исчерпавающе описаны борьбы с этой напастью
а так вопрос можно считать закрытым.

JcVai
создал новый протокол - описал в нем порты (посмотрел через Wininternals TCP View на наружной машине),
сейчас соединяется с сервером регистраций, иногда загружает телефонную книгу с сервера, при попытки набрать сигнал, уходить и вываливается - ошибка сети.
Не могу тольго понять какое правило нужно для UDP - Send & Receive?

Всем привет, вопросик мелкопаскудный как подружить ISA с внешней проксей? Никто не пробовал?

olegnur
Network Configuration -> Routing -> Делаешь новый руль или редактируешь дефолтовый -> Вкладка "Action" -> Routing them to a specified upstream server
Не забудь в пакетных фильтрах прописать разрешение на этот прокси.

abzac
Я приложения, требующие входящий udp, публикую через server publishing rules,
Предварительно создав protocol definition, в котором основным (первым) идет
входящее tcp-соединение, а остальные исходящие и входящие tcp и udp
прописываю в secondary connections. Пока проблем не было.

leorick

Цитата:

Не забудь в пакетных фильтрах прописать разрешение на этот прокси.

Гм... А это зачем???

JcVai
У меня только так работает, стоит только отключить пакетный фильтр, разрешаюший доступ компа с ISA на этот внешний прокси по соответствующему порту, как сразу иса пишет, что потерян доступ к Upstream proxy и переключается на резервный - там у меня Direct to Internet.
А у тебя работает без такого правила?

leorick

Цитата:

А у тебя работает без такого правила?

Да, и без всяких проблем... Может у тебя просто проблемы с коннектом на этот прокси и связь отваливается по таймауту?
PS: У меня резервный - то же вышестоящий прокси и все работает как часы...
пока проксик не закроют, тогда приходится поднимать список свежих анонимных прокси и прописывать новый.
Правило route для доступа через вышестоящий прокси сделано только для некоторых сайтов по принципу: destinations= *.domain.com : /*


Добавлено
2All:
Кстати, ни у кого не появлялось проблем с ntlm-авторизацией при работе через терминальную сессию непосредственно на сервере с ISA после установки ISA SP2?
Перехват запроса показывает, что он отправляется с привилегиями одного из DC,
а не учетной записи работающей на сервере терминалов с ISA-ой.
plain text и digest при этом работают без проблем.

Спасибо за инфу, еще вопросик. Пишем правило на запрет доступа к сайту. Правило работает, юзвера матеряться, только мне не понятно, когда логи смотрю, интересная картина: исходящий трафик на этот сайт есть, а входящий 0. Выходит ISA отсылает запросы. А можно ли совсем прикрыть доступ, что бы вообще рубился даже запрос на сайт?

olegnur

Цитата:

Выходит ISA отсылает запросы.

По идее ISA рубит все, что удовлетворяет соответствующему правилу блокировки и идет через http/https.
А в логах у тебя д.б. запросы полученные ISA-ой, а не отправленные на сайт.

Добавлено

Цитата:

Кстати, ни у кого не появлялось проблем с ntlm-авторизацией при работе через терминальную сессию непосредственно на сервере с ISA после установки ISA SP2?

Разобрался: после установки SP2 for ISA на сервере сбился порядок использования сетевых интерфейсов.

Здравствуйте.
Помогите кто нибудь. Проблема такая.
Под ISA стоит ProxyInspector, трафик нета учитывается, а учет трафика почты не могу настроить.Он его совсем не показывает....

Проблема с автоопределением и аудентификацией


Имеем: сервер win2003, являющийся контроллером домена, сервером DNS, DHCP и ISA.
В исе включено требование проверки аудинтификации.
Если у клиента web-прокси в настройках Explorer указать адрес и порт сервера вручную, работает отлично. При полытке использовать автообнаружение, выдает 403 ошибку.
Проверил: запись wpad существует и коректно ратотает - отвечает на ping и т.д. Автообнаружение в ise включено.
По неясной причине, клиентов с указанным вручную IP прокси определяет корректно(логин пользователя), а клиентов автообнаружения- как анонимных пользователей.
В чем дело?

Настроил в ИСЕ запрет на банеры, но столкнулся с одной проблемкой:
если просто запретить - проходит по запрету запрос пароля.. (убрать запрос)
если редирект - постоянно становиться активным. (редирект на пустую страницу)

пожелания в скобках.
жду ваших советов..

sergiigray
Как настроил? Если можно подробнее.

sergiigray
У меня стоит redirect на http://127.0.0.1 - никаких проблем.

