» MS ISA Server (часть 1)

Поставил Symantec AntiVirus на ISA. Не хочет ловить вирусы, зараза!
Там в настройках есть какие-то протоколы сканирования:
Native
ICAP
RPC
Какой нужен для проверки SMTP траффика?

так SMTP будет проверять только отправляемую почту...
у меня проверяет http, периодически прибивает вирусные скрипты

abzac

Цитата:

так SMTP будет проверять только отправляемую почту...

Это почему еще? Какой смысл тогда его ставить?

Добавлено
Разобрался. Все заработало, вирусню режет в SMTP только влет! Оказывается даже на триальную версию надо запросить у семантика ключ, который триальный. Но кажется у них изменился триальный период, в консоли "Expiration date" стоит всего лишь на 30 дней вперед, а не на 90, кто-нить в курсе почему так?

Добавлено
abzac

Цитата:

так SMTP будет проверять только отправляемую почту...

Как это ни странно, но ты оказался прав! Входящий SMTP траффик семантик не проверяет вообще! Кто-нибудь знает как с этим бороться?

А кстати, никто проги не знает, что-б из базы msqll отчеты выдавала, что isa2004 может катать ? Идея по типу wrspy, что-б тектовые логи обрабатывать, мне не нравится как-то



Цитата:

Как это ни странно, но ты оказался прав! Входящий SMTP траффик семантик не проверяет вообще! Кто-нибудь знает как с этим бороться?

Гм, ну можно например поставить у юзеров клиента от 9-ки - он умеет входящщую/исходящщую почту проверять, но это, как я понимаю в другой топик.

Pantalone
вообще то я думал что SMTP - протокол отправки сообщений
а уж IMAP/POP - чтения почты
только я не видел антивиря для ISA которые бы поддерживали IMAP и POP

Грабля с почтой.
Стоит ISA в режиме прокси (т.е. файрволл намеренно не установлен - он на линухе на другой машине). Надо пустить почту клиентов не через линуксовый файрволл, а через ISA. Поможите советом.

abzac
Как тогда понимать фразу в хелпе: Scan incoming and outgoing SMTP (Simple Mail Transfer Protocol) traffic for viruses.?

Pantalone - SMTP это протокол передачи почты между серверами. Так что вся почта извне на твой сервер идет по смтп. А вот юзверя ее забирают по имапу.
Антивирус входящий трафик тоже хватает, только ты вот уверен, что входящий почтовый у тебя идет через иса ?

Pantalone
Даже если нет проверки почты, то происходит такое дело - Ну вот смотри: приходит тебе вирусня, сервак ее сохраняет куда-нибудь в TMP и сразу же схватывает его файловым антивирем.
А вооюще-то антивири - это в другую тему

Цитата:

А вооюще-то антивири - это в другую тему

ну не знаю, антивиры то для ISA...

Krechet
Меня не устраивает туча сообщений в системном логе что где-то там в ТМП тысячи вирей прут. Да и не все они в ТПМ попадают, некоторые в почту валятся все равно, так что перехват на шлюзе это правое дело, другое дело в том что это не работает.

vaskes103
А что тут непонятного. На всех станциях прописываешь шлюз - адрес линуксоидного файера, а в свойствах эксплорера прокси - иса. Только иса у тебя должен стоять во внутренней сетке и только он должен иметь выход во внешнюю через линух по 80 порту (или по другому хттпшному). Тогда твои клиенты смогут ходить в инет по хттп только через иса.

avital
vaskes103

Есть такое понятие НАТ, так вот оно используется не только для раздачи интернета:

iptables -t nat -A PREROUTING -p tcp --dport 143 -j DNAT --to-destination $ISA_IP
iptables -t nat -A PREROUTING -p tcp --dport 110 -j DNAT --to-destination $ISA_IP
iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to-destination $ISA_IP

можешь еще и state сделать если хочешь,. на несипользование multiport не нарекайте на вскидку не помню синтаксиса,.

Со смешанными конфигурациями не всё так просто. Мне даже здесь ответить не могут:

http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=4;t=000977

Народ!! Мучаюсь с тем, сто нас перевели на VPN, т.е. раньше был внешний IP и шлюз, а теперь только через VPN можно выйти в инет, так вот проблема
КАК можно инициализировать это соединение самой исой (2000/2004) либо используя RRAS??

