» MS ISA Server (часть 1)

Траблю Сайт http://www.mosnalog.ru/imns/district_list.asp так вот юзер не может посмотреть по адресу инспекцию нужну. Выдает пустую страницу. Смотрел логи. НИчего не блочится с этого сайта. Блок стоит на скачку Application, Video, Audio в виде правила запрета перед правилом разрешения.
Пришлось так сделать от того, что правило разрешения иногда вообще брало и сбрасывало все галочки и разрешающее правило для http ничего не пропускало.
Видно что страничка на asp. Но asp то к какому типу принадлежит ? Вообщем помогите кто знает как. ISA 2004

P.S. Народ прошу вас пишите какая ISA иначе непонятно о 2000 и 2004 идет речь. многое у них общее. Решил про это написать взглянув на предыдущий пост.

XAN
у 2004 проблемы с контент рул - он криво их обрабатывает... качай sp1 для 2004 (посмотри список исправлений там есть CRL) или вноси сайты в исключение, которое будет стоять до ограничевающего по контенту правила...

Я хочу ограничить скачку video, audio, исполняемых файлов. Кстати, ява относится тоже к исполняемым. Пришлось Яву убирать из исполняемых. Чтобы форумы нормально грузились. А вот .asp нету в списке ISA2004 вообще. Прикольно.
rar с мыл ру у меня очень долго не хотел качаться. вроде победил переместил MIME тип из исполняемого в архивы.
Расскажите плиз как именно лучше построить правило для ограничения вышеназванного контента.

XAN
если без гемора - то никак!! Сейчас правда вышел sp1 vj; они там пофиксили ошибки эти... но я когда включил - у мення половина сайтов нормально перестала отображаться... так что тут либо качать сп1 и смотреть что они там исправили, либо вносить полезные сайты в исключения при этом по возможности разрешив как можно больше (mime и расширения)... но я чувствую что второй вариант всё равно грозит тем что некоторые сайты будут криво отображаться...

После установки sp1 тот же налог.ру все равно не грузится. причем ничего про блокировку не пишет. ISA же пишет когда страница из-за контента блочится. А тут вместо ответа от БД пустая страница.

XAN
хм... хреновая новость... неужели не пофиксили!? не верю блин... ладно, поставлю потом - посмотрю..
А тебе пока могу лишь посоветовать создать URLSets с неработающими сайтами и поместить к ним доступ в файере перед разреш_с_ограничением_по_контенту_ - у меня так стоит сейчас...

Цитата:

Есть такой вопрос, даже 2!
1.Хочу поставить Isa 2004, но интернет я получаю по VPN(PPTP) как настроит isa а автоматическое соединие? Сейчас работает просто НАТ через RRAS
PS Сразу после устанокви isa vpn-server даже не пингуется!

Народ, подскажите, как быть??

XAN налог.ру и не будет грузиться. Попробуй ввв.налог.ру

Извиняюсь если это уже было. Как настроить ИСА 2004 для работы со СПУТНИКОВЫМ интернетом. Т.е. входящий трафик через ВПН-соединение, а исходящий через наземный канал? Кто-нибудь имеет опыт настройки такой конфигурации?

Tiaf ввв.налог.ру тоже не будет грузиться потому, что он www.nalog.ru :-)
А вообще читай выше ссылку. И напомню тебе, то в случае если нет сайта DNS выдает ошибку. А я писал про пустую страницу.

Добавлено:
ivanopulos,Kolyanius

Про спутник и прочее. VPN это отдельный интерфейс. Как и спутниковый реальный. ISA ничего не знает про спутник. Поэтому настройка такой конфигурации такая же. Как звонить по запросу написано во многих доках. Я вот настроил дозвон на стрим исходя из знания 2000 исы.
ЧТо касается трафика вход через один интерфейс выход через другой. Знаете такое слово роутинг ? вот им это делается. МОЖНо Rras, a можно командной строкой
route я лично предпочитаю второе. А то VPN на ISA с двумя входящими интерфейсами кривовато работает. Иногда шлюз падал без причин.

XAN
Просто реально есть VPN-соединение на спутник (входящий трафик) и оптика (исходящий трафик). Я так понимаю необходимо RRAS'ом настроить ВЕСЬ исходящий трафик через оптику?

Подскажите как настроить MSN Messenger 6.2 через ISA 2004, чтобы видео работало?

Проблема с отправкой почты MS Outlook через ISA 2004
Свойсво disable в настройках клиента outlook в ISA поставил в 0 - не помогло.