Что бы при попытке доступа на запрешенные ресурсы не вываливалось окно аутентификации, можно сделать так

1.From the Start menu, click Run, and then type regedt32 to start Registry Editor.
2.Locate and then click the following key in the registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3proxy\Parameters
3.On the Edit menu, click Add Value, and then add the following registry value:
Value Name: ReturnDeniedIfAuthenticated
Data Type: REG_DWORD
Radix: Hex
Value Data: 1

И в броузере будет просто ошибка выпадать

Ставил ISA на Dedicated Server где доступ только через терминал сервис и упс.... не прочитал перед етим редми и мне весь сервак закрыло ... не заити не под каким боком ... так, что если кто пихает ИСУ удаленно читаите ето поможет Remote Administration of ISA Server 2004

Ставлю на чистую машину Win2000SRV+AD, ISA2000, Exchange2000.
Далее - инет из локалки есть, почта ходит внутри домена, почта иногда(часто, но не всегда) уходит наружу. НО внутрь не ходит. WebServer не публикуется. Все настройки облазил по винтикам - по идее все должно работать - но не хочет.
При этом у меня сложилось впечатление, что IPfilter просто не работают! Т.е. создаю правило, перегружаю сервис - эффекта нет.
Nslookup говорит "*** Lockalhost can't find domain.ru: non-existent domain"

Что можно предпринять в этой ситуации?

Добавлено
Например, открываю 25 порт, делаю telnet domain.ru 25, происходит ошибка - "подключение к узлу утеряно"

Krechet
1. Проверить настройки IP Packet Filters (правой кнопкой на "папке" - свойства)
2. Проверить DNS ( свой свервер у клиентов и на сервере форвардинг на dns провайдера).

JcVai
IP Packet Filter включены - все нормально... За эти дни столько доков по исе прочитал - больше чем за все предыдущее время. Все выглядит нормально.

Про ДНС еще не читал.
Что проверять у себя?
У провайдера все настроено - МХ, обратная зона и т.д. - все что нужно вроде есть.

Не могу понять почему не активируются я вно отрытые порты(т.е. не активируются фильтры)


Деталька - в логах после перезагрузки сервера ошибка(точнее две):

Цитата:

Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5774
Дата: 24.06.2004
Время: 11:18:42
Пользователь: Нет данных
Компьютер: FOTON
Описание:
Не удалось выполнить регистрацию DNS-записи 'olden.net. 600 IN A ххх.ххх.ххх.ххх' из-за следующей ошибки:
DNS-сервер не смог обработать этот формат.
Данные:
0000: 29 23 00 00 )#..

ххх.ххх.ххх.ххх - внешний ИП

Цитата:

Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5774
Дата: 24.06.2004
Время: 11:18:45
Пользователь: Нет данных
Компьютер: FOTON
Описание:
Не удалось выполнить регистрацию DNS-записи 'olden.net. 600 IN A ууу.ууу.ууу.ууу' из-за следующей ошибки:
DNS-сервер не смог обработать этот формат.
Данные:
0000: 29 23 00 00 )#..

ууу.ууу.ууу.ууу внутренний ИП

Krechet

Цитата:

Что проверять у себя?

Что бы ресолвились интернет-домены,
например пускай в консоли "nslookup.exe gov.ru".
Если получишь в ответе IP - все ок, нет ковыряй dns.


Цитата:

Не могу понять почему не активируются я вно отрытые порты(т.е. не активируются фильтры)

А как ты это проверяешь? По IP-адресу пробовал соединяться?


Цитата:

Деталька - в логах после перезагрузки сервера ошибка(точнее две):

А что за olden.net???
Есть подозрение, что у тебя неверно расставлены приоритеты сетевых интерфейсов.
Зайди в настройки-сетевые соединения, advanced-advanced settings и проверь,
чтобы в adapters and bindings первых (верхним) стоял интерфейс, смотрящий в локалку.

Есть учебник по исе на русском, если еще интересно пишите мыло(а) скину.

JcVai
Ну я же писал выше

Цитата:

Nslookup говорит "*** Lockalhost can't find domain.ru: non-existent domain"

Ответ - нет.
Точнее nslookup domain.ru говорит так, а nslookup ххх.ххх.ххх.ххх говорит
name: foton.olden.net
adress: ххх.ххх.ххх.ххх
где ковырять - понятно что в ДНС, а точнее не можешь подсказать


Цитата:

А как ты это проверяешь?

Откраваю 25 порт - стандартные почтовые порты, делаю telnet domain.ru 25 - "Подключение к узлу утеряно"
Настраиваю терминальное соединение и порты для него - ошибка: невозможно соединиться, пытаюсь сам подключится терминалом - тоже невозможно, при этом все нужные порты в ИСЕ открыты.


Цитата:

А что за olden.net???

Это название внутреннего домена, который в АД прописан.

Цитата:

первых (верхним) стоял интерфейс, смотрящий в локалку.

Ну естественно он стоит первым.

