» MS ISA Server (часть 1)

Коллеги, подскажите где копать - поставили ISA 2004 (раньше вообще не было firewall)и отрубился доступ к корпоративному FTP (расположен у хостера). Вариации PORT/PASV пробовал - не помогает.

Из дома захожу на него без проблем:

STATUS:> Connecting to ftp server ftp.XXX.ru:21 (ip = 195.xxx.xx.xxx)...
STATUS:> Socket connected. Waiting for welcome message...
220 ProFTPD 1.2.9 Server (ProFTPD Default Installation) [host2.servers.XXX.ru]
COMMAND:> USER XXX
331 Password required for XXX.
COMMAND:> PASS *****
230 User XXX logged in.
STATUS:> Login successful.

Из офиса не могу зайти - подключение останавливается на стадии Socket connected. Waiting for welcome message:

STATUS:> Getting listing ""...
STATUS:> Resolving host name ftp.XXX.ru...
STATUS:> Host name ftp.XXX.ru resolved: ip = 195.xxx.xxx.xxx.
STATUS:> Connecting to FTP server ftp.XXX.ru:21 (ip = 195.xxx.xxx.xxx)...
STATUS:> Socket connected. Waiting for welcome message...

При этом на другие FTP зайти могу, например на ftp.avp.ru

STATUS:> Getting listing ""...
STATUS:> Resolving host name ftp.avp.ru...
STATUS:> Host name ftp.avp.ru resolved: ip = 81.176.69.86.
STATUS:> Connecting to FTP server ftp.avp.ru:21 (ip = 81.176.69.86)...
STATUS:> Socket connected. Waiting for welcome message...
220 d4.kaspersky-labs.com FTP server ready.
STATUS:> Connected. Authenticating...
COMMAND:> USER anonymous
331 Guest login ok, send your e-mail address as password.
COMMAND:> PASS *****
230 User logged in.
STATUS:> Login successful.

Та же история при заходе через Internet Explorer - на ftp.avp.ru заходит, на ftp.XXX.ru - «сервер не найден» через какое-то время раздумий.

pro77
На Microsoft'e опубликована статья Active mode FTP client programs cannot access an FTP server from behind Internet Security and Acceleration Server 2004 - http://support.microsoft.com/?scid=kb;en-us;884580&spid=2108&sid=global
В связи с чем вопрос - у кого нибудь есть уже Ftpfltr.dll версии 4.0.2161.85 ?

мда...
Цитата:

This hotfix may receive additional testing. Therefore, if you are not severely affected by this problem, we recommend that you wait for the next Internet Security and Acceleration Server 2004 service pack that contains this hotfix.

Ну вот что тут скажешь? Скоро при установки самой винды вам скажут "устанавливайте на свой страх и риск" Хотя с точки зрения юредических аспектов они и правы...

Цитата:

у кого нибудь есть уже Ftpfltr.dll версии 4.0.2161.85 ?

да интересно... и кто-н ставил его на сервер? Ну и как? Работает?

Есть сетка 10.0.0.1-10.255.255.254 а вней выделена некоторая подсетка 10.XX.0.1-10.XX.255.254 если я поставлю ISA 2004 между большой сетью и этой подсеткой смогу ли я управлять трафиком на большую сетку. Доступ в Интернет осуществялется через другой proxy с реальным IP.

прочитал справку к 2004 так и не понял как закрыть доступ приложению для доступа в инет и в лан централизованно при условии что на клиенте стоит FWC!? Ключи Disable и DisableEx пускают проги только через шлюз а не сокс канал... может кто знает!?

Простой вопрос: как на исе 2к (аутентификация по IP) запретить одним IP ходить через заданный порт через firewall-клиент, разрешая при этом тем же IP доступ на этот же порт через cок-прокси?
То есть путь заданные IP ходят только через socks.