При этом Outlook Express летает как пчелка.

На самом деле, проблема в отправке листов Excel по почте "как вложение" прямо из Excel.
Как я понял - это возможно только через MS Outlook, и уперся в проблему.

Добавлено:
Для WandererSU

Случайно мимо проходил, очень подробно описано, сам не вникал.

http://www.internetaccessmonitor.com/rus/products/articles/Opening_MSN_through_ISA_server/Opening_MSN_through_ISA_server.phpWandererSU


Добавлено:
Там-же нашел статью и для себя

http://www.internetaccessmonitor.com/rus/products/articles/Using_Outlook_2003_with_the_Firewall_Client/Using_Outlook_2003_with_the_Firewall_Client.php

Коллеги, не выходит с подключением ВПН клиентов. Ситуация такая: есть домен на Вин2003 и есть стена иса2004. Нашёл доку ISA2004ConfigGuide.
Всё сделал по ней.
Единственное отличие в том что DHCP у меня нет.

Попытался сделать ису впн сервером.
1. Разрешил впн сервер.
2. Сконфигурировал доступ впн клиентов.
3. Создал правило доступа для впн клиентов во внутреннюю сеть.
4. Разрешил dial-in access для некоторых пользователей.

При соединении с удалённой машины всё ок. На исе сессию вижу. Доступа к ресурсам сети нет. Где грабли?

Nooned
а что в логах ?

Дык ничего, когда всё было в процессе настройки и соединение отваливалось ошибки былию Сейчас всё в норме. Просто клиент не видит внутреннюю сетку.

я имею ввиду логи активности в ИСЕ..
вариантов пока два - либо ты что-то не то с адресами/маршрутизацией намутил, либо ИСА режет трафик правилами, - помониторь.

Здравствуйте, уважаемые. Тут уже несколько раз задавался похожий вопрос, но внятного ответа на него небыло. Может ли ISA работать нормально с несколькими внешними интерфейсами? Суть проблемы в чем : Есть радио-канал до прова на Cisco'вской Aironet карточке, но у них иногда бывают проблемы и у начальства возникла идея организовать резервный канал. Т.е. воткнуть еще одну сетевуху и кинуть линк, благо не далеко, на другого провайдера. И вот если падает первый пров - в дело вступает второй. На самом деле задача сложнее, надо на второго переключаться при выборе предоплаченого трафика (у второго дешевле выходит), но пока разобраться бы с простым.
Пожалуйста, поможите разобраться, если можно с разжевыванием деталей, я не могу похвастаться хорошим знанием ИЗЫ.

Nooned
Саму ситуацию ещё не пробывал, но вот статейка
Настройка удаленного доступа к VPN серверам в каскадном режиме брандмауэра ISA
Может поможет?
Да и вообще там есть что почитать и благо на русском. Как я понял это переводы некоторых статей с http://www.isaserver.org/

Sega33
ISA распределяет запросы согласно таблице роутинга ОС и собственных правил.
Проще сделать скриптом через route add/del

На дружественном сайте всплыла старая проблема NTLM authorization
Dymond 15-10-2003 уже указал решение,
но, на всякий пожарный, чуть подробнее:

Цитата:

Opera не поддерживает аутентификацию NTLM

Как советуют на сайте Opera, используйте отечественное ПО:

http://www.opera.com/support/search/supsearch.dml?index=463

Цитата:

use the NTLM Authorization Proxy Server, which allows you to
authenticate using Microsoft's proprietary NTLM protocol.

http://www.geocities.com/rozmanov/ntlm/
Or
http://apserver.sourceforge.net/

Цитата:

'NTLM Authorization Proxy Server'.
2001-02 (C) Dmitry Rozmanov

aps098.zip\readme.txt

Цитата:

'NTLM Authorization Proxy Server' is a proxy-like software, that will
authorize you at MS proxy server and at web servers (ISS especially)
using MS proprietary NTLM authorization method
and it can change some values in your client's request header
so that those requests will look like ones made by MS IE.

Цитата:

От:Rob (rob@notagoodname[][][][][][][][][].com)
Тема:Re: How safe is bittorrent?
Группы новостей:alt.bittorrent
Дата:2003-10-23 07:15:46 PST
...
If your proxy requires NTLM authorization (a Microsoft-proprietary scheme),
you may have to use a third party program.
Fortunately there is a utility called NTLM Authorization Proxy Server.
It is a program you run on your local machine that acts as a proxy for your proxy.
In other words, it takes the (unauthenticated) proxy requests
from the application and forwards them on to your organization's proxy,
adding the necessary NTLM authorization

minin - я всегда чтобы побороть любителей Оперы требовал NTLM запросы, а в политике ставил, что только NTLM2 с отказом работы по обычному NTLM. Помогает на все 100%. Никаких левых бразуеров нет

Народ... а может, кто-нибудь знает, куда в isa 2004 enterprise делся пункт Site And
Content Rules, который присутствовал в isa 2000?