Krechet
Перенаправление запросов DNS
Running a DNS Server on the ISA Server

Как? Инсталирование ИСА на удаленныи комп ?
читал FAQ для ISA 2004
Цитата:

ISA Server can be installed remotely from a computer in the Internal network, or in the External network. If you choose to install ISA Server 2004 from an untrusted computer in the External network, Setup will add the external computer running Setup to the predefined Remote Management Computers set, used in system policy rules allowing remote management of ISA Server from selected computers.

Но что-то не получилось.
Ставитл ИСУ бета 2 .. что сама micro$oft дает.
на компе помимо Server 2003 Web живет
IIS (т.е он еше и евляется домеин контролером),
BEA WebLogic Server,
Oracle9i.

Отдаю себе отчет что в плане секюрити ето полная ж..а но нету пока денег на покупку еше одного сервера ( сам проект только стартуе, финансирование из дома ) но всеравно лутьше поставит стенку хот на ето, чем вообше без ниё.

посути дела ...
терминал сервис запушен.
Начинаю инсталировать ИСУ, дохожу до выбора сетевухи (он у меня один, так как внутренеи сетки нету, сама Иса рекомендует прописать какието левые ИП про которые я и в помоине не слышал ... даю еи то что знаю т.е ренге внешних ИП и свои ИП домашнии вроде как для RDP)
все глатает, ничинает дальше инсталяцию.... разрывает конект со мнои ... и все ... сервер наглухо закрыт!!!! Прошу хостера перегрузить server итог тотже все закрыто... даже пинг не идет..

P.S. может кто подскажет как правильно и экономично делат такие дела на Dedicated Serverах.

P.P.S. может всетаки купить еше один сервер дохленкии типа
Intel Celeron 2.4GHz RAM 512MB HDD 80GB Connectivity: 100Mbps ( и поставить на него только ISA и вторую сетевуху и кабельком затинут ее к серверу где все остальное ?) сама ISA не помрет на Celerone ?

P.P.S. хотел поставит типа Киски железяку но мне загнули 500$ в месяц ( охринели )

очень хотелось услышат совета спецов в етом вопросе....

2h00021C - имхо дождись релиза, остались недели.., ставь локально, создай фильтр для работы внешней сетевухи на прием с твоего домашнего IP
к том же я не уверен, что девятка (оракл) у тебя подружится с исой. Виндовая версия требует динамического дипазона портов на входящие соединения - при этом смысл исы теряется.

Селерона более чем достаточно, а вот памяти доставь. Сама иса мегов 256 заберет, у нее приоритет выше, но тогда умрет девятка.

Железку ставить самому ради одного сервера - перебор, но у хостера наверняка есть свой DMZ на PIX - спроси сколько будет стоить перенос сервера туда.

вот кусочек лога:

2004-06-28 07:20:25 10.17.1.250 10.17.1.255 Udp 137 137 - BLOCKED 10.17.1.250
2004-06-28 07:20:26 10.17.10.1 10.17.10.255 Udp 137 137 - BLOCKED 10.17.10.1
2004-06-28 07:20:26 10.17.1.250 10.17.1.255 Udp 137 137 - BLOCKED 10.17.1.250
2004-06-28 07:20:27 10.17.10.1 10.17.10.255 Udp 137 137 - BLOCKED 10.17.10.1
2004-06-28 07:20:27 10.17.1.250 10.17.1.255 Udp 137 137 - BLOCKED 10.17.1.250
2004-06-28 07:20:28 10.17.10.1 10.17.10.255 Udp 137 137 - BLOCKED 10.17.10.1
2004-06-28 07:20:28 10.17.1.250 10.17.1.255 Udp 137 137 - BLOCKED 10.17.1.250


10.17.1.250 - ip во внешней сети, маска 255.255.255.0
10.17.10.1 - ip в dmz, маска 255.255.255.0
10.17.30.1 - ip в локальной сети, маска 255.255.240.0

из-за чего появляются обращения на адреса 10.17.1.255 и 10.17.10.255 по порту 137? это же широковещательные адреса, зачем что-то искать там ISA?

SpiderPlus

Цитата:

Port 137 netbios-ns
NetBIOS name service (UDP)

firewalls: Firewall administrators will frequently see large numbers of incoming packets to port 137. This is due to the behavior of Windows servers that use NetBIOS (as well as DNS) to resolve IP addresses to names using the "gethostbyaddr()" function. As users behind the firewalls surf Windows-based web sites, those servers will frequently respond with NetBIOS lookups.

ничего удивительного в твоих логах нет

Народ, помогите с выбором.
Есть сеть с AD, DNS, DHCP, WINS, Mail, SQL. Все на трех машинах. Есть четвертая, в AD не входит, на ней WinRoute. Есть ли смысл переходить на ISA (склоняюсь больше к переходу всетаки) и самое важное как ее поставить (всмысле надо ли интегрировать комп в домен и вариант установки stand alone или интегрированный в AD).

Homuha
Я присоединяюсь к твоему вопросу, такая же проблема с почти схожей конфигурацией сети...
У тебя какой почтовик еще?