народ ... может этот вопрос задавался уже - не нашел
что за проблема в 2004й исашке (под 2003 виндой), когда периодически проксик не может забиндится на свой порт (8080)? иис - нет ...
да ... я вот заметил в ивентах, что это происходит через час - 2 после линк даун на внутреннем фейсе (свич глюкавит или свет ночером рубят)
где искать грабли?
на мелкософте написано, что нудно перезапускатьь сервис, но это не есть олюшен

VoSi
по самому простому: создай батничек для рестарта службы и забей его на выполнение каждый час или сколько надо
Свич повесь на бесперебойник. (если глюкавить перестанет - то питание, если нет, то смени свич).
Эта проблема была у меня на 2000. А исправилась толи после SP для исы, толи после того как в таблицах маршрутизации покапался. не помню точно

Добавлено
Но у меня падало питание, так как свич бел без бесперебойника.

Добавлено
izograv
в политике доступа создай политику для опр. ИП и открой им только сокс. а остальное перекрой.

Добавлено
Cuba
А не проще ли поставить нормальный просмоторщик логов исы? ProxyInspector например.

Добавлено
Cuba
Правда энто актуально к исе 2к. под 2004 ещё не заломали.

zeleniy
можешь.
для тебя эта большая сетка и есть внешняя, почти как интернет.

у меня так и есть - 10.xx.0.0-10.xx.255.255 моя сеть, которая является часть большой 10.0.0.0-10.255.255.255 и через эту большую выхожу в инет с трансляцией ip моей исы в реальный ip.

SpiderPlus
Да уже попробовали все нормально кроме почты.
Почта берется с сервака с реальным IP когда ISA отключена туда есть маршрутизация. Включаешь ИСУ исчезает. В настройках ISA->Networks вставил route на этот комп почта все равно не ходит. Пока это оставил думаю что почтовый сервак поставлю за ИСОй. А вот еще думаю не нужно ли мне написать ручками на компе с ИСОЙ постоянный route через route add и его при перезагрузке ИСЫ устанавливать.

zeleniy
какими протоколами пользуешься?
для pop3/imap4/smtp достаточно secirenat клиента, а в isa пропускай из внутренней сети на почтовик всех без авторизации
для exchange портебуется установить firewall клиента

SpiderPlus
Т.е. на сервер где у меня стоит exchange надо установить firewall client.
Тут проблема в том что этот почтовый сервак с которого мне почту надо брать не мой и стоит черт знает где. А у меня в сетке есть свой exchange с которого все мои пользователи и получают почту.

в домене не ходют протоколы в инет от Firewall Client...(icq,outlook)..что нужно зделать.??

Что делать когда Иса файервол начинает жрать много много проца и памяти .. только перезагрузка сервиса помогает .. в чём можеть быть дело7ю.. все сервис паки все патчи на 2003 сервис стоят и все равно так.. один два дня живёт.. потом проц в 100% загруженность и всё.Помгите

Доброго дня.
Поставил ISA Server 2004. Идёт процесс настройки, ознакомления, да вообще понятия его работы. Поэтому вопросы могут звучать глупо. Прошу не пинать ногами.

После установки сделал настройки в которых смог разобраться и вроде всё устраивает. Но есть проблема. (Возможно ни кто не сможет помочь по причине того, что проблема связана с Macromedia Dreamweaver 2004, но я всё же попробую)

При соединении встроенного ФТП для выкладки страниц на сервер провайдера выходит вот такое сообщение:
Dreamweaver cannot determine the remote server time. The Select Newer and Synchronize will not be available.

Это происходит только при работе ISA Server 2004. А опция Синхронизации уж очень нужна, т.к. вспоминать чего поменял на сайте, а чего нет сложновато. Я так понимаю, что ISA Server 2004 блокирует какой-то порт, но не могу в этом разобраться.