Kolyanius

1. На сервере, где установлена ISA создаем подключение VPN: Пуск-Настройка-Сеть и удаленный доступ к сети-Создание нового подключения
2. Затем ISA Management-Policy Elements-Dialup Entries- создать Dialup Entry
В поле Use the followingnetwork dial-up connection выбираем подключение, созданное в п.1
В поле Use this account вбиваем аккаунт VPN с паролем
3. Далее в ISA Management-Network Configuration-Routing-Default Rule Properties заходим на вкладку Action и ставим галку напротив Use dialup entry for primare route.

vaskes103
А что тут непонятного. На всех станциях прописываешь шлюз - адрес линуксоидного файера, а в свойствах эксплорера прокси - иса. Только иса у тебя должен стоять во внутренней сетке и только он должен иметь выход во внешнюю через линух по 80 порту (или по другому хттпшному). Тогда твои клиенты смогут ходить в инет по хттп только через иса.

Так уже сделано.
Вопрос в исе. Она настроена как прокси. Есть ли возможность получать через нее почты при такой настройке.?

Вопрос такой - есть домен и есть машина в домене, на ней поднята ISA, на этой же машине поднят RAS (настраивался он через ISA посредством Allow client VPN Conection). Если завести локального юзера на машине (с ISA и RAS) и дать ему право на внешний вход (DIAL-IN) - то войти этому юзеру - можно, а если же дать право на вход доменному юзеру (включив группу в которую он входит в остнастке Remote Acces в RAS) - то войти не получается - где грабли?

Блин, я сдурею с этих юзеров - они находят порносайты быстрее чем я обновляю бан-листы!
Задумался - вот я на Дельфях навалял простенькую программульку, берущую с MS SQL логи. По клику на юзера могу смотреть его посещенные сайты... Так вот вопрос - как мне ПРОГРАММНО внести сайт в список запрещенных в ИСА?
Принимаются все варианты, в т.ч. складывать в файлик txt и потом батником или скриптом в ИСА, хотя это конечно изврат... Кто-нибудь боролся?

PS: На стр. 41-42 поднимался вопрос как повыдергивать картинки из кеша ISA2000 - так он до сих пор открыт, CacheDir ничего не показывает

DogEatGod
вроде была в ISA2000 проблема с большими бан списками, вроде как тормозит и работает нестабильно...
еще есть SurfControl для ISA можно попробовать через него, да и база у него открытая можно прямо в нее писать...
а вообще существуют ли бесплатные обновляемые списки грязных сайтов?

Цитата:

а вообще существуют ли бесплатные обновляемые списки грязных сайтов?

Да они сущесвуют для Squid.
http://www.smartin-designs.com
http://www.squidguard.org/blacklist/
Для того чтобы их затолкать на ISA требуется программа на VBS я видел варианты таких программ на форуме http://www.winfaq.com.ru

abzac - вот не хочется запихивать туда большой список, к тому же там много варезных сайтов и мало российских. Вот вопрос и возник запрещать только максимальные по трафику сайты, которые уже нашли наши юзеры

Недавно с мучениями вытащил ИСУ новую. Ну первым делом прилось снести ISA 2000 EE
update не прошел. Сделал я бекап конфигурации. И поставил. Привыкал к новому интерфейсу и изучал.
Сейчас у меня пролетел явный глюк. Было создано правило по которому с клиентского ПК можно ходить вовне по определенным протоколам.
И плюс контент на HTTP только HTML, чтобы картинки не качались. Начинают тестить - не работает. MIRC не работает.
Идем дальше. Вырубаю контент, то есть ставлю пипку на All allow и MIRC работает ...
Хотя в правилах контента ясно написано, что правила контента применяются только к HTTP. Мониторинг показывает, что коннект обрубается дефолтным правилом. То есть закладка контента воздейсвует на все протоколы которые перечислишь.
И как мне теперь вырезать картинки с потока ?? Создавать отдельно правило для HTTP ? это изврат. Хочу посоветоваться с вами.
Может у кого то получится обойти этот глюк.