Нашел! URL Set. Теперь вопрос другой. Есть список сайтов, которые я хочу блокировать, к примеру, сайты знакомств (с единой базой, советую заблокировать всем.. ))):

http://www.facelink.ru/meet/
http://meet.mheart.ru/
http://meet.jdu.ru/
http://meet.lovedosug.ru/
http://meet.love.kulichki.net/
http://meet.singles.ru/
http://meet.4love.ru/
http://meet.fastlove.ru/
http://meet.amurzon.ru/
http://meet.love.moof.ru/
http://meet.love.oru.ru/
http://meet.e-girls.monamour.ru/
http://meet.love.pautinka.ru/
http://meet.love.oren.ru/
http://meet.love.achat.ru/
http://meet.idating.ru/
http://meet.lov.ru/
http://meet.kazanova.info/
http://meet.lovestudik.ru/
http://meet.love.2net.info/

А вот если я хочу блокировать не только эти сайты, начинающиеся с meet.*, а допустим, и запрос к сайту meet.love.2net.info, но и к сайту love.2net.info, как я должен это задать?

Вариант 1:
http://*.love.2net.info/

Вариант 2:
http://meet.love.2net.info/
http://love.2net.info/

Как правильнее, если я хочу блокировать и meet.love.2net.info, и love.2net.info в ISA 2004? В 2000 было более менее ясно, а в ISA 2004?

И еще.... могу ли я использовать более чем одной "*" в одном URL?

Laurent - в 2004 версии нет различных правил для сайтов и протоколов.
Есть список аравил, которые применяются в порядке приоритета (как на цисках) - если разрешено, то пакеты прошли, если ни в одном из правил явного разрешения нет, то запрет.
Правила сейчас состоят из большого числа элементов: кто, в какое время, с какого компутера, куда, по какому протоколу, зачем будет иметь доступ. Правила более строгие, но их много - на некотором шаге если все параметры как раз про тебя, ты прозрачно получаешь доступ.

Laurent

Цитата:

Вариант 1:
http://*.love.2net.info/

запретит достут на все подсайты (домены 4 уровня) сайта love.2net.info
Цитата:

Вариант 2:
http://meet.love.2net.info/
http://love.2net.info/

запретит толкт конкретные 2 сайта

Цитата:

могу ли я использовать более чем одной "*" в одном URL?

вторую звезду можешь использовать в описании пути (если банишь, например, только форум - то все внутри cgi-bin) - Две звезды в самом названии сервера исключены. Равно как и одна звезда, где-либо кроме начала имени сервера.

Nooned давай ты все таки правило создаешь :-) иначе ничего твой клиент не увидит.
ivanopulos
Шлюзом по умолчанию ставим. тот что исходящий канал. Только надо устроить так чтобы в source поле TCP стоял адрес, который получен сервером по спутнику. Тогда хосты будут отвечать по спутнику. Чем провести такую модификацию налету не знаю.
МОжет сокс прокси как то разрулить.

Есть необходимость прикрыть доступ пользователям к почтовым бомжатникам. Необходимо, как я понимаю, использовать URL Sets или Domain Sets? Что предпочтительнее?

З.Ы. И где можно взять готовый список бомжатников?

Коллеги, сегодня попробывал подружить ISA2004 и privoxy
для резки баннеров, и другого ненужного хлама. (в нем очень удобно
резать по регекспам, в отличие от самой исы, и совсем мало весит)

в ИСЕ создал новый Web Chain с указанием редиректа на хост где установлен
privoxy

privoxy последней версии 3.0.3 упорно говорит:

Mar 16 13:35:25 Privoxy(04984) Connect: OK
Mar 16 13:35:25 Privoxy(04984) Connect: accept connection ...
Mar 16 13:35:25 Privoxy(04860) Writing: HTTP/1.0 400 Invalid header received from browser

создается мнение что иса по-своему, по-исашному понимает parent-proxy.

кому-нибудь удалось это победить, или кто что использует бесплатное
с поддержкой регекспов веб-фильтр под винду?