Надеюсь на помощь более грамотных людей, чем я.
Зарание благодарен за ответ.

stas999
включи и посмотри логи соединений... они есть в разделе monitoring
Точнее сказать не могу, не помню где там и что

XMMS
Вроде всё нормально. То что касается адреса провайдера, то всего 4 записи и пишет так:

ClientIP - 192.168.0.227 (это мой адрес)
Action - Initiated Connection
Protocol - FTP
Destination Port - 21
Destination IP - адрес провайдера

ClientIP - 192.168.0.227 (это мой адрес)
Action - Initiated Connection
Protocol - FTP
Destination Port - 28047
Destination IP - адрес провайдера

ClientIP - 192.168.0.227 (это мой адрес)
Action - Initiated Connection
Protocol - FTP
Destination Port - 42413
Destination IP - адрес провайдера

ClientIP - 192.168.0.227 (это мой адрес)
Action - Initiated Connection
Protocol - FTP
Destination Port - 43668
Destination IP - адрес провайдера

Больше ничего нет...Initiated Connection - это я так понимаю, что нормально?

Добавлено
Ко всему этому я ещё и не могу выложить на ФТР ни новый документ ни создать новую папку...Dremweaver пишет, что доступ закрыт или у вас нет разрешений на данную операцию...Хотя конект к ФТП есть...
Как только вырубаю ISA 2004 то всё нормально...Не могу понять где проблема

stas999
попробуй другими ФТП-клиентами в таком случае, возможно конфликтует...
И посмотри не включён ли фильтр трафика или как там его....

stas999
Поумолчанию в свойствах правила доступа к ФТП заблокирован Аплоад на ФТП.
(Сразу прошу пардону, ибо снес уже этого монстра, а на вскидку не помню, но в Хелпе все подробно расписано как "это" отключить.)

Спасибо всем...Буду пробывать

Добавлено
fktrctq
Спасибо...Твоё решение помогло...Я отключил фильтр ФТП и всё заработало. Пока не нашёл где его настраивать, но думаю со временем найду, если такое возможно. Сам фильтр имеет только одну опцию ВКЛ/ВЫКЛ. Как временное решение подходит.
Спасибо ещё раз всем.

stas999
Правой клавишей по правилу, где разрешается FTP протокол -> Configure FTP -> снять галку Read Only

Установил 2004-й. Вначале казалось - супер. Потом пошли косяки. Снес. Поставил 2000. Теперь все нормально

NEED
ну 2004 конечно сыроватый ещё продукт к тому же это не 21 век по возможностям. Но вот виндой его интеграция рулит - тут никакой другой продукт не поможет, поэтому его и ставят (что 2000 что 2004)

renault
Не нашёл я такого в 2004. Может прлохо смотрел? Подскажи точнее.
В правилах, которые я утановил, ФТП ни где не упамянается. А в системных по умолчанию я его тоже не вижу. Всё что я нашёл, так это в Add-ins на вкладке Application Filter фильтр FTP Access Filter. Там нет таких параметров. Есть только Вкл/Выкл.

stas999
Правой кнопкой мыши щелкни по правилу по которму ты выходишь и ты увидишь кофигуре HTTP и конфигуре FTP, вот и выбираешь конфигуре FTP там стоит галочка read only её снимешь и получаешь возможность заливать куды надо

SergeyM
Спасибо...УВИДЕЛ...Глазки плохо видят...
Плохо читал совет renault
Спасибо

SpiderPlus
FWC на сервант?
Зачем?
zeleniy
Логи ИСы анализировали? Куда пакеты уходят?

Raice

Цитата:

Логи ИСы анализировали? Куда пакеты уходят?

Никуда в том то и дело. Получается что узел сгде почта стоит как-бы недоступен. До поднятия ISA на него есть маршрут после нету.

zeleniy
У тебя разрешение на проход через ISA на чем основано? Если на учетных записях, то посмотри под какой учетной записью работает твой почтовик. Наверняка под системной, а ей в инет хода нет.

Pantalone
У меня есть правило для хода в инет там прописаны только пользователи которым это можно и там открыты только протоколы HTTP И FTP.
У меня есть правило для почты в которым написано что почта может ходить как с компьютеров корпоративной сети так и с этого компа с реальным IP. Почта с корпоративных серверов ходит без проблем а с этого компа не хочет. Мой exchange сидит под системной учетной записью и в протоколе для почты ей разрешено.
Я подозреваю что проблема в маршрутах, так как до поднятия iSA маршрут на сервер с которого я почту беру есть. После нету.