Что может быть причиной того, что web-прокси работает, а сокс - нет!? Во вьювере вроде ничего нет, просто выкидывает сокс-сесии и всё!? Может какие службы стопарнули - что использует ИСА(2000 на w2k) для этого!?

greenfox

-Microsoft Firewall
- Microsoft Web Proxy
- Microsoft ISA Server Control
- socks4 filter в apps filters

Я не уверен, за сокс кто отвечает: proxy или firewall

XAN

Я вытаскивал не с мучениями, а вот с мучениями приспосабливаюсь, есть похожие проблемы, пока не отладил

izograv

Цитата:

- socks4 filter в apps filters

это этот socks v4 filter!? Это вроде не winsocks...
он у меня выключен почему-то... Он отвечает именно за работу сокс-клиента или просто за фильтрацию пакетов идущих через сокс!? И каких именно клиентов!?

Цитата:

это этот socks v4 filter!? Это вроде не winsocks...
он у меня выключен почему-то... Он отвечает именно за работу сокс-клиента или просто за фильтрацию пакетов идущих через сокс!? И каких именно клиентов!?

Я неправильно понял первый вопрос, ты про winsocks, а я думал про socks4 Почему firewall-клиенты не работают - даже не знаю, на msp с этим были проблемы, а на исе - ни разу. Смотри, например, пермишны и логи.

Оказывается когда писалось что эти правила контента только для HTTP видимо имелось ввиду, что только для HTTP нужно писать все правило не включая другие протоколы.

Мне пришлось для HTTP сделать отдельное правило.
Кстати, наличие подсетей упрощает жизнь... и наличие только одного пакетного фильтра тоже...

UNKNOWING

Цитата:

Есть такое понятие НАТ, так вот оно используется не только для раздачи интернета:

Кстати, никак не могу заставить работать L2TP если ISA стоит за линуксом, - клиент отваливается по таймауту, типа что сервер не отвечает Хотя по PPTP - все прекрасно работает.
Если-же серврер с ISA-й подключаю напрямую к модему - все типы тунелей работают нормально.
Вот так правила завел на линуксе :
# VPN-P
$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $INET_IP --dport 50 \
-j DNAT --source 0/0 --to-destination 192.168.2.5:50
$IPTABLES -t nat -A PREROUTING -p UDP -i $INET_IFACE -d $INET_IP --dport 500 \
-j DNAT --source 0/0 --to-destination $ISA_IP:500
$IPTABLES -t nat -A PREROUTING -p UDP -i $INET_IFACE -d $INET_IP --dport 1701 \
-j DNAT --source 0/0 --to-destination $ISA_IP:1701
$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $INET_IP --dport 1701 \
-j DNAT --source 0/0 --to-destination $ISA_IP:1701
$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $INET_IP --dport 1723 \
-j DNAT --source 0/0 --to-destination $ISA_IP:1723
$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $INET_IP --dport 1745 \
-j DNAT --source 0/0 --to-destination $ISA_IP:1745
$IPTABLES -t nat -A PREROUTING -p UDP -i $INET_IFACE -d $INET_IP --dport 4500 \
-j DNAT --source 0/0 --to-destination $ISA_IP:4500

# 47 -for pptp, 50 - l2tp
$IPTABLES -t nat -A PREROUTING -p 47 -i $INET_IFACE -d $INET_IP \
-j DNAT --source 0/0 --to-destination $ISA_IP
$IPTABLES -t nat -A PREROUTING -p 50 -i $INET_IFACE -d $INET_IP \
-j DNAT --source 0/0 --to-destination $ISA_IP

Что я забыл еще добавить ?

Добавлено
Уф-ф-ф ... я почти уже отчаялся, но решение было найдено !!! :
L2TP IPSec NAT Traversal Problems After You Install Windows XP SP2
One of the changes with the increased security in Windows XP SP2 is Microsoft have disabled the NAT-T functionality that allows L2TP to work across NAT as default. For a description of this NAT Traversal enhancement Microsoft made availble to Windows 2000/XP that is now disabled as default, see Q818043. To renable the NAT-T fuctionality you need to edit a registry key:-

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\AssumeUDPEncapsulationContextOnSendRule

This REG_DWORD will have the default value of "0" that disables the NAT-T fuctionality. A value of "1" will only enable a Client with a public (i.e.non-NAT’d) address to connect to a NAT’d server. The value of "2" enables both public and NAT’d clients to connect to a NAT’d server. The value of "2" is equal to the pre-SP2 behaviour

Поставил 2-ку и, о чудо, - все сразу заработало !!

Приветствую народ!
Подскажите, почему в ИСА2004 в реопртах вместо имен пользователей иногда (в бОльшем числе случаев) стоит IP?
У всех клиентов стоит FW-клиент.